С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.
Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:
- После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
- Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
- Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.
Установка роли WSUS в Windows Server
Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.
Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.
Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:
- Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
- Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- У вас отсутствуют лицензии MS SQL Server;
- Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
- Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения
\\.\pipe\MICROSOFT##WID\tsql\query
.
Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.
Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).
Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server
После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.
WsusUtil.exe
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:
CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=E:\WSUS
Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:
wsusutil.exe postinstall SQL_INSTANCE_NAME="SQLSRV1\SQLINSTANCEWSUS" CONTENT_DIR=E:\WSUS_Content
Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.
Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.
Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.
Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.
Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).
Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.
Обязательно включите в классификации следующие общие разделы:
- Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
- Windows Dictionary Updates в категории Windows
- Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.
Консоль WSUS состоит из нескольких разделов:
- Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
- Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
- Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
- Syncronizations –расписание синхронизации обновлений
- Reports – отчёты WSUS
- Options – настройка сервера WSUS
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:
Test-NetConnection -ComputerName wsussrv1 -Port 8530
Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.
Установка консоли администрирования WSUS в Windows 10/11
Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
wsus.msc
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.
Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0
Если вы хотите установить консоль WSUS в Windows Server, выполните команду:
Install-WindowsFeature -Name UpdateServices-Ui
При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.
- WSUS Administrators
- WSUS Reporters
Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:
The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.
Оптимизация производительности WSUS
В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.
- Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
- При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists).
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
Import-Module WebAdministration
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel" - Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.
Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:
- \WSUS\WSUSContent;
- %windir%\wid\data;
- \SoftwareDistribution\Download.
Кстати по умолчанию на Server 2012 WSUS живет не на 80 порту (как в Windows 2003 и 2008), а на порту 8530.
спасибо за статью, а почему нельзя ставить WSUS на контроллер домена?
В статье указано, что нельзя ставить SQL базу WSUS на контроллер домена Windows.
Вообще MS не рекомендует ставить на контролеры домена, т.к. это снижает его уровень безопасности, ведь для WSUS требуется установка IIS, а это крайне плохо с точки зрения безопасности DC.
Применение WSUS на DC приемлемо для малой компании или филиала, но при таком подходе на любом предприятии снижается производительность и возникают проблемы с безопасностью
Если другого пути нет: контора маленькая, сервер один / два — тогда , конечно можно поставить WSUS и на DC. (Как по мне, так лучше поднять отдельную машину, хоть виртуальную, благо HYper-V сейчас бесплатен, и там уже установить WSUS )
Если же все таки поставили сносите «Веб-узел по умолчанию» и папку WSUS с системных и загрузочных разделов.
У нас был установлен WSUS на контроллере. В общем ставил серевер 2012 поверх сервера 2008R2 и так как сервак 2012 для дальнейшей установки настойчиво потребовал удалить WSUS на 2008 серваке, я его поросьбу выполнил и после обновления винды до 2012 сервера я заново поставил роль WSUS, но почему то этот WSUS не хочет работать. Можно поставить на (КДомена) Microsoft SQL Server 2012 и подцепить закаченный контент
О чем и речь: не рекомендуется ставить Microsoft SQL Server, если уж приспичило — пользуйтесь встроенной базой Windows Internal Database (WID).
Но мой Вам совет, поставьте его все-таки на отдельную виртуалку
Ну а самое интересное, как настраивать клиентов ?!
GPO для UO компьютеров например. Как их добавить и как они будут устаналиваться сами или по подтверждению пользователя… ?!
Просится эта концовочка 🙂
Статья о настройке клиентов WSUS через GPO: https://winitpro.ru/index.php/2014/01/22/nastrojka-gruppovyx-politik-wsus/
Клиенты говорят что обновлений нет, хотя на WSUS обновления для них есть. Куда копать?
Как таргетируете WSUS клиентов? Через консоль WSUS или GPO?
Одобрены ли обновления для установки на соотвевующую группу WSUS?
Перезапустите на клиенте службу Windows update и выполните синхронизацию:
net stop wuauservnet start wuauservwuauclt /detectnowДалее анализируйте лог службы обновлений на клиенте: C:\windows\WindowsUpdate.log
Клиенты таргетированы через GPO.
Обновления естественно утверждены.
Службу дернул, вот лог
Что не так? Ни один клиент не берет обновления.
В вашем логе WindowsUpdate.log ничего совсем уж критичного не видно. Клиент настроен на сервер WSUS wsus.domain.local и отнесен к группе FilialWS.
Какие версии WSUS и клиентов используете? Проверьте, видны ли в консоли WSUS ваши компьютеры и какой статус имеют?
Спасибо огромнейшее за статью. Вопрос. В WSUS для обновлений можно убрать галочку с английского языка и оставить только русский язык? У меня все клиенты на Windows 7 RUS (все на русской редакции).
Конечно, если вы уверены, что английские версии продуктов не будут использоваться в вашей сети, эти обновления закачивать не стоит. Это серьезно сэкономит место на диске сервера WSUS
Всегда включайте английский язык в дополнение к другим языкам, используемым в вашей организации. Все обновления имеют в своей основе языковой пакет на английском языке.
источник
Установил. Правда на 2012R2. Вызвало удивление установка IIS (зачем????????) Оно ресурсы жрет, как свинья помои. После 18 тысяч пакетов WSUS стал при попытке просмотреть пакеты тупо обрывал соединение.
Промучался с этим подарком и снес благополучно. Поставил все на 2003 — полет нормальный.
Без IIS никак, там весь функционал по-сути на IIS основан. Возможно нужно выделить больше ресурсов для WsusPool в IIS и изначально синхронизировать апдейты только для используемых версий продуктов.
Не уверен, что использование Windows 2003 это хорошая идея — вы не сможете обновлять новые продукты Microsoft.
Подскажите, плиз! Старый сервер ВСУС (2008 R2) глючит, боюсь что придется настраивать новый (2012 х64, не R2!!). В сети около 200 компов, которые уже года 3 получали обновления от старого сервера ВСУС. Если я просто настрою новый сервер, то те обновления, которые уже установлены на ПК, будут устанавливаться заново?
И такое уточнение: в ходе экспериментов папка WsusContent была удалена, но база компьютеров наверное осталась… можно ли перенести на новый сервер базу компов или лучше ее тоже заводить заново? На старом сервере часто отваливалась управлялка ВСУСом, например при очистке сервера… не хотелось бы чтобы эти глюки перенеслись на новый ВСУС.
Без проблем ставится новый сервер WSUS. Базу компов в 99% случаев переносить не надо (она может понадобиться как список компьютеров в сети, и если у вас домен и вы всех клиентов видите в консоли ADUC, то и этот список не нужен)
1. Ставите новый WSUS и закачиваете патчи для нужных продуктов
2. Перенацеливаете клиентов на новый WSUS
3. После обновления настроек, клиенты выполнят сканирования и выкачают/установят только недостающие обновления.
Спасибо! Сервер установился, вроде бы все ок, но есть несколько моментов… В настройках включено автоодобрение критических и обновлений безопасности. Сейчас смотрю — есть несколько обновлений, касающихся Windows Defender Antivirus, обновление определения КБ2267602, их таких 6 штук. Но различаются определения в них: 1.267.204.0, 1.267.208.0, 1.267.221.0… 1.267.235.0. Как правильно с ними работать? Со старым релизом они имеют статус «Обновление заменяется другим», с самым свежим релизом «Это обновление заменяет другое». Т.е. получается целая цепочка обновлений (и вся цепочка — внутри одного КБ2267602). Как правильнее поступить: утвердить руками самое свежее, или утвердить вообще все, а там компьютер сам разберется, какое установить? Вопрос наверное элементарный, но ВСУС только осваиваю. Это вопрос и вообще, в принципе, касаемый подобных заменяющих друг друга обновлений…
С обновлениями defender плотно не работал. Похоже KB2267602 -это регулярно выпускаемое обновление для обновления антвирусных баз. Возможно теперь обновления defender распространяются через новое обновление (которое заменило kb2267602)
Ну а вообще WSUS сам прекрасно разбирается в зависимостях. Т.к. у вас включен режим автоодобрения — ему можно довериться. Из опыта все таки стоит сначала тестировать обовления на группе ПК с типовым набором софта и только после этого разрещать установку на все системы.
В статье указано «Если вы планируете использовать встроенную базу данных, отметьте опцию Database.» — ошибка, для использования встроенной нужно отметить WID
Верно, поправил 🙂
Добрый день.
Подскажите, а можно ли реализовать WSUS, если сеть не доменная, обычная локальная, без DHCP и DNS?
На клиентах стат. IP, но все подключены на один коммутатор.
Спасибо.
Да, для работы wsus домен не нужен. Клиентов можно настроить на получение обновлений через реест. См. статью о настройке получения обновлений wsus через GPO. Там есть пример reg файла, в котором dns имя сервера обновлений нужно заменит на его IP адресс
По возможности, дайте ссылку на статью, пожалуйста.
Нашёл
Здравствуйте. Не подскажете решение с ситуацией, когда ms sql и wsus сервера находятся на разных узлах?
Вопрос касается входящих соединений на сервере баз данных. WSUS подключается к БД только при выключенном брандмауэре на стороне MS SQL. По netstat’у порты соединения динамические вида 50xxx, создание правила для динамических RFC портов с удаленного хоста не решило ситуации. Оставлять сервер DB без фаерволла — это плохое решение.
Вы можете зафиксировать SQL Server на определенном порту. Поищите в сети статьи на тему «sql server fixed port».
Здравствуйте! Подскажите, есть возможность установки роли WSUS без доступа в интернет и без «WSUS центрального офиса»? Т.е. интересует возможность распространять обновления через WSUS, но обновления вручную импортировать в WSUS принесенные на внешнем носителе.
В теории, да вы можете поднять изолированный wsus и импортировать все обновления руками (https://winitpro.ru/index.php/2017/09/21/wsus-ruchnoj-import-obnovlenij-iz-microsoft-update-catalog/).
Но скорее всего вы рано или поздно устанете это делать, и WSUS работать не будет в итоге.
Не проще ли расковырять небольшую дырочу для wsus на сайты Microsoft. Можно не напрямую, а через прокси с фильтрацией адресов. Чтобы доступ был только на сервера обновлений microsft. Их список известен.
доброго дня.
Есть упавший WSUS на windows server 2008r2 на 150 клиентов. База раположена на MS SQL std. Размер базы SUSDB — 1,5Гб, журнала — 200Мб. Размер репозитория WSUS 60Гб. Хочу установить новый экземпляр WSUS на сервер 2016, а старый удалить. Можно использовать встроенную базу WSUS или нежелательно?
Можно. У меня на WID был WSUS с 500 клиентами и размером базы около 3,5 Гб.
Работает нормально.
спасибо. А 2019 сервер чем то хуже для роли WSUS чем 2016?
WSUS довольно консервативная роль — в последних версиях Windows Serverв ней различий минимум. Не имею ни одного аргумента против WSUS на Server 2019
переместил wsus на Win 2012, с виду всё хорошо, но клиенты не тянут обновления (они конечно одобрены)
в логах
FATAL: GetClientUpdateUrl failed, err = 0x8024D009Я бы попробовал сбросить настройки WU на клиентах https://winitpro.ru/index.php/2016/02/26/sbros-konfiguracii-agenta-i-sluzhby-obnovlenij-windows-update/
Ну а вообще говоря миграция WSUS, на мой взгляд, дело неблагодарное. Проще новый развернуть 🙂
Подскажите я при первоначальной настройки отметил не нужные мне продукты и там накачалось очень много метаданных около 7000 обновлений. И вот теперь в параметрах я убрал лишние продукты и как мне обновить чтобы лишние метаданные ушли из списка обновлений. И из личных рекомендаций какие продукты выбирать, там их просто очень много особенно для Windows 10.
Честно говоря, очистка WSUS от старых обнвлений, продуктов (которы были ранее и не нужны) еще тот гемор.
Мне проще удалить WSUS, его данные и переставить все заново, с полной перезакачкой всех обновлений. Это займет день-два. и вы получите чистый сервер wsus. Сам делал так пару раз.
По поводу классификации обновлений для Windows 10: выбирайте только те билды, которые используете в сети.
Обязательно включайте в классификации весь раздел Developer Tools, Runtimes, and Redistributables (это позволит обновить Visual C++ Runtime), Windows Dictionary Updates, Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
_https://www.ajtek.ca/guides/how-to-setup-manage-and-maintain-wsus-part-1-choosing-your-server-os/
Добрый день!
Ранее был развернут WSUS на Windows 2012. Развернул wsus на Windows 2019 c SQL. Часть клиентов на Windows 7, 8, 2012 перестали цепляться к WSUS. Но у клиентов с Windows 2016 и 2019 таких проблем нет. Не подскажете куда копать, SMB, SSL, TLS?
Старые клиенты появляются в консоли, но не хотят получать обновления? Или их нет даже в консоли?
Я бы начал с просмотра ошибок в логе windowsupdate.log на клиентах.
И посмотрите про подписывание обновлений с помощью SHA-2. На win7 клиениах стоят эти апдейт?
https://support.microsoft.com/en-us/topic/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus-64d1c82d-31ee-c273-3930-69a4cde8e64f
Customers who run legacy OS versions (Windows 7 SP1, Windows Server 2008 R2 SP1 and Windows Server 2008 SP2) are required to have SHA-2 code signing support installed on their devices to install updates released on or after July 2019.WSUS может показать отчетность удаленно по http? Думаю что может, а ссылка какая должна быть?