- Remove From My Forums
-
Вопрос
-
Здравствуйте.
Не подскажет ли кто-нибудь как:
1) найти определенный файл обновления имеющийся в базе wsus при известном его номере update’a (типа KBxxxx), а так же безномерные (например обновления корневых сертификатов проходят без номера)
Иными словами на клиенте вижу список обновлений которые загружены и готовы к установке и по этим данным найти файлы обновлений на сервере WSUS либо по данным о этом пользователе на смом WSUS, где указано что файлы закачены, но еще не установлены на клиенте (а то на самом wsus только ссылка на бюллетени на странице microsoft)
С целью дальнейшего интегрирования этих обновлений в дистрибутив!
Не все фиксы, исправления и обновления для продуктов Microsoft доступны для установки в консоли Windows Server Update Services WSUS. Например, у вас в настройках может быть отключена синхронизация обновлений для определенного продукта, версии Windows или класса обновлений. Также в консоли WSUS отсутствуют обновления, которые предназначены для решения конкретной проблемы и не подразумевают массовой установки всем пользователям. Однако, если вы можете вручную добавить (импортировать) во WSUS или SCCM (Configuration Manager) любое обновление, доступное в каталоге обновлений Microsoft (Microsoft Update Catalog).
К примеру, мы хотим добавить в список обновлений WSUS отсутствующее в нем обновление KB3125574 (convenience roll-up update, позволяющий исправить проблему высокой загрузки RAM службой wuauserv и долгого поиска обновлений в Windows).
Содержание:
- Импорт обновления во WSUS с помощью Internet Explorer
- Ошибки импорта обновлений и драйверов во WSUS
- Добавление обновление во WSUS с помощью PowerShell
Импорт обновления во WSUS с помощью Internet Explorer
- Откройте консоль WSUS;
- В дереве консоли щелкните ПКМ по разделу Updates и выберите пункт Import Updates;
- После этого запустится Internet Explorer, который автоматически перейдет на страницу Microsoft Update Catalog;
При первом посещении сайта каталога обновлений Microsoft в IE нужно будет установить специальное ActiveX расширение. Желательно также добавить сайт Microsoft Update Catalog в доверенные. Можно зарегистрировать данный ActiveX компонент командой:
regsvr32 c:WindowsSysWOW64MicrosoftUpdateCatalogWebControl.dll
- С помощью поиска найдите нужные вам обновления (KB) и добавьте их в корзину кнопкой Add (желательно добавлять во WSUS не более 20-30 обновлений за раз);
- Затем откройте корзину, нажав на ссылку View basket;
- Установите галку Import directly into Windows Server Update Services (если данная опция недоступна, проверьте что у вас имеются права администратора на сервере WSUS) и нажмите на кнопку Import;
- Дождитесь окончания загрузки обновлений (если загрузка прервется, повторите ее);
- Затем найдите добавленные вами обновления в консоли WSUS (в разделе All Updates). Одобрите установку обновлений на нужные группы компьютеров (как правило проще всего привязать компьютеры к группам WSUS через GPO).
Таким образом на WSUS сервер можно импортировать любые обновления из каталога Microsoft, в том числе драйвера, Service Pack, Feature Packs и т.д.
Ошибки импорта обновлений и драйверов во WSUS
В WSUS запущенном на Windows Server 2019/2016 при импорте обновлений вы можете столкнуться с ошибкой:
"This update cannot be imported into Windows Server Update Services. Cause: it is not compatible with your version of WSUS"
При появлении такой ошибки вам нужно вручную изменить URL адрес, который генерируется после нажатия на кнопку Import Updates. Замените в URL адресе
http://catalog.update.microsoft.com/… &Protocol=1.20
на
Protocol=1.80
.
Должна получиться примерно такая ссылка:
http://catalog.update.microsoft.com/v7/site/Home.aspx?SKU=WSUS&Version=10.0.14393.2248&ServerName=<servername>&PortNumber=8530&Ssl=False&Protocol=1.80
Если при импорте обновлений во WSUS появляется ошибка Failed (error number: 80131509), включите поддержку усиленного шифрования TLS 1.2 для версии .Net Framework 4 на сервере WSUS. Для этого нужно в реестре задать параметру SchUseStrongCrypto значение 1.
reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Добавление обновление во WSUS с помощью PowerShell
Вы можете добавить обновления на сервер WSUS с помощью PowerShell. Для этого нужно скачать файл обновления из каталога обновлений Microsoft и получить его GUID.
Найдите нужную вам KB в консоли WSUS и щёлкните по его названию. Откроется веб страница с описанием обновления. Скопируйте значение updateid, скачайте MSU файл обновления на локальный диск.
Подключитесь к серверу WSUS из консоли PowerShell:
$WsusSrv = Get-WsusServer
(если вы запустили консоль PowerShell непосредственно на сервере WSUS)
$WsusSrv = Get-WsusServer -Name msk-wsus -PortNumber 8531 –UseSsl
(если вы подключаетесь к серверу WSUS удаленно)
Теперь можно добавить скачанное обновление на WSUS. Используется следующая команда импорта:
$WsusSrv.ImportUpdateFromCatalogSite('UpdateGUID', 'Update.msu')
Например:
$WsusSrv.ImportUpdateFromCatalogSite(‘a5e40bf9-f1dc-4e6d-93e7-b62c6bf1ce3e’, c:psupdateskb5005260.msu)
Можно проверить, что обновление импортировано успешно:
Просмотреть информацию про обновление можно так:
$WsusSrv.SearchUpdates(‘kb5005260’) | fl *
При импорте обновления через PowerShell может появится ошибка:
Exception calling “ImportUpdateFromCatalogSite” with “2” argument(s): “The underlying connection was closed: An unexpected error occurred on a send.” + CategoryInfo : NotSpecified: (:) [], MethodInvocationException + FullyQualifiedErrorId : WebException
Здесь также причина в том, что PowerShell пытается установить подключение к сайту через TLS 1.0, которое блокируется сервером WSUS. Для решения проблемы нужно добавить параметр SchUseStrongCrypto на сервере WSUS (и перезагрузить его):
reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
После этого импорт обновления на сервер WSUS из PowerShell будет работать корректно.
Для ручного импорта (добавления) обновлений из Microsoft Update Catalog в WSUS необходимо выполнить следующие шаги:
- Откройте браузер и перейдите на сайт Microsoft Update Catalog: https://www.catalog.update.microsoft.com/Home.aspx
- Введите ключевые слова в поле поиска и нажмите “Поиск”.
- Выберите обновления, которые вы хотите добавить в WSUS, и нажмите кнопку “Добавить в корзину”.
- Перейдите в корзину, выберите нужные обновления и нажмите “Загрузить”.
- Выберите желаемый язык и архитектуру (32-битная или 64-битная) и нажмите “Загрузить”.
- Сохраните загруженный файл на компьютере.
- Откройте консоль управления WSUS и выберите пункт “Обновления”.
- Нажмите правой кнопкой мыши на нужной категории обновлений и выберите “Импорт обновлений”.
- На экране “Импорт обновлений” выберите путь к загруженному файлу и нажмите “Открыть”.
- WSUS начнет импортировать обновления. После завершения импорта обновления появятся в списке доступных обновлений.
Обратите внимание, что WSUS не поддерживает импорт обновлений, которые уже были установлены на компьютере. Если обновление уже было установлено на компьютерах в вашей сети, оно не будет отображаться в списке доступных для установки обновлений в WSUS.
Не все исправления, исправления и обновления для продуктов Microsoft доступны для установки в консоли WSUS служб Windows Server Update Services. Например, в настройках может быть отключена синхронизация обновлений для определенного продукта, версии Windows или класса обновления. Кроме того, в консоли WSUS нет обновлений, направленных на решение конкретной проблемы и не подразумевающих массовую установку для всех пользователей. Однако, если вы можете вручную добавить (импортировать) любые обновления, доступные в каталоге Центра обновления Майкрософт, в WSUS или SCCM (Configuration Manager).
Например, мы хотим добавить KB3125574 (накопительное удобное обновление, которое решает проблему высокой загрузки оперативной памяти службой wuauserv и долгого поиска обновлений в Windows) в список обновлений WSUS).
Импорт обновления во WSUS с помощью Internet Explorer
- Откройте консоль WSUS;
- В дереве консоли щелкните правой кнопкой мыши раздел «Обновления» и выберите «Импортировать обновления;
- Это запустит Internet Explorer, который автоматически перейдет на страницу каталога Центра обновления Microsoft; При первом посещении сайта каталога обновлений Microsoft в IE вам потребуется установить специальное расширение ActiveX. Также рекомендуется добавить сайт каталога Центра обновления Майкрософт в список доверенных. Вы можете зарегистрировать этот компонент ActiveX с помощью команды:
regsvr32 c:WindowsSysWOW64MicrosoftUpdateCatalogWebControl.dll
- Используя поиск, найдите нужные вам обновления (КБ) и добавьте их в корзину с помощью кнопки Добавить (рекомендуется добавлять не более 20-30 обновлений в WSUS за раз);
- Затем откройте корзину, щелкнув ссылку «Просмотр корзины;
- Установите флажок Импортировать непосредственно в Windows Server Update Services (если этот параметр недоступен, убедитесь, что у вас есть права администратора на сервере WSUS) и нажмите кнопку Импорт;
- Дождитесь окончания загрузки обновления (если загрузка прервалась, повторите);
- Затем найдите обновления, которые вы добавили в консоли WSUS (в разделе «Все обновления»). Утвердите установку обновлений на требуемых группах компьютеров (обычно самый простой способ связать компьютеры с группами WSUS – через объект групповой политики).
Таким образом, любые обновления из каталога Microsoft могут быть импортированы на сервер WSUS, включая драйверы, пакеты обновления, пакеты функций и т.д.
В WSUS, запущенном на Windows Server 2019/2016, при импорте обновлений может возникнуть ошибка:
«Это обновление не может быть импортировано в службы Windows Server Update Services. Причина: оно несовместимо с вашей версией WSUS"
Если вы получили такую ошибку, вам необходимо вручную изменить URL-адрес, сгенерированный после нажатия кнопки «Импортировать обновления». Замените
http://catalog.update.microsoft.com/… &Protocol=1.20
на
Protocol=1.80
в URL
http://catalog.update.microsoft.com/v7/site/Home.aspx?SKU=WSUS&Version=10.0.14393.2248&ServerName=<servername>&PortNumber=8530&Ssl=False&Protocol=1.80
.
Вы должны получить что-то вроде этой ссылки:
reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Если вы получаете сообщение об ошибке (номер ошибки: 80131509) при импорте обновлений в WSUS, включите поддержку сильного шифрования TLS 1.2 для .Net Framework 4 на сервере WSUS. Для этого задайте для параметра SchUseStrongCrypto значение 1 в реестре.
$WsusSrv = Get-WsusServer
Проблема описана в статье об удалении Adobe Flash Player в Windows с помощью WSUS.
Добавление обновление во WSUS с помощью PowerShell
Вы можете добавлять обновления на сервер WSUS с помощью PowerShell. Для этого вам необходимо скачать файл обновления из каталога обновлений Microsoft и получить его GUID.
Найдите нужную вам КБ в консоли WSUS и щелкните ее имя. Откроется веб-страница с описанием обновления. Скопируйте значение updateid, загрузите файл обновления MSU на локальный диск.
Подключитесь к серверу WSUS из консоли PowerShell:
$WsusSrv = Get-WsusServer -Name msk-wsus -PortNumber 8531 –UseSsl
(если вы запускали консоль PowerShell непосредственно на сервере WSUS)
$WsusSrv.ImportUpdateFromCatalogSite('UpdateGUID', 'Update.msu')
(при удаленном подключении к серверу WSUS)
Теперь вы можете добавить загруженное обновление в WSUS. Используется следующая команда импорта:
$WsusSrv.ImportUpdateFromCatalogSite(‘a5e40bf9-f1dc-4e6d-93e7-b62c6bf1ce3e’, c:psupdateskb5005260.msu)
Например:
$WsusSrv.SearchUpdates(‘kb5005260’) | fl *
Вы можете проверить, что обновление было успешно импортировано:
вы можете просмотреть информацию об обновлении следующим образом:
reg add HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
При импорте обновления через PowerShell может появиться ошибка:
Исключение называется «ImportUpdateFromCatalogSite» с аргументами «2»: «Базовое соединение было закрыто: при отправке произошла непредвиденная ошибка». + CategoryInfo: NotSpecified: (:) , MethodInvocationException + FullyQualifiedErrorId: WebException
Это также связано с тем, что PowerShell пытается установить соединение с сайтом через TLS 1.0, который блокируется сервером WSUS. Чтобы исправить это, добавьте параметр SchUseStrongCrypto на сервере WSUS (и перезапустите его):
[*]
После этого импорт обновления на сервер WSUS из PowerShell будет работать нормально.
Источник изображения: winitpro.ru
Данный скрипт, написанный на Visual Basic Script, позволяет извлекать необходимые номера KB из контента WSUS-сервера. Запускать его следует только на самом сервере WSUS. Для работы понадобятся привилегии локального администратора и администратора сервиса WSUS.
Текст скрипта приведен ниже:
'Export KB Files from WSUS
dim obj, obj_from, obj_to, oExec, WshShell, oFSO, objTextFile, obj_srv, obj_db
title = "Export KB Files from WSUS"
Set WshShell = CreateObject("WScript.Shell")
Set obj = CreateObject("Shell.Application")
Set oFSO = CreateObject("Scripting.FileSystemObject")
obj_from = WshShell.RegRead("HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdate ServicesServerSetupContentDir")
obj_from = obj_from&"WsusContent"
obj_srv = WshShell.RegRead("HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdate ServicesServerSetupSqlServerName")
obj_db = WshShell.RegRead("HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdate ServicesServerSetupSqlDatabaseName")
set obj_to = obj.browseforfolder(0,"Укажите путь к папке, в которую будут помещены "&Chr(13)&"извлекаемые обновления.",&H0001,&H0000)
if obj_to is Nothing then
wscript.quit(1)
end if
path_to = obj_to.self.path
request = "osql -o export.lst -h-1 -w 300 -E -d "
request=request&obj_db
request=request&" -S "
request=request&obj_srv
request=request&" /Q "&Chr(34)&"select FileDigest,FileName from tbFile where"
KB = InputBox("Введите номер нужного обновления, например KBxxxxxx",title)
if KB = "" then
wscript.quit(1)
else
request=request&" FileName like '%%"&KB&"%%'"
end if
request=request&"and (FileName like '%%ENU%%' or FileName like '%%RUS%%') and FileName like '%%.exe%%' and FileName not like '%%express%%' and FileName not like '%%IE%%' order by Modified"&Chr(34)
If oFSO.FileExists(".export.lst") Then
oFSO.DeleteFile(".export.lst")
end if
Set oExec = WshShell.Exec(request)
Do While oExec.Status = 0
WScript.Sleep 100
Loop
IF oExec.ExitCode = 1 then
MsgBox "Не удалось подключиться серверу WSUS..:("
oFSO.DeleteFile(".export.lst")
wscript.quit(1)
end if
set objTextFile = oFSO.OpenTextFile(".export.lst",1)
Do Until objTextFile.AtEndofStream
strNextLine=objTextFile.ReadLine
strNextLine=trim(strNextLine)
IF InStr (strNextLine,".exe") then
newArray=Split(strNextLine)
WSUSFile = right(newArray(0),40)&".exe"
WSUSFolder = right(newArray(0),2)
If oFSO.FileExists(obj_from&""&WSUSFolder&""&WSUSFile) Then
oFSO.CopyFile obj_from&""&WSUSFolder&""&WSUSFile, path_to&""&newArray(1)
end if
end if
Loop
objTextFile.Close
oFSO.DeleteFile(".export.lst")
MsgBox "Операция выполнена успешно! :)"
Set obj = Nothing
Set obj_from = Nothing
Set obj_to = Nothing
Set oExec = Nothing
Set WshShell = Nothing
Set oFSO = Nothing
Set objTextFile = Nothing
Поместите скрипт в текстовый файл с расширением «.vbs«. После запуска понадобится указать путь для извлекаемых обновлений и номер KB, который нам нужен. Скрипт произведет поиск по базе WSUS-сервера и скопирует необходимые файлы из папок контента.
Содержание
- Как посмотреть установленные обновления windows server 2016
- Как заставить Windows Server 2016 проверять наличие обновлений
- 2 ответов
- Установка и настройка сервера обновлений WSUS
- Перед установкой
- Установка роли
- Первый запуск и настройка WSUS
- Завершение настройки сервера обновлений
- Установка Microsoft Report Viewer
- Донастройка WSUS
- 1. Группы компьютеров
- 2. Автоматические утверждения
- 3. Добавление компьютеров в группы
- Настройка клиентов
- Групповая политика (GPO)
- Настройка клиентов через реестр Windows
- Автоматическая чистка WSUS
Как посмотреть установленные обновления windows server 2016
Как узнать какие обновления операционной системы Windows установлены на Ваш компьютер или сервер? Можно открыть Панель управления затем Установка/удаление программ, либо элемент Update History в Windows 7/2008 и просмотреть список установленных обновлений, однако с помощью графического интерфейса нельзя ни выгрузить этот список, ни осуществить поиск по нему.
В этом случае будет полезна командная строка. С помощью команды wmic qfe list можно вывести подробный список всех обновлений, которые установлены на данной системе Windows.
Для открытия командной строки нажимаем комбинацию клавиш R , в появившееся окно вписываем cmd и уже в появившейся командной строке пишем команду
wmic qfe list
жмем клавишу Enter , должно получится так:
В результатах выполнения этой команды можно видеть, что установлено, каким пользователем и когда, кроме того, выводится ссылка на статью в базе знания Microsoft (KB). Для того, чтобы получить список установленных обновлений в текстовом виде, можно просто перенаправить вывод этой команды в текстовый файл, а затем открыть его в любимом текстовом редакторе:
wmic qfe list > updatelist.txt && updatelist.txt
Текстовый файл с именем updatelist.txt создастся в каталоге C:WindowsSystem32.
Если нужно узнать установлено ли конкретное обновление Windows на данной системе (например, KB2536275), можно воспользоваться командой find, перенаправив вывод в нее:
wmic qfe list | find » KB2536275″
Из указанного выше примера видно, что обновление KB2536275 установлено.
Еще один способ просмотра установленных обновлений в Windows – использование утилиты “systeminfo”. Данная команда в отличии от предыдущей выведет лишь список номеров KB (в дополнении к системной информации). В данном случае также можно перенаправить вывод этой команды в текстовый файл:
systeminfo > sysinfo.txt && sysinfo.txt
Однако будьте внимательными, все эти команды отображают лишь установленные обновления и hotfix * для самой ОС Windows, информации об обновлениях любых других продуктов Microsoft (таких как, UAG, Office, TMG, SQL или Exchange) здесь отсутствует. Для просмотра, установленных обновлений на эти продукты, необходимо в меню пуск набрать: Просмотр установленных обновлений, после чего откроется стандартное окно, доступное из панели управления.
Для поиска конкретного обновления можно в окне поиска, в правом верхнем углу набрать KB и номер апдейта, однако поиск выполняется не очень корректно, поэтому иногда проще найти нужное обновление простым просмотром списка.
Также при установке обновлений не стоит забывать, что они требуют перезагрузки системы.
* hotfix — это патчи, исправляющие баги в программных продуктах, которые уже появились на рынке.
Как заставить Windows Server 2016 проверять наличие обновлений
есть ли программный способ заставить Windows проверять наличие обновлений? Я установил обновление с помощью API Центра Обновления Windows, но следующий экран не обновляется.
API Центра Обновления Windows говорит, что требуется перезагрузка —
Я пробовал следующие команды в качестве администратора, но ни один из них не обновил экран —
2 ответов
утилиты командной строки в Windows 10 и Windows Server 2016 и далее изменились для Центра Обновления Windows.
вы должны использовать usoclient StartScan начать сканирование.
есть и другие варианты —
StartScan используется для запуска сканирования StartDownload используется для начала загрузки патчей
StartInstall используется для установки загруженных патчи
RefreshSettings обновить Настройки, если были сделаны какие-либо изменения
StartInteractiveScan может запрашивать ввод пользователя и / или открывать диалоги, чтобы показать прогресс или сообщайте об ошибках
RestartDevice перезагрузить устройство, чтобы закончить установку обновлений
ScanInstallWait Комбинированное Сканирование Скачать Установить
ResumeUpdate Возобновить Установку Обновления При Загрузке
Установка и настройка сервера обновлений WSUS
Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.
В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.
Перед установкой
Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:
Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.
Установка роли
Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:
В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:
На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):
На следующей странице оставляем переключатель в положении Установка ролей или компонентов:
Далее выбираем сервер из списка, на который будем ставить WSUS:
В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:
Среди компонентов оставляем все по умолчанию и нажимаем Далее:
Мастер запустит предварительную настройку служб обновления — нажимаем Далее:
Среди ролей службы можно оставить галочки, выставленные по умолчанию:
Прописываем путь, где WSUS будет хранить файлы обновлений:
* в нашем примере был прописан путь C:WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.
Запустится настройка роли IIS — просто нажимаем Далее:
Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:
В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:
Процесс установки занимаем несколько минут. После завершения можно закрыть окно:
Установка роли WSUS завершена.
Первый запуск и настройка WSUS
После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.
В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:
При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:
. и ждем завершения настройки:
Откроется стартовое окно мастера настройки WSUS — идем далее:
На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):
Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:
* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.
Если в нашей сети используется прокси-сервер, задаем настройки:
* в нашем примере прокси-сервер не используется.
Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:
. и дожидаемся окончания процесса:
Выбираем языки программных продуктов, для которых будут скачиваться обновления:
Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:
* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.
Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:
* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.
Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:
Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:
После откроется консоль управления WSUS.
Завершение настройки сервера обновлений
Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.
Установка Microsoft Report Viewer
Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:
. и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:
Продолжаем установку и завершаем ее.
Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/en-us/download/details.aspx?id=3841 и скачиваем установочный пакет:
После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.
Донастройка WSUS
Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.
1. Группы компьютеров
При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.
В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :
Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:
2. Автоматические утверждения
После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.
В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:
Кликаем по Создать правило:
У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:
- Для тестовой группы применять все обновления сразу после их выхода.
- Для рабочих станций и серверов сразу устанавливать критические обновления.
- Для рабочих станций и серверов применять обновления спустя 7 дней.
- Для серверов устанавливать обновления безопасности по прошествии 3-х дней.
3. Добавление компьютеров в группы
Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.
В консоли WSUS переходим в Параметры — Компьютеры:
Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:
Настройка клиентов
И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.
Групповая политика (GPO)
Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:
- Для тестовой группы.
- Для серверов.
- Для рабочих станций.
Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:
Название политики | Значение | Описание |
---|---|---|
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений | Включить | Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений. |
Настройка автоматического обновления | Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок. |
Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки. |
Указать размещение службы обновлений Microsoft в интрасети | Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 * |
Настройка говорит клиентам, на каком сервере искать обновления. |
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях | Включить | Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям. |
Не выполнять автоматическую перезагрузку, если в системе работают пользователи | Включить | Позволит избежать ненужных перезагрузок компьютера во время работы пользователя. |
Повторный запрос для перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 1440 | Если перезагрузка была отложена, необходимо повторить запрос. |
Задержка перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 30 | Дает время перед перезагрузкой компьютера после установки обновлений. |
Разрешить клиенту присоединяться к целевой группе | Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа |
Позволяет добавить наши компьютеры в соответствующую группу WSUS. |
* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.
Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.
Настройка клиентов через реестр Windows
Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.
Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdate. Нам необходимо создать следующие ключи:
- WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- TargetGroupEnabled, REG_DWORD — значение 1
- TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».
Теперь переходим в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdateAU. Если он отсутствует, создаем вручную. После нужно создать ключи:
- AUOptions, REG_DWORD — значение 2
- AutoInstallMinorUpdates, REG_DWORD — значение 0
- NoAutoUpdate, REG_DWORD — значение 0
- ScheduledInstallDay, REG_DWORD — значение 0
- ScheduledInstallTime, REG_DWORD — значение 3
- UseWUServer, REG_DWORD — значение 1
После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:
Автоматическая чистка WSUS
Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.
Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.
Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:
Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates
Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.