Установка и настройка WSUS на платформе Windows Server 2012 / 2012R2

Тема настройки локального сервера обновлений (WSUS) уже поднималась на нашем сайте, но так как с тех пор прошло довольно много времени и произошли довольно серьезные изменения, то назрела необходимость обновить статью. Сегодня мы расскажем о настройке роли WSUS на платформе Windows Server 2012, данный процесс во многом стал проще и легче, а службы WSUS теперь полноценно интегрированы в систему.

Наш предыдущий материал рассматривал установку WSUS на платформе Windows Server 2008, тогда это была довольно непростая задача для неподготовленного администратора. Требовалось установить дополнительные пакеты, специальным образом настроить веб-сервер, да и сами службы WSUS устанавливались как отдельное приложение.

Начиная с Windows Server 2008 R2, WSUS был включен в состав ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2012 R2, все сказанное, за незначительными поправками, будет справедливо и для Server 2008 R2.

Из сторонних пакетов потребуется установить только Microsoft Report Viewer 2008 SP1 Redistributable, однако он не является обязательным и на работу службы не влияет, а требуется только для формирования отчетов. Поэтому даже если вы забудете его установить — ничего страшного не произойдет, при первом обращении к отчетам система сообщит вам об этом и даст ссылку на скачивание.

Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер БД WSUS не может быть контроллером домена, Сервер WSUS не может быть одновременно сервером терминалов Remote Desktop Services.

Для установки WSUS откроем Диспетчер серверов и перейдем в Управление — Добавить роли и компоненты. В открывшемся мастере добавляем роль Службы Windows Server Update Services.

Следующим шагом будут добавлены все необходимые роли и компоненты, таким образом больше ничего настраивать отдельно не придется.

В качестве хранилища по умолчанию WSUS предлагает использовать внутреннюю базу данных Windows (Windows Internal Database, WID). Для небольших внедрений мы не видим смысла в установке отдельного SQL-сервера, никаких существенных преимуществ это не даст.

Следующим шагом переходим к базовым настройкам служб роли. В нашем случае потребуется выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database следует выбрать опцию База данных. Сам сервер баз данных к этому моменту уже должен быть развернут в вашей сети.

Следующим шагом укажите размещение хранилища обновлений, рекомендуем выделить для этих целей отдельный жесткий диск или раздел диска.

Также возможен вариант, когда на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений будут, после их одобрения и назначения администратором, скачиваться с серверов Microsoft. На наш взгляд такая схема будет удобна небольшим компаниям с хорошим интернет каналом, действительно, ради десятка машин организовывать локальное хранилище большого смысла не имеет, особенно если WSUS не единственная роль данного сервера.

Для приблизительной оценки требуемого места приведем данные с одной реальной инсталляции, произведенной летом 2012 года. На текущий момент выбраны следующие продукты: все клиентские ОС от Windows XP до Windows 8.1, кроме Vista, все серверные ОС от Server 2003 до Server 2012 R2, Office 2010, Exchange 2010, SQL Server 2008 — 2012, а также ряд дополнительных продуктов из разряда Распространяемых пакетов Visual C++ и т.п.

Размер обновлений в хранилище на текущий момент (два года после установки) — 173 ГБ, размер SQL базы данных — около 10 ГБ.

Если вы выбрали внешнюю базу данных, то также потребуется указать параметры подключения к SQL серверу. После чего можно переходить к установке роли, перезагрузка не требуется. После установки нажмите на флажок с желтым восклицательным знаком в Диспетчере серверов и щелкните Запуск послеустановочных задач, дождитесь окончания процедуры (восклицательный знак исчезнет).

На этом установку роли можно считать законченной и переходит к настройке службы WSUS, мы подробно освещали этот процесс в предыдущей статье и не видим смысла заострять на этом внимание.

Если коротко, то сначала нужно выбрать источник синхронизации: сервера Microsoft или вышестоящий WSUS сервер.

Затем выбрать языки и продукты.

Указать классы обновлений.

И задать параметры автоматической синхронизации.

Процесс первоначальной синхронизации может занять продолжительное время, зависящее от выбранного набора продуктов и классов, а также скорости вашего интернет канала.

Не забудьте указать правила автоматического одобрения и одобрить уже скачанные обновления.

После чего потребуется сообщить клиентам расположение вашего WSUS сервера, это можно сделать через групповые политики: Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows — Указать размещение службы обновлений Microsoft в интрасети.

Или в локальных политиках: Пуск — Выполнить — gpedit.msc, затем Конфигурация компьютера — Административные шаблоны — Центр обновления Windows (Windows Update)- Указать размещение службы обновлений Microsoft в интрасети.

Путь к серверу следует прописывать как http://SERVER_NAME:8530, при этом рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где можно получить детальную информацию по уже установленным и требующимся обновлениям.

Кстати, если вы забыли установить Microsoft Report Viewer 2008 SP1 Redistributable, то при попытке вызвать отчет получите следующее сообщение, которое содержит ссылку на скачивание необходимого пакета. :

Как видим, Microsoft проделало большую работу по совершенствованию службы WSUS, теперь это одна из ролей системы и ее установка и настройка не должна вызывать затруднений даже у новичков.

WindowsServerUpdateServices (WSUS) — это служба обновлений, позволяющая администраторам централизованно управлять расстановкой патчей и обновлений безопасностей для продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в корпоративной сети. Вкратце напомним, как работает WSUS: сервер WSUS по расписанию синхронизируется с сервером обновлений Microsoft в Интернете и выкачивает новые обновления для выбранных продуктов. Администратор WSUS выбирает какие обновления необходимо установить на рабочие станции и сервера компании. Клиенты WSUS скачивают и устанавливают требуемые обновления с корпоративного сервера обновлений согласно настроенным политикам. Использование собственного сервера обновлений WSUS позволяет экономить интернет трафик и более гибко управлять установкой обновлений в компании.

Компания Microsoft предлагает и другие средства установки обновлений на свои продукты, например, SCCM 2007/2012. Однако в отличии от многих других продуктов, сервер WSUS является абсолютно бесплатным (на самом деле служба обновлений в SCCM – SUP Software Update Point также основана на WSUS).

До выхода Windows Server 2012 последней актуальной версией сервера обновлений Microsoft был Windows Server Update Services 3.0 SP2 — WSUS 3.2, который не поддерживает современные ОС (как включить поддержку Windows 8 и Windows 2012 на WSUS 3.0). Вместе с выходом новой серверной платформы, Microsoft презентовала и новую версию WSUS 6.0 (что странно, ведь по логике эта версия должна носить имя WSUS 4.0…).

Принципиально в новой версии WSUS в Windows Server 2012R2 / 2016 практически ничего не изменилось. Отметим, что теперь установочный пакет WSUS нельзя скачать отдельно с сайта Microsoft, он интегрирован в дистрибутив Windows Server и устанавливается в виде отдельной роли сервера. Кроме того, во WSUS 6.0 появилась возможность управления установкой обновлений с помощью PowerShell.

В этой статье мы рассмотрим базовые вопросы установки и настройки сервера WSUS на базе Windows Server 2012 R2 / Windows Server 2016.

Содержание:

Установка роли WSUS на Windows Server 2012 R2 / 2016

Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2012 / R2 этот момент не поменялся. Откройте консоль  Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).

Отметьте опцию WSUS Services, далее необходимо выбрать тип базы данных, которую будет использовать WSUS.

В Windows Server 2012 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:

• Windows Internal Database (WID);
• Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в редакциях Enterprise / Standard / Express  Edition;
• Microsoft SQL Server 2012 Enterprise / Standard  / Express Edition.

Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.

База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%widdata. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_nameMicrosoft##WID. В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.

Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:

• Организация не имеет и не планирует покупать лицензии на SQL Server;
• Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
• Если планируется развернуть дочерний сервер WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.

Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \.pipeMICROSOFT##WIDtsqlquery.

Отметим, что в бесплатных редакциях SQL Server 2008/2012 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.

В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:

• SQL сервер с БД WSUS не может быть контроллером домена;
• Сервер WSUS не может быть одновременно сервером терминалов с ролью Remote Desktop Services;

Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию WIDDatabase.

Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).

Размер базы данных WSUS сильно зависит от количества продуктов и ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб. Например, у меня каталог с обновлениями WSUS занимает около 400 Гб (хранятся обновления для Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2/ 2016, Exchange 2013, Office 2010 и 2016, SQL Server 2008/2012/2016). Имейте это в виду, планируя место для размещения файлов WSUS.

В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.

Далее запустится установка роли WSUS и всех необходимых компонентов, после окончания которых запустите консоль управления WSUS в консоли Server Manager.

Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

Начальная настройка сервера обновлений WSUS в Windows Server 2012 R2 / 2016

При первом запуске консоли WSUS автоматически запустится мастер настройки сервера обновлений. Рассмотрим основные шаги настройки сервера WSUS с помощью мастера.

Укажите, будет ли сервер WSUS брать обновления с сайта Microsoft Update напрямую или он должен качать его с вышестоящего WSUS сервера (обычно этот вариант используется в крупных сетях для настройки WSUS сервера большого регионального подразделения, который берет обновления с WSUS центрального офиса, чем существенно снижается нагрузка на каналы связи между центральным офисом и филиалом).

Если ваш сервер WSUS сам должен загружать обновления с серверов Windows Update, и доступ в Интернет у вас осуществляется через прокси-сервер, вы должны указать адрес прокси сервера, порт и логин/пароль для авторизации на нем.

Далее проверяется связь с вышестоящим сервером обновления. Нажмите кнопку Start Connecting.

Затем необходимо выбрать языки, для которых WSUS будет скачивать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).

Затем указывается список продуктов, для которых WSUS должен скачивать обновления. Необходимо выбрать все продукты Microsoft, которые используются в Вашей корпоративной сети. Имейте в виду, что все обновления занимают дополнительное место на диске, поэтому лишние продукты отмечать не следует. Если вы точно уверены, что в вашей сети не осталось компьютеров с Windows XP или Windows 7, не выбирайте эти опции. Тем самым вы сэкономите существенно место на диске WSUS сервера.

В случае необходимости вы сможете вручную импортировать любые обновления из каталога Microsoft Update Catalog на свой сервер WSUS.

На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.

Обновления редакций (билдов) Windows 10 (1709, 1803, 1809 и т.д.) в консоли WSUS входят в класс Upgrades.  

Далее необходимо указать расписание синхронизации обновлений – рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Имеет смысл выполнять синхронизацию в ночные часы, чтобы не загружать канал доступа в Интернет в рабочее время.

Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занят несколько дней, в зависимости от количества продуктов, которое вы выбрали ранее и скорости доступа в Интернет.

После окончания работы мастер запустится консоль WSUS.

С целью повышения производительности сервера WSUS на Windows Server рекомендуется исключить следующие папки из области проверки антивируса:

• WSUSWSUSContent;
• %windir%widdata;
• SoftwareDistributionDownload.

Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). При большом количестве компьютеров (более 1500) производительность пула IIS WsusPoll, который раздает обновления клиентов, можно отрегулировать согласно статье.

Для возможности просмотра отчетов по установленным обновлениям на сервере WSUS нужно установить дополнительный компоненты Microsoft Report Viewer 2008 SP1 Redistributable (или выше), который можно свободно скачать с сайта Microsoft.

В других статьях мы рассмотрим дальнейшую настройку сервера WSUS на Windows Server 2012 R2 / 2016, и настройку параметров клиентов (серверов и рабочих станций) WSUS с помощью групповых политик, особенности одобрения обновлений и переноса одобренных обновлений между группами на WSUS.

1. Что, как, когда и зачем нужно обновлять?

Ставить все подряд обновления на все подряд ПК это плохая идея. Правильнее будет, если Вы сгруппируете ПК по определенным признакам (например департаменты или ПО которое используется на ПК) и в каждой группе создадите хотя бы одну тестовую машину.

Если обновления на нее легли “ровно” – все ПО работает, можно устанавливать обновления на рабочие станции в этой группе. Это не дает 100% уверенности, но и достаточно просто.

С серверами дело несколько сложнее – воссоздать в тестовой среде реальный продуктивный сервер задача сомнительная, да и полноценно проверить работу сервиса после установки обновлений не так уж просто. С другой стороны, серверов не так много как рабочих станций, и обновлять их в “ручном режиме” сделав предварительно резервную копию вполне нормальный вариант.

Рекомендую заиметь регламент, где эти процедуры будут описаны.

Приведу реальный пример – CU для Exchange и SharePoint распространяются через Mircosoft Download Center, а через Windows Update – нет. Это очень правильное решение, т.к. их установка должна быть плановой и обдуманной.

2. Подготовка и установка

Подготовку начнем с установки виртуальной машины, ОС (в моем случае это готовый шаблон WS 2012 R2 Datacenter) и ввода ее в домен.

Организовывать отказоустойчивость для WSUS я считаю лишним, т.к. время восстановления сервиса более суток впринципе допустимо.

Что касается архитектуры – я буду использовать единственный сервер. Если у Вас филиалы, то разумно разместить по отдельному WSUS серверу в каждом филиале, в котором более 10 сотрудников. У

правлять этими серверами можно централизованно, но также возможно делегировать права местным администраторам.

Если Вы обновляете WSUS, полезной будет эта информация.

Обратите внимание, один клиент может работать только с одним WSUS.

Что касается системных требований, то обычно говорят о требованиях, аналогичных требованиям ОС, но на практике, WSUS который использует WID и обслуживает несколько десятков клиентов, потребляет ~2Gb+ оперативной памяти.

Нагрузка на процессор и дисковую с-му минимальная. Тем не менее, WSUS и WID бывают “особо опасны”, например при синхронизации нового продукта или класса:

Проблема решается тем, что WSUS активен по ночам, и запросто может “отжирать” память и процессоры у других виртуалок.

Размещать роль WSUS на серверах с другими ролями не слишком хорошо, но в ряде сценариев это необходимый шаг (работает нормально).

Я не стану тратить свое и ваше время на описание добавления роли и прохождение Мастера, процесс достаточно интуитивен и комментировать там особо нечего. Единственное что я там указал – это для каких продуктов будем использовать обновления.

3. Настройка сервера Т.к. среда у меня тестовая и используется всего две ОС (2012 и 2012R2) я включу автоматическое одобрение для всех обновлений.

Еще раз хочу подчеркнуть, что в продуктивное среде делать подобное строго не рекомендуется.

Компьютеры будут настроены на использование WSUS с помощью групповой политики, укажем это в настройках:

Одобрим предложенные обновления:

Теперь настроим электронную почту:

После этого, будем автоматически получать отчеты такого вида: 4. Настройка клиентов

Для настройки клиентов напишем и применим такую групповую политику (Computer Configuration – Policies – Administrative Templates – Windows Components – Windows Update):

При настройке политики советую внимательно ознакомиться с содержимым каждой опции и выбрать подходящие для Вашего случая.

В документации, расположение сервера рекомендуется указывать как http://server . Я всегда указывал здесь FQDN, т.к. использовал SSL. Сегодня, готовя материал для статьи в лабе, я столкнулся с тем, что если указать http://server или http://server.domain.name на клиентах сервис не работал и в логах были ошибки 0x80072ee2 и т.п.

Решить получилось указанием порта 8530. Примите к сведению, и можете в комментариях писать как работает в вашем случае.

Обновим политику на клиенте с помощью gpupdate /force и посмотрим результат с помощью rsop.msc и Панели управления (скриншот от моей прошлой статьи):

Чтобы принудительно запустить синхронизацию можем воспользоваться командой wuauclt , ее основные ключи, описание которых я давно нашел в интернетах:

/DetectNow – Запустить немедленный опрос сервера WSUS на наличие обновлений

/resetAuthorization – Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений

/reportnow Сбросить статистику на сервер

/ShowSettingsDialog – Показывает диалог настройки расписания установки обновлений

/ResetEulas – сбросить соглашение EULA для обновлений

/ShowWU – переход на сайт обновлений MS

/ShowWindowsUpdate – переход на сайт обновлений MS

/UpdateNow – Немедленно запускает процесс обновления, аналогичен клику кнопки в окне уведомлений о наличии обновлений

/DemoUI – Показывает значок в трее — диалог настройки расписания установки обновлений или установки в зависимости от статуса

На клиенте, есть весьма информативный лог C:WindowsWindowsUpdate.log

Обновления на клиенте качаются в папку  C:WindowsSoftwareDistributionDownload , имена – это значения хэшей, если что. Выглядит это дело примерно так: Если так получилось что Ваш старый WSUS помер, и Вы подняли новый, то исправить работу клиентов поможет вот эта инфа.

Использование SSL: Возможно использование SSL с WSUS, для этого в IIS и нужно подписать сайт WSUS правильным сертификатом (скриншот от моей прошлой статьи):

Для подсайтов:

ApiRemoting30

ClientWebService

DSSAuthWebService

ServerSyncWebService

SimpleAuthWebService

.. нам нужно включить использование SSL и “игнорирование сертификата клиента”:

Затем применим изменения, перезапустим IIS. Используем WsusUtil.exe configuressl :

Теперь можно открыть консоль WSUS на другом ПК и убедиться что соединение работает по защищенному порту 8531 (при подключении указываем FQDN, если у сертификата нет альтернативного SAN):

В групповой политике поправим http на https и 8530 на 8531 а также пропишем в качестве имени FQDN:

На этом, настройку WSUS можно считать законченной.

Полезная информация: http://technet.microsoft.com/ru-ru/windowsserver/bb332157.aspx

Надеюсь озвученная информация будет полезной, а если нужна будет помощь — используйте форму на главной странице моего сайта.

Используемые источники:

• https://interface31.ru/tech_it/2014/07/windows-server-2012-ustanovka-i-nastroyka-wsus.html
• https://winitpro.ru/index.php/2013/04/11/ustanovka-wsus-na-windows-server-2012/
• https://kagarlickij.com/427/