Учебное пособие: Установка и настройка WSUS на Windows Server 2022/2019

at0mSec

Вы можете использовать Службы обновления Windows Server Update Services (WSUS) сервер обновлений для развертывания обновлений продуктов Microsoft (Windows, Office, SQL Server, Exchange и т. д.) на компьютерах и серверах в локальной сети компании. В этой статье мы расскажем вам о том, как установить и настроить сервер обновлений WSUS на Windows Server 2022/2019/2016 или 2012 R2.

Содержание:

Как работает WSUS?

Сервер WSUS реализован в виде отдельной роли Windows Server. В общих чертах службу WSUS можно описать следующим образом:

  • После установки сервер WSUS по расписанию синхронизируется с серверами Microsoft Update в Интернете и загружает новые обновления для выбранных продуктов;
  • Администратор WSUS выбирает обновления для установки на рабочих станциях и серверах компании и утверждает их установку;
  • Клиенты WSUS (компьютеры) в локальной сети загружают и устанавливают обновления с вашего сервера обновлений в соответствии с настроенными политиками обновлений.

Как установить роль WSUS на Windows Server 2016/2016/2012R2?

Начиная с Windows Server 2008, WSUS является отдельной ролью, которую можно установить через консоль управления сервером или с помощью PowerShell.

Если вы развертываете новый сервер WSUS, мы рекомендуем установить его на последнюю версию Windows Server 2022 (возможна установка на Windows Server Core).

Чтобы установить WSUS, откройте консоль Server Manager и отметьте пункт Службы обновления Windows Server роль (система автоматически выберет и предложит установить необходимые компоненты веб-сервера IIS).

установка роли wsus на windows 2012 serverустановить роль wsus на windows 2012 server

В следующем окне выберите, какие службы роли WSUS вы хотите установить. Обязательно отметьте Службы WSUS вариант. Следующие две опции зависят от того, какую базу данных SQL вы планируете использовать для WSUS.

Параметры сервера, метаданные обновлений и информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS можно использовать:

  • Внутренняя база данных Windows (WID) — встроенная база данных Windows (Подключение WID вариант). Это рекомендуемый и работоспособный вариант даже для крупных инфраструктур;
  • Отдельная база данных Microsoft SQL Server развертывается на локальном или удаленном сервере. Можно использовать MS SQL Enterprise, Standard (требуется лицензирование) или бесплатную версию Express. Это Подключение SQL Server вариант.

Внутренняя база данных Windows) рекомендуется, если:

  • У вас нет неиспользованных лицензий MS SQL Server;
  • Вы не планируете использовать балансировку нагрузки WSUS (NLB WSUS)
  • При развертывании нижестоящего (дочернего) сервера WSUS (например, в филиалах). В этом случае рекомендуется использовать встроенную базу данных WSUS на вторичных серверах.
В бесплатной версии SQL Server Express Edition максимальный размер базы данных ограничен 10 ГБ. Внутренняя база данных Windows ограничена 524 ГБ. Например, в моей инфраструктуре размер базы данных WSUS для 3000 клиентов составлял около 7 ГБ.

Если вы устанавливаете роль WSUS и базу данных MS SQL на разных серверах, существуют некоторые ограничения:

  • Сервер SQL с базой данных WSUS не может быть контроллером домена Active Directory;
  • Сервер WSUS не может быть развернут на хосте с ролью Remote Desktop Services.

База данных WID по умолчанию называется SUSDB.mdf и хранится в папке %windir%\wid\data. Эта база данных поддерживает только аутентификацию Windows (не SQL). Внутренний (WID) экземпляр базы данных для WSUS называется имя_сервера\Microsoft##WID.

Базу данных WSUS WID можно администрировать через SQL Server Management Studio (SSMS), если указать следующую строку подключения: \\.\pipe\MICROSOFT##WID\tsql\query.

Если у вас недостаточно дискового пространства для хранения файлов обновлений, отключите этот параметр. В этом случае клиенты WSUS будут получать утвержденные файлы обновлений из Интернета (приемлемый вариант для небольших сетей).

службы ролей wsus в диспетчере windows server managerслужбы ролей wsus в windows server manager

Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Хранить обновления в следующих местах и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется отдельный физический или логический том) или сетевое расположение (путь UNC). Обновления загружаются в указанный каталог только после их утверждения администратором WSUS.

Размер базы данных WSUS сильно зависит от количества продуктов Microsoft и версий Windows, которые вы планируете обновлять. В крупной организации размер файлов обновлений на сервере WSUS может достигать сотен ГБ.

Если у вас недостаточно дискового пространства для хранения файлов обновлений, отключите этот параметр. В этом случае клиенты WSUS будут получать утвержденные файлы обновлений из Интернета (приемлемый вариант для небольших сетей).

папка для хранения обновлений windowsпапка для магазина обновлений windows

Также можно установить сервер WSUS с внутренней базой данных (WID) с помощью следующей команды PowerShell:

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI -IncludeManagementTools

Начальная конфигурация WSUS на Windows Server

После завершения установки роли WSUS необходимо завершить ее первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.

задачи после установки wsusзадачи после установки wsus

Для управления WSUS из командной строки можно использовать консольный инструмент WsusUtil.exe. Например, чтобы изменить путь к каталогу файлов обновлений WSUS, выполните команду:

CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=D:\WSUS

Или, например, можно переключить WSUS на внешнюю базу данных SQL Server:

wsusutil.exe postinstall SQL_INSTANCE_NAME="MUN-SQL1\WSUSDB" CONTENT_DIR=D:\WSUS_Content

Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.

Укажите, будет ли сервер WSUS загружать обновления с сайта Microsoft Update напрямую (Синхронизировать с Microsoft Update) или если он должен получать их с вышестоящего сервера WSUS (Синхронизация с другого сервера служб обновления Windows). Нисходящие серверы WSUS обычно устанавливаются на удаленных сайтах с большим количеством клиентов (300+), чтобы снизить нагрузку на WAN-канал.

В Windows 10 и 11 можно использовать оптимизацию доставки для снижения пропускной способности трафика обновлений на каналах связи.

восходящий сервер wsusвосходящий сервер wsus

Если вы выходите в Интернет через прокси-сервер, вам необходимо указать адрес и порт прокси-сервера, а также учетные данные для аутентификации.

настройки прокси-сервера для восходящего соединениянастройки прокси-сервера для соединения с восходящим потоком

Далее проверьте подключение к серверу обновлений (или Windows Update). Щелкните Начать подключение.

Запуск подключения к восходящему wsus-серверуЗапуск подключения к восходящему wsus-серверу

Затем нужно выбрать языки продуктов, для которых WSUS будет загружать обновления. Мы выбираем Английский (список языков можно дополнительно изменить в консоли WSUS).

выбор языков wsusвыбрать языки wsus

Затем укажите список продуктов, для которых WSUS должен загружать обновления. Выберите только те продукты Microsoft, которые используются в вашей среде. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти параметры. Это позволит значительно сэкономить место на диске сервера WSUS.

Обязательно включите следующие общие разделы в классификацию WSUS:

  • Средства разработчика, режимы выполнения и перераспределяемые компоненты — используется для обновления библиотек Visual C++ Runtime;
  • Обновления словаря Windows в категории Windows;
  • Диспетчер сервера Windows — Динамический установщик служб обновления Windows Server Update Services (WSUS).
При необходимости можно вручную импортировать любые обновления из каталога обновлений Microsoft на сервер WSUS.

Укажите продукты, которые необходимо обновитьУкажите продукты, которые вы хотите обновить

На странице Страница классификации, необходимо указать типы обновлений, которые будут развертываться через WSUS. Рекомендуется выбрать: Критические обновления, Обновления определений, Пакеты безопасности, Пакеты обновлений, Свертки обновлений и Обновления.

классификации обновлений wsusобновленные классификации wsus

Обновления сборок Windows 10 (21H2, 20H2, 1909 и т. д.) в консоли WSUS включены в список Обновления класс.

Настройте расписание синхронизации обновлений. Рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами Microsoft Update. Синхронизацию WSUS следует выполнять ночью, чтобы не влиять на работу интернет-канала в рабочее время.

расписание синхронизации wsusрасписание синхронизации wsus

Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять до нескольких дней, в зависимости от количества продуктов, которые вы выбрали ранее, и вашего интернет-провайдера.

После завершения работы мастера запустится консоль WSUS.

Консоль службы обновленийКонсоль службы обновлений

В дереве консоли WSUS есть несколько разделов:

  • Обновления — доступные обновления на сервере WSUS (здесь вы можете управлять одобрениями обновлений и назначать их для установки);
  • Компьютеры — здесь можно управлять группами клиентов WSUS (компьютерами, серверами, тестовыми и производственными группами и т. д.);
  • Нисходящие серверы — позволяет настроить получение от Windows Update или от вышестоящего сервера WSUS;
  • Синхронизации — обновление расписания синхронизации;
  • Отчеты -различные отчеты WSUS;
  • Опции -Параметры конфигурацииWSUS.
Дальнейшие шаги по настройке WSUS (утверждение обновлений WSUS, создание и настройка групп обновлений для компьютеров и серверов) описаны в отдельных постах:

  • Часть 2. Создание GPO для настройки клиентов на использование WSUS
  • Часть 3. Как утвердить и развернуть обновления WSUS?

Теперь клиенты могут получать обновления, подключаясь к серверу WSUS по порту 8530 (в Windows Server 2003 и 2008 по умолчанию используется порт 80). Убедитесь, что этот порт открыт на WSUShost:

Test-NetConnection -ComputerName yourwsushost1 -Port 8530

Вы можете использовать безопасное SSL-соединение на порту 8531. Для этого необходимо привязать сертификат к сайту администрирования WSUS в IIS.

Если порт закрыт, создайте разрешающее правило в брандмауэре Windows Defender.

Как установить консоль управления WSUS на Windows 10 и 11?

Вы используете консоль служб обновления Windows Server (wsus.msc) для управления WSUS. Управлять узлами WSUS можно как с помощью локальной консоли, так и по сети с удаленного компьютера.

Консоль администрирования WSUS для Windows 10 или 11 устанавливается из инструментария удаленного администрирования сервера (RSAT). Чтобы установить Rsat.WSUS.Tool компонента, выполните следующую команду PowerShell:

Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0

Если вы хотите установить консоль WSUS на Windows Server, используйте команду:

Install-WindowsFeature -Name UpdateServices-Ui

консоль управления wsusконсоль управления wsus

При установке WSUS на Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления пользователям доступа к консоли управления WSUS.

  • Администраторы WSUS
  • Отчеты WSUS

Чтобы просматривать отчеты об обновлениях и клиентах WSUS, необходимо установить:

  • Microsoft System CLR Types for SQL Server 2012 (SQLSysClrTypes.msi);
  • Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Чтобы просматривать различные отчеты об обновлениях в консоли WSUS, необходимо установить дополнительное приложение Microsoft Report Viewer 2008 SP1 Redistributable (или выше) компоненты на вашем сервере.

Если эти компоненты не установлены, то при генерации любого отчета WSUS будет возникать ошибка:

The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.

установка программы просмотра отчетов ms wsusустановить ms wsus report viewer

Оптимизация производительности WSUS

В этом разделе описано несколько советов по оптимизации производительности сервера обновлений WSUS в реальной среде.

  • Для правильной работы WSUS узел обновления должен иметь не менее 4 ГБ оперативной памяти и 2 процессора свободных;
  • При большом количестве клиентов WSUS (более 1500) может наблюдаться значительное снижение производительности пула IIS WsusPoll, который распределяет обновления среди клиентов. Ошибка 0x80244022 может появиться на клиентах, или при запуске консоли WSUS она может завершиться с ошибкой Ошибка: Неожиданная ошибка + Идентификатор события 7053 в окне просмотра событий (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists). непредвиденная ошибка консоли wsusнеожиданная ошибка консоли wsusЧтобы решить эту проблему, необходимо добавить больше оперативной памяти на хост WSUS и оптимизировать настройки пула IIS, как рекомендуется в статье. Используйте эти команды PowerShell:
    Import-Module WebAdministration
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel"
  • Включите автоматическое утверждение обновлений антивирусных сигнатур/определений Microsoft. В противном случае WSUS может значительно замедлиться и потреблять всю доступную оперативную память.

Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном антивирусе Microsoft Defender Antivirus в Windows Server рекомендуется исключить следующие папки из области действия защиты в реальном времени:

  • \WSUS\WSUSContent;
  • %windir%\wid\data;
  • \SoftwareDistribution\Download.

Оставайтесь с нами!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *