Установка wsus на windows server 2016

С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.


  • Установка роли WSUS в Windows Server
  • Начальная настройка сервера обновлений WSUS в Windows Server
  • Установка консоли администрирования WSUS в Windows 10/11
  • Оптимизация производительности WSUS

Как работает WSUS?

Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:

  • После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
  • Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
  • Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.

Установка роли WSUS в Windows Server

Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.

Если вы развертываете новый сервер WSUS, рекомендуется сразу устанавливать его на последнем релизе Windows Server 2022 (возможна установка на Windows Serve Core).

Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).

установка роли Windows Server Update Services в windows server 2012

В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.

Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:

  • Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
  • Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.

Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:

  • У вас отсутствуют лицензии MS SQL Server;
  • Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
  • При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.

В бесплатной SQL Server Express Edition максимальный размер БД ограничен 10 Гб. Ограничение Windows Internal Database – 524 Гб. Например, в моей инфраструктуре размер базы данных WSUS на 3000 клиентов составил около 7Гб.

При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:

  • SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
  • Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.

База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID.

Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения

база данных ms sql для сервера обновлений wsus

Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.

Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.

Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).

каталог установки wsus

Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools

Начальная настройка сервера обновлений WSUS в Windows Server

После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.

пост насртойка сервера wsus

Для управления WSUS из командной строки можно использовать консольную утилиту
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:

CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=E:\WSUS

Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:


Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.

Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.

Параметры синхронизации wsus с вышестоящим сервером

Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.

Доступ wsus через прокси-сервер

Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.

Запуск синхронизации wsus в windows server 2012

Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).

Выбор языков продуктов на wsus в win2012

Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.

Обязательно включите в классификации следующие общие разделы:

  • Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
  • Windows Dictionary Updates в категории Windows
  • Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer

Выбор продуктов, обновления на которые устанавливает wsus

На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.

категории обновлений wsus в windows server 2016

Обновления редакций (билдов) Windows 10 (21H2, 20H2, 1909 и т.д.) в консоли WSUS входят в класс Upgrades.

Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.

Параметры синхронизации wsus в windows server 2012

Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.

Консоль управления wsus в windows server 2012

Консоль WSUS состоит из нескольких разделов:

  • Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
  • Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
  • Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
  • Syncronizations –расписание синхронизации обновлений
  • Reports – отчёты WSUS
  • Options – настройка сервера WSUS

Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:

Test-NetConnection -ComputerName wsussrv1 -Port 8530

Можно использовать защищенное SSL подключение по порту 8531. Для этого нужно привязать сертификат в IIS.

Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.

Установка консоли администрирования WSUS в Windows 10/11

Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.

Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:

Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~

Если вы хотите установить консоль WSUS в Windows Server, выполните команду:

Install-WindowsFeature -Name UpdateServices-Ui

консоль администрирования windows server update servises (wsus)

При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.

  • WSUS Administrators
  • WSUS Reporters

Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:

  • Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
  • Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).

Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:

The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.

установка microsoft report viewer для WSUS

Оптимизация производительности WSUS

В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.

  • Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
  • При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists). ошика wsus консоли unexpected error 7053Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
    Import-Module WebAdministration
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
    Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel"
  • Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.

Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:

  • \WSUS\WSUSContent;
  • %windir%\wid\data;
  • \SoftwareDistribution\Download.

In today’s topic, we will learn how to install and configure Windows Server Update Services.

Before that we will understand about the WSUS first.

What is WSUS?

Windows Server Update Services allows network administrators to specify the Microsoft updates that should be installed,
create separate groups of computers for different sets of updates, and get reports on the compliance levels of the computers and the updates that must be installed.

To install the WSUS in Windows Server 2016 follow the below steps:

Go to Server Manager – click Manage and click Add roles and Features as shown in below window.

In before you begin window, click Next to continue.

Select required installation type and click Next to move on.

Select server from the server pool to install this role and click Next to continue.

Select Windows Server update services role and select Include management tools and click Add feature to continue.

Click Next on Features window.

Click Next on Windows Server update services window and click Next to continue.

Select the required role services to continue and click Next.

issues in WSUS server and provide the path in the below window and click Next to continue.
issues in WSUS server and provide the path in the below window and click Next to continue.

Cross verify the installation selections and proceed further and click Install to continue.

Click Close to finish the installation of WSUS role on Windows server 2016.

Now we need to configure the WSUS, post installing the role you will see yellow escalation mark on the flag in Server
manager. Click that and launch Post-Installation tasks.

It will take some time finish post installation tasks.

Post successfully completing you can see the below in server manager task flag.

To configure go to WSUS and click next to continue.

On improvement program, select the required option and click Next to continue.

Select Synchronize update from Microsoft update and click Next to continue.

Click Next to proceed further

upstream server and proxy server settings and synchronize information about available updates.
upstream server and proxy server settings and synchronize information about available updates.

Select Download updates only in these languages and select English and click Next to continue.

Select the required products Windows 7, Windows 10, Windows Server 2008 r2 and Windows Server 2012 r2 and click Next
to continue.

Choose classifications and click Next to continue.

Select Synchronize automatically and click Next to continue.

Check begin initial synchronization and click Next.

Click Finish to complete the configuration.

This concludes the installation and configuration of WSUS on Windows Server 2016.

Post completing the installation open the WSUS console and it looks like below.

Thank you for reading and Happy Learning.

Intune is a great tool to deploy Windows Updates in all endpoints.

Probably when you have mobile devices that are out of the Company.

If you want to read more for Intune you can find interesting articles by Damien Van Robaeys in http://www.systanddeploy.com/

But there are lot companies that it  hasn’t the budget to use Intune or for any other reason that maybe has.

In this case we can use WSUS (Windows Server Update Services) which can deploy the Windows Updates from one location in all endpoints.

So let’ start to explain

Before install WSUS

Before start the installation of WSUS you must decide how you will Plan the WSUS Deployment.

It’s recommended to read the article from Microsoft Docs Plan your WSUS Deployment

WSUS use the port 443 and https protocol. 

If you don’t want to allow Internet Access in the WSUS Server you must allow the following URL in your firewall

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • https://download.microsoft.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com
  • http://go.microsoft.com
  • http://dl.delivery.mp.microsoft.com
  • https://dl.delivery.mp.microsoft.com

How to install WSUS

The installation of WSUS Role it’s easy without complexity

So let’s start

  • Open Server Manager
  • Click Manage — Add Roles & Features
  • Click Next

  • Keep the default settings and click Next.

  • If you don’t have add other Server in Server Manager just leave the default and click Next. Unless select the local Server and click Next.

  • Check the Windows Server Update Services and at the same time click Add Features.

  • Click Next

  • Once again Next without Add any Feature

  • Click once again Next. It’s just steps that proceed to finish the installation of WSUS.

  • Don’t change anything for the Role Services of the Web Server and click Next.

  • Windows Server Update Services Wizard. Just click Next

  • We don’t need the option Sql Server Connectivity.

  • You must select if you want to store the Windows Updates local in your Server or not

  • Let's explain the difference here.
    • If you store the Windows Updates local the endpoints will download quicker the Windows Updates from the WSUS
    • If you will not store the Windows Updates in your Server you save disk space but need more time the endpoints to download the Windows Updates from the WSUS.
  • If you decide to store the Windows Updates it’s recommended to create a separate partition.
  • Take your decision and click Next. In my Scenario i choose to store the Windows Updates and gave the path.

  • Click Install and wait until finish. 

How to configure WSUS

After finish the installation of the WSUS then you must configure the WSUS Server using Configuration Wizard.

This is one time configuration wizard that you must do before start using WSUS. 

  • Open the Server Manager 
  • Click in the Flag
  • Click Launch-Post Installation Task

If you skip it by mistake then you can launch it from WSUS Server Console

  • From the Server Manager click Tools — Windows Server Update Services

  • Expand the Server Name. In my scenario is WSUS
  • Select Options.
  • From the right side click WSUS Server Configuration Wizard

  • In the first step click Next.

  • Click Next again

  • Keep the default option Synchronize from Microsoft Updates.

  • Specify proxy information if you have got one. Unless click Next without change anything.

  • Click Start Connecting  to Connect in Upstream Server.

  • Specify the Language for your Windows Updates.

  • Specify the products that you want to update. I select Windows Server 2012 , Windows Server 20016 and 2019.

  • Specify the type of the Windows updates to download. 

  • Configure when you want to synchronize the WSUS with the Windows Updates.

  • Check the Begin initial synchronization.Click Next

  • Click Finish.

  • You can see the Synchronization Status from the Console

Until finish the synchronization let’s go to create the Group Policies to deploy the Windows updates in the Endpoints that you would like.

How to configure Group Policy for WSUS

The last step after finish the Installation and Configuration of WSUS is to create a Group Policy for the WSUS.

In the Group Policy configure from which Server will request the Windows Updates the Endpoint.

  • Create a new Group Policy
  • Go in  Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.
  • Edit the Configure Automatic Updates with any of the options that match in your environment. In this scenario i select 3 — Automatic download and notify for install and 0-Every Day

  • Edit the Specify intranet Microsoft update service location. You must enter the URL of the intranet server which is in type of http:<fqdn>:8350

  • Now Apply the GPO in every Organization Unit which include the Endpoints that will be receive Windows Updates from WSUS
  • Once apply the GPO in the Endpoints you will be ask how can identify that the GPO apply and it’s sure that the Endpoint will retrieve Windows Updates from WSUS?
  • One way is to open Server Manager — — Local Server
  • Verify that in the Windows Updates says Download Windows updates only using managed updating service

  • The other way is to open the registry
  • Go in HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

How to configure WSUS Computer Groups

Probably you will have Server , Workstations and different OS in your environment.

To target the Updates for the different OS and type of Endpoints you can create the Computer Groups.

The hierarchy depends from your infrastructure.

I will show you only how can create the Computer Group and add the Endpoints in the Group

  • Right click in All Computers and select Add Computer Group

  • Type the name of the Computer Group. Click Add

  • Now right click on Updates and select New update View

  • Tick the Updates are for a specific product
  • Click in any produc.

  • Select only the product that you prefer. For this scenario i select Windows 10 

  • Type the name of the View and click OK
  • Now click on the new Update View
  • Change the Filter to Unapproved

  • Select the Windows Updates that you want to deploy in your Windows 10 Endpoints (in my example)
  • As you can see i use the search to find the Update for the specific version of Windows 10
  • Right click select Approve

  • Select the Computer Group and select Approve for Install.

That’s it! Now base on which Computer has in Group and the Group Policy Settings will be install the Windows Updates.

As you can see it’s very easy when you separate with the Groups the types of your Endpoints because you can target the specific Windows Updates for the specific group of Endpoints very quickly.

How to Automatic Approval Updates

It’s not the recommended option for all the Windows Updates but only for the Security Updates.

We must keep every time all our Servers with the latest Security Updates to avoid any security hole in our systems.

It’s not easy to keep the process manual when you have hundred of Servers to maintain.

For this reason i will show you how can approve automatic all the Security Updates for your Windows OS

  • Open the WSUS
  • Click in the Options
  • From the right side Select Automatic Approvals

  • Click in the New Rule

  • Tick the first 2 Options

  • Now click in Any Classification 

  • Select only the Security Updates. Click OK

  • Select any Product 

  • Select only the product  that you want to automatic approve the Security Updates. For the scenario i select Windows Server 2016.Click OK

  • Click in all computers

  • Select the Computer Group which include the specific Servers or Workstations with the appropriate Windows OS. Click OK

  • If you have already download the Windows Updates then you must click in Run Rule to approve all the Security Updates.
  • You don’t need to click in Run Rule for the next updates that will download or if you don’t have start to download any Windows update yet. 

  • Now you can easily create a new Update View which will include only the Security Updates to verify that all has been approved

Remember that until now we have only Automatic Approve all the Security updates.

If you want to proceed with automatic installation of the Security Updates you must change your Group Policy settings.

Read the paragraph How to configure Group Policy for WSUS to understand which settings  must be change in Group Policy

To be honest it’s not very easy process because must be dedicate specific time to find and approve the Windows Updates for every Category.

But remember that this will happened only once and create an automate procedure while you have centralize your Windows Updates and know exactly which Endpoints are out of Date and must be Updated.

Have a nice weekend !!

Be Safe

StarWind VSAN


Windows Server Update Services or WSUS is a Microsoft product that allows us to centrally manage patches for Microsoft operating systems and other Microsoft products.  With Windows Server 2016, the process is basically the same as previous server operating systems to install and configure the product and generally get up and running with WSUS managing our patches in a particular environment.  Let’s look at how to install and configure Windows Server 2016 WSUS.

Installing the Windows Server Update Services role is very straightforward and is basically what we would expect with installing any role or feature.  This is done through Server Manager.  The process is fairly next, next, finish in nature.


Here we select a role based installation.

Altaro VM Backup


Select our server.


Choose Windows Server Update Services all the way at the bottom of the Server Roles.


We will get prompted for additional features that need to be installed.


Next, Next finish process underway…



Finally, we get to the Role Services and should see WID Connectivity and WSUS Services.


Here we select a file path to use for storing updates.


We will have Web Server Role services installed with WSUS.






After the role service is installed, we will see a exclamation bang in the upper right hand corner of our Server Manager.  It will show Post-deployment Configuration that will need to be done.  Click this and it will finish things out.

wsus16_15 wsus16_16

WSUS Specific Configuration

Now we begin the WSUS configuration itself where we actually setup our configuration for the WSUS server portion.



Since I don’t have another WSUS server I am wanting to synchronize from, I choose to Synchronize from Microsoft Update which pulls directly from Microsoft.


Choose your connectivity options here.  If you use a proxy, you need to configure it.


Now, click the Start Connecting button.  This process will take a long time depending on your connection.


Click Next.


Choose your language here.


On our Choose Products screen we actually choose operating systems and products we want to pull down and store updates for.


Next, we choose our Classifications where we can set the types of updates for the selected operating systems.  This includes choices on Critical updates, drivers, feature packs, security updates, etc.


Next is our Sync Schedule where we configure when we want a synchronization with our upstream source server to happen.  We can also set the number of synchronizations per day.


On the Finished screen, we can choose to Begin initial synchronization which will start pulling down the updates that meet the criteria.


The basic summary screen tells us what we might want to think about doing next including setting up SSL, creating computer groups, etc.


That concludes the basic Windows Server 2016 Install and Configure of WSUS.

Reporting Services

If you try and click on any data in the WSUS screen such as updates needed, etc, you will quickly find several errors or warning pop up about SQL Server 2012 CLR Types and Report Viewer 2012 binaries.


After installing the CLR types, I was able to run the Report Viewer 2012 Runtime.



In this basic tutorial on how to install and configure Windows Server 2016 WSUS, it is easy to see that the process is fairly straightforward to get the role installed and configured.  Also, installing the needed report components allows us to view reports from the WSUS console on the server itself.  In our next WSUS post, we will take a deeper dive into interacting with WSUS, troubleshooting, and other configuration.

