Главная › Тарифы › Разворачиваем сервер обновлений WSUS в большой компании. Установка и настройка WSUS

Разворачиваем сервер обновлений WSUS в большой компании. Установка и настройка WSUS

Описывался процесс установки этой сетевой службы. В данном посте описан процесс настройки компьютеров на обновление с доступных вам серверов WSUS.

Настройка компьютеров рабочей группы или отдельно стоящих серверов

Для настройки компьютеров в данном случае потребуется оснастка «Редактор объекта групповой политики». Чтобы ее открыть, сделайте следующее:

1. Открыть меню «Пуск» - Выполнить. В строке «открыть» – набрать «mmc» - далее ОК
2. В консоли MMC открыть меню Файл – Добавить или удалить оснастку…
3. Выбрать оснастку «Редактор объектов групповой политики» - Готово – ОК
4. Мы хотим создать правило для обновления ОС компьютера. Поэтому в правой части редактора в кусте «Конфигурация компьютера» открываем ветку Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows
5. В правой части окна редактора вы увидите правила, описывающие поведение компьютеров, касающиеся процессов обновления. Выберите правило «Настройка автоматического обновления».
6. В окне настройки автоматического обновления включите правило и укажите параметры. По умолчанию будет выбран режим настройки №3 – автоматическая загрузка и уведомление об установке. В этом случае установка будет производиться только после подтверждения на обновление. Возможна так же установка обновлений по расписанию. Выполнив настройки, нажмите кнопки «Применить» и «Следующий параметр»
7. Следующим параметром будет правило «Указать размещение службы обновлений Майкрософт в интрасети», где необходимо указать расположение службы обновлений, а так же сервер статистики (обычно это один и тот же сервер). Нажмите кнопку ОК.В принципе, этого достаточно. Но можно сделать и более тонкую настройку процесса обновления. Почитав встроенные подсказки к правилам, вы поймете, что вам нужно.
8. Закрыть оснастку

Все… правила начнут действовать сразу.

Вообще, таким образом можно настраивать и доменные компьютеры. Но если администратор сети сделал уже эти настройки на уровне домена, то вышеуказанные правила действовать не будут, поскольку будут перекрыты доменными групповыми политиками.

Настройка компьютеров домена

Для настройки компьютеров домена на обновление с корпоративного сервера WSUS необходимо иметь права администратора домена Windows.

Для настройки вам потребуется оснастка GPMC (Group Policy Management Console - Оснастка Управления Групповой Политикой).

На компьютерах с ОС Windows 7 оснастку лучше установить с комплектом удаленного администрирования RSAT (есть локализованная версия). После установки комплекта удаленного администрирования, не забудьте включить нужные компоненты управления (Панель управления - Программы и компоненты - Включение или отключение компонентов Windows)

Необходимо сделать следующее:
1. Запустить с помощью меню Пуск - Выполнить - GPMC.msc

2. Открыть ветку Домены – Имя_Домена – Объекты групповой политики и правой кнопкой мыши выбрать меню «Создать»
3. В поле «Имя» указать имя нового объекта групповой политики (пусть это будет “WSUS Group Policy”), далее - ОК
4. В правом окне оснастки найдите имя вашего объекта и правой кнопкой выберите меню «Изменить». Откроется оснастка «Редактор управления групповыми политиками»
5. Далее, необходимо выполнить те же самые шаги, что описаны в предыдущем разделе.

Итак, объект групповой политики (GPO) создан, но созданный GPO пока является лишь голой инструкцией. Для того, чтобы инструкция заработала, необходимо сделать привязку этой GPO к соответствующему контейнеру Windows AD. Именно те компьютеры домена, которые находятся в этом контейнере, будут выполнять эти инструкции (т.е. обновляться). Таким контейнером может быть весь домен, сайт или подразделение.
Какой контейнер выбрать – решать вам. Но критерии следующие:

-- Если вы хотите, чтобы обновлялись все компьютеры вашего домена – привязывайте GPO к домену
-- Если вы хотите обновлять только часть компьютеров, например отдельные серверы – создайте подразделение в домене, поместите туда нужные сервера и сделайте привязку к этому подразделению
-- Если ваша сеть имеет несколько площадок в разных городах, то по-хорошему подсети этих площадок должны принадлежать отдельным сайтам. В этом случае, чтобы не нагружать каналы связи между площадками, на каждом сайте имеет смысл установить свой сервер WSUS и создать для каждого отдельный GPO, указывающий именно на него. В дальнейшем, следует сделать привязки их к соответствующим сайтам (см. рисунок ниже)

Дальнейшие шаги описывают процесс привязки созданных вами объектов групповых политик к соответствующим контейнерам Windows AD.

Допустим, вы решили обновлять все компьютеры домена.

1. Тогда в открытой ранее оснастке «Управление групповой политикой» в левой части окна откройте ветку «Лес: Имя_Леса – Домены – Имя_домена»
2. Правой кнопкой мыши на имени вашего домена выбрать меню «Связать существующий объект групповой политики…»
3. В окне «Выбор объекта групповой политики» найти соответствующий GPO, который мы ранее назвали «WSUS Group Policy» и нажать ОК.

Фильтры WMI для GPO

Считаю хорошей практикой обновлять клиентские и серверные ОС с помощью отдельных групповых политик домена. В данном случае я исхожу из того, что:

- серверные ОС лучше обновлять вручную в рамках плановых регламентных работ (в этом случае осторожность вполне уместна);
- клиентские ОС лучше обновлять автоматически. Обновлять их вручную при большом парке компьютеров весьма проблематично, а пользователи это делать вряд ли будут (даже если им показать как).

Что для этого нужно сделать?

Во-первых, в оснастке GPMC.msc следует создать раздельные GPO, например

ServerOS WSUS Group Policy
ClientOS WSUS Group Policy

и настроить их на ручной (автоматическая загрузка и уведомление об установке) и автоматический режимы обновления ОС соответственно.

Во-вторых, в той же оснастке создать два WMI-фильтра. Именно эти фильтры и будут определять, которая из выше указанных GPO будет действовать при обновлении каждого компьютера вашей сети.

В третьих, связать фильтры WMI с соответствующими GPO, а обе эти GPO уже можно будет связать прямо с доменом или сайтом (как вам будет угодно).

Как создать фильтры

В уже открытой оснастке GPMC идем по ветке Лес -- Домены -- _Имя_домена_ -- Фильтры WMI. Правой кнопкой "Создать" создаем фильтр с именем Server OS"s and DC

Добавляем в него запрос в пространство root\CIMv2

ServerOS WSUS Group Policy " работать только с компьютерами под управлением серверных OS Windows (в том числе, с контроллерами домена).

Аналогично создаем фильтр с именем Client OS"s

Добавляем в него запрос в root\CIMv2

Этот фильтр позволит GPO с именем "ClientOS WSUS Group Policy " работать только с компьютерами под управлением клиентских OS Windows независимо от версии (Windows 2000 pro, Windows XP, Vista, Windows 7 и Windows 8)

Фильтры готовы.

Как мы уже писали, нужно связать GPO ServerOS WSUS Group Policy и ClientOS WSUS Group Policy с соответствующими фильтрами. Например, это можно сделать следующим образом: в ветке "Объекты групповой политики" выбрать нужный GPO, далее справа внизу "Фильтр WMI" выбрать нужный фильтр из выпадающего списка.

Итак, теперь клиентские компьютеры домена будут обновляться автоматически, а сервера будут покорно ждать вашего внимания.

На этом настройка закончена.

Как проверить результат?

В результате всех вышеуказанных действий, мы ожидаем начала обновления той части компьютров домена, на которые, по нашему мнению, должна распространяться настроенная политика.

Во-первых, можно посмотреть в журналах оснастки управления сервером WSUS появление записей о состоянии клиентов автоматического обновления.

Во-вторых, можно убедиться, что настроенная политика действует на клиентов WSUS. Откройте Панель управления - Центр обновления Windows, и убедитесь, что в правой части окна Центра обновления появилась надпись: "Контролирует системный администратор" (для Windows 7/Vista/2008/2008R2) Если этого нет - политика не действует.

Но это еще не значит, что вы где то допустили ошибку. Возможно, компьютер еще не обновил свои настройки с контроллера домена.

Это связано с тем, что групповые политики на компьютерах домена применяются не моментально (обновление GP в локальной сети идет по умолчанию с интервалом 15 минут, а межсайтовая репликация происходит еще реже)
Поэтому, можно просто подождать или выполнить обновление групповых политик на компьютерах командой

На компьютере-клиенте WSUS не запущены необходимые службы (такие, как Центр обновления Windows и Клиент групповой политики и т.д.)

Не отработал GPO для отдельных компьютеров. В этом случае прийдется разбираться с каждым отдельно. Рекомендую смоделировать действие групповой политики для проблеммных компьютеров с помощью той же оснастки GPMC.msc. Это позволит убедится, применился ли созданный GPO для анализируемого компьютера. К сожалению, траблешутинг Group Policy Windows AD выходит за рамки этого поста.

Ну и самое главное... лог WSUS-клиента вот тут --> c:\Windows\WindowsUpdate.log

Установка сервера обновлений Windows Server Update Services на платформу Windows 2008 R2 – задача несложная. Надо лишь помнить о том, что дистрибутив самого WSUS уже не требуется скачивать с сайта Microsoft. Этот сервер устанавливается так же, как и большинство других сервисов Windows Server 2008 R2 — через установку роли сервера .

Следует заметить, что пакет установки WSUS все-таки может понадобиться, но только если вы пожелаете установить отдельную консоль администрирования на одну из рабочих станций. В этом случае его можно загрузить отсюда .

Настройка сервера WSUS

Итак, начнем установку. Будем считать, что вы уже установили операционную систему Windows 2008 R2 и вошли в систему от имени учетной записи, имеющей права локального администратора. Перед установкой следует убедиться, что сервер подключен к сети и с него доступен Internet (это важно).

1. Открываем оснастку «Диспетчер сервера». Затем в левой панели открываем ветку «Роли», а в правой, запускаем мастер «Добавить роли» (см. рис. ниже):

2. После выбора строки списка «Службы Windows Server Update Services» появится окно мастера, предлагающее добавить службу Веб сервера, а так же необходимые компоненты. Соглашаемся с этим предложением и трижды нажимаем «Далее».

3. Следующий шаг, собственно, установка службы WSUS. Жмем «Далее» и, следом, «Установить». На этом этапе сервер начнет загрузку с Internet и установку службы. В процессе установки потребуется принять условия лицензионного соглашения:

Этот пакет мы установим позже.

5. Следующий этап – указание места расположения папки, где будут храниться обновления. Можно принять предложенный вариант или указать другую папку. Эта папка д.б. на диске с файловой системой NTFS. Позаботьтесь, что б там было достаточно места. В качестве примера для оценки сообщу, что обновления Windows для серверов и рабочих станций на двух языках (русский, английский) потребуют примерно 40 – 60 Гб. Экономить не советую…

6. Для работы WSUS 3.0 используется БД MS SQL. Можно использовать внутреннюю БД или использовать существующую у вас в сети:

Здесь так же указан адрес службы WSUS, который потребуется при настройке клиентов службы.

9. Все… на этом, собственно, сам процесс установки можно считать завершенным.

10. Но работа мастера будет продолжена. Следующий этап – непосредственная настройка службы обновлений:

11. Следующие шаги мастера помогут вам сделать начальные настройки службы WSUS. Необходимо будет указать, с какого сервера этот сервер WSUS будет выполнять синхронизацию. Возможные варианты: сервер Microsoft или вышестоящий сервер WSUS

12. Необходимо указать настройки прокси сервера при синхронизации:

13. На следующем этапе мы выполним подключение к серверу Microsoft (или вышестоящему серверу). Это может занять несколько минут:

Если этот процесс завершился неудачей — проверьте введенные ранее настройки прокси-сервера. Убедитесь в том, что сервер Microsoft или вышестоящий сервер WSUS доступен с этого сервера и повторите попытку.

15. На следующем шаге Вам предложат выбрать продукты компании Microsoft, для которых будут загружаться обновления

16. Также, необходимо выбрать классы обновлений:

Процесс загрузки обновлений будет длительным. Первоначальная загрузка будет длиться несколько часов и может составить несколько десятков гигабайт. Для того, чтобы сократить объем трафика, серверу WSUS можно «скормить» каталог обновлений с другого сервера. Это особенно актуально в тех случаях, когда сервер WSUS разворачивается в ЛВС, имеющей доступ к Internet по медленному каналу связи.

Если вы в процессе настройки сервера сделали что-нибудь неверно, откройте консоль Windows Server Update Services и в левой панели выбирите «Параметры». В центральной панели вы можете вручную изменить отдельные настройки или повторно запустить мастер настройки сервера WSUS.

Настройка автоматического обновления компьютеров в рабочих группах

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc . Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate . Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
— размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

— автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
— устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
— устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS. Если задано нулевое значение, то обновление производится с Microsoft Update;
— частота проверки обновлений включена;
— проверять наличие обновлений на сервере каждые 12 часов;
— переносить пропущенную установку обновлений;
— запускать пропущенную установку обновлений через 10 минут после включения компьютера;
— не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

выполнить в консоли cmd команду net stop wuauserv , чтобы остановить службу автоматического обновления;
запустить regedit и перейти в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate;
удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть);
удалить всё содержимое папки %WinDir%\SoftwareDistribution (неофициальная рекомендация);
в консоли выполнить команду net start wuauserv , чтобы запустить службу автоматического обновления;
в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут);
если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow . Обычно одного повтора достаточно, но может потребоваться и больше;
зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.

Февраль 10

WSUS (Windows Server Update Services ) нужен для автоматической закачки заплаток, пакетов обновлений и других примочек с сайта Microsoft, и раздачи этого контента внутри локальной сети. Т.е. администраторам нет необходимости качать заплатки раздельно и ставить их на каждую машину. Достаточно поднять WSUS на сервере, настроить его, а также настроить рабочие машины на использование этого сервера. Обновление скачивается 1 раз на сам сервер и с него уже устанавливается дальше по локальной сети. Так же использование WSUS существенно экономит трафик в сети интернет, используемый под закачку обновлений и системных заплаток.

WSUS является бесплатным продуктом, однако у вас должна быть корректная лицензия на серверную ОС, а также лицензии Windows Client Access (CAL) на каждую рабочую станцию, которая обновляется с сервера WSUS. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services.

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Операционная система: Windows Server 2003 SP1 и выше.
Дополнительные роли сервера: IIS 6.0 и выше
Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить.

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт».

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере.

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский». Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды.

ВАЖНО! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды.

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений.

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации. В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений».

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки». Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack , то вероятнее всего они не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy ). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Выбираем пункт «Указать размещение службы обновлений в Интрасети ».

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети ]. Копируете адрес в окно «Укажите сервер статистики в интрасети». В рамках редактора групповой политики есть подсказки в окне объяснений.

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений».

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера.

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры » при «Состояние: Любой».

Управление обновлениями

ВАЖНО! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt. exe , которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом / detectnow (wuauclt. exe / detectnow ). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом / reportnow (wuauclt. exe / reportnow ).

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Операционная система: Windows Server 2003 SP1 и выше.

Дополнительные роли сервера: IIS 6.0 и выше

Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).

Настройка сервера WSUS

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт»

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» (рис. 9)

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс – установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети ]. Копируете адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13)

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры » при «Состояние: Любой» (рис. 15).

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe , которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow ). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow ).

Господа, удачных вам обновлений!

Васильев Денис