Устанавливаю роль WSUS в сети

Posted by

Задача: разобрать для себя как установить WSUS на сервер Std

Устанавливаю роль сервера обновлений для операционных систем обслуживаемой инфраструктуры:

Нажимаю: Win + X — Control Panel — Administrative Tools — Server Manager — Dashboard — Add roles and features, затем тип установки Role-bases or feature-based installation, затем что в качестве установки будет использован текущей сервер (но также можно указать что установку производить на смонтированный vhd диск), отмечаю галочкой роль: Windows Server Update Services, после чего мастер сам предложит установить необходимые зависимости требуемых компонентов, не снимаем галочку с пункта Include management tools (if applicable) и нажимаю Add Features потом Next , Next , Next —

WSUS в Windows Server 2012 R2 поддерживает следующие базы данных:

  • WID Databases → встроенная база Windows
  • WSUS Services

Database → будет использоваться локальная или внешняя база данных на SQL Server для WSUS

На заметку: Роль WSUS не может быть поднята на:

  • Если сервер с ролью контроллера домена
  • Если сервер с ролью сервера терминалов

Я буду использовать WID Databases & WSUS Servcies

После нажимаю Next, указываю путь на логическом диске (У меня под это дело выделен отдельный логический раздел) где будет располагаться структура файлов обновлений (минимум должно быть 6Gb свободного места и файловая система NTFS)

отмечаю галочкой: Store updates in the following location

d:\wsus и нажимаю Next , Next , этап установки ролей для IIS можно выбрать какие компоненты Вам нужны, я же пока ничего не буду указывать (все ведь можно сделать тогда когда функционал потребуется), а потому нажимаю Next , Install (галочку у пункта Restart the destination server automatically if required не ставлю я лучше когда все установится сам перезагружу сервер), Ожидаю того когда мастер установит все необходимые компоненты для разворачиваемого сервиса WSUS, установка считается завершенной когда видна надпись: Configuration required. Installation succeeded on srv-host — после нажимаем по кнопке Close

Для правильности разворачиваемого сервиса WSUS текущую систему лучше перезагрузить: Win +X → Shut down or sign out → Restart — Choose a reason that best describes why you want to shut down this computer (Other (Unplanned)) и нажимаю на кнопку Continue

После запускаю оснастку по управлению сервисом WSUS:

Win +X → Control Panel — Administrative Tools — Windows Server Update Services, у меня к примеру последовало появление окна подтверждающего, а действительно ли каталог для обновлений: D:\wsus — — да действительно и нажимаю RUN

Подтверждение разворачивания WSUS с использование каталога D:\WSUS

Ожидаю… Окно ни в коем случае не закрываю. Также если в окне установки (Complete WSUS Installation) по окончании наблюдаем надпись: Post-installation successfully completed, то значит установка роли WSUS прошла успешно можно смело нажать Close.

Через некоторое время (у меня по прошествии пары минут) запустился Мастер настройки WSUS для текущего хоста: — иду по шагам.

  • Before You Begin: Next
  • Microsoft Update Improvement Program: отмечаю галочкой Yes, I would like to join the Microsoft Update Improvement Program , Next
  • Choose Upstream Server: т. к. это будет единственный сервер WSUS в локальной сети то отмечаю пункт Synchronize from Microsoft Update если это не так то можно указать другой сервер и порт по умолчанию для WSUS 8530, Next
  • Specify Proxy Server: нужно указать если в локальной сети используется прокси сервер для выхода в интернет, у меня он прозрачный и указывать его не нужно, Next
  • Specify Proxy Server: нажимаю на Start Connecting — ожидаю, сейчас мой хост пытается подключиться к серверам Microsoft с целью проверки доступных обновлений, продуктов и языков, т. е. Тест соединения (будет перемещаться бегунок зеленого цвета).

Тест соединения прошел успешно нажимаю Next

  • Choose Languages: нужно указать языки обновлений (в последствии их можно будет либо изменить), я выбираю: Download updates only in these languages: English & Russian, Next
  • Choose Products: нужно отметить только те продукты которые используются в локальной сети и не более, т. к. бездумный выбор скажется на месте которое будет истрачено в пустую скачанными обновлениями, я выбираю: Windows 7 (со всех предустановленных продуктов отмеченных галочкой я ее снимаю), Next
  • Choose Classifications: нужно отметить тип обновлений, я отмечаю: Critical Update, Security Updates, Next
  • Configure Sync Schedule: указываем время когда сервер WSUS будет подключаться к Microsoft Update дабы получить последние сведения обновлений, либо в ручную я буду это делать сам, либо же по заданию планировщика, я выбираю первый вариант — Synchronize manually (в последствии это можно будет изменить), Next
  • Finished: отмечаю галочкой пункт Begin Initial Synchronization, Finish

Затем вот уже и запустить мастер управления обновлениями на текущем хосте:

Мастер управления WSUS

Создаю группу хостов именуемую, как Workstations (в нее у меня буду включены только рабочие станции под управлением Windows 7):

Update Servicessrv-host — Computer — All Computers — Add Computer Group… — именую как Workstations и нажимаю Add

Затем перейдя в каждую категорию обновлений (Security Updates & Critical Updates) по нажатию по гиперссылке approved, выделяю все доступные обновления (по сочетанию клавиш Ctrl + A) и нажимаю через правый клик мышью пункт Approve, указываю группу компьютеров All Computer (лучше конечно создать группы тех компьютеров на которые будут нацелены одобренные обновления) — Workstations и через правый клик мышью по ней выбираю настройку → Approved for Install, Ok

Назначаю обновления на группу WorkstationsИ ожидаю следя за назначаемыми обновлениями на созданную выше группу, по завершении нажимаю Close

Назначаемые обновления успешно применяются на группуПервый раз синхронизация происходит долго, о статусе получения обновлений можно узнать перейдя: Update Services — srv-host

Информация по работе WSUS сервера

Как только будут появляться новые обновления нужно будет переходить либо в Critical или Security и по аналогии выше подтверждать новые обновления на группу Workstations. Ничего сложного в этом нет. Я за ручное управление в рамках тестирования и получения опыта, а уже потом только в автоматическом режиме.

Допустим все обновления скачались и ждут своего заветного часа когда за ними обратится рабочая станция.

В моем случае только обновления для Windows 7 (язык Russian & English) составили по полученному размеру каталога: D:\WSUS => 8.74Gb (1416 Files, 257 Folders на текущую дату 18.05.2016)

Загружаю рабочую станцию (для станции которая не в домене) под управление Windows 7 Профессиональная SP1. В локальной политике безопасности нужно внести следующие изменения:

Win + R → gpedit.msc — Политика «Локальный компьютер»Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows —

  • Указать размещение службы обновлений Майкрософт в интрасети:

отмечаю пункт Включить

Укажите службу обновлений в интрасети для поиска обновлений: http://192.168.1.177:8530

Укажите сервер статистики в интрасети: http://192.168.1.177:8530

Обязательно нажимаю Применить и OK

  • Настройка автоматического обновления:

отмечаю пункт Включить

Настройка автоматического обновления: 4 — авт. Загрузка и устан. По расписанию

Установка по расписанию — день: 1 — каждое воскресенье

Установка по расписанию — время: 22:00

Обязательно нажимаю Применить и OK

  • Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи:

отмечаю пункт Включить

Обязательно нажимаю Применить и OK

  • Разрешить клиенту присоединяться к целевой группе:

отмечаю пункт Включить

Имя целевой группы для данного компьютера: Workstations

Обязательно нажимаю Применить и OK

На заметку: Если последняя настройка не указана, то в оснастке WSUS компьютер обратившийся за обновлениями нужно будет переместить в нужную группу с назначенными обновлениями, в противном случае обновления не будут установлены на рабочую станцию, т. к. по умолчанию компьютер будет значит в группе Unassigned Computers (на нее не следует назначать ни какие обновления).

Чтобы получить обновления на рабочую станцию нужно перезагрузить компьютер, Пуск — Завершение работы — Перезагрузка

либо: Пуск — Все программы — Стандартные — запустить консоль командной строки с правами Администратора и набрать команду:

C:\Windows\system32>gpupdate /force

Обновление политики…

Обновление политики пользователя завершено успешно.

Обновление политики для компьютера успешно завершено.

C:\Windows\system32>wuauclt /resetauthorization /detectnow

После чего компьютер появится в оснастке WSUS в разделе: Update ServicesSRV-HOST — Computer — All Computer — Unassigned Computers — нужно будет выделить его и через правый клик мышью поместить в группу Change Membership… — Workstations (отметив галочкой) и нажать OK тем самым компьютер переместиться в созданную группу Workstations на которую выше были назначены обновления и если они не установлены они будут установлены. Может так случится что рабочая станции не получает обновления — поправить это дело можно следующим образом:

Просмотреть логи на рабочей станции: %system root%\Windows\WindowsUpdate.log — у меня были вот такие ошибки:

2016-05-18 18:18:47:668 900 870 PT +++++++++++ PT: Synchronizing server updates +++++++++++

2016-05-18 18:18:47:668 900 870 PT + ServiceId = {9482F4B4-E343-43B6-B170-9A65BC822C77}, Server URL = https://fe2.update.microsoft.com/v6/ClientWebService/client.asmx

2016-05-18 18:18:47:668 900 870 PT WARNING: Cached cookie has expired or new PID is available

2016-05-18 18:18:47:778 900 870 PT WARNING: PTWarn: Anonymous plug-in skipped for WU

2016-05-18 18:18:47:948 900 870 PT WARNING: GetCookie failure, error = 0x8024400D, soap client error = 7, soap error code = 300, HTTP status code = 200

2016-05-18 18:18:47:948 900 870 PT WARNING: SOAP Fault: 0x00012c

2016-05-18 18:18:47:948 900 870 PT WARNING: faultstring:Fault occurred

2016-05-18 18:18:47:948 900 870 PT WARNING: ErrorCode:ConfigChanged(2)

2016-05-18 18:18:47:948 900 870 PT WARNING: Message:(null)

2016-05-18 18:18:47:948 900 870 PT WARNING: Method:»http://www.microsoft.com/SoftwareDistribution/Server/ClientWebService/GetCookie»

2016-05-18 18:18:47:948 900 870 PT WARNING: ID:54f275db-435b-4e02-b5e6-26d79949ca9f

2016-05-18 18:18:48:319 900 870 PT WARNING: Cached cookie has expired or new PID is available

2016-05-18 18:18:48:319 900 870 PT WARNING: PTWarn: Anonymous plug-in skipped for WU

Сделал несколько раз запуск команды:

C:\Windows\system32>wuauclt /detectnow

После перешел: Пуск — Панель управления — Администрирование — Центр обновления Windows — Поиск обновлений и система определила что можно установить важных обновлений в размере 174 Штуки, нажимаю «Установить обновления» и просто ожидаю завершения установки обновлений с сервера WSUS

Что еще важного хотелось бы отметить, а то что на самом сервере с ролью WSUS можно по каждой станции отобразить отчет:

Update Services — SRV-HOST — Reports — к примеру Computer Detailes Status вот только как говорит мастер в системе отсутствует установленный пакет именуемый, как Microsoft Report Viewer 2008 Redistributalbe.

Пытаясь скачать данный пакет через браузер с сервера можно столкнуться с тем, что браузер будет сопротивляться этому выдавая Вам сообщение: Your Current Security settings do not allow this file to be downloaded, убираю эту дефолтную настройку (вот зачем спрашивается Microsoft создает кастыли безопасности на ровном месте почему нельзя чтобы сам системный администратор все сделал как ему удобнее и правильнеее)

IE — Tools — Internet Options — вкладка SecurityInternet — Custom LevelDownloads (File download) отмечаю Enable, после возвращаюсь во вкладку Security и снимаю галочку Enable Protected Mode (requires restartings Internet Explorer) и подтверждаю свое намерение Ok, OK после перезапускаю браузер, а после больше не возникает ни каких сообщений, что нельзя скачивать файлы.

Перед тем как установить скачанный пакет Microsoft Report Viewer 2008 Redistributable в систему нужно установить Microsoft .NET Framework 2.0 (NetFx20SP2_x64.exe), но вот только он не поставится нужно использовать пакет .NET Framework 3.5 (includes .NET 2.0 and 3.0) которые имеет место быть обозначен в компонентах который можно установить при добавлении ролей посредством мастера:

Устанавливаю компонент NET FrameworkПосле установка пакета ответственного за возможность формирования отчетов в WSUS пройдет успешно. Затем закрываю оснастку управления WSUS и запускаем заново для принятия изменений, щелкнув по хосту → Status Report

Теперь отчеты успешно формируютсяВот чего мне так не хватало когда я не использовал сервис WSUS так это централизованного управления обновлениями, но сейчас все изменится. Больше ни какой ручной установки обновлений, только использование собственного поднятого сервера обновлений WSUS. Если какое либо обновление вредит системе, то его можно отозвать. Вот так вот, на этом я прощаюсь с Вами читатели моего блога, с уважением ekzorchik.