WSUS (Windows Server Update Services) — служба обновлений для серверов компании Microsoft. Позволяет централизованно обновлять компьютеры и сервера, управлять параметрами обновления. Позволяет не только значительно экономить использованный трафик из-за централизованного обновления в сети, но и гибко управлять пакетами обновлений, которые будут применяться. Установка и настройка службы Windows Server Update Services на Windows server 2019 не сильно отличается от развертывания WSUS в операционной системе Windows server 2012, 2016.
Требования к установке WSUS (Windows Server Update Services)
Ввод сервера WSUS в домен
Установка роли сервера WSUS
Настройка WSUS
Установка дополнительных компонентов, необходимых для работы отчетов WSUS
Создание и настройка групповых политик для WSUS
Проверка применения групповой политики на компьютере пользователя
Требования к установке WSUS
-
Процессор: 1,4 ГГц x64;
-
Память: WSUS требует дополнительно 2 ГБ ОЗУ, более того, что требуется сервер и все другие службы, или программного обеспечения;
-
Доступное дисковое пространство: 10 ГБ (40 ГБ или больше, в зависимости от выбранных продуктов, для которых нужно получать обновления);
-
Сетевой адаптер: 100 Мбит/с или более.
Ввод сервера WSUS в домен
1. В строке поиска выполняем команду ncpa.cpl. В открывшемся окне выбираем сетевой интерфейс, правой клавишей мыши — «Свойства«.
2. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем. Далее выбираем «IP версии 4 (TCP/IPv4)» — «Свойства«.
3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.
4. Далее задаём имя серверу, для этого нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, в новом окне в поле «Имя компьютера» вписываем имя сервера, далее «ОК«. Далее необходимо перезагрузить компьютер.
5. После перезагрузки компьютера нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, выбираем «Является членом домена«, вписываем имя домена. Далее «ОК«.
6. Вводим имя и пароль учетной записи с правами на присоединение к домену.
7. При успешном вводе в домен сервера, появится сообщение «Добро пожаловать в домен…«. Далее необходимо перезагрузить компьютер.
Установка роли сервера WSUS
1. Нажимаем «Пуск«, далее «Диспетчер серверов«.
2. Далее нажимаем «Добавить роли и компоненты«.
3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем «Далее«.
4. Выбираем «Установка ролей или компонентов«, затем «Далее«.
5. Выбираем сервер из пула серверов, нажимаем «Далее«.
6. Ставим чекбокс напротив «Службы Windows Server Update Services«.
7. В открывшемся окне нажимаем «Добавить компоненты«, затем «Далее«.
8. В следующем окне «Далее«, дополнительных компонентов в данном случае не требуется.
9. Читаем на что обратить внимание, затем «Далее«.
.
10. Оставляем настройки по умолчанию, нажимаем «Далее«.
11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:\wsus), нажимаем «Далее«.
13. Читаем сообщение «Роль веб-сервера (IIS)«, нажимаем «Далее«.
14. В следующем окне оставляем настройки по умолчанию, нажимаем «Далее«.
15. Подтверждаем установку выбранных компонентов — «Установить«.
16. После установки «Службы Windows Server Update Services«, нажимаем «Закрыть«.
17. После установки WSUS, нажимаем на желтый треугольник в «Диспетчер серверов» и нажимаем «Запуск послеустановочных задач«. На этом установка WSUS закончена.
Настройка WSUS (Windows Server Update Services)
1. Открываем «Диспетчер серверов» — «Средства» — «Службы Windows Server Update Services«.
2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем «Далее«.
3. Снимаем чекбокс «Yes, I would like to join the Microsoft Update Improvement Program» (чекбокс можно оставить), затем «Далее«.
4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем «Далее«.
5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем «Далее«.
6. Нажимаем «Начать подключение«. При этом будет скачана следующая информация:
- Имеющиеся типы обновлений;
- Продукты, которые можно обновить;
- Доступные языки.
После получения необходимой информации, нажимаем «Далее«.
7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем «Далее«.
8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем «Далее«.
9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:
- Upgrades;
- Критические обновления;
- Накопительные пакеты обновления;
- Обновления определений;
- Обновления системы безопасности.
Нажимаем «Далее«.
10 Оставляем чекбокс «Синхронизацию вручную«, после окончания всех настроек и проверки работы WSUS, устанавливаем «Автоматическая синхронизация» и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем «Далее«.
.
11. Устанавливаем чекбокс «Запустить первоначальную синхронизацию«, нажимаем «Далее«.
12. После того, как первоначальная синхронизация будет закончена, нажимаем «Готово«. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.
Установка дополнительных компонентов, необходимых для работы отчетов WSUS
13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты.
14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.
15. Следующим шагом открываем в оснастке Windows Server Update Services «Параметры«, устанавливаем чекбокс «Использовать на компьютерах групповую политику или параметры реестра«. Нажимаем «ОК«.
16. Затем добавляем группы компьютеров, которые будут обновляться. Для этого нажимаем правой клавишей на «Все компьютеры» — «Добавить группу компьютеров«.
17. В новом окне задаём имя для новой группы, нажимаем «Добавить«.
18. В данном случае добавляем группы компьютеров:
- Servers;
- Computers;
- Test.
Создание и настройка групповых политик для WSUS
1. Открываем «Диспетчер серверов» — «Средства» — «Управление групповой политикой«.
2. Создаем групповую политику, для этого нажимаем правой клавишей мыши на «Объекты групповой политики» — «Создать«.
3. Задаём имя нового объекта групповой политики, нажимаем «ОК«. В данном случае создадим две групповые политики:
- WSUS-servers;
- WSUS-computers.
4. Далее изменяем вновь созданную политику, для чего нажимаем правой клавишей мыши на созданную политику — «Изменить«. Для WSUS-servers:
Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:
Настройка автоматического обновления:
Включено
Настройка автоматического обновления — 3 — авт. загрузка и уведом. об устан
Установка по расписанию — время: 01:00
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Servers
Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы
Изменяем:
Центр обновления Windows
автоматически
5. Для групповой политики WSUS-computers:
Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:
Настройка автоматического обновления:
Включено
Настройка автоматического обновления — 4 — авт. загрузка и устан. по расписанию
Установка по расписанию — день: 3 — каждый вторник
Установка по расписанию — время: 12:00
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях
Включено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Сomputers
Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы
Изменяем:
Центр обновления Windows
автоматически
6. Далее привязываем вновь созданные политики к соответствующим объектам домена. Для этого выбираем объект домена, правой клавишей мыши — «Связать существующий объект групповой политики«. Выбираем соответствующую групповую политику. Для немедленного применения групповых политик, открываем командную строку, выполняем команду: gpupdate / force.
Проверка применения групповой политики на компьютере пользователя
1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне «Результирующая политика» применение политики.
Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь:
Также читайте:
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
In this post I will cover the steps to install and configure WSUS (Windows Server Update Services) on Windows Server 2019. This guide should help you if you decide to install and configure WSUS from scratch.
In the past I have published several posts on WSUS. That includes installing WSUS and configuring WSUS. In addition to that I also published a post on WSUS troubleshooting. Since then I have been using Configuration Manager and never bothered to focus on WSUS.
Few days ago a colleague on mine contacted me and asked if I can publish a post on setting up WSUS on Windows Server 2019. The company where he works uses only WSUS to deploy the updates to computers. So he was looking for a guide that can help him setup and configure WSUS from scratch.
So I decided to publish this guide that is exclusively for admins who wish to install and configure WSUS to manage updates in their setup. I will also cover some WSUS basics which answers basic questions and the importance of WSUS.
It been quite a long time that I have actually configured anything in WSUS. That’s because the moment you start using SCCM to deploy updates, you forget about the WSUS console.
I have chosen Windows Server 2019 to install and configure WSUS. After Server 2012 R2 I believe Server 2019 is a stable release. I hate Windows Server 2016 because I have spent lot of time in troubleshooting windows update issues. For me the most important complain is that updates just don’t install properly on Server 2016.
Table of Contents
What are Windows Updates
Let’s start with some basics. When you install an operating system or image a machine, you always ensure it is patched with latest updates. Not just operating system but almost every software that we use needs to be constantly updated.
Windows updates are released to fix bugs, fix security issues in OS and to add new features to operating system. The Windows Updates rely on Windows Update service which is set to start automatically by default.
Windows Update service downloads and installs recommended and important updates automatically.
Microsoft updates can be classified into following categories :-
- Critical Updates
- Security Updates
- Definition Updates
- Drivers
- Update Rollups
- Service Packs
- Tools
- Feature Packs
- Updates
If you have migrated from Windows 7 to Windows 10, you will notice lot of new options under Windows Update. You get some cool options such as pause the updates for 7 days, change active hours for installing updates. In addition to that there are many useful options under Advanced Options. When you get time, go ahead and explore all of them.
Introduction to Windows Server Update Services
Windows Server Update Services (WSUS) enables the administrators to deploy the latest Microsoft product updates. WSUS is a Windows Server server role and when you install it, you can efficiently manage and deploy the updates.
One of the most important task of system administrators is to keep client and server computers updated with the latest software patches and security updates. Without WSUS it would be really hard to manage the updates deployment.
When you have a single WSUS server in your setup, the updates are downloaded directly from Microsoft Update. However if you install multiple WSUS server, you can configure WSUS server to act as an update source which is also known as an upstream server.
Rather than letting multiple computers download updates directly from internet, you can setup WSUS server and point the clients to download all the updates from a WSUS server. With this you save your Internet bandwidth and also speed up the Windows update process.
I can talk a lot about WSUS but let’s get started with installing WSUS.
WSUS Lab Setup
First of all let me cover about WSUS lab setup. I believe the best way to master WSUS is to install and configure it in your test or lab setup first. You can then start working on it and try several things.
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
| Server Name | Operating System | Roles |
| CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
| CORPWSUS.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | WSUS |
| CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
| CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.
WSUS System Requirements
When you have decided to implement WSUS in your setup, you must first look into WSUS requirements. To plan your WSUS deployment I recommend reading this article from Microsoft. It covers all the information required to WSUS requirements, deployment scenarios, performance considerations etc.
This post covers the procedure to install Windows Server Update Services using Windows Internal Database (WID).
WSUS Firewall Ports / Exceptions
When you set up WSUS server, it is important that the server connects to Microsoft update to download updates. If there is a corporate firewall between WSUS and the Internet, you might have to configure that firewall to ensure WSUS can obtain updates.
To obtain updates from Microsoft Update, the WSUS server uses port 443 for HTTPS protocol. You must allow Internet access from WSUS to the following list of URLs :-
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- https://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
- http://dl.delivery.mp.microsoft.com
- https://dl.delivery.mp.microsoft.com
The steps to install Windows Server Update Services (WSUS) Role on Windows Server 2019 include :-
- Log on to the Windows 2019 server on which you plan to install the WSUS server role using an account that is a member of the Local Administrators group.
- In Server Manager, click Manage and click add Roles and Features.
- On the Before you begin page, click Next.
- In the select installation type page, select Role-based or feature-based installation option. Click Next.
On the Server Selection page, verify the server name and click Next.
Server Roles – Windows Server Update Services
On the Server roles page, select the role “Windows Server Update Services“. You should see Add features that are required for Windows Server Update Services box. Click Add Features, and then click Next.
On the Select features page, leave the options to default and click Next.
On the Windows Server Update Services page, click Next.
WSUS Database Type – Role Services
You must select role services / Database type to install for Windows Server Update services. Select WID Connectivity and WSUS Services. Click Next.
WSUS Content Location
Specify a content location to store the updates. I would recommend storing the updates on another drive and not on your C: drive. The size of this folder can grow eventually and you don’t want this folder to reside on C: drive. Hence choose either a separate drive or store the updates on remote server.
Click Next.
On the Web Server Role (IIS) page, click Next.
The role services to install web server (IIS) are select automatically. Do not change anything here and click Next.
A final confirmation before you install WSUS. Review the settings and click Install.
Once WSUS installation is complete, click Launch Post-Installation tasks.
Wait for the message Configuration successfully completed. Click Close.
Configure Windows Server Update Services (WSUS)
After you install WSUS, you can configure the WSUS server using WSUS Server configuration wizard. This is a one time configuration where you will configure some important WSUS options.
If you don’t see a WSUS Server configuration wizard or if you have skipped it by mistake, don’t worry. You can launch it by opening the WSUS Console > Options > WSUS Server Configuration wizard.
Note – Before you start to configure WSUS, some important points.
- Ensure the server firewall allows the clients to access the WSUS server. If the clients have issues connecting to WSUS server, updates won’t be downloaded from server.
- The WSUS downloads the updates from upstream server which is Microsoft update in our case. So ensure the firewall allows the WSUS server to connect to Microsoft Update.
- In case there is a proxy server in your setup, you must enter the credentials for proxy server while configuring WSUS. Have them handy as they are required.
On the Before you begin page, click Next.
Click Next.
Choose WSUS Upstream Server
This is an important section where you select the upstream server. You get two options.
- Synchronize from Microsoft Update – Selecting this option will download the updates from Microsoft update.
- Synchronize from another Windows Server Update Services server – Select this option if you want this WSUS server to download updates from already existing WSUS server. You must specify the server name and port number (8530) by default. If you are selecting the option to use SSL during updates synchronization, ensure that upstream WSUS server is also configured to support SSL.
Since this will be my only WSUS server, I will select Synchronize from Microsoft Update. Click Next.
Proxy Server
Specify Proxy server information if you have got one. If this option is selected, ensure you specify proxy server name and port number. In addition to that specify the credentials to connect to the proxy server. If you want to enable basic authentication for the user connecting to the proxy server, click Allow basic authentication (password in clear text).
Click Next.
On the Connect to Upstream Server page, click Start Connecting button.
Once it is complete, click Next.
Choose Languages for Updates
On the Choose Languages page, you have the option to select the languages from updates. If you choose to download updates in all languages, you would find updates with all languages in the WSUS console.
However if you choose to get updates only for specific languages, select Download updates only in these languages. Select the languages for which you want updates.
Click Next.
Choose Products
This is the page where you select the products for which you want the updates. A product is a specific edition of an operating system or application.
From the list of products you can select individual products or product families for which you want your server to synchronize updates. In this case I am going to select Windows Server 2019 and Windows 10 1903 as products.
Click Next.
Choose Update Classifications
In the beginning of the post I have listed the types of updates. On the Choose Classifications page, select the required classifications. I have selected Critical Updates, Security Updates and Update Rollups.
Click Next.
Configure WSUS Synchronization Schedule
You must decide on how do you want to perform WSUS sync. The Set Sync Schedule page lets you select whether to perform synchronization manually or automatically.
If you choose Synchronize manually, you must manually start the synchronization process from the WSUS Administration Console. With this option selected, you have to manually perform the sync every time. Therefore do not select this option if you are setting up the WSUS in production.
If you choose Synchronize automatically, the WSUS server will synchronize at set intervals. You can set the time of First synchronization. Then set the number of synchronizations per day. From the drop-down you can choose the value between 1-24.
Click Next.
Click Begin initial synchronization. Click Next.
Finally on the last page, click Finish. This completes the steps to configure WSUS.
Configure Group Policy Settings for WSUS
After you install and configure WSUS, the next important task is to configure group policy settings for automatic updates. The new clients still don’t know about the new WSUS server that you just setup. Using group policy you can point your client machines to new WSUS server.
In an active directory environment, you can use Group Policy specify the WSUS server. The group policy settings will be used to obtain automatic updates from Windows Server Update Services (WSUS).
You can create the group policy and apply it at domain level. Or you can create and apply the GPO to a specific OU (containing your computers).
While there are many Windows Update policy settings, I am going to configure few of them. For a list of all windows update policy settings, read this article from Microsoft.
Configure Automatic Updates WSUS
To configure Automatic Updates group policy settings for WSUS
- Open the Group Policy Management console, and open an existing GPO or create a new one.
- Navigate to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.
- Double-click Configure Automatic Updates and set it to Enabled.
Under Configure automatic updating, select the desired option. Under Schedule install day, select the day when you want the updates to be installed. Set the scheduled install time.
In case you select Auto download and schedule the updates install, you get some options to limit updating frequency. If you have configured the settings, click Apply and OK.
Specify Intranet Microsoft Update Service Location
The next setting that you should configure is specify an intranet Microsoft update service location. The idea behind this is to ensure the client computers contact the specified intranet server instead of downloading updates from internet. Unless you configure this policy setting, the client computers wouldn’t know about the intranet server.
To enable the policy, click Enabled. Specify the intranet update service and intranet statistics server. Click Apply and OK.
On the client computer, check the resultant set of policy to confirm if the WSUS GPO is applied.
You can also verify the intranet update service location on client computers using registry. On the client computer, open Registry Editor and go to HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
Check the values of WUServer and WUStatusServer and confirm if the values match the one that you supplied in WSUS GPO.
Configure WSUS computer groups
By creating computer groups you can first test and target updates to specific computers. When you open WSUS console, you will find two default computer groups – All computers and Unassigned computers.
You can create custom computer groups to manage updates in your organization. As per Microsoft you must create at least one computer group in the WSUS console. Test updates before you deploy them to other computers in your organization.
To create a new computer group in WSUS console
In the WSUS Administration Console, under Update Services, expand the WSUS server. Expand computers, right-click All computers, and then click Add computer Group.
In the add computer Group dialog box, specify the name of the new group, and then click Add.
Click All Computers and you should see list of computers. Select the computers, right click and click Change Membership.
On the Set Computer Group Membership box, select the new group that you just created. Click OK.
Click the new group and you should find those computers.
Approve and Deploy Updates in WSUS
Once you have a test computer group created, your next task to deploy the updates to the test group. To do so you must first approve and deploy WSUS updates.
To approve the updates in WSUS
- Launch the WSUS Administration Console, click Updates > All Updates.
- In the All Updates section, select the updates that you want to approve for installation in your test computer group.
- Right-click the updates and click Approve.
Most of all in the Approve Updates dialog box, select your test group, and then click down arrow. Click Approved for Install. You an also set a deadline to install the updates. Click OK.
The Approval Progress window appears, which shows the progress of the tasks that affect update approval. When the approval process is complete, click Close.
Configure Auto Approval Rules in WSUS
If you don’t want to manually approve the updates you can configure auto approval rule in Windows Server Update Services.
To configure Automatic Approvals in WSUS
- Launch WSUS Administration Console, expand the WSUS server, and then click Options.
- In Options, click Automatic Approvals.
- You should find the default automatic approval rule and if you wish you can edit it and use it.
- To create a new approval rule, click New Rule.
Check the box When an update is in a specific classification. Select the classifications. You can also approve the update for computers groups. I am going to select Windows 10 as that is my test computer group. Finally you can set a deadline for the update approval and specify auto approval rule name.
After you configure the rule, click OK.
On the Automatic Approvals window, you can find the rule that you just created. If you wish to run this rule, click Run Rule.
WSUS Reports
The last section that I want to cover is the WSUS reports. Clicking Reports in the WSUS console shows the list of reports. WSUS comes with several reports to help you find the updates deployment status, sync reports and computers reports.
- Update Reports – Includes Updates status summary, detailed and tabular status, tabular status for Approved Updates.
- Computer Reports – Computer Status Summary, Detailed Status, Tabular Status and Computer tabular Status for approved updates.
- Synchronization Reports – Shows the results of last synchronization.
This completes the steps to install and configure WSUS. I am sure this guide will help you to setup WSUS in your lab setup. If you have any questions related to WSUS, do let me know in comments section.
Prajwal Desai is a Microsoft MVP in Intune and SCCM. He writes articles on SCCM, Intune, Windows 365, Azure, Windows Server, Windows 11, WordPress and other topics, with the goal of providing people with useful information.
С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.
Содержание:
- Установка роли WSUS в Windows Server
- Начальная настройка сервера обновлений WSUS в Windows Server
- Установка консоли администрирования WSUS в Windows 10/11
- Оптимизация производительности WSUS
Как работает WSUS?
Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:
- После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
- Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
- Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.
Установка роли WSUS в Windows Server
Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.
Если вы развертываете новый сервер WSUS, рекомендуется сразу устанавливать его на последнем релизе Windows Server 2022 (возможна установка на Windows Serve Core).
Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.
Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:
- Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
- Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- У вас отсутствуют лицензии MS SQL Server;
- Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
В бесплатной SQL Server Express Edition максимальный размер БД ограничен 10 Гб. Ограничение Windows Internal Database – 524 Гб. Например, в моей инфраструктуре размер базы данных WSUS на 3000 клиентов составил около 7Гб.
При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
- Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения
\\.\pipe\MICROSOFT##WID\tsql\query
.
Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.
Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.
Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).
Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server
После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.
Для управления WSUS из командной строки можно использовать консольную утилиту
WsusUtil.exe
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:
CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=E:\WSUS
Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:
wsusutil.exe postinstall SQL_INSTANCE_NAME="SQLSRV1\SQLINSTANCEWSUS" CONTENT_DIR=E:\WSUS_Content
Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.
Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.
Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.
Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.
Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).
Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.
Обязательно включите в классификации следующие общие разделы:
- Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
- Windows Dictionary Updates в категории Windows
- Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Обновления редакций (билдов) Windows 10 (21H2, 20H2, 1909 и т.д.) в консоли WSUS входят в класс Upgrades.
Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.
Консоль WSUS состоит из нескольких разделов:
- Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
- Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
- Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
- Syncronizations –расписание синхронизации обновлений
- Reports – отчёты WSUS
- Options – настройка сервера WSUS
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:
Test-NetConnection -ComputerName wsussrv1 -Port 8530
Можно использовать защищенное SSL подключение по порту 8531. Для этого нужно привязать сертификат в IIS.
Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.
Установка консоли администрирования WSUS в Windows 10/11
Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
wsus.msc
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.
Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0
Если вы хотите установить консоль WSUS в Windows Server, выполните команду:
Install-WindowsFeature -Name UpdateServices-Ui
При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.
- WSUS Administrators
- WSUS Reporters
Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:
The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.
Оптимизация производительности WSUS
В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.
- Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
- При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists).
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
Import-Module WebAdministration
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel" - Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:
- \WSUS\WSUSContent;
- %windir%\wid\data;
- \SoftwareDistribution\Download.
Службы обновления Windows Server (WSUS) — это тип службы обновлений, который позволяет распространять обновления, исправления и другие выпуски, доступные через Центр обновления Майкрософт. Основное преимущество использования WSUS заключается в том, что он управляет обновлениями из одного центрального места; он предлагает обзор установленных обновлений в сети.
Службы Windows Server Update Services (WSUS) позволяют администраторам устанавливать последние обновления для продуктов Microsoft. Вы можете эффективно управлять и легко устанавливать новые обновления при установке этого. Важной задачей для системного администратора является поддержание клиентских и серверных компьютеров в актуальном состоянии с использованием последних обновлений.
Если вы не знаете, как установить WSUS на Windows Server 2019, эта статья поможет вам.
Содержание:
- 1 Как установить и настроить WSUS на Windows Server 2019
- 1.1 Установите WSUS на Windows Server 2019
- 1.2 Настройка WSUS на Windows Server
- 1.3 Настройка параметров групповой политики для WSUS
В этой статье мы обсудим, как установить и настроить WSUS на Windows Server 2019.
Установите WSUS на Windows Server 2019
Чтобы установить службы Windows Server Update Services (WSUS) в Windows 2019, выполните следующие действия:
- Сначала войдите на сервер Windows 2019, где должен быть установлен сервер WSUS; он также должен быть членом группы локальных администраторов.
- Теперь откройте Диспетчер серверов и нажмите «Управление и добавление ролей и функций» . Теперь нажмите Далее .
- Откроется страница выбора типа установки. Здесь выберите вариант установки на основе роли или функции и нажмите «Далее» .
- Появится страница выбора сервера. Здесь проверьте имя сервера и нажмите «Далее» .
- На странице «Роли сервера» выберите параметр «Службы обновления Windows Server» .
- Нажмите «Добавить компоненты» в нем, а затем нажмите «Далее» .
- На странице «Выбор компонентов» оставьте все параметры по умолчанию и нажмите «Далее» .
- Появится страница служб обновления Windows Server; щелкните Далее .
- Выберите «Подключение WID и службы WSUS» на странице «Выбор служб ролей» и нажмите « Далее» .
- Теперь вы должны указать конкретное место для хранения обновлений. Выберите место для обновления и нажмите «Далее» .
- Вы попадете в роль веб-сервера (IIS) ; щелкните Далее .
- Все службы ролей автоматически настраиваются для установки веб-сервера (IIS), поэтому нажмите «Далее» .
- Наконец, нажмите «Установить» , чтобы установить службы обновления Windows Server.
- После завершения установки WSUS нажмите «Выполнить задачи после установки» .
- Теперь дождитесь завершения настройки и нажмите «Закрыть» . Это установит службы обновления Windows Server на ваш компьютер.
Примечание . Размер папки, в которой хранятся обновления, со временем может увеличиваться, поэтому следует хранить обновления не на диске C, а на другом диске.
Настройка WSUS на Windows Server
После установки WSUS вы можете установить или настроить сервер WSUS с помощью мастера настройки сервера. Здесь вы настроите некоторые важные параметры WSUS. Выполните следующие действия, чтобы настроить WSUS на сервере Windows.
- Откройте мастер настройки служб обновления Windows Server. Откройте консоль WSUS, нажмите «Параметры», а затем нажмите «Мастер настройки сервера WSUS ».
- Вы увидите страницу Before You Go , на которой будет указано, что вам нужно, прежде чем вы начнете настройку. Здесь нажмите Далее.
- Теперь снова нажмите «Далее» в программе улучшения обновлений Microsoft .
- Теперь вам нужно выбрать вышестоящий сервер —
- Синхронизация из Центра обновления Майкрософт . Это позволяет загружать все обновления из Центра обновления Майкрософт.
- Синхронизация с другого сервера Windows. Это позволит вам загружать обновления с существующего сервера WSUS. Вы должны указать имя сервера и номер порта.
- Здесь мы выбираем «Синхронизировать из Центра обновления Майкрософт » и нажимаем « Далее» .
- Теперь укажите прокси-сервер; это также можно сделать двумя способами:
- Вы можете ввести имя прокси-сервера и номер порта, а также предоставить учетные данные для подключения к прокси-серверу.
- Допустим, вам нужна базовая аутентификация для пользователя, подключающегося к прокси-серверу. В этом случае вам нужно нажать «Разрешить базовую аутентификацию» (пароль открытым текстом) .
- Когда вы закончите с прокси-сервером, нажмите «Далее» .
- Появится страница Connect to Upstream Server ; нажмите кнопку «Начать подключение» , а когда закончите, нажмите «Далее» .
- Вы должны выбрать, на каком языке будут загружаться ваши обновления.
- Если вы выберете загрузку обновлений на всех языках, вы увидите обновления на всех языках в консоли WSUS.
- Если вы хотите, чтобы ваши обновления загружались только на определенных языках, нажмите «Загружать обновления только на этих языках» . Теперь выберите языки, на которых вы хотите получать обновления, и нажмите «Далее» .
- Вы попадете на страницу Select Products , где вы выбираете продукты, для которых хотите получать обновления. Вы также можете выбрать отдельные продукты или группы продуктов из списка продуктов. После выбора продуктов нажмите «Далее» .
- Откроется страница выбора классификации. Здесь выберите необходимые классификации и нажмите «Далее» .
- Теперь в Set Sync Schedule вы должны выбрать синхронизацию вручную или автоматически.
- Синхронизировать вручную — вам придется запустить процесс вручную из административной консоли WSUS. Кроме того, вы должны вручную синхронизировать каждый раз.
- Синхронизировать автоматически — сервер WSUS будет автоматически синхронизироваться через определенные промежутки времени. Вы также можете выбрать временные интервалы.
- После этого нажмите Далее .
- Теперь установите флажок «Начать начальную синхронизацию» и нажмите «Далее» .
- Нажмите « Готово », и WSUS окончательно настроен.
Настройка параметров групповой политики для WSUS
После установки и настройки WSUS необходимо настроить параметры групповой политики для автоматического обновления. Для этого выполните следующие действия:
- Откройте консоль управления групповыми политиками . Теперь откройте уже созданный объект групповой политики или создайте новый.
- Перейдите в «Конфигурация компьютера» , затем нажмите «Политики» и перейдите к « Административные шаблоны» .
- Щелкните Компоненты Windows , а затем щелкните Обновления Windows .
- Дважды щелкните «Настроить автоматические обновления» и включите его.
- В разделе День установки по расписанию выберите день, когда будет происходить обновление.
- Теперь нажмите «Применить» , а затем «ОК» .
- Теперь установите расположение службы обновлений Microsoft в интрасети. Чтобы включить политику, щелкните Включено .
- Укажите службу обновлений и сервер статистики. Нажмите « Применить» , а затем « ОК» , чтобы сохранить изменения.
В этой статье рассматривается установка и настройка WSUS в Windows Server 2019. Вы можете установить и настроить службы обновления Windows Server, выполнив описанные выше действия.
Learn the best practices that help System Administrators avoid settings that lead to poor performance when designing the configurations for Windows Server Update Services.
Windows Server Update Services (WSUS) supports up to 100,000 clients for every server, and the number increases to 150,000 when you use System Center Configuration Manager.
The best way to implement this feature is by using multiple servers that share the same database. The more the sharing of the servers, the safer you are; if one server goes down, your work is still safe.
The safety in numbers prevents what Admins call a “scan storm” that occurs when several clients change the WSUS servers in a scenario where the servers do not share a database.
The Service tracks server activity and alerts the other clients of the last thing that changed, and sends information on updates only.
This article covers the installation and configuration of the Windows Server Update Services on Windows Server 2019.
Different Approaches to Installing WSUS
The Service can download and store the Windows update files locally. Using servers in the network will get the updates from the WSUS servers and not from the Internet. The use of servers to manage the update process saves on bandwidth and Internet speed.
System Administrators can use the servers that update automatically as long as security files are installing from a central location. The configuration gives easy reports on the servers that need patching for a particular update.
Here are the different approaches to installing WSUS:
a) Installing Using the PowerShell
You can experience a fast and an easy way to install WSUS by running this command:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI
Using the above command is the same as using Windows Internal Database (WID). With the SQL database, you must include the UpdateServices-DB option and not UpdateServices-WidDB.
b) Installing Using the GUI
WSUS is installable through the Server Manager. If you use this process, you’ll notice that it goes beyond running the PowerShell instruction above.
To start the installation using this method, you can open Server Manager and select Add roles and features.
Once the Add Roles and Feature Wizard shows, click Next.
On the Select installation type window, make sure that the Role-based or feature-based installation type is selected. Then, click Next.
On the Select destination server window, let all default settings remain as is, since the installation takes place on the server. Click Next.
On the next window for Select Server roles, scroll down and select Windows Server Update Services.
Click on the Add Features button to install new features alongside the IIS. Click Next.
The next window will show the automatically selected features from the previous step. Click Next.
On the Windows Server Update Services window, read the given advice indicating that at least one of your servers needs an Internet connection. Click Next.
If the main server can get updates from the Internet, then it is possible for the downstream servers on the Internet to get updates.
On the Role Services window that appears, click Next because you will use the Windows Internet Database (WID). If the intention is to use an SQL database, tick the SQL Server Connectivity option.
The next window is a Content local selection that gives an option of choosing where the WSUS updates will be installed.
It would make more sense if you had a secondary hard disk to keep the updates. The extra disk will save system Admins the headache of filling up the system disk with updates.
The capacity of the hard disk depends on the files chosen for the updates. You can ignore the store updates option to avoid file storage on the local drive.
This is not the recommended choice of action, unless you do not have enough storage space.
Bear in mind that no update will download unless their approval is manual or automatic.
On the Web Server Role (IIS) window, you will see a notification for using IIS 10.0. Click Next.
Select any additional roles that you want for the ISS. In this case, leave the defaults for WSUS and click Next.
On the final screen, confirm the installations by reviewing your choices and clicking the install button.
Configuration of the WSUS
Once the installation is complete, it is time to configure the updates. You need to start by opening the WSUS console from the Tools Menu in the Server Manager.
On the Complete WSUS Installation screen, select the location of the folder where you want to install the updates.
Click on the Run button and let the WSUS configuration Wizard run.
Read the information on the Windows Server Update Services Configuration Wizard and confirm if other windows machines can connect to the server (WSUS). The server can connect to the Internet for updates.
You have a choice of choosing whether you want to be part of the Microsoft Update Improvement Program.
Next, is the selection of the upstream server. If this is your first WSUS server, leave the defaults to synchronize from the updates.
If you have a separate server for updating the files, specify the location to synchronize with it as a downstream server.
You need to specify if the WSUS server should connect to the Internet through a proxy.
The next question is all about connecting to the upstream server directly from the Internet or within the network. The configuration takes some time to complete, so you have to be patient.
Choose the language that the system supports. Any additional languages mean you need more update files. You should only be worried if you are running low on disk space requirements.
On the Choose product screen, select the Microsoft Products within the network that needs WSUS update. Any updates for your selected products are stored on the WSUS server. File selection translates to more disk space.
Choose the types of updates to download. For instance, choose security and critical updates instead of all available updates.
Finally, set the synchronization schedule that will specify when WSUS checks for new updates. The system has a default setting for synchronization. System Administrators can change it to suit their preferences.
On the last screen, you have another option of checking the first synchronization that should start immediately you click the Finish button.
After the first synchronization, you can configure approvals, groups, reporting, and computers.
Conclusion
The installation and configuration of the WSUS server role in the Windows Server 2016 operating system are well covered in this article.
The installation takes place through PowerShell or Graphical User Interface (GUI). If happy with the installation, you can open the WSUS console and finish the configuration.
All the best!