Настройка wsus windows server 2012 r2

Обновлено: 01.07.2024

Службы Windows Server Update Services (WSUS) — это служба обновлений, которая позволяет администраторам централизованно управлять исправлениями и обновлениями безопасности для продуктов Microsoft (Windows, Office, SQL Server, Exchange и т. д.) на компьютерах и серверах в корпоративной сети. Кратко напомним, как работает WSUS. Планируется, что сервер WSUS будет синхронизироваться с серверами Microsoft Update в Интернете и загружать последние обновления для выбранных продуктов. Администратор WSUS выбирает, какие обновления необходимо установить на рабочие станции и серверы компании. Клиенты WSUS загружают и устанавливают необходимые обновления с корпоративного сервера обновлений в соответствии с настроенными политиками. Собственный сервер обновлений WSUS позволяет экономить интернет-трафик и более гибко управлять установкой обновлений в компании.

Microsoft также предлагает другие системы установки обновлений для своих продуктов, такие как SCCM (System Center Configuration Manager). Однако, в отличие от многих других продуктов, сервер WSUS полностью бесплатен (собственно, обновление ПО в SCCM — SUP, Software Update Point — тоже основано на WSUS).

До выпуска Windows Server 2012 последней версией сервера Microsoft Update были службы Windows Server Update Services 3.0 SP2 — WSUS 3.2, которые не поддерживают современные операционные системы (например, Windows 10 и Windows Server 2012 R2/2016). Вместе с выпуском новой серверной платформы Microsoft представила новую версию WSUS 6.0 (что странно, ведь по логике эта версия должна называться WSUS 4.0…).

Ничего принципиально нового в новой версии WSUS в Windows Server 2012 R2/2016 нет. Обратите внимание, теперь установочный пакет WSUS нельзя скачать отдельно с сайта Microsoft, он интегрирован в дистрибутив Windows Server и устанавливается как отдельная серверная роль. Кроме того, в WSUS 6.0 появилась возможность управлять установкой обновлений с помощью PowerShell.

В этой статье мы рассмотрим основные вопросы установки и настройки роли WSUS в Windows Server 2012 R2 / Windows Server 2016.

Как установить роль WSUS в Windows Server 2012 R2 / 2016?

В Windows Server 2008 для WSUS была выделена отдельная роль, которую можно установить через консоль управления сервером. В Windows Server 2012 R2/2016 это не изменилось. Откройте консоль управления сервером и выберите роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб-сервера IIS).

установить роль wsus на сервер Windows 2012

Отметьте опцию «Службы WSUS», затем вам нужно выбрать тип базы данных, которую будет использовать WSUS.

WSUS в Windows Server 2012 поддерживает следующие базы данных:

  • Внутренняя база данных Windows (WID);
  • Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в выпусках Enterprise/Standard/Express.

Соответственно, вы можете использовать WID внутренней базы данных Windows (внутренняя база данных Windows), которая бесплатна и не требует дополнительного лицензирования. Или вы можете использовать выделенную локальную или удаленную базу данных SQL Server (на другом сервере) для хранения данных WSUS.

Внутренняя база данных (внутренняя база данных Windows) рекомендуется, если:

  • Ваша организация не имеет и не планирует приобретать лицензии на SQL Server;
  • Использование балансировки нагрузки WSUS (NLB WSUS) не планируется.
  • Если вы планируете развернуть дочерний сервер WSUS (например, в филиалах). В этом случае рекомендуется использовать встроенную базу данных WSUS на дополнительных серверах.

Обратите внимание, что в бесплатных выпусках SQL Server 2008/2012 Express существует ограничение на максимальный размер базы данных — 10 ГБ. Скорее всего, этот предел не будет достигнут (например, размер базы данных WSUS на 3000 клиентов составляет около 3 ГБ). Размер внутренней базы данных Windows ограничен 524 ГБ.

Если вы устанавливаете роль WSUS и базу данных MS SQL на разных серверах, существуют некоторые ограничения:

  • SQL Server с базой данных WSUS не может быть контроллером домена;
  • Сервер WSUS не может одновременно быть узлом служб удаленных рабочих столов.

Если вы планируете использовать встроенную базу данных WID (это весьма рекомендуемый и работоспособный вариант даже для крупных инфраструктур), отметьте вариант База данных.

установить службу wsus

Затем необходимо указать каталог для хранения обновлений (рекомендуется, чтобы на выбранном диске было не менее 10 ГБ свободного места).

Размер базы данных WSUS сильно зависит от количества продуктов и версии ОС Windows, которую вы планируете обновить. В крупной организации размер файлов обновлений на сервере WSUS может достигать сотен ГБ. Например, размер моего каталога WSUS составляет около 400 ГБ (хранятся обновления для Windows 7, 8.1, 10, Windows Server 2008 R2, 2012/R2/2016, Exchange 2013, Office 2010 и 2016, SQL Server 2008/2012/2016) . Учитывайте это при планировании места для хранения файлов WSUS.

папка для обновлений Windows магазин

Если вы ранее выбрали использование отдельной базы данных SQL, необходимо указать имя сервера базы данных, экземпляр БД и проверить соединение.

экземпляр базы данных wsus

Затем будет установлена ​​роль WSUS со всеми необходимыми компонентами. По завершении установки запустите консоль управления WSUS в диспетчере серверов.

Консоль управления WSUS в Диспетчер серверов

Вы также можете установить сервер WSUS с внутренней базой данных с помощью следующей команды PowerShell:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

Базовая конфигурация WSUS в Windows Server 2012 R2 / 2016

При первом запуске консоли WSUS автоматически запускается мастер настройки сервера обновлений. Рассмотрим основные шаги по настройке сервера WSUS с помощью мастера.

Укажите, будет ли сервер WSUS получать обновления напрямую с веб-сайта Центра обновления Майкрософт или он должен загружать их с вышестоящего сервера WSUS. Второй вариант обычно используется в больших сетях для настройки WSUS-сервера крупного регионального подразделения, получающего обновления от WSUS в центральном офисе (такая конфигурация значительно снижает нагрузку на WAN-каналы между HQ и филиалом).< /p>

wsus вышестоящий сервер

Если ваш сервер WSUS сам должен загружать обновления с серверов Центра обновления Windows, а вы выходите в Интернет через прокси-сервер, вы должны указать адрес прокси-сервера, порт и учетные данные для доступа к нему.

настройки прокси-сервера для восходящее соединение

Далее проверяется соединение с вышестоящим сервером обновлений. Нажмите «Начать подключение».

Затем вам нужно выбрать языки, для которых WSUS будет загружать обновления. Выбираем английский (список языков в дальнейшем можно изменить из консоли WSUS).

выберите языки wsus

Затем укажите список продуктов, для которых WSUS должен загружать обновления. Вы должны выбрать все продукты Microsoft, которые используются в вашей корпоративной сети. Имейте в виду, что все дополнительные обновления занимают место на диске, поэтому лишние продукты проверять не следует. Если вы уверены, что в вашей сети нет компьютеров под управлением Windows XP или Windows 7, не устанавливайте флажки для этих ОС. Это значительно сэкономит место на диске сервера WSUS.

При необходимости вы можете вручную импортировать любые обновления из каталога Центра обновления Майкрософт на свой сервер WSUS.

Укажите продукты, которые вы хотите обновить

На странице классификации укажите типы обновлений, которые будут распространяться через WSUS. Рекомендуется выбрать: Критические обновления, Обновления определений, Пакеты безопасности, Пакеты обновлений, Наборы обновлений, Обновления.

обновления классификаций wsus

Обновления сборки Windows 10 (1709, 1803, 1809 и т. д.) в консоли WSUS включены в класс обновлений.

Далее необходимо указать расписание синхронизации обновлений — рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с сервером Microsoft Update. Синхронизацию WSUS следует проводить ночью, чтобы не перегружать интернет-канал в рабочее время.

график синхронизации wsus

Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней, в зависимости от количества продуктов, которые вы выбрали ранее, и вашего интернет-провайдера.

После завершения работы мастера запускается консоль WSUS.

Консоль службы обновления

Для повышения производительности сервера WSUS на Windows Server рекомендуется исключить следующие папки из антивирусной проверки:

  • \WSUS\WSUSContent;
  • %windir%\wid\data;
  • \SoftwareDistribution\Загрузить.

Клиенты теперь могут получать обновления, подключаясь к серверу WSUS через порт 8530 (в Windows Server 2003 и 2008 по умолчанию используется порт 80). При большом количестве компьютеров (более 1000) производительность пула IIS WsusPoll, раздающего клиентские обновления, можно настроить согласно статье.

Для просмотра различных отчетов об обновлениях в консоли WSUS необходимо установить на сервер дополнительные компоненты Microsoft Report Viewer 2008 SP1 Redistributable (или более поздней версии).

В других статьях мы рассмотрим дальнейшую настройку сервера WSUS в Windows Server 2012 R2/2016: настройку параметров клиента WSUS с помощью групповых политик, утверждение новых обновлений и копирование утвержденных обновлений между целевыми группами WSUS. .

Но, как обычно, прежде чем мы начнем, позвольте мне немного рассказать о WSUS (службах обновления Windows Server).

Что такое WSUS?

WSUS — это роль сервера, включенная в ОС Windows Server 2012 R2, которая загружает и распространяет обновления для клиентов и серверов Windows.

WSUS может получать обновления, применимые к ОС и распространенным приложениям Microsoft, таким как Microsoft Office и Microsoft SQL Server.

В простейшей конфигурации небольшая организация может иметь один сервер WSUS, загружающий обновления из Центра обновления Майкрософт.

Затем сервер WSUS распространяет обновления на компьютеры, которые настроены на получение автоматических обновлений с сервера WSUS. Вы должны одобрить обновления, прежде чем клиенты смогут их загрузить.

Или, тем, кто следит за моим блогом, следует знать, что у меня была собственная небольшая инфраструктура, построенная на Windows Server 2012 R2, и мой клиент — Windows 8.

Прежде чем мы начнем, пожалуйста, поймите, что вся эта реализация и настройка этого WSUS происходит в Hyper-V, и вся моя небольшая инфраструктура полностью виртуализирована, и, поскольку этот WSUS связан с подключением к Интернету, пожалуйста, напомните также, что вам нужно подключение к Интернету для подключения к виртуальной машине.

Пожалуйста, убедитесь, что ваш сервер домена @ любой сервер, на который вы хотите установить WSUS, должен иметь подключение к Интернету, чтобы вам было легко стимулировать процесс WSUS, поэтому подключите второй сетевой адаптер к серверу WSUS.

Если вы не уверены, обратитесь к этому экрану печати:

сетевой адаптер для WSUS

Итак, как только вы подтвердите, что ваш сервер WSUS подключен к Интернету, давайте приступим к процессу установки WSUS.

1. На своем сервере откройте Диспетчер серверов, на панели инструментов нажмите «Добавить роли и компоненты», затем нажмите «Далее» 3 раза, пока не появится окно «Выбор ролей сервера». В поле «Выбор ролей сервера» выберите службы обновления Windows Server (в всплывающем окне нажмите «Добавить компоненты»)… затем нажмите «Далее»…

1

2 — В поле "Выберите функции" нажмите "Далее"…

2

3. В окне "Службы обновления Windows Server" нажмите "Далее"…

3

4. В поле «Выбор ролевых служб» убедитесь, что выбраны и база данных WID, и службы WSUS, а затем нажмите «Далее…».

4

5. В поле выбора «Расположение содержимого» введите C:\Comsys WSUS, а затем нажмите «Далее…».

5

6. В поле "Роль веб-сервера (IIS)" нажмите "Далее"…

6

7 — В поле "Выберите службы ролей" нажмите "Далее"…

7

8 — В окне "Подтвердить выбор установки" нажмите "Установить..."

8

9 – Когда установка завершится, нажмите Закрыть…

9

10

10 – Откройте консоль служб Windows Server Update Services, в окне "Завершить установку WSUS" нажмите "Выполнить" и дождитесь завершения задачи, затем нажмите "Закрыть"…

11

12

11. В окне мастера настройки служб Windows Server Update Services в разделе «Перед началом работы» нажмите «Далее», чтобы продолжить…

13

12 — В разделе "Присоединиться к программе улучшения обновлений Microsoft" просто нажмите "Далее"…

14

13 — В поле "Выбрать вышестоящий сервер" выберите параметр "Синхронизировать из Центра обновления Майкрософт", а затем нажмите "Далее"…

15

14 — В поле "Укажите прокси-сервер" нажмите "Далее"…

16

15. В поле «Подключиться к вышестоящему серверу» нажмите «Начать подключение». Дождитесь применения Центра обновления Windows и нажмите кнопку Далее…

17

18

16 — В поле "Выбор языков" нажмите "Далее"…

19

17 — В поле "Выбрать продукты" я выбираю Windows 8 и Windows Server 2012 R2 (вы можете использовать любые обновления для существующего приложения) и нажимаю "Далее"…

20

18. В поле «Выбрать классификацию» я выбираю «Критические обновления» (вы можете выбрать классификацию всех обновлений, если хотите, и у вас быстрый интернет), нажмите «Далее»…

21

19 — В окне "Установить расписание синхронизации" я выбираю "Синхронизировать вручную", затем нажимаю "Далее"…

22

20 — В поле "Готово" выберите параметр "Начать первоначальную синхронизацию", а затем нажмите "Готово...".

23

21 — В консоли Windows Server Update Services на панели навигации дважды щелкните DC01 и, пожалуйста, потратьте несколько минут на просмотр того, что у вас было на консолях WSUS, и информации…

** Если вы заметили на моем сервере WSUS, что WSUS синхронизирует информацию об обновлениях, это может занять несколько минут…

24

** Если все пойдет хорошо, в статусе синхронизации вы увидите, что Статус неактивен, а результат последней синхронизации: Успешно…

25

22. Далее давайте добавим группу компьютеров в WSUS. Этот метод гарантирует, что любой компьютер, указанный в группе компьютеров, будет получать обновления с сервера WSUS…

На консоли WSUS нажмите «Параметры», а затем дважды щелкните «Компьютеры…»

26

23. В диалоговом окне «Компьютеры» выберите «Использовать групповую политику или параметры реестра на компьютерах», затем нажмите «ОК…».

** Я выбираю «Использовать групповую политику», потому что хочу, чтобы все мои клиенты получали обновления Windows с помощью GPO…

27

24. Затем нажмите «Все компьютеры», а затем на панели «Действия» нажмите «Добавить группу компьютеров…».

28

25 — В диалоговом окне "Добавить группу компьютеров" в текстовом поле "Имя" введите Comsystem Laptop, а затем нажмите "Добавить...".

29

26. После того, как вы успешно добавите новую группу компьютеров в WSUS, нам нужно создать новый объект групповой политики и настроить его так, чтобы этот объект групповой политики действовал на всех наших клиентов для получения обновлений Windows…

** На сервере домена откройте Управление групповыми политиками, щелкните правой кнопкой мыши Ноутбук Comsystem, а затем выберите Создать объект групповой политики в этом домене и Связать его здесь…

30

27. В диалоговом окне «Новый объект групповой политики» введите WSUS Comsystem Laptop и нажмите «ОК…».

31

28. Затем щелкните правой кнопкой мыши WSUS Comsystem Laptop и выберите Изменить…

32

29. Затем в редакторе управления групповыми политиками в разделе «Конфигурация компьютера» дважды щелкните «Политики», дважды щелкните «Административные шаблоны», дважды щелкните «Компоненты Windows», а затем щелкните «Центр обновления Windows…».

33

30. Затем на панели «Настройка» дважды щелкните «Настроить автоматические обновления», а затем выберите параметр «Включено» в разделе «Параметры» в поле «Настройка автоматического обновления» щелкните и выберите 3 — «Автоматическая загрузка и уведомление об установке», а затем нажмите ОК…

34

35

32. На панели «Настройка» дважды щелкните «Включить таргетинг на стороне клиента», в диалоговом окне «Включить таргетинг на стороне клиента» выберите параметр «Включено», в текстовом поле «Имя целевой группы для этого компьютера» введите Comsystem Laptop, а затем нажмите ОК…

36

33. Затем давайте войдем на наш клиентский ПК в качестве администратора домена и убедимся, что наш клиент получает объект групповой политики, введя gpresult /r в командной строке. В выводе команды подтвердите, что в разделе НАСТРОЙКИ КОМПЬЮТЕРА Ноутбук WSUS Comsystem указан в разделе «Применяемые объекты групповой политики»…

37

34. Затем нам нужно инициализировать Центр обновления Windows, введя Wuauclt.exe /reportnow /detectnow в cmd…

38

35 — Затем нам нужно одобрить и одновременно развернуть обновление на клиентском ПК…

в консоли WSUS в разделе «Обновления» нажмите «Критические обновления», щелкните правой кнопкой мыши любые обновления, которые вы предпочитаете для своего клиентского ПК, а затем нажмите «Утвердить…»

40

36 – В окне "Утвердить обновления" в раскрывающемся списке Ноутбук Comsystem выберите Утверждено для установки...

41

37 – Далее нажмите OK, а затем нажмите Закрыть…

42

43

38. Теперь, чтобы развернуть выбранные обновления, на клиентском ПК введите в командной строке Wuauclt.exe /detectnow…

44

39 — прежде чем подтвердить, что клиент может получить обновление с сервера WSUS, вернитесь на сервер WSUS и на консоли WSUS в статусе загрузки убедитесь, что загрузка необходимых/выбранных обновлений завершена…

45

40 — Затем нажмите "Критические обновления" и на правой панели убедитесь, что для нескольких обновлений указано 100 %…

46

41. Теперь вернитесь на клиентский ПК и откройте Центр обновления Windows из панели управления. Вы должны заметить, что обновление доступно для вашего клиентского ПК, и вы можете продолжить установку…

Служба обновления Windows Server [WSUS] — это роль сервера, которая служит хранилищем обновлений продуктов Microsoft в вашей сети. Вместо того, чтобы каждый компьютер в вашей сети загружал обновления непосредственно из Microsoft, вы можете развернуть сервер WSUS, чтобы обновления загружались один раз и распространялись в вашей среде с сервера WSUS.

В этом посте я буду развертывать WSUS Server 2012 R2 в доменной среде, используя внутреннюю базу данных Windows (WID) и групповую политику, чтобы мои компьютеры подключались к WSUS вместо обновлений Microsoft.

Развертывание роли сервера WSUS:

Мой сервер WSUS имеет 1 виртуальный ЦП, 4 ГБ памяти, диск C:\ на 30 ГБ и диск D:\ на 100 ГБ. Чтобы просмотреть полный список требований к оборудованию и программному обеспечению, щелкните здесь.

Убедитесь, что учетная запись, с которой вы будете устанавливать роль WSUS, имеет как минимум права локального администратора на сервере. Откройте Диспетчер серверов, затем перейдите в раздел «Управление», затем «Добавить роли и компоненты»:

WSUS Install 1 — Add Roles and Features

Нажмите Далее:

Установка WSUS 2 – перед началом работы

Убедитесь, что выбрана установка на основе ролей или функций, затем нажмите "Далее":

Установка WSUS 3 — Тип установки

Выберите свой сервер WSUS и нажмите Далее:

Установка WSUS 4 — выбор сервера» width=

Прокрутите вниз и выберите Службы обновления Windows Server:

Установка WSUS 5 — роли сервера» width=

Появится окно с запросом на добавление дополнительных ролей и функций. Нажмите Добавить функции:

Установка WSUS 5-1 — Добавление компонентов

Вы увидите, что теперь выбрано несколько ролей, включая службы обновления Windows Server. Нажмите «Далее»:

Установка WSUS 5-2 — Выбор роли WSUS

Некоторые функции уже будут выбраны из-за предыдущего шага. Нажмите «Далее»:

Установка WSUS 6 – Характеристики

Нажмите Далее:

Установка WSUS 7 – WSUS

WSUS требуется база данных для хранения конфигурации WSUS и обновления метаданных. База данных WSUS может быть локальной или удаленной на сервере SQL 2008/2012.Для локальной базы данных будет использоваться внутренняя база данных Windows (WID), которая представляет собой ограниченную версию SQL Express, не имеющую графического интерфейса или интерфейса управления. База данных WID представляет собой файл (SUSDB.dbf), хранящийся в папке C:\Windows\wid\data\. Microsoft рекомендует использовать базу данных WID. Если вы хотите использовать SQL Server, отметьте здесь.

Оставьте выбранными службы базы данных WID и WSUS и нажмите "Далее":

Установите флажок, чтобы обновления хранились локально на вашем сервере. Если вы не выберете расположение, одобренное обновление в WSUS будет загружено клиентскими компьютерами из Центра обновления Майкрософт.

Добавьте путь к месту их хранения и нажмите «Далее»:

Установка WSUS 9 – Содержание

Нажмите Далее:

WSUS Install 10 — Роль веб-сервера

Оставить как есть и нажать "Далее":

Установка WSUS 11 — Службы ролей» width=

WSUS не требует перезагрузки для завершения установки, поэтому этот флажок можно не устанавливать. Если все выглядит правильно, нажмите «Установить»:

Установка WSUS 12 – Подтверждение

У меня установка заняла около 10 минут.

Конфигурация после развертывания:

После установки WSUS необходимо выполнить дополнительную настройку. В диспетчере серверов щелкните раскрывающийся список уведомлений, затем Запустите задачи после установки:

Установка WSUS 13 — установка компонентов завершена

Мне потребовалось около 10 минут.

WSUS Install 13-1 — Конфигурация после развертывания

После завершения будет сказано, что конфигурация завершена.

Установка WSUS 13-2 — Настройка завершена

Теперь настройка после развертывания завершена, мы готовы запустить консоль WSUS. По-прежнему в диспетчере серверов перейдите в «Инструменты», затем в «Службы обновления Windows»:

WSUS Config 1 — службы обновления Windows Server

При первом запуске появится мастер настройки WSUS. Нажмите «Далее»:

Конфигурация WSUS 2 — перед началом работы

Установите или снимите флажок, чтобы участвовать в программе улучшения обновлений Microsoft. Нажмите «Далее»:

WSUS Config 3 — Программа улучшения Центра обновления Майкрософт

Если это ваш первый сервер WSUS, выберите Синхронизировать из Центра обновления Майкрософт. Если это второй сервер WSUS (например, в удаленном месте) и вы хотите связаться с другим сервером WSUS, вы должны использовать второй вариант. Нажмите «Далее»:

Конфигурация WSUS 4 — Выберите вышестоящий сервер

Если вы используете прокси-сервер для доступа в Интернет, введите его здесь. Нажмите «Далее»:

Конфигурация WSUS 5 — Укажите прокси-сервер

Нажмите «Начать подключение»:

Конфигурация WSUS 5-1 — Начало подключения

После завершения нажмите Далее:

WSUS Config 5-2 — информация от Microsoft

Выберите язык(и), затем нажмите Далее:

Конфигурация WSUS 6 — выбор языков» width=

Выберите, для каких продуктов вы хотите загрузить обновления. В моей среде я выбрал Windows 10, Office 2016, Server 2012 R2, Server 2016, драйверы сервера и диспетчер сервера. Вы можете добавить/удалить продукты позже, если что-то пропустите. Когда вы закончите, нажмите «Далее»:

WSUS Config 7 — выберите продукты» width=

Выберите, какие типы обновлений вы хотите загрузить. Нажмите «Далее»:

Синхронизация означает, что WSUS свяжется с вышестоящим сервером (будь то Microsoft Updates или другой сервер WSUS) и загрузит метаданные о новых доступных обновлениях. Вы можете оставить этот набор в ручном режиме или изменить его на автоматический. Я решил оставить это вручную, чтобы видеть, какие обновления доступны для каждой ручной синхронизации, которую я выполняю. Нажмите «Далее»:

WSUS Config 9 — Настройка расписания синхронизации

Продолжайте и установите флажок «Начать первоначальную синхронизацию», так как это будет первая синхронизация. Нажмите «Далее»:

Конфигурация WSUS 10 —

Есть несколько ссылок, по которым можно щелкнуть, чтобы узнать больше. Нажмите Готово:

WSUS Config 11 — Что дальше» width=

Добро пожаловать в консоль WSUS! Вы должны увидеть статус синхронизации, который мы выбрали несколько шагов назад.

WSUS Config 12 — Состояние синхронизации» width=

Пока выполняется первая синхронизация, давайте настроим групповую политику.

Настройка параметров WSUS с помощью групповой политики:

Необходимо настроить как минимум две политики, чтобы компьютеры в вашем домене указывали на ваш сервер WSUS, а не на Центр обновлений Майкрософт. Откройте Управление групповыми политиками для своего домена, затем щелкните правой кнопкой мыши подразделение, для которого вы хотите создать эти политики. Теперь нажмите Создать объект групповой политики в этом домене и Связать его здесь…

Групповая политика WSUS 1 — создание объекта групповой политики в этом домене

Введите имя, которым вы хотите назвать эту политику, и нажмите "ОК":

Групповая политика 2 WSUS — новое имя объекта групповой политики

Теперь щелкните правой кнопкой мыши политику и выберите "Изменить":

Групповая политика WSUS 3 — Изменить объект групповой политики

Раскройте раздел Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows и щелкните Центр обновления Windows.

На правой панели найдите параметры под названием «Настроить автоматические обновления», щелкните правой кнопкой мыши и выберите «Изменить»:

WSUS Group Policy 4 — Редактор управления групповыми политиками

Нажмите «Включить», затем в раскрывающемся меню выберите параметр, который вы хотите использовать в своей среде. Я советую сначала установить его на вариант 3 — Автоматическая загрузка и уведомление об установке и изменить его позже, если вы решите.

WSUS Automate 1 — групповая политика

Теперь щелкните правой кнопкой мыши Указать расположение службы обновлений Microsoft в интрасети, а затем Изменить:

Групповая политика WSUS 6 — Изменить службу обновлений интрасети

Нажмите «Включить», затем введите полное доменное имя своего сервера WSUS. Должен быть в следующем формате:

Нажмите «Применить», затем «ОК»:

Групповая политика WSUS 7 — Настройка местоположения службы обновления GP

Закройте редактор управления групповыми политиками, затем щелкните правой кнопкой мыши политику, а затем нажмите Принудительно, чтобы включить ее:

Настройка групп компьютеров WSUS:

Вернувшись к консоли WSUS, давайте посмотрим, как вы можете организовать свои компьютеры. Вы можете создавать группы компьютеров, чтобы организовать, какие компьютеры будут получать утвержденные обновления. Это полезно, если, например, вы хотите, чтобы ваши серверы VMware View получали обновление, которое вы не хотите, чтобы ваши серверы Citrix получали.

WSUS Computer Group 4 - Параметры группы компьютеров

Если вы измените настройки на Использовать групповую политику или параметры реестра на компьютерах, групповая политика поместит их.

Группа компьютеров WSUS 4-1 — Изменить параметры группы компьютеров

Чтобы создать эту политику, откройте групповую политику, затем перейдите к разделу Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows. Существует параметр «Включить нацеливание на стороне клиента», где, если он включен, вы можете ввести имя группы компьютеров, чтобы компьютеры, для которых включена эта политика, присоединялись.

WSUS Computer Group 4-2 — Групповая политика для групп компьютеров

Вы можете воссоздать эту политику для каждой организационной единицы в Active Directory, чтобы они автоматически помещались в определенную группу компьютеров!

Утвердить обновления:

Прежде чем ваши компьютеры увидят какие-либо обновления, вы должны одобрить их установку. Нажмите «Все обновления» и убедитесь, что в фильтре написано «Не утверждено», чтобы увидеть полный список. Вы можете выбрать определенные обновления или нажать CTRL + A, чтобы выбрать их все. Сделайте свой выбор, затем нажмите «Утвердить» на правой панели:

Обновления WSUS 1 — Утвердить обновления

Появится всплывающее окно с вопросом, для каких групп компьютеров вы хотите одобрить обновления. В раскрывающемся списке я выбрал «Утвердить их для всех групп компьютеров». Нажмите "ОК":

Обновления WSUS 2 — Всплывающее окно утверждения обновлений

После того, как он конкурирует, нажмите "Закрыть":

Обновления WSUS 3 – обновления утверждены

Теперь, когда ваши компьютеры будут выполнять свои обновления, они будут получать все утвержденные обновления.

Вывод:

Статус компьютера WSUS

После того как групповая политика вступит в силу, ваши компьютеры должны появиться в разделе «Все компьютеры». Это значительно упростило управление исправлениями безопасности! На моем снимке экрана ниже у меня есть 23 последних обновления, которые нужно применить, а LABSCCM01 имеет неудачное обновление, которое мне нужно изучить. Примечание: скоро должен появиться пост SCCM 🙂

Как настроить WSUS Server в Windows Server 2012 R2 — службы обновления Windows Server

В этом посте мы узнаем, как настроить WSUS Server 2012 R2 в Windows Server 2012 R2. В старом посте мы узнали, как установить WSUS Server 2012 R2.

<р>1. Чтобы настроить сервер WSUS в Windows Server 2012 R2, откройте консоль служб обновления, нажмите «Параметры» для настройки WSUS. В мастере параметров нажмите «Мастер настройки сервера WSUS».

WSUS 192.168.1.23-2016-03-16-15-55-11

<р>2. В консоли «Перед началом работы» мы можем прочитать обо всех предварительных задачах, которые необходимо выполнить, прежде чем продолжить. Нажмите «Далее».

WSUS 192.168.1.23-2016-03-16-15-55-17

<р>3. В консоли «Присоединиться к программе улучшения обновлений Microsoft» выберите «Да, я хочу присоединиться к программе улучшения обновлений Microsoft», если вы хотите, чтобы ваш сервер WSUS отправлял в Microsoft информацию о качестве обновлений. В противном случае не устанавливайте этот флажок и нажмите «Далее», чтобы продолжить.

WSUS 192.168.1.23-2016-03-16-15-55-51

<р>4. В консоли Choose Upstream Server мы можем выбрать вышестоящий сервер, с которого наш сервер WSUS синхронизирует обновления. Чтобы настроить сервер WSUS, выберите «Синхронизировать из Центра обновления Майкрософт» для синхронизации обновлений непосредственно из Microsoft. Если мы выбираем параметр «Синхронизировать с другого сервера служб обновления Windows Server», нам нужно указать имя другого сервера WSUS, с которого синхронизируется наш сервер WSUS.

Для настройки сервера WSUS мы выбрали первый вариант, т. е. «Синхронизировать из Центра обновления Майкрософт». Нажмите Далее, чтобы продолжить. Убедитесь, что вы подключены к Интернету для синхронизации обновлений Microsoft.

WSUS 192.168.1.23-2016-03-16-15-55-59

<р>5. В консоли «Указать прокси-сервер» мы можем настроить параметры прокси-сервера, если серверу WSUS требуется прокси-сервер для доступа к обновлениям из Центра обновления Майкрософт. В этом практическом плане мы не настраиваем прокси-сервер. Нажмите «Далее», чтобы продолжить.

WSUS 192.168.1.23-2016-03-16-15-56-04

<р>6. В консоли «Подключиться к вышестоящему серверу» нажмите «Начать подключение», чтобы установить соединение с вышестоящим сервером для синхронизации информации, такой как типы доступных обновлений, продукты, которые можно обновить, доступные языки.

WSUS 192.168.1.23-2016-03-16-15-56-10

<р>7. Когда наш сервер WSUS успешно установит соединение с вышестоящим сервером, нажмите «Далее», чтобы продолжить.

WSUS 192.168.1.23-2016-03-16-15-56-31

<р>8. В консоли «Выбор языков» выберите параметр «Загружать обновления на всех языках, включая новые языки» или выберите «Загружать обновления только на этих языках». Выберите языки, которые подходят для вашей среды, и нажмите «Далее». Мы выбрали только английский язык.

WSUS 192.168.1.23-2016-03-16-15-56-52

<р>9.В консоли «Выбрать продукты» мы можем указать продукты Microsoft, для которых мы хотим получить обновления. мы выбрали windows 7, windows 8.1 и windows server 2012 r2. Нажмите «Далее».

WSUS 192.168.1.23-2016-03-16-15-57-51

<р>10. В консоли Choose Classifications мы можем указать, какие классификации обновлений мы хотим синхронизировать. мы выбрали критические обновления, обновления определений, драйверы и обновления безопасности. Пожалуйста, выберите его тщательно в соответствии с вашими требованиями. Нажмите «Далее», чтобы продолжить.

<р>11. Чтобы настроить сервер WSUS, в консоли Set Sync Schedule мы настраиваем этот сервер для синхронизации с обновлениями Microsoft, и у нас есть два способа синхронизации этого сервера: первый — вручную, а второй — автоматически. Мы выбираем «Синхронизировать вручную» и нажимаем «Далее». Однако вы можете автоматически выбирать и определять время и частоту.

<р>12. Эта консоль показывает, что первоначальная настройка сервера WSUS завершена, и мы можем запустить консоль администрирования WSUS или начать первоначальную синхронизацию, не выбирая какой-либо параметр, нажмите «Далее».

<р>13. Нажмите «Готово», чтобы сервер WSUS интегрировался в среду.

Для установки исправлений нам необходимо развернуть две групповые политики, относящиеся к WSUS

Второй этап настройки сервера WSUS заключается в изменении групповых политик для развертывания исправлений на всех рабочих станциях.

<р>14. Откройте консоль GPMC, щелкните правой кнопкой мыши GPO (политики WSUS), затем нажмите «Изменить».

DC01 192.168.1.10-2016-03-17-11-35-37

<р>15. В редакторе управления групповыми политиками разверните Конфигурация компьютера, разверните Административные шаблоны, разверните Компоненты Windows, Центр обновления Windows, а затем дважды щелкните Настройка автоматического обновления.

DC01 192.168.1.10-2016-03-17-11-36-29

16. В настройке консоли автоматического обновления нажмите «Включено» и выберите один из следующих вариантов:

  1. Уведомлять о загрузке и уведомлять об установке
  2. Автоматическая загрузка и установка по расписанию
  3. Автоматическая загрузка и уведомление об установке
  4. Разрешить локальному администратору выбирать настройку

Мы выбрали третий вариант Автоматическая загрузка и уведомление об установке, и мы также можем запланировать день и время. Нажмите "ОК".

DC01 192.168.1.10-2016-03-17-11-36-39

<р>17. В редакторе управления групповыми политиками разверните Конфигурация компьютера, разверните Административные шаблоны, разверните Компоненты Windows, Центр обновления Windows, а затем дважды щелкните Указать расположение службы обновлений Microsoft в интрасети.

DC01 192.168.1.10-2016-03-17-11-36-57

DC01 192.168.1.10-2016-03-25-12-17-25

<р>19. Чтобы настроить сервер WSUS, в консоли служб обновлений разверните узел Updates. Щелкните Все обновления. Здесь мы можем увидеть все обновления, которые наш сервер обновлений синхронизирует с Центром обновления Майкрософт. Щелкните правой кнопкой мыши любое обновление, а затем нажмите «Утвердить», чтобы утвердить это обновление для установки на клиентских компьютерах.

WSUS 192.168.1.23-2016-03-25-12-36-38

<р>20. В консоли «Утвердить обновление» щелкните правой кнопкой мыши «Неназначенные компьютеры», а затем выберите «Утверждено для установки». Нажмите «ОК», чтобы подтвердить обновления.

WSUS 192.168.1.23-2016-03-25-12-36-49

21. На консоли Approval Progress мы видим, что утверждение обновлений безопасности завершено без ошибок. Нажмите «Закрыть», чтобы закрыть эту консоль.

WSUS 192.168.1.23-2016-03-25-12-37-43

22. На любом клиентском компьютере с Windows 8.Установлена 1 операционная система, откройте Центр обновления Windows. Нажмите «Проверить наличие обновлений». мы видим, что есть два важных обновления, которые нужно установить. Нажмите на опцию установки обновления, чтобы установить его.

23. Мы видим, что установка обновлений завершена.

Надеемся, вы поняли шаги по настройке WSUS Server 2012 R2 в Windows Server 2012 R2. Пожалуйста, не стесняйтесь оставлять свои комментарии, предложения и вопросы в разделе комментариев.

Читайте также: