Windows Server Update Services (WSUS) - це служба оновлень, що дозволяє адміністраторам централізовано керувати розстановкою патчів і оновлень безпек для продуктів Microsoft (операційних систем Widows, Office, SQL Server, Exchange і т.д.) на комп'ютерах і серверах в корпоративній мережі. Коротенько нагадаємо, як працює WSUS: сервер WSUS за розкладом синхронізується з сервером оновлень Microsoft в Інтернеті і викачує нові оновлення для обраних продуктів. Адміністратор WSUS вибирає які оновлення необхідно встановити на робочі станції і сервери компанії. Клієнти WSUS скачують і встановлюють необхідні оновлення з корпоративного сервера оновлень згідно налаштованим політикам. Використання власного сервера оновлень WSUS дозволяє економити інтернет трафік і більш гнучко управляти установкою оновлень в компанії.
Компанія Microsoft пропонує і інші засоби установки оновлень на свої продукти, наприклад, SCCM 2007/2012. Однак на відміну від багатьох інших продуктів, сервер WSUS є абсолютно безкоштовним (насправді служба оновлень в SCCM - SUP Software Update Point також заснована на WSUS).
До виходу Windows Server 2012 останньої актуальною версією сервера оновлень Microsoft був Windows Server Update Services 3.0 SP2 - WSUS 3.2, який не підтримує сучасні ОС (як включити підтримку Windows 8 і Windows 2012 на WSUS 3.0). Разом з виходом нової серверної платформи, Microsoft презентувала і нову версію WSUS 6.0 (Що дивно, адже за логікою ця версія повинна носити ім'я WSUS 4.0 ...).Принципово в новій версії WSUS в Windows Server 2012R2 / 2016 практично нічого не змінилося. Відзначимо, що тепер інсталяційний пакет WSUS можна скачати окремо з сайту Microsoft, він інтегрований в дистрибутив Windows Server і встановлюється у вигляді окремої ролі сервера. Крім того, у WSUS 6.0 з'явилася можливість управління установкою оновлень за допомогою PowerShell.
У цій статті ми розглянемо базові питання установки і настройки сервера WSUS на базі Windows Server 2012 R2 / Windows Server 2016.
зміст:
- Установка ролі WSUS на Windows Server 2012 R2 / 2016
- Початкова настройка сервера оновлень WSUS в Windows Server 2012 R2 / 2016
Установка ролі WSUS на Windows Server 2012 R2 / 2016
Ще в Windows Server 2008 сервіс WSUS був виділений в окрему роль, яку можна було встановити через консоль управління сервером. У Windows Server 2012 / R2 народних обранців змінився. Відкрийте консоль Server Manager і відзначте роль Windows Server Update Services (Система автоматично вибере і запропонує встановити необхідні компоненти веб сервера IIS).
Відзначте опцію WSUS Services, далі необхідно вибрати тип бази даних, яку буде використовувати WSUS.
У Windows Server 2012 R2 підтримує такі типи SQL баз даних для WSUS сервера:
- Windows Internal Database (WID);
- Microsoft SQL Server 2008 R2 SP1 2012, 2014 року, 2016 редакціях Enterprise / Standard / Express Edition;
- Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.
Відповідно ви можете використовувати вбудовану базу даних Windows WID (Windows Internal database), яка є безкоштовною і не вимагає додаткового ліцензування. Або ви можете використовувати виділену локальна або віддалену (на іншому сервері) базу даних на SQL Server для зберігання даних WSUS.
База WID за замовчуванням називається SUSDB.mdf і зберігається в каталозі windir% \ Wid\ data\. Ця база підтримує тільки Windows аутентифікацію (але не SQL). Інстанси внутрішньої (WID) бази даних для WSUS називається server_name\ Microsoft## WID. У базі даних WSUS зберігаються настройки сервера оновлень, метадані оновлень і відомості про клієнтів сервера WSUS.
Внутрішню базу Windows (Windows Internal Database) рекомендується використовувати, якщо:
- Організація не має і не планує купувати ліцензії на SQL Server;
- Чи не планується використовувати балансування навантаження на WSUS (NLB WSUS);
- Якщо планується розгорнути дочірній сервер WSUS (наприклад, в філіях). У цьому випадку на вторинних серверах рекомендується використовувати вбудовану базу WSUS.
Базу WID можна адмініструвати через SQL Server Management Studio (SSMS), якщо вказати в рядку підключення \\. \ Pipe \ MICROSOFT ## WID \ tsql \ query.
Відзначимо, що в безкоштовних редакціях SQL Server 2008/2012 Express має обмеження на максимальний розмір БД - 10 Гб. Швидше за все це обмеження досягнуто не буде (наприклад, розмір бази WSUS на 2500 клієнтів - близько 3 Гб). Обмеження Windows Internal Database - 524 Гб.
У разі, установки ролі WSUS і сервера БД на різних серверах, існує ряд обмежень:
- SQL сервер з БД WSUS не може бути контролером домену;
- Сервер WSUS не може бути одночасно сервером терміналів з роллю Remote Desktop Services;
Якщо ви плануєте використовувати вбудовану базу даних (це цілком рекомендований і працездатний варіант навіть для великих інфраструктур), відзначте опцію WID Database.
Потім потрібно вказати каталог, в якому будуть зберігатися файли оновлень (рекомендовано, щоб на вибраному диску було як мінімум 10 Гб вільного місця).
Розмір бази даних WSUS сильно залежить від кількості продуктів і ОС Windows, яке ви плануєте оновлювати. У великій організації розмір файлів оновлень на WSUS сервері може досягати сотні Гб. Наприклад, у мене каталог з оновленнями WSUS займає близько 400 Гб (зберігаються поновлення для Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 і 2016, SQL Server 2008/2012/2016) . Майте це на увазі, плануючи місце для розміщення файлів WSUS.У тому випадку, якщо раніше було вибрано використання окремої виділеної БД SQL, необхідно вказати ім'я сервера СУБД, інстанси БД і перевірити підключення.
Далі запуститься установка ролі WSUS і всіх необхідних компонентів, після закінчення яких запустіть консоль управління WSUS в консолі Server Manager.
Ви також можете встановити сервер WSUS зі внутрішньою базою даних за допомогою наступної команди PowerShell:
Install-WindowsFeature -Name Updateservices, UpdateServices-WidDB, UpdateServices-services -IncludeManagementTools
Початкова настройка сервера оновлень WSUS в Windows Server 2012 R2 / 2016
При першому запуску консолі WSUS автоматично запуститься майстер настройки сервера оновлень. Розглянемо основні кроки налаштування сервера WSUS за допомогою майстра.
Вкажіть, чи буде сервер WSUS брати оновлення з сайту Microsoft Update безпосередньо або він повинен качати його з вищого WSUS сервера (зазвичай цей варіант використовується в великих мережах для настройки WSUS сервера великого регіонального підрозділу, який бере поновлення з WSUS центрального офісу, чим суттєво знижується навантаження на канали зв'язку між центральним офісом і філією).
Якщо ваш сервер WSUS сам повинен завантажувати оновлення з серверів Windows Update, і доступ в Інтернет у вас здійснюється через проксі-сервер, ви повинні вказати адресу проксі сервера, порт і логін / пароль для авторизації на ньому.
Далі перевіряється зв'язок з вищим сервером оновлення. Натисніть кнопку Start Connecting.
Потім необхідно вибрати мови, для яких WSUS буде завантажувати оновлення. ми вкажемо English і Russian (Список мов може бути в подальшому змінений з консолі WSUS).
Потім вказується список продуктів, для яких WSUS повинен завантажувати оновлення. Необхідно вибрати всі продукти Microsoft, які використовуються у Вашій корпоративній мережі. Майте на увазі, що всі оновлення займають додаткове місце на диску, тому зайві продукти відзначати не слід. Якщо ви точно впевнені, що у вашій мережі не залишилося комп'ютерів з Windows XP або Windows 7, що не вибирайте ці опції. Тим самим ви заощадите істотно місце на диску WSUS сервера.
У разі необхідності ви зможете вручну імпортувати будь-які оновлення з каталогу Microsoft Update Catalog на свій сервер WSUS.На сторінці Classification Page, потрібно вказати типи оновлень, які будуть поширюватися через WSUS. Рекомендується обов'язково вказати: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Оновлення редакцій (білдів) Windows 10 (1709, 1803, 1809 і т.д.) в консолі WSUS входять в клас Upgrades.Далі необхідно вказати розклад синхронізації оновлень - рекомендується використовувати автоматичну щоденну синхронізацію сервера WSUS з серверами оновлень Microsoft Update. Має сенс виконувати синхронізацію в нічні години, щоб не завантажувати канал доступу в Інтернет в робочий час.
Первісна синхронізація сервера WSUS з вищим сервером оновлень може зайнятий декілька днів, в залежності від кількості продуктів, яке ви вибрали раніше і швидкості доступу в Інтернет.
Після закінчення роботи майстер запуститься консоль WSUS.
З метою підвищення продуктивності сервера WSUS на Windows Server рекомендується виключити такі папки з області перевірки антивіруса:
- \ WSUS \ WSUSContent;
- % Windir% \ wid \ data;
- \ SoftwareDistribution \ Download.
Клієнти тепер можуть отримувати оновлення, підключившись до WSUS сервера по порту 8530 (в Windows Server 2003 і 2008 за замовчуванням використовуватися 80 порт). При великій кількості комп'ютерів (більше 1500) продуктивність пулу IIS WsusPoll, який роздає поновлення клієнтів, можна відрегулювати відповідно до статті.
Для можливості перегляду звітів за встановленими оновлень на сервері WSUS потрібно встановити додатковий компоненти Microsoft Report Viewer 2008 SP1 Redistributable (або вище), який можна вільно скачати з сайту Microsoft.
В інших статтях ми розглянемо подальшу настройку сервера WSUS на Windows Server 2012 R2 / 2016, і настройку параметрів клієнтів (серверів і робочих станцій) WSUS за допомогою групових політик, особливості схвалення оновлень і перенесення схвалених оновлень між групами на WSUS.