Развёртывание локального сервера обновлений под управлением WSUS
Сегодня я хочу поделиться своим опытом развёртывания сервера обновлений WSUS. Тем кто работает с WSUS, наверное будет неинтересно, а тем, кто не знает, что это, или знает, но не использует может и пригодится. Но для начала пару слов о том, что это и для чего это нужно.
Статья большая, но в ней много картинок (как любят писать на одном очень популярном в определённых кругах сайте – осторожно, трафик! 😉
Что такое WSUS?
Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. С его помощью можно обновлять как собственно операционные системы, так и многие другие продукты Microsoft (Office, Exchange, SQL и многие другие).
WSUS — бесплатный продукт, его можно скачать с сайта Microsoft.
Зачем это нужно?
По умолчанию операционные системы обновляются самостоятельно с сервера Microsoft, который находится где-то в интернете:
Типичная схема обновления
Для малых организаций эта схема вполне приемлема, но если количество компьютеров организации больше, чем n (нет, n это мало, лучше m :)) и если софт от Microsoft не ограничивается только операционными системами, то количество скачиваний и следовательно трафика значительно увеличивается. Например в организации 100 компьютеров, на каждом из которых установлены Windows 7 и Office. Допустим выходят обновления для семёрки и офиса, размером по 1 МБ каждое. Так, чтобы обновить все компьютеры понадобится выкачать 200 МБ. В наш цифровой век для многих это уже проблема, но всё же зачем лишний раз “засорять эфир”.
Ещё одно неудобство автоматического обновления кроется в использовании какого-либо специфического софта, или драйверах, которые могут конфликтовать с обновлениями. Да и сам Microsoft не безгрешен, и время от времени обновления сами по себе вызывают конфликт с системой (например, проблема с SP1 для Windows 7, после установки которого некоторые системы работали нестабильно, а некоторые вообще вываливались в синий экран). В этом случае одним единственным обновлением можно “положить” все компьютеры организации.
Для предотвращения таких ситуаций может служить установка локального сервера обновлений под управлением WSUS.
При использовании WSUS схема обновлений выглядит иначе: WSUS-сервер выкачивает все необходимые обновления, а клиенты сети обновляются уже с этого сервера:
Схема обновления с использованием WSUS
При желании/необходимости можно протестировать свежие обновления на тестовом компьютере, и только после успешной проверки обновлять всю сеть.
Ещё если сеть организации очень большая, и/или распределена территориально по разным городам, можно настроить так, чтобы был один главный сервер WSUS (upstream), и несколько других, которые будут загружать обновления с него (downstream), а клиенты в свою очередь будут обновляться с этих WSUS серверов. Но это уже детали, на них я останавливаться не буду.
Установка WSUS
Для нормальной работы потребуются следующие компоненты:
- Windows Server 2003 SP1/2008
- IIS 6.0+
- Microsoft .NET Framework 2.0+
- Microsoft Report Viewer
- MS SQL 2005 SP1+, но в принципе можно обойтись Windows Internal Database (встроена в WSUS).
Установка WSUS не требует больших усилий; при установке нужно указать следующие параметры:
-
нужно-ли хранить все скачанные обновления локально (в этом случае нужно указать место хранения обновлений), или же использовать WSUS только в качестве прокси;
-
использовать-ли SQL Server или Windows Internal Database;
-
порт, на котором будет работать WSUS – по умолчанию выбран 80-й порт (для всех http-запросов), или же создать отдельный порт для WSUS (8530), что наверное предпочтительней.
Настройка WSUS
После первоначальной настройки (выбора вышестоящего сервера (то-ли сервера WSUS, то-ли Microsoft Update), прокси-сервера (если используется)) необходимо выполнить первоначальную синхронизацию, после которой будет доступна следующая информация об обновляемых продуктах:
- Имеющиеся типы обновлений;
- Продукты, допускающие обновления;
- Доступные языки.
WSUS — Подключение к вышестоящему серверу
После этой синхронизации можно выбирать что и для чего загружать.
А именно: языки:
Языки обновлений
продукты:
Продукты
классы обновлений:
Классы
В данном примере WSUS конфигурируется таким образом, что он будет выкачивать только критические обновления для русскоязычных версий Windows XP.
На следующем этапе нужно указать расписание синхронизации с вышестоящим сервером – либо вручную, либо автоматически. Во втором случае нужно указать время первой синхронизации и количество синхронизаций в день:
Расписание синхронизации
Все эти настройки можно настраивать как при первоначальной настройке, так и потом в любое время (на скриншотах как раз из варианта “потом”).
Теперь у нас всё готово для работы. После прохождения всех вышеописанных этапов открывается консоль WSUS:
Консоль WSUS
В дереве слева задаются опции, большинство из которых мы уже рассмотрели.
Так как сервер мы только настроили, и ещё не запускали синхронизацию, то в разделе “Общие сведения” сплошные нули.
Нажимаем “Синхронизировать сейчас” и ждём.
Примечание: Нужно отметить, что процесс получения обновлений сравнительно длительный процесс (особенно в первый раз) и зависит от тех настроек, которые мы рассматривали выше, а именно какие обновления качать, для каких продуктов, и на каких языках. За это время можно если не выпить, то налить чашку кофе точно 🙂
После завершения синхронизации в этом же окне можно ознакомиться с результатом синхронизации и с количеством выкачанных обновлений:
Консоль WSUS после синхронизации
Развернув дерево в левой части окна, можно выбрать конкретный тип обновлений, в левой части окна вверху появится список соответствующих обновлений, а снизу информация о выбранном обновлении:
Обзор обновлений
А при двойном щелчке на обновлении подробная информация о нём открывается в отдельном окне, при условии, что был установлен Microsoft Report Viewer.
После ознакомления с информацией об обновлении, для того, чтобы его можно было установить, его нужно одобрить (некоторые обновления заменяются другими, и их можно не устанавливать, в таком случае в информации об обновлении появляется предупреждение). Для одобрения нужно нажать правой кнопкой мышки на обновлении и в появившемся меню выбрать пункт Одобрить. В следующем окне последовательно нажать Одобрено для установки и Применить к дочерним.
Одобрение обновлений
На этом настройка собственно WSUS заканчивается.
Настройка групповых политик
Далее если используется домен, на контроллере домена нужно создать групповую политику для обновления и привязать её к какому-либо подразделению (OU) либо же ко всему домену. Если домена нет, то нужно изменить групповую политику на клиентских компьютерах таким образом, чтобы сервером обновлений был WSUS.
Для этого в консоли Group Policy Managment нужно перейти в раздел Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Windows Update. В этом разделе содержатся настройки, относящиеся к обновлению.
В данном случае нас интересуют лишь некоторые параметры.
Настройка автоматического обновления:
Свойства: Настройка автоматического обновления
Переключатель нужно поставить в положение Включён и настроить один из четырёх вариантов обновления
-
Уведомить о загрузке и установке
-
Автоматически загрузить и уведомить об установке
-
Автоматически загрузить и установить по расписанию
-
Разрешить локальному администратору выбрать параметр
Если выбрать пункт автоматически загрузить и обновить, ниже нужно будет задать расписание.
Указать размещение службы обновлений Microsoft в интрасети:
Свойства: Указать размещение службы обновлений Microsoft в интрасети
Также включить, и указать полный путь к серверу в WSUS, и серверу статистики.
Частота поиска автоматических обновлений:
Свойства: Частота поиска автоматических обновлений
Указать в часах как часто следует проверять наличие обновлений.
Также можно включить Разрешить пользователям, не являющимся администраторами, получать уведомления об установке.
Всё! Наконец-то всё настроено можно переходить к проверке.
Проверка на клиенте
При использовании групповых политик для обновления системы, все настройки, отвечающие за обновление будут недоступны даже для администратора. В этом можно убедиться зайдя на вкладку Автоматическое обновление свойств системы:
Свойства системы: автоматическое обновление
Для того, чтобы не ждать когда наступит время для обновления, заданное по расписанию, можно инициировать поиск обновлений вручную. Для этого в командной строке, нужно выполнить команду wuauclt /detectnow, после чего начнётся процесс поиска обновлений, а в трее появится наверное знакомый всем значок, информирующий о ходе установки обновлений:
Значок в трее
Вернувшись в консоль WSUS можно наблюдать за процессом:
Процесс обновления
Напоследок хотелось бы сказать ещё пару слов о группах компьютеров.
WSUS позволяет группировать компьютеры для определения обновлений для конкретных компьютеров. При первом подключении все компьютеры по умолчанию попадают в группы “Все компьютеры” и “Неназначенные компьютеры”.
Группы можно использовать, например, для тестирования обновлений до того, как развёртывать их на всю сеть. И если проверка прошла успешно применять обновления к группе “Все компьютеры”. Подробнее о группах компьютеров и о тонкостях работы с WSUS можно ознакомиться в пошаговом руководстве по началу работы с WSUS.
-
13/04/2013 в 02:30При включении компьютера запускается chkdsk и “ломается” антивирус | SMEARG
-
02/12/2013 в 14:27Краткий обзор WSUS Offline Update | SMEARG
-
16/06/2014 в 11:49Как удалённо установить Powershell на Windows XP | SMEARG
-
19/10/2017 в 11:58Как удалить обновление из неработающей Windows 10 | SMEARG
Недавние комментарии