Windows Server Update Services (WSUS): налаштування. WSUS Offline Update

Windows Server Update Services (WSUS): налаштування. WSUS Offline Update

Для серверних версій Windows оновлення системи та/або програмного забезпечення, встановленого на дочірніх терміналах, з відносно недавнього часу може виконуватися за допомогою спеціального інструменту, що отримав скорочену назву у вигляді абревіатури WSUS. Що це таке? По суті, дане програмне забезпечення являє собою унікальний реліз, що дозволяє відмовитися від використання кожним комп 'ютером, що входить в локальну мережу, самостійного інтернет-каналу для установки апдейтів. Про те, як це все працює, і які потрібно встановити налаштування, далі і піде мова.

Windows Server Update Services: що це і навіщо потрібно?


Якщо говорити про цей сервіс простою мовою, його можна описати як програмне забезпечення для автоматичного оновлення ОС і ПЗ, що встановлюється виключно на сервер, до якого підключаються інші користувальницькі термінали, об 'єднані в єдину локальну або віртуальну мережу.

Оскільки оновлення корпорація Microsoft для своїх продуктів випускає із завидною регулярністю, встановлювати їх потрібно на всіх машинах у мережі, що досить проблематично, якщо їх більше десятка. Щоб не займатися подібними речами на кожному окремо взятому терміналі, можна використовувати функцію WSUS Offline Update, коли основне оновлення встановлюється тільки на сервер, а потім "лунає" на всі інші комп 'ютери.

Переваги такого підходу очевидні, адже знижується використання інтернет-трафіку (при скачуванні мережа не навантажується) і економиться час на установку апдейтів, яка при правильному налаштуванні програмного забезпечення на центральному сервері буде проводитися автоматично.

Вимоги до встановлення

Для служби WSUS налаштування і використання неможливі без дотримання низки початкових умов. Тут слід звернути увагу на основні компоненти, які потрібно спочатку завантажити і інсталювати на сервер, якщо вони відсутні.

У якості пріоритетів можна виділити такі компоненти:

  • ОС модифікації Windows Server не нижче 2003 (хоча б з першим сервіс-паком);
  • платформа .NET Framework версії не нижче 2.0;
  • ролі сервера IIS 6.0 або вище;
  • Report Viewer від Microsoft модифікації 2008;
  • SQL Server версії 2005 з другим сервіс-паком;
  • Management Console від Microsoft модифікації 3.0.

Процес інсталяції

Власне, установка WSUS передбачає також резервування вільного дискового простору на сервері в розмірі близько 100 Гб (розташування теки зберігання оновлень вказується на першому кроці після запуску основного інсталятора).


Далі встановлюється місце розташування бази даних у вигляді окремого каталогу (краще виділити близько 2-4 Гб).

Параметри баз даних веб-сервера

У принципі, сам установщик за замовчуванням пропонує встановити внутрішні бази даних, але для спрощення процесу можна використовувати і наявний сервер баз даних.

В даному випадку потрібно буде самостійно прописати його мережеве ім 'я, відповідне ідентифікатору терміналу в мережі. Перші два варіанти можна використовувати або для отримання апдейтів з сервера Microsoft, або з внутрішнього сервера. Правда, є ще й третій варіант - встановлення баз даних на віддаленому терміналі. Але така схема застосовується в основному тільки в тих випадках, коли потрібно розподіляти апдейти по віддалених філіях з додаткового сервера оновлень.

Вибір порту

На наступному етапі встановлення WSUS налаштування передбачає здійснити вибір порту. До цього потрібно поставитися дуже уважно, оскільки введення некоректних значень може призвести тільки до того, що вся схема працювати не буде.

Зверніть увагу, що за замовчуванням до використання пропонується 80-й порт. Можна, звичайно, залишити і його, але краще (і це підтверджується практикою) використовувати порт під номером 8530 (8531). Але такий підхід можна застосувати тільки в тому випадку, коли потрібне ручне налаштування проксі.

Вибір оновлень

Наступний крок в інсталяції WSUS - налаштування параметрів отримання апдейтів з сервера вище. Іншими словами, потрібно вказати, звідки саме будуть завантажуватися оновлення.

Тут є два варіанти: або створювати синхронізацію з сервером оновлення Microsoft, або з іншим віддаленим терміналом. Краще використовувати перший варіант.


Налаштування WSUS у домені

Далі для коректної роботи служби необхідно вибрати мови, які використовуються в мережі.

Ви можете встановити будь-який з запропонованого списку, але англійська повинна бути обрана в обов 'язковому порядку, оскільки без цього коректне завантаження і розподіл апдейтів не гарантується.

Вибір продуктів

Тепер для WSUS Offline Update слід вказати, які саме програмні продукти підлягають оновленню. Як вважає більшість фахівців, при виборі бажано не жадібати і відзначити максимально можливу кількість пунктів у списку.

Але й захоплюватися теж не варто. Краще відзначити тільки те, що дійсно необхідно. Наприклад, якщо на жодній машині в мережі версія "Офісу" 2003 не встановлена, то і вказувати її оновлення не варто.

Оновлення WSUS на наступному етапі запропонує вибрати класи програмного забезпечення, для яких апдейти будуть завантажувати в першу чергу. Тут - на свій вибір. У принципі, можна не встановлювати галочки навпроти встановлення оновлень драйверів, засобів і нових функцій. Після закінчення буде встановлено час, коли вибрані оновлення будуть завантажуватися і інсталюватися.


Параметри консолі

Тепер слід викликати консоль і першим ділом встановити ручну синхронізацію, щоб відбулося завантаження всіх наявних на даний момент апдейтів.

Після цього доведеться зайнятися налаштуванням груп терміналів. Рекомендується створити дві категорії комп 'ютерів. В одній будуть знаходитися сервери, в іншій - звичайні робочі станції. Таке налаштування дозволить обмежити інсталяцію оновлень на сервери.

Оскільки всі видимі в мережі термінали на даний момент знаходяться в категорії непризначених комп 'ютерів, розподіляти їх по відповідним групам доведеться вручну.

На наступному етапі налаштування WSUS передбачає створення спеціальних правил оновлення, що робиться в розділі автоматичного схвалення. Для робочих станцій бажано встановити правило автоматичного схвалення, а для серверів потрібно буде додатково відзначити ще один відповідний рядок. Крім того, для серверів не рекомендується вибирати абсолютно всі оновлення, оскільки це може призвести до невдачі в роботі.

Встановлення параметрів оновлення в групових політиках

Коли попереднє налаштування основних параметрів завершено, слід виконати ще декілька дій, пов 'язаних з дозволами та схваленнями.


Для цього потрібно використовувати редактор групових політик, який найпростіше викликати через консоль "Виконати" (Win + R) командою gpedit.msc, а не використовувати "Панель управління" або розділ адміністрування.

Тут потрібно через конфігурацію комп 'ютера і політики дістатися до адміністративних шаблонів, де знайти "Центр оновлення". У ньому нас цікавить параметр, що відповідає за вказівку розташування служби оновлення в інтрассеті. Викликавши подвійним кліком меню редагування, служби потрібно включити і вказати адресу сервера, який зазвичай виглядає як http:/ /SERVER_NAME, де SERVER_NAME - назва сервера у мережі. Можна не використовувати таку комбінацію, а просто прописати IP сервера. Після завершення налаштування через деякий час дочірні машини почнуть отримувати пакети апдейтів.

Можливі помилки

Помилки WSUS найчастіше пов 'язують з тим, що для серверів включено занадто багато непотрібних оновлень, про що було сказано вище.

Однак не менш поширеною проблемою є і той момент, що оновлення встановлюються не на всіх мережевих дочірніх терміналах. В даному випадку необхідно відкрити розділ автоматичних схвалень і встановити для них саме тип групових політик, який відповідає автоматичній інсталяції критичних апдейтів операційної системи і системи безпеки. Відповідно, можна створити і своє нове правило із зазначенням продуктів і параметрів встановлення оновлень (можна використовувати навіть ручне схвалення).

Нарешті, якщо не робити повне скидання налаштувань WSUS, після чого всю процедуру встановлення параметрів доведеться проводити заново, настійно рекомендується хоча б раз на місяць робити очищення сервера (для цього передбачена однойменна функція у вигляді "Майстра"). Такі кроки допоможуть видалити з системи незатребувані апдейти, а також суттєво зменшити розмір самої бази даних (зрозуміло ж, що чим більш база, тим більший час потрібен на звернення до неї, плюс - надмірне навантаження на обчислювальні здібності сервера і розподіл оновлень по мережі).


У деяких випадках може допомогти встановлення політик не за замовчуванням (Default Group Policy), а створення нового типу з усіма активованими параметрами зі списку доступних з введенням мережевої адреси сервера (при задіяному порту 8530).

У разі коли використовуються так звані мобільні робочі місця, аналогічні налаштування можна зробити в розділі локальних політик безпеки, вказавши відповідні параметри. Якщо все виконано правильно, для групи терміналів Server будуть інсталюватися виключно критичні апдейти, а для комп 'ютерів, що входять до групи Workgroup (або до категорії з іншою назвою), - абсолютно всі оновлення, які були обрані на початковому етапі налаштування.

Замість підсумку

Власне, на цьому розгляд питання про налаштування служби автоматичного апдейту WSUS можна і закінчити. Щоб все запрацювало і не викликало занепокоєння у системного адміністратора надалі, слід звернути увагу на початкові умови, пов 'язані з установкою додаткових компонентів. Як вважається, серверну версію ОС краще використовувати не 2003, а 2008 R2 або вище, а також звернути увагу на платформу .NET Framework четвертої версії, а не 2.0). Крім того, особливо уважно слід поставитися до налаштувань проксі і вибору портів, оскільки порт 80 за замовчуванням може і не працювати. Нарешті, одним з найважливіших аспектів налаштування є вибір груп терміналів і встановлених на них оновлень. В іншому ж, як правило, проблем бути не повинно, хоча при завантаженні великовагових апдейтів великого розміру при поганій якості зв 'язку короткочасні збої і помилки розподілу оновлень по мережі спостерігатися все-таки можуть. До речі, і чистити сервер час від часу теж потрібно. Якщо автоматичний інструмент з якихось причин позитивного ефекту не матиме, можна спробувати хоча б видалити тимчасові файли вручну з директорії SDTemp. Принаймні, навіть такий тривіальний крок дозволить відразу ж знизити навантаження не тільки на сам сервер, але і на дочірні термінали, і на мережу в цілому.