WSUS (Windows Server Update Services) – это централизованная система управления обновлениями Windows в локальной сети через единый сервер. Клиенты получают обновления без прямого доступа в Интернет.
Работает следующим образом: обновления загружаются на сервер, затем, под контролем администратора или автоматически, обновления распространяются на клиентов внутри сети. Клиенты настраиваются на получение обновлений с сервера, а не из Интернета через GPO.
В техническом плане WSUS – это роль Windows Server. Чтоб успешно использовать WSUS требуется доменная сеть с контроллером домена. На DC устанавливать WSUS не рекомендуется.
Порядок действий.
Часть 1.
Создание ВМ
Настройка роли.
Первоначальная настройка сервера.
Часть2.
Добавление клиентов через GPO.
Утверждение обновлений вручную и автоматически.
Расписание.
Создание ВМ.
Устанавливаем ОС, добавляем в домен, выполняем другие базовые настройки. Обязательно настраиваем доступ в Интернет для скачивания обновлений.
Системные параметры сервера в данном случае такие:
ВМ Windows Server 2019.
CPU: 6 ядер.
ОЗУ динамическая: мин. 8Гб, макс 12Гб.
Системный диск: 100Гб.
Диск для данных: 300Гб.
Размер диска зависит от количества обновляемых продуктов Windows.
Под управлением WSUS-сервера находится 400 компьютеров.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
# Создание ВМ с именем WSUSSERVER, 2-поколения, ОЗУ 8Гб, SYSTEM HDD 100Гб. New-VM -Name "WSUSSERVER" -Path D:\HYPER-V -Generation 2 -MemoryStartupBytes 8GB -NewVHDPath "D:\HYPER-V\WSUSSERVER\Virtual Hard Disks\WSUS-SYSTEM.vhdx" -NewVHDSizeBytes 100GB # Подключение виртуального дисковода и ISO образа.(у каждого свое название образа) Add-VMDvdDrive -VMName WSUSSERVER -Path D:\ISO\ windows_server_2019.iso # Отключение безопасной загрузки. Set-VMFirmware "WSUSSERVER" -EnableSecureBoot Off # Назначим переменные для порядка загрузки и первым поставим виртуальный дисковод $LAN = Get-VMNetworkAdapter -VMName WSUSSERVER $HDD = Get-VMHardDiskDrive -VMName WSUSSERVER $DVD = Get-VMDvdDrive -VMName WSUSSERVER Set-VMFirmware -VMName WSUSSERVER -BootOrder $DVD, $HDD, $LAN # Установка 6 ядер для виртуального процессора. Set-VMProcessor WSUSSERVER -Count 6 # Активация и настройка динамической памяти (мин 8Гб макс 12Гб, стартовая 8Гб) Set-VMMemory WSUSSERVER -DynamicMemoryEnabled $True -MaximumBytes 12GB -MinimumBytes 8GB -StartupBytes 8GB #Подключение (создание) виртуального сетевого адаптера к ВМ и выбор для него созданного коммутатора. Add-VMNetworkAdapter -VMName WSUSSERVER -Name "VIRTUAL-ETHER1" -SwitchName "vSW-SFP+" # Добавление второго диска. # Создаем новый VHDX диск New-VHD -Path "D:\HYPER-V\WSUSSERVER\Virtual Hard Disks\DATA.vhdx" -SizeBytes 300GB -Dynamic # Подключаем созданный диск к виртуальной машине Add-VMHardDiskDrive -VMName "WSUSSERVER" -Path "D:\HYPER-V\WSUSSERVER\Virtual Hard Disks\DATA.vhdx" |
Настройка роли.
Добавляем роль стандартным способом через диспетчер серверов.
Выбираем роль WSUS.
Следующий шаг – службы ролей.
WID Connectivity – это компонент, который подключает WSUS к базе WID (Windows Internal Database).
Если выбран WID Connectivity, значит WSUS будет использовать встроенную БД. Отдельный SQL Server не нужен.
Указываем расположение обновлений на подготовленном диске.
При выборе роли WSUS так же выбирается IIS. WSUS раздаёт обновления клиентам по HTTP/HTTPS. Для этого ему нужен веб-сервер и таким веб-сервером является IIS.
В данном выборе ничего не меняем и оставляем предлагаемые по умолчанию параметры.
Клиентские ПК подключаются к WSUS как к веб-сайту по адресу:
|
1 |
http://wsusserver:8530 |
IIS обслуживает этот трафик. Без IIS WSUS работать не может.
Проверяем, подтверждаем установку и ожидаем.
Запуск послеустановочных задач – это обязательный этап, без которого WSUS не заработает. На этом шаге сервер инициализирует базу данных (WID), создаёт структуру WSUS, привязывает IIS, готовит хранилище обновлений. Нажимаем и ожидаем 5-10мин.
Первоначальная настройка WSUS.
Открываем в средствах добавленную роль и проходим мастер первоначальной настройки.
Первый шаг – далее.
Выбираем Synchronize from Microsoft Update. WSUS синхронизируется напрямую с Microsoft Update.
Прокси не используем – далее. Если используется, то его нужно указать.
Далее шаг проверки подключения и первой синхронизации.
На этом этапе WSUS подключается к Microsoft Update и скачивает метаданные (список продуктов, типы обновлений, доступные языки и тп).
Нажимаем кнопку «Начать подключение». Ожидаем 10-30мин.
Переходим далее.
Выбираем только необходимые языки обновлений, чтоб не занимать место на диске не используемыми данными.
Выбираем продукты, для которых получать обновления. Отмечаем те версии Windows, которые реально есть в организации среди клиентов, чтобы WSUS раздавал обновления безопасности и кумулятивные обновления и при этом не раздувался на сотни ГБ из-за вспомогательных пакетов и не используемых драйверов.
Upgrade & Servicing Drivers – основные кумулятивные обновления и обновления функций для конкретной версии Windows.
Просто «Windows 11» – это обобщённая категория, чтобы WSUS не упустил новые версии (для будущих сборок).
Microsoft рекомендует выбирать продукт «Windows 11» (и аналогично другие Windows), а детализированные позиции вида «Windows 11 Client, version ХХHХ and later …» использовать только при осознанной необходимости. Поэтому выбраны Windows 10, Windows 11, Windows Server 2019, 2022 и тп, то есть все имеющиеся в работе ОС и без детализации.
Если понадобится что-нибудь добавить или убрать, то это можно сделать позже в настройке сервера.
Выбор классов – здесь тоже выбираем только то, что реально нужно.
Отмечаем:
Критические обновления.
Накопительные пакеты обновления.
Обновления системы безопасности.
Upgrades – обновления версии ОС (21H1 >> 21H2). Для обычного контроля безопасности и кумулятивных обновлений не нужны, но можно оставить.
Далее расписание. Указываем время синхронизации WSUS-сервера с центром обновления в Интернете.
Для обычной эксплуатации ежедневная автоматическая синхронизация – оптимально.
Первая синхронизация:1:00:00. Время лучше ставить вне рабочего дня, например ночью. WSUS автоматически добавляет случайную задержку до 30 минут, чтобы не перегружать сеть и сервер.
Число синхронизаций за день: 1 раз в день достаточно в большинстве случаев.
Первую синхронизацию можно сделать вручную, чтобы проверить соединение.
Запускаем первоначальную синхронизацию. Это создаст базу доступных обновлений на WSUS. Без этого не получится утверждать обновления и раздавать их клиентам.
На последнем шаге предлагаются ссылки для изучения работы с WSUS. Завершаем работу мастера на кнопку «Готово».
Далее откроется консоль сервера. Ожидаем синхронизацию. Первая синхронизация всегда самая долгая, несколько часов.
В консоли можно изменить все вводимые через мастер параметры.
Для подключения используем дополнительный компонент RSAT: WSUS Tools.
Выполняем действия на рабочем месте администратора.
Проверяем состояние через PowerShell с правами админа.
|
1 |
Get-WindowsCapability -Name RSAT.WSUS* -Online |
Видим NotPresent. Значит необходимо установить.
Вводим команду.
|
1 |
Add-WindowsCapability -Online -Name RSAT.WSUS.Tools~~~~0.0.1.0 |
Ожидаем установку.
После успешной установки переходим через панель управления в инструменты Windows. Находим и запускаем оснастку WSUS.
Выбираем подключить к серверу.
Вводим сетевое имя WSUS-сервера. Порт стандартный 8530. Подключаемся.
Попадаем в сервер. Можно работать.
Первоначальная настройка завершена.
На следующей странице представлен пример добавления клиентов и дальнейшая работа с обновлениями.