настройка сервера wsus windows 2019
Настройка сервера wsus windows 2019
Требования к установке WSUS
Процессор: 1,4 ГГц x64;
Память: WSUS требует дополнительно 2 ГБ ОЗУ, более того, что требуется сервер и все другие службы, или программного обеспечения;
Доступное дисковое пространство: 10 ГБ (40 ГБ или больше, в зависимости от выбранных продуктов, для которых нужно получать обновления);
Сетевой адаптер: 100 Мбит/с или более.
Ввод сервера WSUS в домен
3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.
6. Вводим имя и пароль учетной записи с правами на присоединение к домену.
7. При успешном вводе в домен сервера, появится сообщение «Добро пожаловать в домен. «. Далее необходимо перезагрузить компьютер.
Установка роли сервера WSUS
1. Нажимаем «Пуск«, далее «Диспетчер серверов«.
2. Далее нажимаем «Добавить роли и компоненты«.
3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем «Далее«.
4. Выбираем «Установка ролей или компонентов«, затем «Далее«.
5. Выбираем сервер из пула серверов, нажимаем «Далее«.
6. Ставим чекбокс напротив «Службы Windows Server Update Services«.
7. В открывшемся окне нажимаем «Добавить компоненты«, затем «Далее«.
8. В следующем окне «Далее«, дополнительных компонентов в данном случае не требуется.
9. Читаем на что обратить внимание, затем «Далее«.
.
10. Оставляем настройки по умолчанию, нажимаем «Далее«.
11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:\wsus), нажимаем «Далее«.
13. Читаем сообщение «Роль веб-сервера (IIS)«, нажимаем «Далее«.
14. В следующем окне оставляем настройки по умолчанию, нажимаем «Далее«.
16. После установки «Службы Windows Server Update Services«, нажимаем «Закрыть«.
17. После установки WSUS, нажимаем на желтый треугольник в «Диспетчер серверов» и нажимаем «Запуск послеустановочных задач«. На этом установка WSUS закончена.
2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем «Далее«.
3. Снимаем чекбокс «Yes, I would like to join the Microsoft Update Improvement Program» (чекбокс можно оставить), затем «Далее«.
4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем «Далее«.
5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем «Далее«.
6. Нажимаем «Начать подключение«. При этом будет скачана следующая информация:
После получения необходимой информации, нажимаем «Далее«.
7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем «Далее«.
8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем «Далее«.
9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:
Нажимаем «Далее«.
10 Оставляем чекбокс «Синхронизацию вручную«, после окончания всех настроек и проверки работы WSUS, устанавливаем «Автоматическая синхронизация» и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем «Далее«.
.
11. Устанавливаем чекбокс «Запустить первоначальную синхронизацию«, нажимаем «Далее«.
12. После того, как первоначальная синхронизация будет закончена, нажимаем «Готово«. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.
Установка дополнительных компонентов, необходимых для работы отчетов WSUS
13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:
Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты.
14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.
15. Следующим шагом открываем в оснастке Windows Server Update Services «Параметры«, устанавливаем чекбокс «Использовать на компьютерах групповую политику или параметры реестра«. Нажимаем «ОК«.
17. В новом окне задаём имя для новой группы, нажимаем «Добавить«.
18. В данном случае добавляем группы компьютеров:
Создание и настройка групповых политик для WSUS
3. Задаём имя нового объекта групповой политики, нажимаем «ОК«. В данном случае создадим две групповые политики:
Настройка автоматического обновления:
Включено
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Servers
Изменяем:
Центр обновления Windows
автоматически
5. Для групповой политики WSUS-computers:
Настройка автоматического обновления:
Включено
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях
Включено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Сomputers
Изменяем:
Центр обновления Windows
автоматически
1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне «Результирующая политика» применение политики.
Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь:
Установка и настройка сервера обновлений WSUS
Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.
В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.
Перед установкой
Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:
Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.
Установка роли
Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:
На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):
На следующей странице оставляем переключатель в положении Установка ролей или компонентов:
Далее выбираем сервер из списка, на который будем ставить WSUS:
Среди компонентов оставляем все по умолчанию и нажимаем Далее:
Мастер запустит предварительную настройку служб обновления — нажимаем Далее:
Среди ролей службы можно оставить галочки, выставленные по умолчанию:
Прописываем путь, где WSUS будет хранить файлы обновлений:
* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.
Запустится настройка роли IIS — просто нажимаем Далее:
Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:
В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:
Процесс установки занимаем несколько минут. После завершения можно закрыть окно:
Установка роли WSUS завершена.
Первый запуск и настройка WSUS
После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.
При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:
. и ждем завершения настройки:
Откроется стартовое окно мастера настройки WSUS — идем далее:
На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):
Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:
* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.
Если в нашей сети используется прокси-сервер, задаем настройки:
* в нашем примере прокси-сервер не используется.
Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:
. и дожидаемся окончания процесса:
Выбираем языки программных продуктов, для которых будут скачиваться обновления:
Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:
* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.
Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:
* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.
Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:
Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:
После откроется консоль управления WSUS.
Завершение настройки сервера обновлений
Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.
Установка Microsoft Report Viewer
Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:
Продолжаем установку и завершаем ее.
Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/en-us/download/details.aspx?id=3841 и скачиваем установочный пакет:
После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.
Донастройка WSUS
Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.
1. Группы компьютеров
При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.
Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:
2. Автоматические утверждения
После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.
Кликаем по Создать правило:
У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:
3. Добавление компьютеров в группы
Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.
Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:
Настройка клиентов
И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.
Групповая политика (GPO)
Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:
| Название политики | Значение | Описание |
|---|---|---|
| Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений | Включить | Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений. |
| Настройка автоматического обновления | Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок. | Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки. |
| Указать размещение службы обновлений Microsoft в интрасети | Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 * | Настройка говорит клиентам, на каком сервере искать обновления. |
| Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях | Включить | Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям. |
| Не выполнять автоматическую перезагрузку, если в системе работают пользователи | Включить | Позволит избежать ненужных перезагрузок компьютера во время работы пользователя. |
| Повторный запрос для перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 1440 | Если перезагрузка была отложена, необходимо повторить запрос. |
| Задержка перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 30 | Дает время перед перезагрузкой компьютера после установки обновлений. |
| Разрешить клиенту присоединяться к целевой группе | Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа | Позволяет добавить наши компьютеры в соответствующую группу WSUS. |
* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.
Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.
Настройка клиентов через реестр Windows
Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.
Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:
Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:
После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:
Автоматическая чистка WSUS
Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.
Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой: