Windows Server Update Services (WSUS) — это служба обновлений, позволяющая администраторам централизованно управлять расстановкой патчей и обновлений безопасностей для продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в корпоративной сети. Вкратце напомним, как работает WSUS: сервер WSUS по расписанию синхронизируется с сервером обновлений Microsoft в Интернете и выкачивает новые обновления для выбранных продуктов. Администратор WSUS выбирает какие обновления необходимо установить на рабочие станции и сервера компании. Клиенты WSUS скачивают и устанавливают требуемые обновления с корпоративного сервера обновлений согласно настроенным политикам. Использование собственного сервера обновлений WSUS позволяет экономить интернет трафик и более гибко управлять установкой обновлений в компании.
Компания Microsoft предлагает и другие средства установки обновлений на свои продукты, например, SCCM 2007/2012. Однако в отличии от многих других продуктов, сервер WSUS является абсолютно бесплатным (на самом деле служба обновлений в SCCM – SUP Software Update Point также основана на WSUS).
Принципиально в новой версии WSUS в Windows Server 2012R2 / 2016 практически ничего не изменилось. Отметим, что теперь установочный пакет WSUS нельзя скачать отдельно с сайта Microsoft, он интегрирован в дистрибутив Windows Server и устанавливается в виде отдельной роли сервера. Кроме того, во WSUS 6.0 появилась возможность управления установкой обновлений с помощью PowerShell.
В этой статье мы рассмотрим базовые вопросы установки и настройки сервера WSUS на базе Windows Server 2012 R2 / Windows Server 2016.
Установка роли WSUS на Windows Server 2012 R2 / 2016
Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2012 / R2 этот момент не поменялся. Откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
Отметьте опцию WSUS Services, далее необходимо выбрать тип базы данных, которую будет использовать WSUS.
В Windows Server 2012 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:
- Windows Internal Database (WID);
- Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в редакциях Enterprise / Standard / Express Edition;
- Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.
Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID. В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- Организация не имеет и не планирует покупать лицензии на SQL Server;
- Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- Если планируется развернуть дочерний сервер WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \\.\pipe\MICROSOFT##WID\tsql\query.
Отметим, что в бесплатных редакциях SQL Server 2008/2012 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.
В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена;
- Сервер WSUS не может быть одновременно сервером терминалов с ролью Remote Desktop Services;
Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию WID Database.
Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).
В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.
Далее запустится установка роли WSUS и всех необходимых компонентов, после окончания которых запустите консоль управления WSUS в консоли Server Manager.
Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:
Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server 2012 R2 / 2016
При первом запуске консоли WSUS автоматически запустится мастер настройки сервера обновлений. Рассмотрим основные шаги настройки сервера WSUS с помощью мастера.
Укажите, будет ли сервер WSUS брать обновления с сайта Microsoft Update напрямую или он должен качать его с вышестоящего WSUS сервера (обычно этот вариант используется в крупных сетях для настройки WSUS сервера большого регионального подразделения, который берет обновления с WSUS центрального офиса, чем существенно снижается нагрузка на каналы связи между центральным офисом и филиалом).
Если ваш сервер WSUS сам должен загружать обновления с серверов Windows Update, и доступ в Интернет у вас осуществляется через прокси-сервер, вы должны указать адрес прокси сервера, порт и логин/пароль для авторизации на нем.
Далее проверяется связь с вышестоящим сервером обновления. Нажмите кнопку Start Connecting.
Затем необходимо выбрать языки, для которых WSUS будет скачивать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).
Затем указывается список продуктов, для которых WSUS должен скачивать обновления. Необходимо выбрать все продукты Microsoft, которые используются в Вашей корпоративной сети. Имейте в виду, что все обновления занимают дополнительное место на диске, поэтому лишние продукты отмечать не следует. Если вы точно уверены, что в вашей сети не осталось компьютеров с Windows XP или Windows 7, не выбирайте эти опции. Тем самым вы сэкономите существенно место на диске WSUS сервера.
На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Далее необходимо указать расписание синхронизации обновлений – рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Имеет смысл выполнять синхронизацию в ночные часы, чтобы не загружать канал доступа в Интернет в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занят несколько дней, в зависимости от количества продуктов, которое вы выбрали ранее и скорости доступа в Интернет.
После окончания работы мастер запустится консоль WSUS.
С целью повышения производительности сервера WSUS на Windows Server рекомендуется исключить следующие папки из области проверки антивируса:
- \WSUS\WSUSContent;
- %windir%\wid\data;
- \SoftwareDistribution\Download.
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). При большом количестве компьютеров (более 1500) производительность пула IIS WsusPoll, который раздает обновления клиентов, можно отрегулировать согласно статье.
Для возможности просмотра отчетов по установленным обновлениям на сервере WSUS нужно установить дополнительный компоненты Microsoft Report Viewer 2008 SP1 Redistributable (или выше), который можно свободно скачать с сайта Microsoft.
В других статьях мы рассмотрим дальнейшую настройку сервера WSUS на Windows Server 2012 R2 / 2016, и настройку параметров клиентов (серверов и рабочих станций) WSUS с помощью групповых политик, особенности одобрения обновлений и переноса одобренных обновлений между группами на WSUS.
Кстати по умолчанию на Server 2012 WSUS живет не на 80 порту (как в Windows 2003 и 2008), а на порту 8530.
спасибо за статью, а почему нельзя ставить WSUS на контроллер домена?
В статье указано, что нельзя ставить SQL базу WSUS на контроллер домена Windows.
Вообще MS не рекомендует ставить на контролеры домена, т.к. это снижает его уровень безопасности, ведь для WSUS требуется установка IIS, а это крайне плохо с точки зрения безопасности DC.
Применение WSUS на DC приемлемо для малой компании или филиала, но при таком подходе на любом предприятии снижается производительность и возникают проблемы с безопасностью
Если другого пути нет: контора маленькая, сервер один / два — тогда , конечно можно поставить WSUS и на DC. (Как по мне, так лучше поднять отдельную машину, хоть виртуальную, благо HYper-V сейчас бесплатен, и там уже установить WSUS )
Если же все таки поставили сносите «Веб-узел по умолчанию» и папку WSUS с системных и загрузочных разделов.
У нас был установлен WSUS на контроллере. В общем ставил серевер 2012 поверх сервера 2008R2 и так как сервак 2012 для дальнейшей установки настойчиво потребовал удалить WSUS на 2008 серваке, я его поросьбу выполнил и после обновления винды до 2012 сервера я заново поставил роль WSUS, но почему то этот WSUS не хочет работать. Можно поставить на (КДомена) Microsoft SQL Server 2012 и подцепить закаченный контент
О чем и речь: не рекомендуется ставить Microsoft SQL Server, если уж приспичило — пользуйтесь встроенной базой Windows Internal Database (WID).
Но мой Вам совет, поставьте его все-таки на отдельную виртуалку
Ну а самое интересное, как настраивать клиентов ?!
GPO для UO компьютеров например. Как их добавить и как они будут устаналиваться сами или по подтверждению пользователя… ?!
Просится эта концовочка 🙂
Статья о настройке клиентов WSUS через GPO: https://winitpro.ru/index.php/2014/01/22/nastrojka-gruppovyx-politik-wsus/
Клиенты говорят что обновлений нет, хотя на WSUS обновления для них есть. Куда копать?
Как таргетируете WSUS клиентов? Через консоль WSUS или GPO?
Одобрены ли обновления для установки на соотвевующую группу WSUS?
Перезапустите на клиенте службу Windows update и выполните синхронизацию:
net stop wuauservnet start wuauservwuauclt /detectnowДалее анализируйте лог службы обновлений на клиенте: C:\windows\WindowsUpdate.log
Клиенты таргетированы через GPO.
Обновления естественно утверждены.
Службу дернул, вот лог
Что не так? Ни один клиент не берет обновления.
В вашем логе WindowsUpdate.log ничего совсем уж критичного не видно. Клиент настроен на сервер WSUS wsus.domain.local и отнесен к группе FilialWS.
Какие версии WSUS и клиентов используете? Проверьте, видны ли в консоли WSUS ваши компьютеры и какой статус имеют?
Спасибо огромнейшее за статью. Вопрос. В WSUS для обновлений можно убрать галочку с английского языка и оставить только русский язык? У меня все клиенты на Windows 7 RUS (все на русской редакции).
Конечно, если вы уверены, что английские версии продуктов не будут использоваться в вашей сети, эти обновления закачивать не стоит. Это серьезно сэкономит место на диске сервера WSUS
Всегда включайте английский язык в дополнение к другим языкам, используемым в вашей организации. Все обновления имеют в своей основе языковой пакет на английском языке.
источник
Установил. Правда на 2012R2. Вызвало удивление установка IIS (зачем????????) Оно ресурсы жрет, как свинья помои. После 18 тысяч пакетов WSUS стал при попытке просмотреть пакеты тупо обрывал соединение.
Промучался с этим подарком и снес благополучно. Поставил все на 2003 — полет нормальный.
Без IIS никак, там весь функционал по-сути на IIS основан. Возможно нужно выделить больше ресурсов для WsusPool в IIS и изначально синхронизировать апдейты только для используемых версий продуктов.
Не уверен, что использование Windows 2003 это хорошая идея — вы не сможете обновлять новые продукты Microsoft.
Подскажите, плиз! Старый сервер ВСУС (2008 R2) глючит, боюсь что придется настраивать новый (2012 х64, не R2!!). В сети около 200 компов, которые уже года 3 получали обновления от старого сервера ВСУС. Если я просто настрою новый сервер, то те обновления, которые уже установлены на ПК, будут устанавливаться заново?
И такое уточнение: в ходе экспериментов папка WsusContent была удалена, но база компьютеров наверное осталась… можно ли перенести на новый сервер базу компов или лучше ее тоже заводить заново? На старом сервере часто отваливалась управлялка ВСУСом, например при очистке сервера… не хотелось бы чтобы эти глюки перенеслись на новый ВСУС.
Без проблем ставится новый сервер WSUS. Базу компов в 99% случаев переносить не надо (она может понадобиться как список компьютеров в сети, и если у вас домен и вы всех клиентов видите в консоли ADUC, то и этот список не нужен)
1. Ставите новый WSUS и закачиваете патчи для нужных продуктов
2. Перенацеливаете клиентов на новый WSUS
3. После обновления настроек, клиенты выполнят сканирования и выкачают/установят только недостающие обновления.
Спасибо! Сервер установился, вроде бы все ок, но есть несколько моментов… В настройках включено автоодобрение критических и обновлений безопасности. Сейчас смотрю — есть несколько обновлений, касающихся Windows Defender Antivirus, обновление определения КБ2267602, их таких 6 штук. Но различаются определения в них: 1.267.204.0, 1.267.208.0, 1.267.221.0… 1.267.235.0. Как правильно с ними работать? Со старым релизом они имеют статус «Обновление заменяется другим», с самым свежим релизом «Это обновление заменяет другое». Т.е. получается целая цепочка обновлений (и вся цепочка — внутри одного КБ2267602). Как правильнее поступить: утвердить руками самое свежее, или утвердить вообще все, а там компьютер сам разберется, какое установить? Вопрос наверное элементарный, но ВСУС только осваиваю. Это вопрос и вообще, в принципе, касаемый подобных заменяющих друг друга обновлений…
С обновлениями defender плотно не работал. Похоже KB2267602 -это регулярно выпускаемое обновление для обновления антвирусных баз. Возможно теперь обновления defender распространяются через новое обновление (которое заменило kb2267602)
Ну а вообще WSUS сам прекрасно разбирается в зависимостях. Т.к. у вас включен режим автоодобрения — ему можно довериться. Из опыта все таки стоит сначала тестировать обовления на группе ПК с типовым набором софта и только после этого разрещать установку на все системы.
В статье указано «Если вы планируете использовать встроенную базу данных, отметьте опцию Database.» — ошибка, для использования встроенной нужно отметить WID
Верно, поправил 🙂
Добрый день.
Подскажите, а можно ли реализовать WSUS, если сеть не доменная, обычная локальная, без DHCP и DNS?
На клиентах стат. IP, но все подключены на один коммутатор.
Спасибо.
Да, для работы wsus домен не нужен. Клиентов можно настроить на получение обновлений через реест. См. статью о настройке получения обновлений wsus через GPO. Там есть пример reg файла, в котором dns имя сервера обновлений нужно заменит на его IP адресс
По возможности, дайте ссылку на статью, пожалуйста.
Нашёл
Здравствуйте. Не подскажете решение с ситуацией, когда ms sql и wsus сервера находятся на разных узлах?
Вопрос касается входящих соединений на сервере баз данных. WSUS подключается к БД только при выключенном брандмауэре на стороне MS SQL. По netstat’у порты соединения динамические вида 50xxx, создание правила для динамических RFC портов с удаленного хоста не решило ситуации. Оставлять сервер DB без фаерволла — это плохое решение.
Вы можете зафиксировать SQL Server на определенном порту. Поищите в сети статьи на тему «sql server fixed port».
Здравствуйте! Подскажите, есть возможность установки роли WSUS без доступа в интернет и без «WSUS центрального офиса»? Т.е. интересует возможность распространять обновления через WSUS, но обновления вручную импортировать в WSUS принесенные на внешнем носителе.
В теории, да вы можете поднять изолированный wsus и импортировать все обновления руками (https://winitpro.ru/index.php/2017/09/21/wsus-ruchnoj-import-obnovlenij-iz-microsoft-update-catalog/).
Но скорее всего вы рано или поздно устанете это делать, и WSUS работать не будет в итоге.
Не проще ли расковырять небольшую дырочу для wsus на сайты Microsoft. Можно не напрямую, а через прокси с фильтрацией адресов. Чтобы доступ был только на сервера обновлений microsft. Их список известен.
доброго дня.
Есть упавший WSUS на windows server 2008r2 на 150 клиентов. База раположена на MS SQL std. Размер базы SUSDB — 1,5Гб, журнала — 200Мб. Размер репозитория WSUS 60Гб. Хочу установить новый экземпляр WSUS на сервер 2016, а старый удалить. Можно использовать встроенную базу WSUS или нежелательно?
Можно. У меня на WID был WSUS с 500 клиентами и размером базы около 3,5 Гб.
Работает нормально.
спасибо. А 2019 сервер чем то хуже для роли WSUS чем 2016?
WSUS довольно консервативная роль — в последних версиях Windows Serverв ней различий минимум. Не имею ни одного аргумента против WSUS на Server 2019
переместил wsus на Win 2012, с виду всё хорошо, но клиенты не тянут обновления (они конечно одобрены)
в логах
FATAL: GetClientUpdateUrl failed, err = 0x8024D009Я бы попробовал сбросить настройки WU на клиентах https://winitpro.ru/index.php/2016/02/26/sbros-konfiguracii-agenta-i-sluzhby-obnovlenij-windows-update/
Ну а вообще говоря миграция WSUS, на мой взгляд, дело неблагодарное. Проще новый развернуть 🙂
Подскажите я при первоначальной настройки отметил не нужные мне продукты и там накачалось очень много метаданных около 7000 обновлений. И вот теперь в параметрах я убрал лишние продукты и как мне обновить чтобы лишние метаданные ушли из списка обновлений. И из личных рекомендаций какие продукты выбирать, там их просто очень много особенно для Windows 10.
Честно говоря, очистка WSUS от старых обнвлений, продуктов (которы были ранее и не нужны) еще тот гемор.
Мне проще удалить WSUS, его данные и переставить все заново, с полной перезакачкой всех обновлений. Это займет день-два. и вы получите чистый сервер wsus. Сам делал так пару раз.
По поводу классификации обновлений для Windows 10: выбирайте только те билды, которые используете в сети.
Обязательно включайте в классификации весь раздел Developer Tools, Runtimes, and Redistributables (это позволит обновить Visual C++ Runtime), Windows Dictionary Updates, Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
_https://www.ajtek.ca/guides/how-to-setup-manage-and-maintain-wsus-part-1-choosing-your-server-os/
Добрый день!
Ранее был развернут WSUS на Windows 2012. Развернул wsus на Windows 2019 c SQL. Часть клиентов на Windows 7, 8, 2012 перестали цепляться к WSUS. Но у клиентов с Windows 2016 и 2019 таких проблем нет. Не подскажете куда копать, SMB, SSL, TLS?
Старые клиенты появляются в консоли, но не хотят получать обновления? Или их нет даже в консоли?
Я бы начал с просмотра ошибок в логе windowsupdate.log на клиентах.
И посмотрите про подписывание обновлений с помощью SHA-2. На win7 клиениах стоят эти апдейт?
https://support.microsoft.com/en-us/topic/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus-64d1c82d-31ee-c273-3930-69a4cde8e64f
Customers who run legacy OS versions (Windows 7 SP1, Windows Server 2008 R2 SP1 and Windows Server 2008 SP2) are required to have SHA-2 code signing support installed on their devices to install updates released on or after July 2019.WSUS может показать отчетность удаленно по http? Думаю что может, а ссылка какая должна быть?