Wsus установка и настройка. Установка и настройка WSUS

В одной из предыдущих статей по службам Windows Server Update Services, а именно в статье «Планирование архитектуры WSUS», я говорил, что для каждой модели развертывания серверов WSUS целесообразно использовать группы компьютеров. Группы позволяют вам предотвратить развертывание обновлений, которые могут ухудшить работоспособность операционной системы ваших сотрудников. Например, вы можете создать группы для тестирования и пилотного развертывания обновлений, предназначенные для лабораторного тестирования новых обновлений, а также развертывания в испытательной группе, сотрудники которой являются компетентными ИТ-специалистами, помогающими идентифицировать и устранять возникшие неполадки. Помимо этого, вы можете создавать дополнительные группы для развертывания обновлений для различных моделей компьютеров, например, отдельные группы для почтовых серверов, для контроллеров домена, а также группы, в которые будут входить ваши пользователи. Настройка пользователей на конкретные группы позволяет вам гарантировать, что каждый компьютер получит нужное рабочее обновление в удобное для пользователя время. Стоит обратить внимание, что каждый клиентский компьютер может быть настроен на подключение только к одному серверу обновлений. Другими словами, если в вашей организации разворачивается дополнительный WSUS-сервер и компьютер пользователя перенаправляют на второй WSUS-сервер, он автоматически перестает подключаться к первому серверу. Несмотря на это, на том сервере обновлений, который использовался клиентом ранее, клиентский компьютер все еще останется в списке компьютеров и групп, а сам сервер будет вам периодически напоминать о времени последнего подключения компьютера к данному серверу.

По умолчанию на серверах WSUS созданы две группы: «Все компьютеры» и «Неназначенные компьютеры» , куда изначально входят все клиентские компьютеры, подключенные к WSUS-серверу. Группы вы можете создавать вручную, образовывая так называемую иерархию. Количество групп может быть не ограниченным. В этой статье вы узнаете о самом процессе создания групп, а также о настройке клиентских компьютеров средствами групповой политики.

Создание групп компьютеров и назначение компьютеров в группы со стороны сервера

Создание групп компьютеров с помощью оснастки «Update Services» – процесс довольно таки простой. Для того чтобы создать дополнительную группу, выполните следующие действия:

Если в вашей организации для назначения компьютеров в группы компьютеров не используется назначение со стороны клиентов средствами параметров групповых политик или системного реестра, вы можете назначать клиентские компьютеры в группы со стороны сервера, а именно средствами оснастки «Update Services» . Для того чтобы назначить компьютер в группу компьютеров со стороны сервера, выполните следующие действия:

В оснастке «Update Services» , в дереве консоли разверните узлы «Компьютеры» и «Все компьютеры» , после чего выберите группу «Неназначенные компьютеры» , где должны отображаться компьютеры, которые не были назначены в конкретные группы;
Выделите компьютер, который следует поместить в определенную группу, щелкните на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить членство» ;
В диалоговом окне «Настройка членства в группах компьютеров» установите флажок для одной или нескольких групп, в которые нужно включить компьютер и нажмите на кнопку «ОК» .

Назначение клиентских компьютеров в группы компьютеров со стороны клиента

В большинстве случаев, в организациях принято назначать клиентские компьютеры в группы компьютеров со стороны клиента, а именно средствами групповых политик. Данный способ позволяет автоматически назначать все настройки клиентам, которые добавляются в сеть. Прежде чем переходить к процедуре назначения компьютера в группу компьютеров средствами групповых политик, рассмотрим параметры групповой политики, доступные для управления клиентскими компьютерами Windows Server Update Services:

Включить рекомендуемые обновления через автоматическое обновление . Используя этот параметр групповой политики, вы можете определить, будет ли на клиентском компьютере служба автоматического обновления Windows доставлять обновления, которые помечены как важные и рекомендуемые из Центра обновления Windows. В том случае, если вы отключите данный параметр, то будут доставляться только важные обновления;
Включить уведомление о наличии программ . Этот параметр позволяет вам отображать подробные расширенные уведомления от службы центра обновления Майкрософт пользователям, что ускоряет установку и использование дополнительных приложений;
Задержка перезагрузки при запланированных установках . При помощи этого параметра вы можете указать промежуток времени, в течение которого операционная система будет ожидать перед плановой перезагрузкой. Данный параметр применяется для службы автоматического обновления только в том случае, если установка обновлений настроена по расписанию, в противном случае вам придется выполнять перезагрузку в ручном режиме. Если данный параметр политики отключен, то перед перезагрузкой компьютер будет ожидать 15 минут, если же вы включите данный параметр, то промежуток времени будет изменен до 5 минут;
Настройка автоматического обновления . Данный параметр групповой политики позволяет вам определить, как именно клиентский компьютер будет получать обновления для операционной системы и приложений. Если вы включите данный параметр, вам нужно будет выбрать один из четырех параметров, которые выполняют те же функции, что и параметры, расположенные в раскрывающемся списке «Важные обновления» в окне настроек параметров центра обновления Windows. Если вы выберите параметр «2 – уведомление о загрузке и установке» , то при обнаружении операционной системой новых обновлений, в области уведомлений будет отображаться значок, свидетельствующий о том, что вы можете загрузить и установить обновления. После того как будут выбраны обновления, необходимые для загрузки, они будут загружены в фоновом режиме и вам нужно будет их установить. Данный вариант приемлем для персонала, тестирующего обновления, а также для некоторых домашних пользователей, но его ни в коем случае не стоит выбирать для пользователей в организации, так как следить за состоянием своей операционной системы будет от силы один из десяти ваших пользователей. Если установить параметр , что равносильно значению «Загружать обновления, но решение об установке принимается мной» в графическом пользовательском интерфейсе, то после того как операционная система обнаружит новые обновления, она их автоматически загрузит на компьютер в фоновом режиме и вам нужно будет только установить загруженные обновления. Выбрав параметр , то обновления будут автоматически загружены и установлены в указанное в данном параметре время, причем, если для завершения установки понадобится перезагрузить компьютер, он будет перезагружен в автоматическом режиме. Установив параметр под номером 5, вы разрешите локальным администраторам выбирать режим вывода уведомлений об обновлениях и их установке, что, по моему мнению, стоит выбирать только в самых крайних случаях.
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи . Этот параметр групповой политики позволяет для завершения установки обновлений по расписанию запретить автоматическую перезагрузку компьютера, тем самым дав пользователям возможность перезагружать систему автоматически при первом входе в систему;
Не задавать по умолчанию параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows» . Используя текущий параметр, вы можете определить, будет ли в диалоговом окне завершения работы операционной системы по умолчанию отображаться команда . В том случае, когда завершение установки обновления требует перезагрузки, то отображается именно эта команда, но если включить данный параметр групповой политики, то в диалоговом окне завершения работы операционной системы будет установлена по умолчанию та команда, которая задана в настройках операционной системы;
Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows» . Многие из вас знают, что если на компьютере есть обновления, которые будут установлены после перезагрузки компьютера, то команда «Завершить работу» меняется на «Установить обновления и завершить работу» . Такое название команды может довести некоторых пользователей практически до предынфарктного состояния. Чтобы избежать таких ситуаций вы можете воспользоваться данным параметром групповой политики. При включенном параметре команда «Завершение работы» всегда будет иметь такое название даже в том случае, если на компьютере присутствуют обновления, которые будут установлены после перезагрузки или выключения компьютера;
Перенос запланированных автоматических установок обновлений . Данный параметр групповой политики позволяет вам указать период ожидания после загрузки операционной системы до выполнения пропущенной ранее установки обновлений по расписанию. По умолчанию пропущенная установка обновлений по расписанию выполняется через одну минуту после загрузки системы, при отключении данного параметра, система будет ждать до следующей установки по расписанию. Если же вы включите данный параметр, то сможете указать период времени, в течение которого операционная система будет ждать до выполнения установки пропущенных обновлений;
Повторный запрос для перезагрузки при запланированных установках . Периодически практически у каждого пользователя случаются такие ситуации, когда он загружает и устанавливает обновления, но не хочет перезагружать компьютер для завершения установки некоторых обновлений. В этом случае каждые 10 минут выскакивает предупреждающее приглашения с предложением перезагрузить компьютер, которое может действовать некоторым людям на нервы. Если вы относитесь к таким пользователям, то этот параметр групповой политики разработан специально для вас. При помощи этого параметра вы можете определить период времени, через который пользователь увидит запрос для перезагрузки компьютера;
Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях . По умолчанию, в том случае если у вас не выбрана установка обновлений по расписанию, только локальные администраторы компьютеров могут получать уведомления об обновлениях. Если же перед вами стоит задача дать наряду с локальными администраторами обычным пользователям возможность получать уведомления, а также устанавливать важные, рекомендуемые и необязательные обновления, то вам нужно воспользоваться текущим параметром групповой политики, причем, для установки обновлений пользователи даже не увидят диалогового окна UAC;
Разрешить клиенту присоединение к целевой группе . Именно при помощи этого параметра вы можете назначить клиентский компьютер в группу компьютеров сервера Windows Server Update Services. Если группа не указана, а пользователь подключается к WSUS-серверу, то вы сможете найти этот компьютер в группе «Неназначенные компьютеры» . Если же вам нужно поместить пользователя не в одну группу, а в несколько, то разделите группы точками с запятой;
Разрешить немедленную установку автоматических обновлений . Помимо обновлений, которые для завершения установки требуют перезагрузку компьютера, есть и такие обновления, которые могут устанавливаться в работающей операционной системе без всяких перезагрузок компьютера. При помощи текущего параметра групповой политики вы можете задать службе автоматического обновления немедленную установку обновлений без прерывания каких-либо служб операционной системы или ее перезагрузки;
Разрешить прием обновлений с подписью из службы обновлений Майкрософт в интрасети . Если помимо обновлений из серверов Microsoft, ваш WSUS-сервер распространяет обновления, разработанные другими компаниями, которые подписаны сертификатом, расположенным в хранилище «Доверенные издатели» на локальном компьютере, то данный параметр групповой политики позволит вам устанавливать такие обновления. Если же данный параметр отключен, то на клиентские компьютеры будут распространяться только обновления для продуктов компании Microsoft;
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений . Если в вашей организации обновления устанавливаются автоматически по расписанию, то целесообразно устанавливать время расписания установки обновлений на ночь и не выключать полностью компьютеры, а переводить их в режим гибернации. Данный параметр групповой политики позволяет вам для установки обновлений переводить компьютер в обычный режим для установки обновлений;
Указать размещение службы обновлений Майкрософт в интрасети . По умолчанию, ваши клиентские компьютеры не знают, установлен ли в вашей организации WSUS-сервер. Используя этот параметр групповой политики, вы можете указать путь к WSUS-серверу, который будет служить внутренним сайтом служб обновлений в вашей организации. Здесь вам необходимо указать два параметра, а именно имя сервера, на котором будет выполняться поиск и загрузка обновлений, а также сервер, на который будет выполняться статистика. В большинстве случаев это один и тот же сервер;
Частота поиска автоматических обновлений . При помощи текущего параметра групповой политики вы можете указать промежуток времени между поиском новых обновлений на своем WSUS-сервере. По умолчанию доступные обновления проверяются с интервалом в 22 часа. Если вы включите данный параметр, то можете указать время ожидания в часах путем вычитания от 0 до 20% от установленного вами времени. Данную политику указывать бессмысленно в том случае, если у вас настроен параметр групповой политики «Настройка автоматического обновления» ;
Запретить использование любых средств Центра обновления Windows . Данный параметр групповой политики доступен только в разделе конфигурации пользователя и позволяет полностью запретить доступ к центру обновления Windows. Не рекомендую использовать данный параметр в производственной среде.

Теперь, после того как вы узнали о параметрах групповой политики, позволяющих управлять настройками центра, попробуем назначить на контроллере домена клиентский компьютер в группу компьютеров. Для этого выполните следующие действия:

После того как объект групповой политики будет окончательно настроен, для того чтобы на клиентских компьютерах моментально обновились параметры групповой политики вам нужно будет на каждом клиентском компьютере в командной строке выполнить команду «gpupdate /force» от имени учетной записи, которая входит в группу администраторов.

Заключение

В этой статье вы узнали о том, как можно создавать и управлять группами компьютеров. Также были рассмотрены способы назначения клиентских компьютеров в группы компьютеров на стороне сервера, а именно средствами оснастки «Update Services» и со стороны клиента, т.е. при помощи групповых политик. Помимо этого были подробно рассмотрены все параметры групповой политики, которые имеют отношение к центру обновлений Windows и службе автоматического обновления.

Windows Server Update Services (WSUS ) - сервер обновлений операционных систем и продуктов Microsoft . Очень полезная консоль при наличии в офисе более 10 компьютеров. Полезен тем, что позволяет с ОДНОГО сервера «раскидывать» обновления на все компьютеры в сети, т. е. не каждый отдельный компьютер должен загружать интернет-канал, а один сервер скачивает обновления и «раздает» по сети всем рабочим станциям и серверам.

Изначально в Windows 2003 необходимо было скачивать с сайта Microsoft дистрибутив WSUS , с появление Ms Windows 2008 и Ms и Windows 2008 R 2 это необходимость исчезла, т.к. появилась роль WSUS , хотя можно и по старинке скачать с сайта Microsoft дистрибутив .

Для установки необходимо выполнить минимальные требования, а именно:
Операционная система: Windows Server 2003 SP1 и выше.
Дополнительные роли сервера: IIS 6.0 и выше (для Windows Server 2008 при добавлении роли сам предложит установиться)
Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).
Необходимо учесть место на жестком диске я рекомендовал бы минимум 100 Гб, зависит от того какие у вас настройки выставлены в WSUS.
Итак, неважно каким способом вы устанавливаете (с помощью дистрибутива или добавлением роли) шаги будут одинаковы.

После запуска установки необходимо нажать несколько раз Далее. Остановлюсь на основных шагах:
Указываем где будут хранится обновления (диск объемом не менее 100 Гб свободного места)

Указываем папку где будут храниться база данных обновлений (2-4 Гб свободного места).

Очень важный шаг выбора порта по которому будут осуществляться распространения обновлении, по умолчанию используется 80 порт, но его использовать я не рекомендую, т.к. этот порт часто используется другими приложениями. Лучше создать веб-сайт службы WSUS и использовать порт 8530.

После установки службы Wsus необходимо ее правильно настроить, опять же рассмотрим основные шаги:
Выбираем откуда будем брать обновления, если это первый сервер с Wsus то выбираем синхронизацию с центра обновлений Майкрософт.

Выбирать языки следует Английский (обязятельно) + те языки которые встречаются в вашей сети.

Выбираем продукты которые будут обновляться (следует указывать только те которые вы используете, иначе бесмысленные обновления будут занимать место на жеском диске).

Выбираем классы продуктов котрые будут обновляться.

Основные настройки выполнены, переходим к дополнительным, настройке непосредственно консоли WSUS, для удобства я бы рекомендовал создать 2 группы компьютеров, в одной группе будут сервера, в другой рабочие станции (делается для того что бы можно было ограничить установку обновлений для серверов).

Изначально все компьютеры будут находится в Неназначенных компьютерах , затем вручную необходимо переместить компьютеры в необходимые группы. Для рабочих станций рекомендую устанавливать все обновления, для это заходим в «Параметры- Автоматические одобрения » и делаем следующее правило.

А для серверов делаем правило для одобрения только критических обновлений (Для серверов крайне не рекомендуется ставить все обновления, т.к. это может вызвать сбои в их работе, сталкивался с этим неоднократно).

Теперь необходимо внести изменения во все компьютеры сети, что бы они знали откуда "брать" обновления. Делается это с помощью групповых политик. Заходим на контролер домена «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy) или создаем новую. Кликаем правой кнопкой и выбираем «Изменить ». В окне «Редактор управления групповыми политиками » заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Внизу готовые и проверенные настройки. Там где красная линия впишите имя или IP адрес своего сервера на котором установлен WSUS.

на русском языке:

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности ».
В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.
Спустя несколько минут после всех процедур в консоле Wsus в группе Неназаченные компьютеры начнут появляться компьютеры сети. Согласно их операционной системы вы перемещаете их в нужную группу (Server или Workgroup). Напомню, согласно нашим настройкам на компьютеры которые находятся в группе Workgroup будут устанавливаться все обновления, для серверов только критические.

Владельцы компьютерных сетей сталкивались хоть раз с проблемой обновления программ. Делать это самостоятельно, без помощи специального софта, почти невозможно, так как занимает немыслимое количество времени. А время самый ценный ресурс. Если бы была служба, которая поможет решить эту проблему, автоматизируя процесс поиска, обновления и установки новых версий всех программ компании.

Такая система существует. Microsoft ещё в 2005 году выпустил службу Windows Server Update Services. Основное её предназначение - исправление и обновление продуктов Microsoft во всей компьютерной сети. Причём размер последней не играет никакой роли. Вы можете установить и настроить WSUS как для двух компьютеров, так и для пары сотен. Всё зависит исключительно от ваших требований. Новые версии выпускаются и поддерживаются и по сей день

Требования к системе

Настройка WSUS на Server 2012 не требует от пользователя глубоких познаний в программировании и компьютерных сетях. Интерфейс интуитивно понятный и удобный. Ориентация сделана на широкий круг лиц, которые будут использовать их продукт.

К тому же требования для нормальной работы службы довольно низкие, особенно по современным меркам. Например, для поддержания высокой работоспособности сервера, в сеть которого включено до пяти сотен компьютеров, рекомендуемый размер оперативной памяти должен быть не меньше 1 Гб. А тактовая частота процессора выше 1 ГГц. Согласитесь, даже старенькие офисные компьютеры обладают большими характеристиками.

Подготовка всего необходимого для WSUS

Итак, вы решились использовать для своих сетей WSUS. Установка и настройка не должна вызвать затруднений, если вы правильно подготовите для этого компьютер.

Раздел диска, на который вы собрались устанавливать WSUS, а также предназначенный для системы обязательно отформатируйте в NTFS.
Убедитесь, что компьютер имеет по меньшей мере 1 гигабайт оперативной памяти.
В зависимости от количества компьютеров в сети, выделите нужное свободное дисковое пространство. Для небольших сетей необходимо минимум 6 гигабайт. Исходя из опыта пользователей, рекомендуется выделить 30 гигабайт памяти на том диске, где будут храниться данные WSUS. Служба будет скачивать и устанавливать дополнительное программное обеспечение, поэтому лучше добавить больше памяти и быть уверенным в стабильной работе, чем пожалеть и постоянно проверять её работу.

Нужные компоненты

Не забывайте, что WSUS - это система для обновления программ и должна быть установлена в операционную систему семейства Windows. Также подготовьте и другие компоненты из этого списка перед установкой:

Microsoft Internet Information Services (IIS) 6.0.
Microsoft .NET Framework 1.1 с пакетом обновления 1 или выше.
Background Intelligent Transfer Service (BITS) 2.0.

Кроме подготовки сервера нужно включить в работу все клиентские компьютеры сети. Включите на них автоматическую службу обновления. Во всех операционных системах от Microsoft она присутствует. После завершения этого подготовительного этапа можно смело переходить к следующему.

Процесс установки

Установить сервис WSUS можно, только обладая администраторскими правами. Поэтому зайдите с учётной записи администратора. После этого запустите файл WSUSSetup. Он имеет расширение.exe и весит совсем немного - около 130 мегабайт.

Откроется стандартное окно Мастера установки. В нём прочитайте и примите лицензионное соглашение. В следующем окне появится возможность выбора источника обновления. Можно выбрать локальное хранение данных на сервере, либо загрузку с узлов Microsoft.

Для экономии трафика рекомендуется выставить локальный тип. В этом случае вы не только снизите затраты компании на Интернет, но и увеличите скорость установки обновлений на клиентских компьютерах. Не стоит сильно придавать этому выбору значения, всё равно за вами останется возможность настроить её позже по вашему усмотрению.

Следующее окно предлагает выбрать, какие параметры будут установлены для баз данных:

Вместе с WSUS дополнительно установится WMSDE. Он входит в состав программы и платить за него не нужно. Поэтому большинство пользователей устанавливают именно его. Причин отказа от него нет, да и к тому же это помогает избежать проблем в будущем.
Во втором случае устанавливаться WMSDE не будет. Вместо него будут использованы существующие базы данных от Microsoft SQL. При выборе этого пункта при длительной работе могут возникнуть сложности с тем, что данные могут устареть, и когда выйдет обновление на компьютерах, не сразу появится возможность обновиться.

В следующем окне вам предоставляют выбор веб-узла, который будет использовать сервер WSUS. Настройка здесь не требуется и в большинстве случаев используются стандартные предложенные параметры. Это узел IIS и порт с номером 80.

В последнем окне установки выбирается управляющая роль сервера. Если в вашей сети этот сервер первый и единственный, то смело пропускайте.

В случае когда сервер уже не первый, окно «Параметры зеркального обновления» нужно правильно настроить. Если этого не сделать, то могут возникать конфликты между этими серверами. На втором и последующих серверах установите галочку и введите имя сервера, который был установлен изначально.

Запуск консоли администрирования

Сразу после успешной установки WSUS пользователю предлагается запустить консоль администрирования. Сделать это возможно не только с сервера, но и с любого другого компьютера сети. Но стоит запомнить, что сделать это может только пользователь, который обладает правами администратора. Расположена консоль по следующему адресу: http://имя сервера/wsusadmin.

Настраиваем WSUS

В службе WSUS после установки можно настроить следующие параметры:

создание группы компьютеров;
синхронизацию;
автоматическое обновление.

Создание группы компьютеров

Самый важный момент, без которого не может обойтись настройка WSUS 2012 r2, - это создание группы компьютеров. Это нужно для удобного обновления программ для определённых компьютеров, выполняющих разные задачи.

Есть два способа добавления компьютеров в группы:

Со стороны сервера.
Со стороны клиента.

Чем они отличаются? Возможностью автоматизации процесса. В первом случае придётся назначать каждый отдельный компьютер вручную, используя консоль. Во втором случае потребуется настроить групповую политику и реестр операционной системы.

Для добавления компьютеров откройте страницу с их параметрами. Далее выберите способ назначения.

Чтобы создать группу, откройте вкладку «Компьютеры» в консоли. Там находится кнопка «Создать группу компьютеров». Будет создана группа, в которую уже добавляются компьютеры исходя из ваших требований.

Настройка параметров синхронизации

После создания групп настройка WSUS требует выбора параметров для загрузки обновлений. Вы можете выбрать ручной режим запуска синхронизации или автоматический по указанному расписанию.

Открыв раздел «Продукты и классы», укажите те программы, которые должны обновляться. Для передачи обновлений с сервера на компьютеры отметьте в списках программы, которые соответствуют требованиям.

Загружать таким способом можно не только программы, но и многое другое: драйверы, критические исправления для операционных систем, пакеты обновлений, ключи для систем безопасности. Изменить эти параметры можно в любой момент.

Настройка источников обновления

В том случае, если WSUS установлен впервые и нет других серверов, оставьте всё по умолчанию. Загрузка будет производиться с официального узла Microsoft Update.

Если сервер не первый, то указывайте данные главного WSUS.

Настройка автоматического одобрения

Ещё одним важным параметром автоматизации процесса является автоматическое одобрение. Это позволит не отвлекаться и не подтверждать вручную скачивание и передачу новых обновлений. Эта настройка WSUS находится в консоли.

Настройка синхронизации

Последний этап в настройке параметров - синхронизация. Она служит для проверки всего программного обеспечения сети на соответствие с последними обновлениями.

В случае подключения компьютера к сети сервер определит версию программ на нём и, если они отличаются от последних, отправит все обновления на него.

Небольшое послесловие

Как вы уже поняли, установка и проста и понятна. У системного администратора не должно возникнуть проблем с установкой и настройкой сервера. При этом использоваться может любая версия. Между собой никакой разницы в плане настройки WSUS Windows Server 2012 и любой другой версии нет . Каждая более новая версия работает быстрее и стабильнее, эффективнее использует ресурсы компьютера.

В то же время служба крайне полезна и функциональна. Она просто незаменима для предприятий любого уровня. С помощью WSUS вы сможете сэкономить драгоценные нервы и время. Не просто так её рекомендуют использовать все.

Февраль 10

WSUS (Windows Server Update Services ) нужен для автоматической закачки заплаток, пакетов обновлений и других примочек с сайта Microsoft, и раздачи этого контента внутри локальной сети. Т.е. администраторам нет необходимости качать заплатки раздельно и ставить их на каждую машину. Достаточно поднять WSUS на сервере, настроить его, а также настроить рабочие машины на использование этого сервера. Обновление скачивается 1 раз на сам сервер и с него уже устанавливается дальше по локальной сети. Так же использование WSUS существенно экономит трафик в сети интернет, используемый под закачку обновлений и системных заплаток.

WSUS является бесплатным продуктом, однако у вас должна быть корректная лицензия на серверную ОС, а также лицензии Windows Client Access (CAL) на каждую рабочую станцию, которая обновляется с сервера WSUS. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services.

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Операционная система: Windows Server 2003 SP1 и выше.
Дополнительные роли сервера: IIS 6.0 и выше
Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить.

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт».

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере.

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский». Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды.

ВАЖНО! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды.

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений.

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации. В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений».

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки». Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack , то вероятнее всего они не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy ). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Выбираем пункт «Указать размещение службы обновлений в Интрасети ».

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети ]. Копируете адрес в окно «Укажите сервер статистики в интрасети». В рамках редактора групповой политики есть подсказки в окне объяснений.

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений».

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера.

В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры » при «Состояние: Любой».

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить».

ВАЖНО! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt. exe , которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом / detectnow (wuauclt. exe / detectnow ). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом / reportnow (wuauclt. exe / reportnow ).

Февраль10

WSUS (Windows Server Update Services) нужен для автоматической закачки заплаток, пакетов обновлений и других примочек с сайта Microsoft, и раздачи этого контента внутри локальной сети. Т.е. администраторам нет необходимости качать заплатки раздельно и ставить их на каждую машину. Достаточно поднять WSUS на сервере, настроить его, а также настроить рабочие машины на использование этого сервера. Обновление скачивается 1 раз на сам сервер и с него уже устанавливается дальше по локальной сети. Так же использование WSUS существенно экономит трафик в сети интернет, используемый под закачку обновлений и системных заплаток.

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services.

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Операционная система: Windows Server 2003 SP1 и выше.
Дополнительные роли сервера: IIS 6.0 и выше
Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре. Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить.

Настройка сервера WSUS

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды.

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс - установки». Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети ».

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// . Копируете адрес в окно «Укажите сервер статистики в интрасети». В рамках редактора групповой политики есть подсказки в окне объяснений.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой».

Управление обновлениями

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

feanor184.ru

Настройка клиентов WSUS групповыми политиками

Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).

Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).

После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)

Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик: Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows (Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update)

В политике указываем:

Allow Automatic Updates immediate installation: Disabled - запрещаем немедленную установку обновлений при их получении
Allow non-administrators to receive update notifications: Enabled - отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку
Configure Automatic Updates: Enabled. Configure automatic updating: 4 - Auto download and schedule the install. Scheduled install day: 0 - Every day. Scheduled install time: 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
Target group name for this computer: Workstations – в консоли WSUS отнести клиентов к группе Workstations
No auto-restart with logged on users for scheduled automatic updates installations: Disabled - система автоматически перезагрузится через 10 минут после окончания установки обновлений
Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://wsus:8530, Set the intranet statistics server: http://wsus:8530 –адрес корпоративного WSUS сервера

Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.

Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy)

Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).

Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки.Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.

В политике указываем:

Совет. Рекомендуем в обоих политиках настроить принудительный запуск службы обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы), найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».

Назначаем политику WSUS на OU (контейнер) в Active Directory

Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations) и для серверов (Servers). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.

Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.

Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force, данная команда инициирует немедленное применение групповой политики.

И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).

Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется ряд команд, самые распространенные из них:

/DetectNow - поиск обновлений

/ResetAuthorization - запрос на обновление авторизации

runas /user:admin «wuauclt /detectnow» - поиск обновлений под определенным пользователем

/ReportNow - сформировать отчет

www.itworkroom.com

Настройка клиентов Windows Server Update Services (WSUS)

В предыдущей статье Установка WSUS 3.0 на Windows 2008 R2 описывался процесс установки этой сетевой службы. В данном посте описан процесс настройки компьютеров на обновление с доступных вам серверов WSUS.

Для настройки компьютеров в данном случае потребуется оснастка «Редактор объекта групповой политики». Чтобы ее открыть, сделайте следующее:

1. Открыть меню «Пуск» - Выполнить. В строке «открыть» – набрать «mmc» - далее ОК
2. В консоли MMC открыть меню Файл – Добавить или удалить оснастку…
3. Выбрать оснастку «Редактор объектов групповой политики» - Готово – ОК
4. Мы хотим создать правило для обновления ОС компьютера. Поэтому в правой части редактора в кусте «Конфигурация компьютера» открываем ветку Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows
5. В правой части окна редактора вы увидите правила, описывающие поведение компьютеров, касающиеся процессов обновления. Выберите правило «Настройка автоматического обновления».
6. В окне настройки автоматического обновления включите правило и укажите параметры. По умолчанию будет выбран режим настройки №3 – автоматическая загрузка и уведомление об установке. В этом случае установка будет производиться только после подтверждения на обновление. Возможна так же установка обновлений по расписанию. Выполнив настройки, нажмите кнопки «Применить» и «Следующий параметр»
7. Следующим параметром будет правило «Указать размещение службы обновлений Майкрософт в интрасети», где необходимо указать расположение службы обновлений, а так же сервер статистики (обычно это один и тот же сервер). Нажмите кнопку ОК.В принципе, этого достаточно. Но можно сделать и более тонкую настройку процесса обновления. Почитав встроенные подсказки к правилам, вы поймете, что вам нужно.
8. Закрыть оснастку

Все… правила начнут действовать сразу.

Вообще, таким образом можно настраивать и доменные компьютеры. Но если администратор сети сделал уже эти настройки на уровне домена, то вышеуказанные правила действовать не будут, поскольку будут перекрыты доменными групповыми политиками.

Для настройки компьютеров домена на обновление с корпоративного сервера WSUS необходимо иметь права администратора домена Windows.

Для настройки вам потребуется оснастка GPMC (Group Policy Management Console - Оснастка Управления Групповой Политикой).

На серверах Windows 2008 R2, выполняющих роль контроллера домена эта оснастка установлена и включена по умолчанию. На серверах более ранних версий ее, возможно, прийдется установить отдельно. Скачать оснастку можно здесь. На компьютерах с ОС Windows 7 оснастку лучше установить с комплектом удаленного администрирования RSAT (есть локализованная версия). После установки комплекта удаленного администрирования, не забудьте включить нужные компоненты управления (Панель управления - Программы и компоненты - Включение или отключение компонентов Windows)

Необходимо сделать следующее: 1. Запустить с помощью меню Пуск - Выполнить - GPMC.msc

2. Открыть ветку Домены – Имя_Домена – Объекты групповой политики и правой кнопкой мыши выбрать меню «Создать» 3. В поле «Имя» указать имя нового объекта групповой политики (пусть это будет “WSUS Group Policy”), далее - ОК 4. В правом окне оснастки найдите имя вашего объекта и правой кнопкой выберите меню «Изменить». Откроется оснастка «Редактор управления групповыми политиками»

Итак, объект групповой политики (GPO) создан, но созданный GPO пока является лишь голой инструкцией. Для того, чтобы инструкция заработала, необходимо сделать привязку этой GPO к соответствующему контейнеру Windows AD. Именно те компьютеры домена, которые находятся в этом контейнере, будут выполнять эти инструкции (т.е. обновляться). Таким контейнером может быть весь домен, сайт или подразделение. Какой контейнер выбрать – решать вам. Но критерии следующие:

-- Если вы хотите, чтобы обновлялись все компьютеры вашего домена – привязывайте GPO к домену
-- Если вы хотите обновлять только часть компьютеров, например отдельные серверы – создайте подразделение в домене, поместите туда нужные сервера и сделайте привязку к этому подразделению
-- Если ваша сеть имеет несколько площадок в разных городах, то по-хорошему подсети этих площадок должны принадлежать отдельным сайтам. В этом случае, чтобы не нагружать каналы связи между площадками, на каждом сайте имеет смысл установить свой сервер WSUS и создать для каждого отдельный GPO, указывающий именно на него. В дальнейшем, следует сделать привязки их к соответствующим сайтам (см. рисунок ниже)

Дальнейшие шаги описывают процесс привязки созданных вами объектов групповых политик к соответствующим контейнерам Windows AD.

Допустим, вы решили обновлять все компьютеры домена.

1. Тогда в открытой ранее оснастке «Управление групповой политикой» в левой части окна откройте ветку «Лес: Имя_Леса – Домены – Имя_домена» 2. Правой кнопкой мыши на имени вашего домена выбрать меню «Связать существующий объект групповой политики…»

3. В окне «Выбор объекта групповой политики» найти соответствующий GPO, который мы ранее назвали «WSUS Group Policy» и нажать ОК.

Считаю хорошей практикой обновлять клиентские и серверные ОС с помощью отдельных групповых политик домена. В данном случае я исхожу из того, что:

- серверные ОС лучше обновлять вручную в рамках плановых регламентных работ (в этом случае осторожность вполне уместна);
- клиентские ОС лучше обновлять автоматически. Обновлять их вручную при большом парке компьютеров весьма проблематично, а пользователи это делать вряд ли будут (даже если им показать как).

Что для этого нужно сделать?

Во-первых, в оснастке GPMC.msc следует создать раздельные GPO, например

ServerOS WSUS Group Policy
ClientOS WSUS Group Policy

и настроить их на ручной (автоматическая загрузка и уведомление об установке) и автоматический режимы обновления ОС соответственно.

Во-вторых, в той же оснастке создать два WMI-фильтра. Именно эти фильтры и будут определять, которая из выше указанных GPO будет действовать при обновлении каждого компьютера вашей сети.

В третьих, связать фильтры WMI с соответствующими GPO, а обе эти GPO уже можно будет связать прямо с доменом или сайтом (как вам будет угодно).

Как создать фильтры

В уже открытой оснастке GPMC идем по ветке Лес -- Домены -- _Имя_домена_ -- Фильтры WMI. Правой кнопкой "Создать" создаем фильтр с именем Server OS"s and DC

Добавляем в него запрос в пространство root\CIMv2

select * from Win32_OperatingSystem where ProductType="2" or ProductType="3"

Этот фильтр позволит GPO с именем "ServerOS WSUS Group Policy" работать только с компьютерами под управлением серверных OS Windows (в том числе, с контроллерами домена).

Аналогично создаем фильтр с именем Client OS"s

Добавляем в него запрос в root\CIMv2

select * from Win32_OperatingSystem where ProductType="1"

Этот фильтр позволит GPO с именем "ClientOS WSUS Group Policy" работать только с компьютерами под управлением клиентских OS Windows независимо от версии (Windows 2000 pro, Windows XP, Vista, Windows 7 и Windows 8)

Фильтры готовы.

Как мы уже писали, нужно связать GPO ServerOS WSUS Group Policy и ClientOS WSUS Group Policy с соответствующими фильтрами. Например, это можно сделать следующим образом: в ветке "Объекты групповой политики" выбрать нужный GPO, далее справа внизу "Фильтр WMI" выбрать нужный фильтр из выпадающего списка. Итак, теперь клиентские компьютеры домена будут обновляться автоматически, а сервера будут покорно ждать вашего внимания.

На этом настройка закончена.

В результате всех вышеуказанных действий, мы ожидаем начала обновления той части компьютров домена, на которые, по нашему мнению, должна распространяться настроенная политика.

Во-первых, можно посмотреть в журналах оснастки управления сервером WSUS появление записей о состоянии клиентов автоматического обновления.

Во-вторых, можно убедиться, что настроенная политика действует на клиентов WSUS. Откройте Панель управления - Центр обновления Windows, и убедитесь, что в правой части окна Центра обновления появилась надпись: "Контролирует системный администратор" (для Windows 7/Vista/2008/2008R2) Если этого нет - политика не действует.

Но это еще не значит, что вы где то допустили ошибку. Возможно, компьютер еще не обновил свои настройки с контроллера домена.

Это связано с тем, что групповые политики на компьютерах домена применяются не моментально (обновление GP в локальной сети идет по умолчанию с интервалом 15 минут, а межсайтовая репликация происходит еще реже) Поэтому, можно просто подождать или выполнить обновление групповых политик на компьютерах командой

После обновления групповых политик, на компьютер начнется загрузка обновлений Windows.

Ниже список возможных неисправностей WSUS и службы Windows Update:

Сервер WSUS недоступен (проверить настройки windows firewall, сервер IIS и т.п)

В настройках GPO был неверно указан адрес сервера WSUS

Сервер WSUS работает по нестандартному порту. Например, WSUS сервер находится по адресу http://wsus.office.local:8080, а вы, при настройке адреса в GPO, не указали номер порта совсем или указали нечто иное

На компьютере-клиенте WSUS не запущены необходимые службы (такие, как Центр обновления Windows и Клиент групповой политики и т.д.)

Не отработал GPO для отдельных компьютеров. В этом случае прийдется разбираться с каждым отдельно. Рекомендую смоделировать действие групповой политики для проблеммных компьютеров с помощью той же оснастки GPMC.msc. Это позволит убедится, применился ли созданный GPO для анализируемого компьютера. К сожалению, траблешутинг Group Policy Windows AD выходит за рамки этого поста.

Ну и самое главное... лог WSUS-клиента вот тут --> c:\Windows\WindowsUpdate.log

r67rus.blogspot.ru

Настройка WSUS

Windows Server Update Services (WSUS) - сервер обновлений операционных систем и продуктов Microsoft. Очень полезная консоль при наличии в офисе более 10 компьютеров. Полезен тем, что позволяет с ОДНОГО сервера «раскидывать» обновления на все компьютеры в сети, т. е. не каждый отдельный компьютер должен загружать интернет-канал, а один сервер скачивает обновления и «раздает» по сети всем рабочим станциям и серверам.

Изначально в Windows 2003 необходимо было скачивать с сайта Microsoft дистрибутив WSUS, с появление MsWindows 2008 и Ms и Windows 2008 R2 это необходимость исчезла, т.к. появилась роль WSUS, хотя можно и по старинке скачать с сайта Microsoft дистрибутив.

Для установки необходимо выполнить минимальные требования, а именно: Операционная система: Windows Server 2003 SP1 и выше. Дополнительные роли сервера: IIS 6.0 и выше (для Windows Server 2008 при добавлении роли сам предложит установиться) Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0. Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database). Необходимо учесть место на жестком диске я рекомендовал бы минимум 100 Гб, зависит от того какие у вас настройки выставлены в WSUS.

Итак, неважно каким способом вы устанавливаете (с помощью дистрибутива или добавлением роли) шаги будут одинаковы.

После запуска установки необходимо нажать несколько раз Далее. Остановлюсь на основных шагах:Указываем где будут хранится обновления (диск объемом не менее 100 Гб свободного места)

Указываем папку где будут храниться база данных обновлений (2-4 Гб свободного места).

После установки службы Wsus необходимо ее правильно настроить, опять же рассмотрим основные шаги:Выбираем откуда будем брать обновления, если это первый сервер с Wsus то выбираем синхронизацию с центра обновлений Майкрософт.

Выбирать языки следует Английский (обязятельно) + те языки которые встречаются в вашей сети.

Выбираем классы продуктов котрые будут обновляться.

Изначально все компьютеры будут находится в Неназначенных компьютерах, затем вручную необходимо переместить компьютеры в необходимые группы. Для рабочих станций рекомендую устанавливать все обновления, для это заходим в «Параметры- Автоматические одобрения» и делаем следующее правило.

Теперь необходимо внести изменения во все компьютеры сети, что бы они знали откуда "брать" обновления. Делается это с помощью групповых политик. Заходим на контролер домена «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy) или создаем новую. Кликаем правой кнопкой и выбираем «Изменить». В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Внизу готовые и проверенные настройки. Там где красная линия впишите имя или IP адрес своего сервера на котором установлен WSUS.

на русском языке:

Спустя несколько минут после всех процедур в консоле Wsus в группе Неназаченные компьютеры начнут появляться компьютеры сети. Согласно их операционной системы вы перемещаете их в нужную группу (Server или Workgroup). Напомню, согласно нашим настройкам на компьютеры которые находятся в группе Workgroup будут устанавливаться все обновления, для серверов только критические.

pk-help.com

Устанавливаем и настраиваем WSUS.

Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services) - локальный сервер обновлений в вашей сети.

Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 - установка и настройка WSUS.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

IIS 6 или выше,
.NET Framework 2.0 или выше,
Report Viewer Redistributable 2008,
SQL Server 2005 SP2 Express или выше.

WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.

Получить все необходимые компоненты можно на сайте Microsoft:

При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.

Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите.NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:

ASP.NET
Windows - проверка подлинности
Сжатие динамического содержимого
Совместимость управления IIS6

Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.

Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.

На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.

При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.

На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.

Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.

Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.

Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить. В открывшемся окне выберите Конфигурация компьютера - Политики - Административные шаблоны - Центр обновления Windows. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети. Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http:\\ИМЯ_СЕРВЕРА.

Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск - Выполнить - gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.

Вот мы и подошли к еще одной важной настройке сервера - автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры - Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

Как установить яндекс диск на компьютер