Для снижения трафика в территориально распределенных сетях больших компаний рекомендуется использовать сценарий установки сервера обновлений wsus с поддержкой первичного и нескольких подчиненных серверов. Данный сценарий позволяет значительно снизить нагрузку на каналы передачи данных, использовать централизованную точку управления обновлениями и отчетами.

Архитектура решения

Имеется центральный офис и несколько территориально распределенных площадок связанных между собой виртуальными частными каналами (VPN). Site A является центральным сайтом, который осуществляет загрузку обновлений и раздачу подчиненным сайтам (Site B, Site C). Подчиненные сервера отправляют на центральный сайт всю информацию о состоянии своих клиентов. В качестве сервера базы данных будем использовать выделенный сервер MS SQL сервер.

Реализация

На территории центрального офиса развернем Windows Server 2012 R2 с ролью служба Windows Server Update Service (WSUS), для этого в диспетчере серверов необходимо выбрать установку роли и компоненты .

Тип установки: установка ролей или компонентов.

Выберем локальный сервер, на котором разворачиваем роль WSUS сервера.

Установим галку напротив службы Windows Server Update Service.

Добавим необходимые компоненты.

На этапе выбор компонентов необходимо отказаться от установки внутренней базы данных Windows.

Удалим компоненты.

На скриншоте ниже, мы видим, что компонент внутренняя база данных Windows не будет установлена. Нажимаем Далее.

На экране службы ролей предлагается на выбор две базы данных. Одна из них WID Database и База данных. WID Database не что иное, как Windows Internal Database - один из вариантов SQL Server Express 2005, входящий в состав Windows Server 2008, а также поставляемый с некоторыми другими бесплатными продуктами Microsoft. Так как мы, согласно нашей архитектуре, планируем использовать внешнюю базу выберем База данных.

Укажем путь к папке в которой будем хранить скаченные обновления и патчи.

На этапе экземпляр БД укажем адрес SQL сервера и нажмем клавишу проверка подключения.

Если проверка завершится удачно, о чем будет свидетельствовать сообщение Подключение к серверу успешно выполнено, вы сможете продолжить Далее.

Дополнительных настроек или установки компонентов служба ролей Веб-сервер не требует, поэтому просто нажмем Далее.

Насладимся процессом установки……

После чего нажмем кнопку Закрыть.

И перейдем к настройке первичного сервера обновлений . Для этого откроем средства, и из выпадающего списка выберем служба Windows Server Update Service.

Для завершения установки необходимо указать экземпляр базы данных и путь к каталогу обновлений.

После завершения послеустановочных задач откроется мастер настройки Windows Server Update Services. Подробный процесс настройки описан в , нас же интересует настройка подчиненных серверов.

Настройка подчиненного сервера

Для подключения подчиненного сервера wsus к первичному серверу, необходимо запустить мастер настройки сервера и в мастере, в разделе выбор вышестоящего сервера указать имя главного сервера. Согласно рекомендации Microsoft указать использовать SSL при синхронизации и отметить что данный сервер является репликой.

В результате этих настроек, дополнительные параметры мастера станут неактивными и все управление обновлениями, группами компьютеров перейдет на вышестоящий сервер. Проделаем аналогичную процедуру для остальных подчиненных серверов.

Запустите синхронизацию данных, по окончании которой на подчиненный сервер будут загружены все одобренные на вышестоящем сервер обновления , а так же группы компьютеров.

Итог

В сценарии, когда вы используете вышестоящий сервер и несколько подчиненных серверов, все действия по одобрению обновлений, их отзыву, созданию групп компьютеров осуществляются на вышестоящем сервере, что в значительной мере сокращается затрачиваемое время на обслуживание WSUS серверов . Так же вы получаете централизованное управление обновлениями и отчетами, так как подчиненные сервера отправляют все данные на вышестоящий сервер.

И/или программного обеспечения, установленного на дочерних терминалах, с относительно недавнего времени может выполняться при помощи специального инструмента, получившего сокращенное название в виде аббревиатуры WSUS. Что это такое? По сути, данное программное обеспечение представляет собой уникальный релиз, позволяющий отказаться от использования каждым компьютером, входящим в локальную сеть, самостоятельного интернет-канала для установки апдейтов. О том, как это все работает, и какие нужно установить настройки, далее и пойдет речь.

Windows Server Update Services: что это и зачем нужно?

Если говорить об этом сервисе простым языком, его можно описать как программное обеспечение для автоматического обновления ОС и ПО, устанавливаемое исключительно на сервер, к которому подключаются остальные пользовательские терминалы, объединенные в единую локальную или виртуальную сеть.

Поскольку обновления корпорация Microsoft для своих продуктов выпускает с завидной регулярностью, устанавливать их нужно на всех машинах в сети, что достаточно проблематично, если их более десятка. Чтобы не заниматься подобными вещами на каждом отдельно взятом терминале, можно использовать функцию WSUS Offline Update, когда основное обновление устанавливается только на сервер, а потом «раздается» на все остальные компьютеры.

Преимущества такого подхода очевидны, ведь снижается использование интернет-траффика (при скачивании сеть не нагружается) и экономится время на установку апдейтов, которая при правильной настройке программного обеспечения на центральном сервере будет производиться автоматически.

Требования к установке

Для службы WSUS настройка и использование невозможны без соблюдения ряда начальных условий. Тут следует обратить внимание на основные компоненты, которые потребуется изначально скачать и инсталлировать на сервер, если они отсутствуют.

В качестве приоритетов можно выделить следующие компоненты:

• ОС модификации Windows Server не ниже 2003 (хотя бы с первым сервис-паком);
• платформа.NET Framework версии не ниже 2.0;
• роли сервера IIS 6.0 или выше;
• Report Viewer от Microsoft модификации 2008;
• SQL Server версии 2005 со вторым сервис-паком;
• Management Console от Microsoft модификации 3.0.

Процесс инсталляции

Собственно, установка WSUS предполагает также резервирование свободного дискового пространства на сервере в размере порядка 100 Гб (расположение папки хранения обновлений указывается на первом шаге после запуска основного инсталлятора).

Параметры баз данных веб-сервера

В принципе, сам установщик по умолчанию предлагает установить внутренние базы данных, но для упрощения процесса можно использовать и имеющийся сервер баз данных.

В данном случае нужно будет самостоятельно прописать его сетевое имя, соответствующее идентификатору терминала в сети. Первые два варианта можно использовать либо для получения апдейтов с сервера Microsoft, либо с внутреннего сервера. Правда, есть еще и третий вариант - установка баз данных на удаленном терминале. Но такая схема применяется в основном только в тех случаях, когда нужно распределять апдейты по удаленным филиалам с дополнительного сервера обновлений.

Выбор порта

На следующем этапе установки WSUS настройка предполагает осуществить выбор порта. К этому нужно отнестись очень внимательно, поскольку ввод некорректных значений может привести только к тому, что вся схема работать не будет.

Обратите внимание, что по умолчанию к использованию предлагается 80-й порт. Можно, конечно, оставить и его, но лучше (и это подтверждается практикой) использовать порт под номером 8530 (8531). Но такой подход применим только в том случае, когда требуется ручная настройка прокси.

Выбор обновлений

Следующий шаг в инсталляции WSUS - настройка параметров получения апдейтов с вышестоящего сервера. Иными словами, нужно указать, откуда именно будут загружаться обновления.

Тут есть два варианта: либо производить синхронизацию с сервером обновления Microsoft, либо с другим удаленным терминалом. Лучше использовать первый вариант.

Настройка WSUS в домене

Устанавливать можно любой из предложенного списка, но английский должен быть выбран в обязательном порядке, поскольку без этого корректная загрузка и распределение апдейтов не гарантируется.

Выбор продуктов

Теперь для WSUS Offline Update следует указать, какие именно программные продукты подлежат обновлению. Как считает большинство специалистов, при выборе желательно не жадничать и отметить максимально возможное количество пунктов в списке.

Но и увлекаться тоже не стоит. Лучше отметить только то, что действительно необходимо. Например, если ни на одной машине в сети версия «Офиса» 2003 не установлена, то и указывать ее обновление не стоит.

Обновление WSUS на следующем этапе предложит выбрать классы программного обеспечения, для которых апдейты будут загружать в первую очередь. Тут - на свой выбор. В принципе, можно не устанавливать галочки напротив установки обновлений драйверов, средств и новых функций. По завершении устанавливается время, когда выбранные обновления будут загружаться и инсталлироваться.

Настройки консоли

Теперь следует вызвать консоль и первым делом установить ручную синхронизацию, чтобы произошла загрузка всех имеющихся на данный момент апдейтов.

После этого придется заняться настройкой групп терминалов. Рекомендуется создать две категории компьютеров. В одной будут находиться серверы, в другой - обычные рабочие станции. Такая настройка позволит ограничить инсталляцию обновлений на серверы.

Поскольку все видимые в сети терминалы на данный момент находятся в категории неназначенных компьютеров, распределять их по соответствующим группам придется вручную.

На следующем этапе настройка WSUS предполагает создание специальных правил обновления, что делается в разделе автоматического одобрения. Для рабочих станций желательно установить правило автоматического одобрения, а для серверов нужно будет дополнительно отметить еще одну соответствующую строку. Кроме того, именно для серверов не рекомендуется выбирать абсолютно все обновления, поскольку это может привести к сбоям в работе.

Установка параметров обновления в групповых политиках

Когда предварительная настройка основных параметров завершена, следует выполнить еще несколько действий, связанных с разрешениями и одобрениями.

Для этого нужно использовать который проще всего вызвать через консоль «Выполнить» (Win + R) командой gpedit.msc, а не использовать «Панель управления» или раздел администрирования.

Здесь нужно через конфигурацию компьютера и политики добраться до административных шаблонов, где найти «Центр обновления». В нем нас интересует параметр, отвечающий за указание расположения службы обновления в интрасети. Вызывав двойным кликом меню редактирования, службы нужно включить и указать адрес сервера, который обычно выглядит как http://SERVER_NAME, где SERVER_NAME - имя сервера в сети. Можно не использовать такую комбинацию, а просто прописать IP сервера. По завершении настройки через некоторое время дочерние машины начнут получать пакеты апдейтов.

Возможные ошибки

Ошибки WSUS чаще всего связывают с тем, что для серверов включено слишком много ненужных обновлений, о чем было сказано выше.

Однако не менее распространенной проблемой является и тот момент, что обновления устанавливаются не на всех сетевых дочерних терминалах. В данном случае необходимо открыть раздел автоматических одобрений и установить для них именно тип групповых политик, который соответствует автоматической инсталляции критических апдейтов операционной системы и системы безопасности. Соответственно, можно создать и свое новое правило с указанием продуктов и параметров установки обновлений (можно использовать даже ручное одобрение).

Наконец, если не производить полный сброс настроек WSUS, после чего всю процедуру установки параметров придется производить заново, настоятельно рекомендуется хотя бы раз в месяц делать очистку сервера (для этого предусмотрена одноименная функция в виде «Мастера»). Такие шаги помогут удалить из системы невостребованные апдейты, а также существенно уменьшить размер самой базы данных (понятно ведь, что чем боле база, тем большее время требуется на обращение к ней, плюс - чрезмерная нагрузка на вычислительные способности сервера и распределение обновлений по сети).

В некоторых случаях может помочь установка политик не по умолчанию (Default Group Policy), а создание нового типа со всеми активированными параметрами из списка доступных с вводом сетевого адреса сервера (при задействованном порте 8530).

В случае когда используются так называемые мобильные рабочие места, аналогичные настройки можно произвести в разделе локальных политик безопасности, указав соответствующие параметры. Если все выполнено правильно, для группы терминалов Server будут инсталлироваться исключительно критические апдейты, а для компьютеров, входящих в группу Workgroup (или в категорию с другим именем), - абсолютно все обновления, которые были выбраны на начальном этапе настройки.

Вместо итога

Собственно, на этом рассмотрение вопроса о настройке службы автоматического апдейта WSUS можно и закончить. Чтобы все заработало и не вызывало беспокойства у системного администратора в дальнейшем, следует обратить внимание на начальные условия, связанные с установкой дополнительных компонентов. Как считается, серверную версию ОС лучше использовать не 2003, а 2008 R2 или выше, а также обратить внимание на платформу.NET Framework четвертой версии, а не 2.0). Кроме того, особо внимательно следует отнестись к настройкам прокси и выбору портов, поскольку порт 80 по умолчанию может и не работать. Наконец, одним из самых важных аспектов настройки является выбор групп терминалов и устанавливаемых на них обновлений. В остальном же, как правило, проблем быть не должно, хотя при загрузке тяжеловесных апдейтов большого размера при плохом качестве связи кратковременные сбои и ошибки распределения обновлений по сети наблюдаться все-таки могут. Кстати, и чистить сервер время от времени тоже нужно. Если автоматический инструмент по каким-то причинам положительного эффекта не возымеет, можно попытаться хотя бы удалить временные файлы вручную из директории SDTemp. По крайней мере, даже такой тривиальный шаг позволит сразу же снизить нагрузку не только на сам сервер, но и на дочерние терминалы, и на сеть в целом.

В одной из предыдущих статей мы подробно описали процедуру . После того, как вы настроили сервер, нужно настроить Windows-клиентов (сервера и рабочие станции) на использование сервера WSUS для получения обновлений, чтобы клиенты получали обновления с внутреннего сервера обновлений, а не с серверов Microsoft Update через Интернет. В этой статье мы рассмотрим процедуру настройки клиентов на использование сервера WSUS с помощью групповых политик домена Active Directory.

Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers ) и для рабочих станций (Workstations ). Эти две группы нужно создать в консоли WSUS в секции All Computers.

Совет . Политика использования сервера обновлений WSUS клиентами во многом зависит от организационной структуры OU в Active Directory и правил установки обновлении в организации. В этой статье мы рассмотрим всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers . Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy .

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies -> Administrative templates -> Windows Component -> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью ) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

• Configure Automatic Updates (Настройка автоматического обновления): Enable . 3 – Auto download and notify for install (Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их появлении;
• Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable . Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений): http://srv-wsus.сайт:8530 , Set the intranet statistics server (Укажите сервер статистики в интрасети): http://srv-wsus.сайт:8530 – здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
• No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя): Enable – запретить автоматическую перезагрузку при наличии сессии пользователя;
• Enable client -side targeting (Разрешить клиенту присоединение к целевой группе): Enable . Target group name for this computer (Имя целевой группу для данного компьютера): Servers – в консоли WSUS отнести клиенты к группе Servers.

Примечание . При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

Политика установки обновлений WSUS для рабочих станций

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

• Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled - запрет на немедленную установку обновлений при их получении;
• Allow non -administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled - отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
• Configure Automatic Updates: Enabled . Configure automatic updating: 4 - Auto download and schedule the install. Scheduled install day: 0 - Every day . Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
• Target group name for this computer: Workstations – в консоли WSUS отнести клиента к группе Workstations;
• No auto-restart with logged on users for scheduled automatic updates installations: Disabled - система автоматически перезагрузится через 5 минут после окончания установки обновлений;
• Specify Intranet Microsoft update service location : Enable. Set the intranet update service for detecting updates: http://srv-wsus.сайт:8530 , Set the intranet statistics server: http://srv-wsus.сайт:8530 –адрес корпоративного WSUS сервера.

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan . Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update ().

Совет . Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиентах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic ).

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU в домене AD максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Совет . Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно привязать одну политику WSUS на все компьютеры домена (GPO с настройками WSUS вешается на корень домена), разнести различные виды клиентов по разным OU (как в нашем примере – мы создали разные политики WSUS для серверов и рабочих станций), в больших распределенных доменах можно привязывать , или же назначать GPO на основании , или скомбинировать перечисленные способы.

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Совет . Не забудьте про отдельную OU с контроллерами домена (Domain Controllers), в большинстве случаев на этот контейнер следует привязать «серверную» политику WSUS.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD WKS, в котором находятся рабочие станции Windows.

Осталось обновить групповые политики на клиентах для привязки клиента к серверу WSUS:

Все настройки системы обновлений Windows, которые мы задали групповыми политиками должны появится в реестре клиента в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate .

Данный reg файл можно использовать для переноса настроек WSUS на другие компьютеры, на которых не удается настроить параметры обновлений с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)

Windows Registry Editor Version 5.00

"WUServer"="http://srv-wsus.сайт:8530"
"WUStatusServer"="http://srv-wsus.сайт:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Также удобно контролировать применённые настройки WSUS на клиентах с помощью rsop.msc.

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) нужно проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса). Т.к. мы политиками привязали компьютеры и серверы к различным группам WSUS, они будут получать только обновления, одобренные к установке на соответствующие группы WSUS.

Примечание . Если на клиенте обновления не появляются, рекомендуется внимательно изучить на проблемном клиенте лог службы обновлений Windows (C:\Windows\WindowsUpdate.log). Обратите внимание, что в Windows 10 (Windows Server 2016) используется . Клиент скачивает обновления в локальную папку C:\Windows\SoftwareDistribution\Download. Чтобы запустить поиск новых обновлений на WSUS сервере, нужно выполнить команду:

wuauclt /detectnow

Также иногда приходится принудительно перерегистрировать клиента на сервере WSUS:

wuauclt /detectnow /resetAuthorization

В особо сложных случаях можно попробовать починить службу wuauserv . При возникновении , попробуйте изменить частоту проверки обновлений на сервере WSUS с помощью политики Automatic Update detection frequency.

В следующей статье мы опишем особенности . Также рекомендуем ознакомиться со статьей между группами на WSUS сервере.

Настройка автоматического обновления компьютеров в рабочих группах

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc . Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate . Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
— размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

— автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
— устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
— устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS. Если задано нулевое значение, то обновление производится с Microsoft Update;
— частота проверки обновлений включена;
— проверять наличие обновлений на сервере каждые 12 часов;
— переносить пропущенную установку обновлений;
— запускать пропущенную установку обновлений через 10 минут после включения компьютера;
— не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

• выполнить в консоли cmd команду net stop wuauserv , чтобы остановить службу автоматического обновления;
• запустить regedit и перейти в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate;
• удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть);
• удалить всё содержимое папки %WinDir%\SoftwareDistribution (неофициальная рекомендация);
• в консоли выполнить команду net start wuauserv , чтобы запустить службу автоматического обновления;
• в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут);
• если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow . Обычно одного повтора достаточно, но может потребоваться и больше;
• зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.

Windows Server Update Services (WSUS ) - сервер обновлений операционных систем и продуктов Microsoft . Очень полезная консоль при наличии в офисе более 10 компьютеров. Полезен тем, что позволяет с ОДНОГО сервера «раскидывать» обновления на все компьютеры в сети, т. е. не каждый отдельный компьютер должен загружать интернет-канал, а один сервер скачивает обновления и «раздает» по сети всем рабочим станциям и серверам.

Изначально в Windows 2003 необходимо было скачивать с сайта Microsoft дистрибутив WSUS , с появление Ms Windows 2008 и Ms и Windows 2008 R 2 это необходимость исчезла, т.к. появилась роль WSUS , хотя можно и по старинке скачать с сайта Microsoft дистрибутив .

Для установки необходимо выполнить минимальные требования, а именно:
Операционная система: Windows Server 2003 SP1 и выше.
Дополнительные роли сервера: IIS 6.0 и выше (для Windows Server 2008 при добавлении роли сам предложит установиться)
Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).
Необходимо учесть место на жестком диске я рекомендовал бы минимум 100 Гб, зависит от того какие у вас настройки выставлены в WSUS.
Итак, неважно каким способом вы устанавливаете (с помощью дистрибутива или добавлением роли) шаги будут одинаковы.

После запуска установки необходимо нажать несколько раз Далее. Остановлюсь на основных шагах:
Указываем где будут хранится обновления (диск объемом не менее 100 Гб свободного места)

Указываем папку где будут храниться база данных обновлений (2-4 Гб свободного места).

Очень важный шаг выбора порта по которому будут осуществляться распространения обновлении, по умолчанию используется 80 порт, но его использовать я не рекомендую, т.к. этот порт часто используется другими приложениями. Лучше создать веб-сайт службы WSUS и использовать порт 8530.

После установки службы Wsus необходимо ее правильно настроить, опять же рассмотрим основные шаги:
Выбираем откуда будем брать обновления, если это первый сервер с Wsus то выбираем синхронизацию с центра обновлений Майкрософт.

Выбирать языки следует Английский (обязятельно) + те языки которые встречаются в вашей сети.

Выбираем продукты которые будут обновляться (следует указывать только те которые вы используете, иначе бесмысленные обновления будут занимать место на жеском диске).

Выбираем классы продуктов котрые будут обновляться.

Основные настройки выполнены, переходим к дополнительным, настройке непосредственно консоли WSUS, для удобства я бы рекомендовал создать 2 группы компьютеров, в одной группе будут сервера, в другой рабочие станции (делается для того что бы можно было ограничить установку обновлений для серверов).

Изначально все компьютеры будут находится в Неназначенных компьютерах , затем вручную необходимо переместить компьютеры в необходимые группы. Для рабочих станций рекомендую устанавливать все обновления, для это заходим в «Параметры- Автоматические одобрения » и делаем следующее правило.

А для серверов делаем правило для одобрения только критических обновлений (Для серверов крайне не рекомендуется ставить все обновления, т.к. это может вызвать сбои в их работе, сталкивался с этим неоднократно).

Теперь необходимо внести изменения во все компьютеры сети, что бы они знали откуда "брать" обновления. Делается это с помощью групповых политик. Заходим на контролер домена «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy) или создаем новую. Кликаем правой кнопкой и выбираем «Изменить ». В окне «Редактор управления групповыми политиками » заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Внизу готовые и проверенные настройки. Там где красная линия впишите имя или IP адрес своего сервера на котором установлен WSUS.

на русском языке:

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности ».
В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.
Спустя несколько минут после всех процедур в консоле Wsus в группе Неназаченные компьютеры начнут появляться компьютеры сети. Согласно их операционной системы вы перемещаете их в нужную группу (Server или Workgroup). Напомню, согласно нашим настройкам на компьютеры которые находятся в группе Workgroup будут устанавливаться все обновления, для серверов только критические.