Настройка wsus windows server 2012 r2

С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.

Содержание:

  • Установка роли WSUS в Windows Server
  • Начальная настройка сервера обновлений WSUS в Windows Server
  • Установка консоли администрирования WSUS в Windows 10/11
  • Оптимизация производительности WSUS

Как работает WSUS?

Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:

  • После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
  • Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
  • Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.

Установка роли WSUS в Windows Server

Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.

Если вы развертываете новый сервер WSUS, рекомендуется сразу устанавливать его на последнем релизе Windows Server 2022 (возможна установка на Windows Serve Core).

Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).

установка роли Windows Server Update Services в windows server 2012

В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.

Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:

  • Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
  • Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.

Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:

  • У вас отсутствуют лицензии MS SQL Server;
  • Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
  • При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.

В бесплатной SQL Server Express Edition максимальный размер БД ограничен 10 Гб. Ограничение Windows Internal Database – 524 Гб. Например, в моей инфраструктуре размер базы данных WSUS на 3000 клиентов составил около 7Гб.

При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:

  • SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
  • Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.

База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID.

Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения
\\.\pipe\MICROSOFT##WID\tsql\query
.

база данных ms sql для сервера обновлений wsus

Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.

Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.

Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).

каталог установки wsus

Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools

Начальная настройка сервера обновлений WSUS в Windows Server

После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.

пост насртойка сервера wsus

Для управления WSUS из командной строки можно использовать консольную утилиту
WsusUtil.exe
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:

CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=E:\WSUS

Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:

wsusutil.exe postinstall SQL_INSTANCE_NAME="SQLSRV1\SQLINSTANCEWSUS" CONTENT_DIR=E:\WSUS_Content

Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.

Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.

Параметры синхронизации wsus с вышестоящим сервером

Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.

Доступ wsus через прокси-сервер

Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.

Запуск синхронизации wsus в windows server 2012

Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).

Выбор языков продуктов на wsus в win2012

Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.

Обязательно включите в классификации следующие общие разделы:

  • Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
  • Windows Dictionary Updates в категории Windows
  • Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer

Выбор продуктов, обновления на которые устанавливает wsus

На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.

категории обновлений wsus в windows server 2016

Обновления редакций (билдов) Windows 10 (21H2, 20H2, 1909 и т.д.) в консоли WSUS входят в класс Upgrades.

Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.

Параметры синхронизации wsus в windows server 2012

Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.

Консоль управления wsus в windows server 2012

Консоль WSUS состоит из нескольких разделов:

  • Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
  • Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
  • Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
  • Syncronizations –расписание синхронизации обновлений
  • Reports – отчёты WSUS
  • Options – настройка сервера WSUS

Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:

Test-NetConnection -ComputerName wsussrv1 -Port 8530

Можно использовать защищенное SSL подключение по порту 8531. Для этого нужно привязать сертификат в IIS.

Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.

Установка консоли администрирования WSUS в Windows 10/11

Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
wsus.msc
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.

Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:

Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0

Если вы хотите установить консоль WSUS в Windows Server, выполните команду:

Install-WindowsFeature -Name UpdateServices-Ui

консоль администрирования windows server update servises (wsus)

При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.

  • WSUS Administrators
  • WSUS Reporters

Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:

  • Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
  • Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).

Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:

The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.

установка microsoft report viewer для WSUS

Оптимизация производительности WSUS

В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.

  • Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
  • При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists). ошика wsus консоли unexpected error 7053Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
    Import-Module WebAdministration
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel"
  • Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.

Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:

  • \WSUS\WSUSContent;
  • %windir%\wid\data;
  • \SoftwareDistribution\Download.

WSUS-WinSrv-2012-000.jpgТема настройки локального сервера обновлений (WSUS) уже поднималась на нашем сайте, но так как с тех пор прошло довольно много времени и произошли довольно серьезные изменения, то назрела необходимость обновить статью. Сегодня мы расскажем о настройке роли WSUS на платформе Windows Server 2012, данный процесс во многом стал проще и легче, а службы WSUS теперь полноценно интегрированы в систему.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Наш предыдущий материал рассматривал установку WSUS на платформе Windows Server 2008, тогда это была довольно непростая задача для неподготовленного администратора. Требовалось установить дополнительные пакеты, специальным образом настроить веб-сервер, да и сами службы WSUS устанавливались как отдельное приложение.

Начиная с Windows Server 2008 R2, WSUS был включен в состав ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2012 R2, все сказанное, за незначительными поправками, будет справедливо и для Server 2008 R2.

Из сторонних пакетов потребуется установить только Microsoft Report Viewer 2008 SP1 Redistributable, однако он не является обязательным и на работу службы не влияет, а требуется только для формирования отчетов. Поэтому даже если вы забудете его установить — ничего страшного не произойдет, при первом обращении к отчетам система сообщит вам об этом и даст ссылку на скачивание.

Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер БД WSUS не может быть контроллером домена, Сервер WSUS не может быть одновременно сервером терминалов Remote Desktop Services.

Для установки WSUS откроем Диспетчер серверов и перейдем в Управление — Добавить роли и компоненты. В открывшемся мастере добавляем роль Службы Windows Server Update Services.

WSUS-WinSrv-2012-001.jpgСледующим шагом будут добавлены все необходимые роли и компоненты, таким образом больше ничего настраивать отдельно не придется.

WSUS-WinSrv-2012-002.jpgВ качестве хранилища по умолчанию WSUS предлагает использовать внутреннюю базу данных Windows (Windows Internal Database, WID). Для небольших внедрений мы не видим смысла в установке отдельного SQL-сервера, никаких существенных преимуществ это не даст.

WSUS-WinSrv-2012-003.jpg

Следующим шагом переходим к базовым настройкам служб роли. В нашем случае потребуется выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database следует выбрать опцию База данных. Сам сервер баз данных к этому моменту уже должен быть развернут в вашей сети.

WSUS-WinSrv-2012-004.jpgСледующим шагом укажите размещение хранилища обновлений, рекомендуем выделить для этих целей отдельный жесткий диск или раздел диска.

WSUS-WinSrv-2012-005.jpgТакже возможен вариант, когда на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений будут, после их одобрения и назначения администратором, скачиваться с серверов Microsoft. На наш взгляд такая схема будет удобна небольшим компаниям с хорошим интернет каналом, действительно, ради десятка машин организовывать локальное хранилище большого смысла не имеет, особенно если WSUS не единственная роль данного сервера.

Для приблизительной оценки требуемого места приведем данные с одной реальной инсталляции, произведенной летом 2012 года. На текущий момент выбраны следующие продукты: все клиентские ОС от Windows XP до Windows 8.1, кроме Vista, все серверные ОС от Server 2003 до Server 2012 R2, Office 2010, Exchange 2010, SQL Server 2008 — 2012, а также ряд дополнительных продуктов из разряда Распространяемых пакетов Visual C++ и т.п.

Размер обновлений в хранилище на текущий момент (два года после установки) — 173 ГБ, размер SQL базы данных — около 10 ГБ.

Если вы выбрали внешнюю базу данных, то также потребуется указать параметры подключения к SQL серверу. После чего можно переходить к установке роли, перезагрузка не требуется. После установки нажмите на флажок с желтым восклицательным знаком в Диспетчере серверов и щелкните Запуск послеустановочных задач, дождитесь окончания процедуры (восклицательный знак исчезнет).

WSUS-WinSrv-2012-006.jpgНа этом установку роли можно считать законченной и переходит к настройке службы WSUS, мы подробно освещали этот процесс в предыдущей статье и не видим смысла заострять на этом внимание.

Если коротко, то сначала нужно выбрать источник синхронизации: сервера Microsoft или вышестоящий WSUS сервер.

WSUS-WinSrv-2012-007.jpgЗатем выбрать языки и продукты.

WSUS-WinSrv-2012-008.jpgУказать классы обновлений.

WSUS-WinSrv-2012-009.jpgИ задать параметры автоматической синхронизации.

WSUS-WinSrv-2012-010.jpgПроцесс первоначальной синхронизации может занять продолжительное время, зависящее от выбранного набора продуктов и классов, а также скорости вашего интернет канала.

Не забудьте указать правила автоматического одобрения и одобрить уже скачанные обновления.

WSUS-WinSrv-2012-011.jpgПосле чего потребуется сообщить клиентам расположение вашего WSUS сервера, это можно сделать через групповые политики: Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows — Указать размещение службы обновлений Microsoft в интрасети.

WSUS-WinSrv-2012-012.jpgИли в локальных политиках: Пуск — Выполнить — gpedit.msc, затем Конфигурация компьютера — Административные шаблоны — Центр обновления Windows (Windows Update)- Указать размещение службы обновлений Microsoft в интрасети.

WSUS-WinSrv-2012-013.jpgПуть к серверу следует прописывать как http://SERVER_NAME:8530, при этом рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где можно получить детальную информацию по уже установленным и требующимся обновлениям.

WSUS-WinSrv-2012-014.jpgКстати, если вы забыли установить Microsoft Report Viewer 2008 SP1 Redistributable, то при попытке вызвать отчет получите следующее сообщение, которое содержит ссылку на скачивание необходимого пакета. :

WSUS-WinSrv-2012-015.jpgКак видим, Microsoft проделало большую работу по совершенствованию службы WSUS, теперь это одна из ролей системы и ее установка и настройка не должна вызывать затруднений даже у новичков.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Обновлено Обновлено:
Опубликовано Опубликовано:

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Подготовка сервера
Установка роли сервера обновлений
Постустановка и настройка WSUS с помощью мастера
Ручная настройка сервера
    Установка Microsoft Report Viewer
    Конфигурирование сервера
Настройка клиентов
    Групповой политикой
    Реестром
Автоматическая чистка

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

  1. Задаем имя компьютера.
  2. Настраиваем статический IP-адрес.
  3. При необходимости, добавляем компьютер в домен.
  4. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

Запуск диспетчера серверов в Windows Server

В правой части открытого окна нажимаем УправлениеДобавить роли и компоненты:

Переходим к добавлению ролей Windows Server

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

Пропускаем стрницу приветствия

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Устанавливаем роли и компоненты

Далее выбираем сервер из списка, на который будем ставить WSUS:

Выбор целевого сервера для развертывания WSUS

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Выбираем для установки роль WSUS

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Никаких дополнительный компонентов устанавливать не нужно

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Предварительная настройка WSUS

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Выбор ролей службы WSUS

Прописываем путь, где WSUS будет хранить файлы обновлений:

Указываем путь, по которому WSUS должен хранить файлы обновлений

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Переходим к настройке IIS

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

Не меняем настройки ролей служб при установки IIS

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Подтверждаем намерение установить роль WSUS

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Дожидаемся окончания установки WSUS

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по СредстваСлужбы Windows Server Update Services:

Среди средств управления сервером выбираем Службы Windows Server Update Services

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

Завершаем установку WSUS, подтвердив путь хранения файлов обновлений

… и ждем завершения настройки:

Дожидаемся окончания постустановки

Откроется стартовое окно мастера настройки WSUS — идем далее:

Начальное окно при настройке WSUS

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Соглашаемся или отказывается принять участие в улучшении продуктов Microsoft

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

Настройка источника обновлений для WSUS

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

Настройка прокси-сервера

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

Подключаемся к серверу обновлений для получения списка обновлений

… и дожидаемся окончания процесса:

Ждем завершения подключения WSUS к центру обновлений

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Выбор языковых версий обновлений

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

Отмечаем программы Microsoft для обноления

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

Выбор классов обновлений для загрузки WSUS

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Настройка синхронизации обновлений между WSUS и настроенным центром обновлений

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

Завершение настройки WSUS

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Переход к установке ролей и компонентов

… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:

Выбор для установки .NET Framework 3.5

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:

Загружаем Microsoft Report Viewer

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:

Переходим к добавлению группы компьютеров

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

Пример созданных групп компьютеров в WSUS

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел ПараметрыАвтоматические утверждения:

Переходим к настройкам автоматического утверждения обновлений

Кликаем по Создать правило:

Переходим к созданию правил

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

  • Для тестовой группы применять все обновления сразу после их выхода.
  • Для рабочих станций и серверов сразу устанавливать критические обновления.
  • Для рабочих станций и серверов применять обновления спустя 7 дней.
  • Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в ПараметрыКомпьютеры:

Переходим к параметрам компьютеров в WSUS

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Использовать на компьютерах групповую политику или параметры реестра

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

  1. Для тестовой группы.
  2. Для серверов.
  3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsЦентр обновления Windows. Стоит настроить следующие политики:

Название политики Значение Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений Включить Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления Включить.
Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки.
Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.
Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети Включить.
Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *
Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях Включить Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи Включить Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках Включить и выставить значение в минутах, например, 1440 Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках Включить и выставить значение в минутах, например, 30 Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе Включить и задать значение созданной в WSUS группе компьютеров:
— Рабочие станции
— Серверы
— Тестовая группа
Позволяет добавить наши компьютеры в соответствующую группу WSUS.

8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

  • WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
  • WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
  • TargetGroupEnabled, REG_DWORD — значение 1
  • TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

  • AUOptions, REG_DWORD — значение 2
  • AutoInstallMinorUpdates, REG_DWORD — значение 0
  • NoAutoUpdate, REG_DWORD — значение 0
  • ScheduledInstallDay, REG_DWORD — значение 0
  • ScheduledInstallTime, REG_DWORD — значение 3
  • UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

wuauclt.exe /detectnow

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе ПараметрыМастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Данная статья предназначена для тех, кто искал подробное и понятное руководство о том, как установить и настроить роль Windows Server Update Services на Windows Server 2012 R2.

В этом руководстве мы будем рассматривать тот случай, когда у вас уже есть сервер с установленной на нем операционной системой Windows Server 2012 R2.

Подробно о том, как установить Windows Server 2012 R2, вы можете прочитать в моем руководстве “Установка Windows Server 2012 R2”.

Узнать о том, как установить Active Directory Domain Services на Windows Server 2012 R2, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2012 R2”.

Перед началом установки роли Windows Server Update Services необходимо присвоить серверу корректное имя в соответствии со стандартами вашей организации, а затем указать статический IP-адрес в настройках сетевого подключения. Кроме того сервер необходимо добавить в домен.

В моем руководстве “Базовая настройка Windows Server 2012 R2” вы можете прочитать о том, как произвести базовые настройки Windows Server 2012 R2 и добавить сервер в домен.

Обратите внимание, перед установкой обновлений на промышленные сервера необходимо протестировать установку обновлений на тестовых серверах.

Переходим на будущий сервер обновлений и заходим в систему под учетной записью с правами администратора.

Первым делом необходимо продумать, в какую папку будут загружаться обновления. Для хранения загруженных обновлений лучше всего использовать папку на отдельном локальном диске. Объем свободного места на выделенном диске должен быть не меньше 10 Gb.

Создадим новую папку для обновлений.

Переходим на дополнительный локальный диск и нажимаем правой кнопкой мыши на свободном месте, в открывшемся меню выбираем “New”, затем “Folder”.

Указываем имя для новой папки и нажимаем на кнопку “Enter”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Новая папка для обновлений готова.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь можно приступить к установке роли “Windows Server Update Services”.

Открываем “Server Manager”, нажимаем на кнопку “Manage” в правом верхнем углу экрана и выбираем “Add Roles and Features”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Выбираем тип установки “Role-based or feature-based installation” и нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее выбираем сервер, на который будет производиться установка роли.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Выбираем роль “Windows Server Update Services”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

На следующем этапе “Мастер установки ролей” предупредит, что для установки роли “Windows Server Update Services” нужно установить несколько компонентов.

Нажимаем на кнопку “Add Features”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

На этапе добавления компонентов оставляем все значения по умолчанию.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее “Мастер установки ролей” предлагает ознакомиться с дополнительной информацией касательно роли “Windows Server Update Services”.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо выбрать, где служба обновлений будет хранить свои служебные данные. Для этого можно использовать SQL Server или хранить данные во внутренней базе данных Windows (WID — Windows Internal Database). WID не имеет ограничения на размер базы данных и не требует дополнительной лицензии для использования.

В данном руководстве для хранения данных будет использоваться Windows Internal Database.

Выбираем “WID Database” и “WSUS Services”.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Указываем путь к ранее созданной папке, где планируется хранить загруженные обновления.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

На следующем этапе “Мастер установки ролей” предупредит, что для работы роли “Windows Server Update Services” будет дополнительно установлена роль веб-сервера “Internet Information Services”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

На этапе добавления компонентов оставляем все значения по умолчанию.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Для того чтобы начать установку выбранной роли, нажимаем на кнопку “Install”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Началась установка выбранной роли и необходимых для нее компонентов.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Установка роли “Windows Server Update Services” завершена.

Теперь нажимаем на кнопку “Launch Post-Installation tasks”, для того чтобы “Мастер установки ролей” запустил задачи по первичной настройке новой роли.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Начался процесс выполнения задач по первичной настройке новой роли.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Процесс выполнения задач по первичной настройке новой роли завершен.

Нажимаем на кнопку “Close”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо произвести базовую настройку роли Windows Server Update Services.

Возвращаемся в “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Windows Server Update Services”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее предлагается принять участие в программе по улучшению качества.

Снимаем галочку “Yes, I would like to join the Microsoft Update Improvement Program” и нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо выбрать источник, откуда ваш сервер будет загружать обновления для дальнейшего распространения их в локальной сети. Для этого можно использовать сервера компании Microsoft или загружать обновления с другого сервера с ролью Windows Server Update Services в вашей локальной сети.

В данном руководстве сервер будет загружать обновления через Интернет с серверов компании Microsoft.

Выбираем “Synchronize from Microsoft Update” и нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее можно указать настройки для подключения к сети Интернет через прокси-сервер.

В данном руководстве прокси-сервер не используется.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо подключиться к источнику с обновлениями, чтобы получить сведения о доступных обновлениях.

Нажимаем на кнопку “Start Connecting”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Процесс подключения к источнику с обновлениями завершен.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее необходимо выбрать, для каких языков нужно загружать обновления.

Выбираем нужные языки и нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо выбрать, для каких продуктов нужно загружать обновления.

В данном руководстве будут устанавливаться обновления для операционной системы Windows Server 2012 R2.

Выбираем, для каких продуктов планируется устанавливать обновления, и нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее необходимо выбрать нужные обновления по классификации.

Выбираем все классификации кроме “Drivers” и “Update Rollups”.

Обратите внимание, обновления, которые относятся к классификациям “Drivers” и “Update Rollups”, не рекомендуется устанавливать, используя сервер обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо выбрать расписание, по которому ваш сервер будет загружать обновления для дальнейшего распространения их в локальной сети.

В данном руководстве сервер будет загружать обновления каждый день автоматически.

Выбираем “Synchronize automatically” и указываем удобное для вас время загрузки обновлений на ваш сервер.

Нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь можно запустить процесс первоначальной синхронизации с серверами компании Microsoft.

Ставим галочку на пункте “Begin initial synchronization” и нажимаем на кнопку “Next”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее буду даны рекомендации по дальнейшей настройке роли Windows Server Update Services.

Нажимаем на кнопку “Finish”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Базовая настройка роли Windows Server Update Services произведена.

Теперь необходимо создать групповую политику, которая распространит информацию о вашем сервере обновлений на компьютеры для последующей загрузки обновлений с вашего сервера.

В данном руководстве будет рассматриваться единая групповая политика для серверов и рабочих станций.

Обратите внимание, в промышленной среде рекомендуется использовать индивидуальные групповые политики для каждого типа компьютеров.

Переходим на контроллер домена и заходим в систему под учетной записью с правами администратора домена.

Открываем “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Group Policy Management”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Нажимаем правой кнопкой мыши на имя домена и выбираем “Create a GPO in this domain, and Link it here”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Указываем имя для новой групповой политики и нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем на новую политику правой кнопкой мыши и выбираем “Edit”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

В редакторе групповой политики переходим в раздел “Computer Configuration”, затем в подраздел “Policies”, далее находим раздел “Administrative Templates” и выбираем “Windows Components”, затем “Windows Update”.

Далее нажимаем два раза левой кнопкой мыши на пункт “Enabling Windows Update Power Management to automatically wake up the system to install scheduled updates”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет выводить систему из режима сна для установки обновлений.

Выбираем “Enabled”.

Обратите внимание, если групповая политика рассчитана только для серверов, то эту настройку можно не применять.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем два раза левой кнопкой мыши на пункт “Configure Automatic Updates”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет выбрать параметры установки обновлений и расписание, по которому они будут устанавливаться.

Выбираем “Enabled”.

В данном руководстве обновления будут автоматически загружаться и устанавливаться каждый день в четыре часа вечера на все компьютеры.

Обратите внимание, в промышленной среде для важных серверов не рекомендуется использовать автоматическую установку обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.

В разделе “Configure automatic updating” выбираем “Auto download and schedule the install”.

В разделе “Scheduled install day” выбираем удобное расписание для установки обновлений”.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем два раза левой кнопкой мыши на пункт “Specify intranet Microsoft update service location”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет указать адрес вашего сервера обновлений.

Выбираем “Enabled”.

В поле “Set the intranet update service for detecting updates” указываем адрес, по которому ваш сервер обновлений доступен в локальной сети по протоколу HTTP, и порт 8530.

В поле “Set the intranet statistics server” указываем адрес, по которому ваш сервер обновлений доступен в локальной сети по протоколу HTTP, и порт 8530.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем два раза левой кнопкой мыши на пункт “Automatic Updates detection frequency”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет установить интервал проверки на наличие новых обновлений на вашем сервере обновлений.

Выбираем “Enabled”.

В данном руководстве проверка на наличие новых обновлений будет проводиться один раз в час.

В поле “Interval (hours)” указываем удобный интервал для установки обновлений.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем два раза левой кнопкой мыши на пункт “Allow Automatic Updates immediate installation”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет немедленно начать установку обновлений, после того как они будут загружены и подготовлены к установке на целевых компьютерах.

Выбираем “Enabled”.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем два раза левой кнопкой мыши на пункт “Turn on recommended updates via Automatic Updates”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет устанавливать на компьютеры не только важные обновления, но и рекомендуемые.

Выбираем “Enabled”.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее нажимаем два раза левой кнопкой мыши на пункт “No auto-restart with logged on users for scheduled automatic updates installation”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Данная настройка позволяет запретить автоматическую перезагрузку компьютера, если на него вошел пользователь.

Выбираем “Enabled”.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь проверим применение групповой политики.

Для этого необходимо запустить обновление групповых политик на компьютере, который попадает под действие новой групповой политики и на который требуется установить обновления.

В данном руководстве в качестве компьютера, на который будут устанавливаться обновления, используется сервер на базе операционной системы Windows Server 2012 R2, который выполняет роль контроллера домена.

Нажимаем “Start”, указываем в строке поиска “cmd”, затем нажимаем правой кнопкой мыши на “Command Prompt” и выбираем “Run as administrator”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Ускорим применение новой политики на сервер с помощью команды:

gpupdate /force

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Обновления групповых политик успешно завершено.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь проверим, что сервер получил необходимые настройки для загрузки обновлений с сервера, на котором установлена роль Windows Server Update Services.

Переходим в меню “Start” и нажимаем кнопку “Control Panel”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее переходим в раздел “System and Security”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Выбираем раздел “Windows Update”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Если вы все сделали правильно, то в разделе “Windows Update” в пункте “You receive updates” должно отображаться “Managed by your system administrator”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо создать новую группу компьютеров, разрешить установку определенных обновлений на эту группу и добавить в эту группу компьютеры, на которые планируется устанавливать обновления.

Возвращаемся на сервер, на котором установлена роль Windows Server Update Services.

Заходим в систему под учетной записью с правами администратора.

Открываем “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Windows Server Update Services”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Переходим в раздел “Computers” и нажимаем правой кнопкой мыши на подраздел “All Computers”. В открывшемся меню выбираем “Add Computer Group”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

В данном руководстве будет использоваться группа “Servers”, куда будут добавляться сервера, на которые требуется установить обновления.

Указываем имя для новой группы компьютеров и нажимаем на кнопку “Add”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь в новую группу необходимо добавить компьютеры, на которые требуется установить обновления.

В данном руководстве в качестве компьютера, куда будут устанавливаться обновления, используется сервер, который выполняет роль контроллера домена.

Переходим в раздел “Computers”, затем в подраздел “Unassigned Computers”. В меню “Status” выбираем “Any” и нажимаем на кнопку “Refresh”.

В этом подразделе появляются все компьютеры, на которые распространилась информация о вашем сервере обновлений.

Нажимаем правой кнопкой мыши на компьютер, на который требуется установить обновления, и в открывшемся меню выбираем “Change Membership”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Указываем группу компьютеров, в которую необходимо добавить компьютер и нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Переходим в раздел “Computers”, затем в подраздел “Servers”. В меню “Status” выбираем “Any” и нажимаем на кнопку “Refresh”.

Компьютер успешно добавлен в группу “Servers”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо разрешить установку обновлений на новую группу компьютеров.

В разделе “Updates” переходим в подраздел “All Updates” и в правой части экрана выбираем необходимые для установки обновления.

В данном руководстве будут разрешены все обновления для операционной системы Windows Server 2012 R2.

Выбираем обновления, которые необходимо разрешить для установки, и нажимаем на кнопку “Approve”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь нужно выбрать группу компьютеров, на которую нужно разрешить установку выбранных обновлений.

Выбираем “Servers”, и в открывшемся меню выбираем “Approved for Install”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Все готово к разрешению на установку выбранных обновлений на группу “Servers”.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Обновления успешно разрешены для установки на выбранную группу компьютеров.

Нажимаем на кнопку “Close”.

Теперь необходимо подождать, и через некоторое время на указанную группу компьютеров будут загружены и установлены только те обновления, которые были разрешены.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь можно создать правило для автоматического разрешения новых обновлений.

Обратите внимание, в промышленной среде для важных серверов не рекомендуется использовать правила для автоматического разрешения обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.

В разделе “Options” выбираем “Automatic Approvals”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Нажимаем на кнопку “New Rule”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

В разделе “Step 1: Select properties” ставим галочку на пункте “When an update is in a specific classification”, чтобы указать для каких классификаций обновления будут разрешаться автоматически.

Затем ставим галочку на пункте “When an update is in a specific product”, чтобы указать для каких продуктов обновления будут разрешаться автоматически.

В разделе “Step 2: Edit the properties” выбираем “Any classification”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Далее необходимо выбрать нужные обновления по классификации.

Выбираем все классификации кроме “Drivers” и “Update Rollups”.

Обратите внимание, обновления, которые относятся к классификациям “Drivers” и “Update Rollups”, не рекомендуется устанавливать, используя сервер обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.

Нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо выбрать для каких продуктов нужно автоматически разрешать обновления.

В разделе “Step 2: Edit the properties” выбираем “Any product”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

В данном руководстве будут автоматически разрешаться обновления для операционной системы Windows Server 2012 R2.

Выбираем продукты, на которые планируется устанавливать обновления, и нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо выбрать для какой группы компьютеров необходимо автоматически разрешать обновления.

В разделе “Step 2: Edit the properties” выбираем “All computers”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

В данном руководстве в качестве группы, на которую необходимо автоматически разрешать обновления, используется группа “Servers”.

Выбираем группу компьютеров, для которой необходимо автоматически разрешать обновления, и нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь необходимо указать имя для нового правила.

В разделе “Step 3: Specify a name” указываем имя для нового правила и нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Создание правила для автоматического разрешения новых обновлений завершено.

Ставим галочку на новом правиле и нажимаем на кнопку “OK”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь проверим, установились ли обновления.

Через день возвращаемся на компьютер, на котором должны были установиться обновления.

В данном руководстве в качестве компьютера, на который устанавливались обновления, использовался контроллер домена.

Заходим в систему под учетной записью с правами администратора домена и переходим в меню “Start”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Теперь переходим в раздел “System and Security”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Выбираем раздел “Windows Update”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Обновления успешно установились на сервер.

Чтобы завершить установку обновлений необходимо перезагрузить сервер.

Нажимаем на кнопку “Restart now”.

Установка и настройка Windows Server Update Services на Windows Server 2012 R2

Windows Server Update Services (WSUS) is a free patch management tool by Microsoft. It allows sysadmins to centrally push Microsoft product updates to computers that are running Windows on their network.

This guide will help you set up your very own WSUS server on Windows Server 2012 R2.

Why WSUS?

How do Windows computers usually update? In a non-WSUS environment (generally all home environments), each PC independently connects to Microsoft Update to get its patches and MS product updates.

This may not be always preferred in a corporate environment. Instead of each workstation manually connecting to Microsoft Update, testing updates and then deploying updates using traditional methods, administrators can use WSUS to download updates centrally to an internal server. Once updates are authorised in WSUS, they’re also deployed internally and reporting tools keep administrators informed of patch progress. This is a very efficient way of working, allowing administrators full control of which updates are deployed to workstations.

In Windows Server 2012 and 2012 R2, WSUS is integrated with the operating system as a server role. In previous versions of Windows Server (2003, 2008, 2008 R2), you had to separately install WSUS 3.0.

Also, seems like Microsoft will be moving away from WSUS to an entirely new product called Windows Update for Business (WUB). You can read more about it here.

Ok, so now, let’s see how we can set up WSUS on Windows Server 2012 R2

What you need:

  1. A machine with Windows Server 2012 R2 installed
  2. Internet connection
  3. 20 minutes (not including download times)

I started with a fresh install of Windows Server 2012 R2 on a VM and connected it to my domain.

Step 1:

On your Windows Server 2012 R2 machine, launch Server Manager as shown below.

You can either launch it using the icon in the taskbar or you can click the Start button and just search for “server manager”.

Click on the Server Manager icon on the taskbar to launch Server Manager

Step 2:

Once Server Manager is open, select Add roles and features.

Server Manager window

Step 3:

In the Add Roles and Features Wizard, click next on the Before You Begin page. You can optionally select to Skip this page by default for the future.

wsus_server_2012_wiseindy_3

Step 4:

Select Role-based or feature-based installation

wsus_server_2012_wiseindy_4

Step 5:

Select your server from the server pool. If you’re not using Hyper-V, you will see only one server, i.e., your soon-to-be WSUS server.

wsus_server_2012_wiseindy_5

Step 6:

In the Server Roles list, scroll down and select Windows Server Update Services

wsus_server_2012_wiseindy_6

Step 7:

A window will pop up showing you the features that are required for WSUS which will be enabled. Click Add Features

wsus_server_2012_wiseindy_7

Step 8:

You will notice that IIS has been automatically selected. Leave everything as default and click Next

wsus_server_2012_wiseindy_8

Step 9:

On the Features screen, leave the default selections and click Next

wsus_server_2012_wiseindy_9

Step 10:

On the Web Server Role (IIS) page, click Next

wsus_server_2012_wiseindy_10

Step 11:

Leave all selections as default on the Role Services page and click Next

wsus_server_2012_wiseindy_11

Step 12:

Click Next on this screen

wsus_server_2012_wiseindy_12

Step 13:

On the Role Services page, make sure WID Database and WSUS Services are selected (They should be selected by default). Click Next

wsus_server_2012_wiseindy_13

Step 14:

This page will allow you to set the destination directory for the downloaded updates. Tick the checkbox for Store updates in the following location.

Enter the path here. It can either be a local or a remote path.
Keep in mind that WSUS will take up considerable amount of storage as time goes on. It is not unusual to find update folders of sizes greater than 100 GB.

Choose your destination accordingly.

wsus_server_2012_wiseindy_14

Step 15:

On the Confirmation screen, check the Restart the destination server automatically if required option if you wish to do so, otherwise you can leave it unchecked.

Click Install

wsus_server_2012_wiseindy_15

Step 16:

Sit back and grab a coffee. This will take about 5-10 minutes.

wsus_server_2012_wiseindy_16

Step 17:

Once its installed, hit Close

wsus_server_2012_wiseindy_17

Step 18:

Search for WSUS or Windows Server Update Services and launch it

wsus_server_2012_wiseindy_18

Step 19:

Since it’s the first time you’re opening it, it’ll take a while to set up. Wait for it to complete and then hit Close

wsus_server_2012_wiseindy_19

wsus_server_2012_wiseindy_20

Step 20:

You will now see a wizard that will walk you through a series of steps to configure your installation.

Before starting, make sure of the following:

  • Confirm whether the PCs on your network can communicate with this server.
  • Your WSUS server should be able to communicate with Microsoft Update (Make sure your firewall isn’t blocking it)
  • If your environment uses a proxy, make sure you have the proxy server credentials before continuing.

If all seems well, click Next

wsus_server_2012_wiseindy_21

Step 21:

If you would like to join the Microsoft Update Improvement Program, check the box. Otherwise uncheck it. Click Next

wsus_server_2012_wiseindy_22

Step 22:

If you want to synch updates directly from Microsoft Update (the most likely scenario in your case since you’re reading this guide), enable the first option and click Next.

If you have already have a WSUS server in your environment and want your new WSUS to synch updates from that instead of Microsoft Update, enable the second option.

  • Enter the server name and port number (For WSUS on Windows Servere 2012 R2, the default port is 8530)
  • Enable/disable SSL based on your environment
  • Decide whether it is going to be a replica server or not and click Next

wsus_server_2012_wiseindy_23

Step 23:

If you use a proxy server, enter the details here, otherwise leave the checkbox unchecked and click Next

wsus_server_2012_wiseindy_24

Step 24:

Your server will now need to connect to Microsoft Update and find out information about all available updates.

Click Start Connecting. This might take upto 20 minutes or more depending upon your connection.

Once it’s done, hit Next

wsus_server_2012_wiseindy_25

wsus_server_2012_wiseindy_26

Step 25:

Choose which all languages do you need updates for and click Next. You can always modify this later.

wsus_server_2012_wiseindy_27

Step 26:

The Choose Products screen will allow you to subscribe for updates for different Microsoft products.

After selecting your products, click Next

wsus_server_2012_wiseindy_28

wsus_server_2012_wiseindy_29

wsus_server_2012_wiseindy_30

Step 27:

Here you can choose what type of updates you want to subscribe to. Do you want just critical & security updates? Or do you want everything? This is where you can specify that.

wsus_server_2012_wiseindy_31

Step 28:

Configure your sync schedule for updates here. The synchronization process involves downloading updates from Microsoft Update or another WSUS server. WSUS determines if any new updates have been made available since the last time you synchronized. If this is the first time you are synchronizing the WSUS server, all of the updates are made available for approval.

I chose to automatically sync my server with Microsoft Update daily at 2 AM.

wsus_server_2012_wiseindy_32

Step 29:

Select Begin initial synchronization to sync with Microsoft Update and click Next and then Finish

wsus_server_2012_wiseindy_33

wsus_server_2012_wiseindy_34

Step 30:

The Update Services console will now launch.

This is going to be the place from where you can control everything.

Right now, under the To Do section, you will not see much. Wait for the server to synchronize with Microsoft Update. Once it syncs, you will see information like how many updates are available, how many are approved, etc.

Under the Overview section, you can see the Synchronization Status.

wsus_server_2012_wiseindy_35

Synchronization status is now 12%

wsus_server_2012_wiseindy_36

Step 31:

Synchronization is finally complete. You can now see the number of updates that are available to you under the To Do section.

wsus_server_2012_wiseindy_37

This completes the installation and initial configuration of our WSUS server. However, this server is not going to be much use to you right now. It still isn’t pushing any updates to your workstations still.

Lets fix that.

Step 32:

We will be using a GPO to register the workstations on our network with our newly created WSUS server.

Fire up your Group Policy Management console. Right-click Group Policy Objects and create a new GPO.

wsus_server_2012_wiseindy_38

Give it an easy-to-identify name.

wsus_server_2012_wiseindy_39

After its created, right-click and choose Edit. We will now configure the GPO.

wsus_server_2012_wiseindy_40

Step 33:

Expand Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update

wsus_server_2012_wiseindy_41

Step 34:

Double-click Configure Automatic Updates

wsus_server_2012_wiseindy_42

Select Enabled

Under Options, choose how would you want your workstations to update. In my case, I prefer the PCs to download the updates and schedule them to be installed at 3 AM daily.

Once you are satisfied with the options, click OK to exit the screen.

wsus_server_2012_wiseindy_43

Step 35:

Next, double-click Enable client-side targeting.
Configuring this setting will enable the workstations on your network to register directly with your WSUS server (client-side registration).

wsus_server_2012_wiseindy_44

Select Enabled.
In the Options area, type the group name for this computer (Your WSUS server can use this information to group computers into different groups. We will see how this is done further below).

wsus_server_2012_wiseindy_45

Step 36:

Next, double-click on Specify intranet Microsoft update service location.
This is where you will specify your WSUS server’s address.

wsus_server_2012_wiseindy_46

Select Enabled.
In the Options area, specify your server name in the form of a URL as shown below.

My WSUS server’s hostname is my-wsus-server. The default port number for WSUS on Windows Server 2012 R2 is 8530, so my complete server address is:
http://my-wsus-server:8530

Enter the same URL in both the text boxes and click OK.

wsus_server_2012_wiseindy_47

Step 37:

Well, the last step is to link the GPO to an OU. Select an OU which has your test computer. Right-click it and select Link an Existing GPO.

wsus_server_2012_wiseindy_48

Choose your newly created GPO and click OK.

wsus_server_2012_wiseindy_49

Step 38:

Let’s go back to our WSUS server and create a new computer group. By default, under All Computers, you’ll see a default group called Unassigned Computers. Any computer that doesn’t belong to a group will appear here.

wsus_server_2012_wiseindy_50

Right-click All Computers and select Add Computer Group…

wsus_server_2012_wiseindy_51

Enter the name of the group. I entered the same group name that I had specified in my GPO (Step 35).

Click Add.

wsus_server_2012_wiseindy_52

Step 39:

Now, we can either wait for the GPO to be automatically applied to our test computer or, if you are impatient like me, we can speed things up.

Log into your test computer.

Open up Command Prompt as Administrator and run 3 commands as shown below.

  • gpupdate /force
  • wuauclt.exe /detectnow
  • wuauclt.exe /reportnow

wsus_server_2012_wiseindy_53 wsus_server_2012_wiseindy_54

Step 40:

Go back to your WSUS server. Select All Computers group.

Hit refresh.

You will see that your test computer has appeared in the list.

wsus_server_2012_wiseindy_55

If you don’t see your test computer here, do the following:

  • Wait for about 5 minutes and hit Refresh again. Sometimes it takes a while for the PCs to show up even if you have run the above commands.
  • Double-check your GPO settings. Make sure you linked it to the correct OU. The OU should have your test computer account and not the user account since its a Computer Configuration policy.
  • Run the commands (specified in Step 39) again on your test computer. Make sure you run them from an elevated command prompt.
  • Reboot your test computer.

Step 41:

You will notice that even though you have specified the computer to be added to a group wsus-workstations in the GPO, the test computer still appears under Unassigned Computers.

wsus_server_2012_wiseindy_56

wsus_server_2012_wiseindy_57

Well, that’s because by default, WSUS ignores the groups and places all discovered computers in the Unassigned Computers group. You can then manually move it to whichever group you want.

You can change this setting. If you want the computers to automatically add themselves to the group specified in the GPO, do the following.

In your Update Services console, select Options. Double-click on Computers

wsus_server_2012_wiseindy_58

Choose the second option that says Use Group Policy or registry settings on computers.

wsus_server_2012_wiseindy_59

Now any computer that your GPO will apply to, will automatically appear in the group wsus-computers instead of Unassigned Computers.

You can make different GPOs for machines that you want to be grouped differently.

Step 42:

Now, since we have added a test computer, lets see how we can push updates to it.

In your WSUS console, expand the Updates tree and select All Updates. You will see updates which are needed and that are not yet approve.

You will have to Approve them so that they can be pushed out to your test computer.

Select the updates you want to approve using the Shift or Ctrl key.

From the Actions sidebar on the right, select Approve… (you can also right-click the selected updates and do the same)

wsus_server_2012_wiseindy_63

In the window that pops up, right-click All Computers and select Approved for Install.

wsus_server_2012_wiseindy_64

You’ll notice that the updates haven’t been approved for the groups individually. Right-click All Computers again and select Apply to Children. This will approve updates for all the children groups under All Computers.

Since you have just one test computer right now, we have approved it for all the computers. However, in a production environment you should first approve the updates to a test group (instead of all computers) to see if the updates cause any sorts of problems. Once you are certain the updates don’t break anything, you can push it to the critical machines.

wsus_server_2012_wiseindy_65

Select OK

wsus_server_2012_wiseindy_66

The updates have been approved. Now during the scheduled time (3 AM in our case), these updates will be pushed to out test computer.

wsus_server_2012_wiseindy_67

That’s it! Our WSUS server is now set up.

Hope this guide was useful to you. You can leave your feedback in the comments below.

  • Настройка windows hello к сожалению что то пошло не так
  • Настройка актив директори windows server 2019
  • Настройка wireguard клиента на windows
  • Настройка адаптера wifi на windows 10 на ноутбуке
  • Настройка windows в качестве шлюза