С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.
Содержание:
- Установка роли WSUS в Windows Server
- Начальная настройка сервера обновлений WSUS в Windows Server
- Установка консоли администрирования WSUS в Windows 10/11
- Оптимизация производительности WSUS
Как работает WSUS?
Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:
- После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
- Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
- Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.
Установка роли WSUS в Windows Server
Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.
Если вы развертываете новый сервер WSUS, рекомендуется сразу устанавливать его на последнем релизе Windows Server 2022 (возможна установка на Windows Serve Core).
Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.
Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:
- Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
- Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- У вас отсутствуют лицензии MS SQL Server;
- Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
В бесплатной SQL Server Express Edition максимальный размер БД ограничен 10 Гб. Ограничение Windows Internal Database – 524 Гб. Например, в моей инфраструктуре размер базы данных WSUS на 3000 клиентов составил около 7Гб.
При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
- Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения
\\.\pipe\MICROSOFT##WID\tsql\query
.
Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.
Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.
Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).
Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server
После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.
Для управления WSUS из командной строки можно использовать консольную утилиту
WsusUtil.exe
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:
CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=E:\WSUS
Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:
wsusutil.exe postinstall SQL_INSTANCE_NAME="SQLSRV1\SQLINSTANCEWSUS" CONTENT_DIR=E:\WSUS_Content
Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.
Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.
Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.
Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.
Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).
Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.
Обязательно включите в классификации следующие общие разделы:
- Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
- Windows Dictionary Updates в категории Windows
- Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Обновления редакций (билдов) Windows 10 (21H2, 20H2, 1909 и т.д.) в консоли WSUS входят в класс Upgrades.
Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.
Консоль WSUS состоит из нескольких разделов:
- Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
- Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
- Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
- Syncronizations –расписание синхронизации обновлений
- Reports – отчёты WSUS
- Options – настройка сервера WSUS
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:
Test-NetConnection -ComputerName wsussrv1 -Port 8530
Можно использовать защищенное SSL подключение по порту 8531. Для этого нужно привязать сертификат в IIS.
Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.
Установка консоли администрирования WSUS в Windows 10/11
Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
wsus.msc
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.
Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0
Если вы хотите установить консоль WSUS в Windows Server, выполните команду:
Install-WindowsFeature -Name UpdateServices-Ui
При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.
- WSUS Administrators
- WSUS Reporters
Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:
The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.
Оптимизация производительности WSUS
В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.
- Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
- При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists).
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
Import-Module WebAdministration
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel" - Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:
- \WSUS\WSUSContent;
- %windir%\wid\data;
- \SoftwareDistribution\Download.
Тема настройки локального сервера обновлений (WSUS) уже поднималась на нашем сайте, но так как с тех пор прошло довольно много времени и произошли довольно серьезные изменения, то назрела необходимость обновить статью. Сегодня мы расскажем о настройке роли WSUS на платформе Windows Server 2012, данный процесс во многом стал проще и легче, а службы WSUS теперь полноценно интегрированы в систему.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Наш предыдущий материал рассматривал установку WSUS на платформе Windows Server 2008, тогда это была довольно непростая задача для неподготовленного администратора. Требовалось установить дополнительные пакеты, специальным образом настроить веб-сервер, да и сами службы WSUS устанавливались как отдельное приложение.
Начиная с Windows Server 2008 R2, WSUS был включен в состав ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2012 R2, все сказанное, за незначительными поправками, будет справедливо и для Server 2008 R2.
Из сторонних пакетов потребуется установить только Microsoft Report Viewer 2008 SP1 Redistributable, однако он не является обязательным и на работу службы не влияет, а требуется только для формирования отчетов. Поэтому даже если вы забудете его установить — ничего страшного не произойдет, при первом обращении к отчетам система сообщит вам об этом и даст ссылку на скачивание.
Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер БД WSUS не может быть контроллером домена, Сервер WSUS не может быть одновременно сервером терминалов Remote Desktop Services.
Для установки WSUS откроем Диспетчер серверов и перейдем в Управление — Добавить роли и компоненты. В открывшемся мастере добавляем роль Службы Windows Server Update Services.
Следующим шагом будут добавлены все необходимые роли и компоненты, таким образом больше ничего настраивать отдельно не придется.
В качестве хранилища по умолчанию WSUS предлагает использовать внутреннюю базу данных Windows (Windows Internal Database, WID). Для небольших внедрений мы не видим смысла в установке отдельного SQL-сервера, никаких существенных преимуществ это не даст.
Следующим шагом переходим к базовым настройкам служб роли. В нашем случае потребуется выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database следует выбрать опцию База данных. Сам сервер баз данных к этому моменту уже должен быть развернут в вашей сети.
Следующим шагом укажите размещение хранилища обновлений, рекомендуем выделить для этих целей отдельный жесткий диск или раздел диска.
Также возможен вариант, когда на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений будут, после их одобрения и назначения администратором, скачиваться с серверов Microsoft. На наш взгляд такая схема будет удобна небольшим компаниям с хорошим интернет каналом, действительно, ради десятка машин организовывать локальное хранилище большого смысла не имеет, особенно если WSUS не единственная роль данного сервера.
Для приблизительной оценки требуемого места приведем данные с одной реальной инсталляции, произведенной летом 2012 года. На текущий момент выбраны следующие продукты: все клиентские ОС от Windows XP до Windows 8.1, кроме Vista, все серверные ОС от Server 2003 до Server 2012 R2, Office 2010, Exchange 2010, SQL Server 2008 — 2012, а также ряд дополнительных продуктов из разряда Распространяемых пакетов Visual C++ и т.п.
Размер обновлений в хранилище на текущий момент (два года после установки) — 173 ГБ, размер SQL базы данных — около 10 ГБ.
Если вы выбрали внешнюю базу данных, то также потребуется указать параметры подключения к SQL серверу. После чего можно переходить к установке роли, перезагрузка не требуется. После установки нажмите на флажок с желтым восклицательным знаком в Диспетчере серверов и щелкните Запуск послеустановочных задач, дождитесь окончания процедуры (восклицательный знак исчезнет).
На этом установку роли можно считать законченной и переходит к настройке службы WSUS, мы подробно освещали этот процесс в предыдущей статье и не видим смысла заострять на этом внимание.
Если коротко, то сначала нужно выбрать источник синхронизации: сервера Microsoft или вышестоящий WSUS сервер.
Затем выбрать языки и продукты.
Указать классы обновлений.
И задать параметры автоматической синхронизации.
Процесс первоначальной синхронизации может занять продолжительное время, зависящее от выбранного набора продуктов и классов, а также скорости вашего интернет канала.
Не забудьте указать правила автоматического одобрения и одобрить уже скачанные обновления.
После чего потребуется сообщить клиентам расположение вашего WSUS сервера, это можно сделать через групповые политики: Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows — Указать размещение службы обновлений Microsoft в интрасети.
Или в локальных политиках: Пуск — Выполнить — gpedit.msc, затем Конфигурация компьютера — Административные шаблоны — Центр обновления Windows (Windows Update)- Указать размещение службы обновлений Microsoft в интрасети.
Путь к серверу следует прописывать как http://SERVER_NAME:8530, при этом рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где можно получить детальную информацию по уже установленным и требующимся обновлениям.
Кстати, если вы забыли установить Microsoft Report Viewer 2008 SP1 Redistributable, то при попытке вызвать отчет получите следующее сообщение, которое содержит ссылку на скачивание необходимого пакета. :
Как видим, Microsoft проделало большую работу по совершенствованию службы WSUS, теперь это одна из ролей системы и ее установка и настройка не должна вызывать затруднений даже у новичков.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Данная статья предназначена для тех, кто искал подробное и понятное руководство о том, как установить и настроить роль Windows Server Update Services на Windows Server 2012 R2.
В этом руководстве мы будем рассматривать тот случай, когда у вас уже есть сервер с установленной на нем операционной системой Windows Server 2012 R2.
Подробно о том, как установить Windows Server 2012 R2, вы можете прочитать в моем руководстве “Установка Windows Server 2012 R2”.
Узнать о том, как установить Active Directory Domain Services на Windows Server 2012 R2, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2012 R2”.
Перед началом установки роли Windows Server Update Services необходимо присвоить серверу корректное имя в соответствии со стандартами вашей организации, а затем указать статический IP-адрес в настройках сетевого подключения. Кроме того сервер необходимо добавить в домен.
В моем руководстве “Базовая настройка Windows Server 2012 R2” вы можете прочитать о том, как произвести базовые настройки Windows Server 2012 R2 и добавить сервер в домен.
Обратите внимание, перед установкой обновлений на промышленные сервера необходимо протестировать установку обновлений на тестовых серверах.
Переходим на будущий сервер обновлений и заходим в систему под учетной записью с правами администратора.
Первым делом необходимо продумать, в какую папку будут загружаться обновления. Для хранения загруженных обновлений лучше всего использовать папку на отдельном локальном диске. Объем свободного места на выделенном диске должен быть не меньше 10 Gb.
Создадим новую папку для обновлений.
Переходим на дополнительный локальный диск и нажимаем правой кнопкой мыши на свободном месте, в открывшемся меню выбираем “New”, затем “Folder”.
Указываем имя для новой папки и нажимаем на кнопку “Enter”.
Новая папка для обновлений готова.
Теперь можно приступить к установке роли “Windows Server Update Services”.
Открываем “Server Manager”, нажимаем на кнопку “Manage” в правом верхнем углу экрана и выбираем “Add Roles and Features”.
Нажимаем на кнопку “Next”.
Выбираем тип установки “Role-based or feature-based installation” и нажимаем на кнопку “Next”.
Далее выбираем сервер, на который будет производиться установка роли.
Нажимаем на кнопку “Next”.
Выбираем роль “Windows Server Update Services”.
На следующем этапе “Мастер установки ролей” предупредит, что для установки роли “Windows Server Update Services” нужно установить несколько компонентов.
Нажимаем на кнопку “Add Features”.
Нажимаем на кнопку “Next”.
На этапе добавления компонентов оставляем все значения по умолчанию.
Нажимаем на кнопку “Next”.
Далее “Мастер установки ролей” предлагает ознакомиться с дополнительной информацией касательно роли “Windows Server Update Services”.
Нажимаем на кнопку “Next”.
Теперь необходимо выбрать, где служба обновлений будет хранить свои служебные данные. Для этого можно использовать SQL Server или хранить данные во внутренней базе данных Windows (WID — Windows Internal Database). WID не имеет ограничения на размер базы данных и не требует дополнительной лицензии для использования.
В данном руководстве для хранения данных будет использоваться Windows Internal Database.
Выбираем “WID Database” и “WSUS Services”.
Нажимаем на кнопку “Next”.
Указываем путь к ранее созданной папке, где планируется хранить загруженные обновления.
Нажимаем на кнопку “Next”.
На следующем этапе “Мастер установки ролей” предупредит, что для работы роли “Windows Server Update Services” будет дополнительно установлена роль веб-сервера “Internet Information Services”.
На этапе добавления компонентов оставляем все значения по умолчанию.
Нажимаем на кнопку “Next”.
Для того чтобы начать установку выбранной роли, нажимаем на кнопку “Install”.
Началась установка выбранной роли и необходимых для нее компонентов.
Установка роли “Windows Server Update Services” завершена.
Теперь нажимаем на кнопку “Launch Post-Installation tasks”, для того чтобы “Мастер установки ролей” запустил задачи по первичной настройке новой роли.
Начался процесс выполнения задач по первичной настройке новой роли.
Процесс выполнения задач по первичной настройке новой роли завершен.
Нажимаем на кнопку “Close”.
Теперь необходимо произвести базовую настройку роли Windows Server Update Services.
Возвращаемся в “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Windows Server Update Services”.
Нажимаем на кнопку “Next”.
Далее предлагается принять участие в программе по улучшению качества.
Снимаем галочку “Yes, I would like to join the Microsoft Update Improvement Program” и нажимаем на кнопку “Next”.
Теперь необходимо выбрать источник, откуда ваш сервер будет загружать обновления для дальнейшего распространения их в локальной сети. Для этого можно использовать сервера компании Microsoft или загружать обновления с другого сервера с ролью Windows Server Update Services в вашей локальной сети.
В данном руководстве сервер будет загружать обновления через Интернет с серверов компании Microsoft.
Выбираем “Synchronize from Microsoft Update” и нажимаем на кнопку “Next”.
Далее можно указать настройки для подключения к сети Интернет через прокси-сервер.
В данном руководстве прокси-сервер не используется.
Нажимаем на кнопку “Next”.
Теперь необходимо подключиться к источнику с обновлениями, чтобы получить сведения о доступных обновлениях.
Нажимаем на кнопку “Start Connecting”.
Процесс подключения к источнику с обновлениями завершен.
Нажимаем на кнопку “Next”.
Далее необходимо выбрать, для каких языков нужно загружать обновления.
Выбираем нужные языки и нажимаем на кнопку “Next”.
Теперь необходимо выбрать, для каких продуктов нужно загружать обновления.
В данном руководстве будут устанавливаться обновления для операционной системы Windows Server 2012 R2.
Выбираем, для каких продуктов планируется устанавливать обновления, и нажимаем на кнопку “Next”.
Далее необходимо выбрать нужные обновления по классификации.
Выбираем все классификации кроме “Drivers” и “Update Rollups”.
Обратите внимание, обновления, которые относятся к классификациям “Drivers” и “Update Rollups”, не рекомендуется устанавливать, используя сервер обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
Нажимаем на кнопку “Next”.
Теперь необходимо выбрать расписание, по которому ваш сервер будет загружать обновления для дальнейшего распространения их в локальной сети.
В данном руководстве сервер будет загружать обновления каждый день автоматически.
Выбираем “Synchronize automatically” и указываем удобное для вас время загрузки обновлений на ваш сервер.
Нажимаем на кнопку “Next”.
Теперь можно запустить процесс первоначальной синхронизации с серверами компании Microsoft.
Ставим галочку на пункте “Begin initial synchronization” и нажимаем на кнопку “Next”.
Далее буду даны рекомендации по дальнейшей настройке роли Windows Server Update Services.
Нажимаем на кнопку “Finish”.
Базовая настройка роли Windows Server Update Services произведена.
Теперь необходимо создать групповую политику, которая распространит информацию о вашем сервере обновлений на компьютеры для последующей загрузки обновлений с вашего сервера.
В данном руководстве будет рассматриваться единая групповая политика для серверов и рабочих станций.
Обратите внимание, в промышленной среде рекомендуется использовать индивидуальные групповые политики для каждого типа компьютеров.
Переходим на контроллер домена и заходим в систему под учетной записью с правами администратора домена.
Открываем “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Group Policy Management”.
Нажимаем правой кнопкой мыши на имя домена и выбираем “Create a GPO in this domain, and Link it here”.
Указываем имя для новой групповой политики и нажимаем на кнопку “OK”.
Далее нажимаем на новую политику правой кнопкой мыши и выбираем “Edit”.
В редакторе групповой политики переходим в раздел “Computer Configuration”, затем в подраздел “Policies”, далее находим раздел “Administrative Templates” и выбираем “Windows Components”, затем “Windows Update”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Enabling Windows Update Power Management to automatically wake up the system to install scheduled updates”.
Данная настройка позволяет выводить систему из режима сна для установки обновлений.
Выбираем “Enabled”.
Обратите внимание, если групповая политика рассчитана только для серверов, то эту настройку можно не применять.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Configure Automatic Updates”.
Данная настройка позволяет выбрать параметры установки обновлений и расписание, по которому они будут устанавливаться.
Выбираем “Enabled”.
В данном руководстве обновления будут автоматически загружаться и устанавливаться каждый день в четыре часа вечера на все компьютеры.
Обратите внимание, в промышленной среде для важных серверов не рекомендуется использовать автоматическую установку обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
В разделе “Configure automatic updating” выбираем “Auto download and schedule the install”.
В разделе “Scheduled install day” выбираем удобное расписание для установки обновлений”.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Specify intranet Microsoft update service location”.
Данная настройка позволяет указать адрес вашего сервера обновлений.
Выбираем “Enabled”.
В поле “Set the intranet update service for detecting updates” указываем адрес, по которому ваш сервер обновлений доступен в локальной сети по протоколу HTTP, и порт 8530.
В поле “Set the intranet statistics server” указываем адрес, по которому ваш сервер обновлений доступен в локальной сети по протоколу HTTP, и порт 8530.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Automatic Updates detection frequency”.
Данная настройка позволяет установить интервал проверки на наличие новых обновлений на вашем сервере обновлений.
Выбираем “Enabled”.
В данном руководстве проверка на наличие новых обновлений будет проводиться один раз в час.
В поле “Interval (hours)” указываем удобный интервал для установки обновлений.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Allow Automatic Updates immediate installation”.
Данная настройка позволяет немедленно начать установку обновлений, после того как они будут загружены и подготовлены к установке на целевых компьютерах.
Выбираем “Enabled”.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Turn on recommended updates via Automatic Updates”.
Данная настройка позволяет устанавливать на компьютеры не только важные обновления, но и рекомендуемые.
Выбираем “Enabled”.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “No auto-restart with logged on users for scheduled automatic updates installation”.
Данная настройка позволяет запретить автоматическую перезагрузку компьютера, если на него вошел пользователь.
Выбираем “Enabled”.
Нажимаем на кнопку “OK”.
Теперь проверим применение групповой политики.
Для этого необходимо запустить обновление групповых политик на компьютере, который попадает под действие новой групповой политики и на который требуется установить обновления.
В данном руководстве в качестве компьютера, на который будут устанавливаться обновления, используется сервер на базе операционной системы Windows Server 2012 R2, который выполняет роль контроллера домена.
Нажимаем “Start”, указываем в строке поиска “cmd”, затем нажимаем правой кнопкой мыши на “Command Prompt” и выбираем “Run as administrator”.
Ускорим применение новой политики на сервер с помощью команды:
gpupdate /force
Обновления групповых политик успешно завершено.
Теперь проверим, что сервер получил необходимые настройки для загрузки обновлений с сервера, на котором установлена роль Windows Server Update Services.
Переходим в меню “Start” и нажимаем кнопку “Control Panel”.
Далее переходим в раздел “System and Security”.
Выбираем раздел “Windows Update”.
Если вы все сделали правильно, то в разделе “Windows Update” в пункте “You receive updates” должно отображаться “Managed by your system administrator”.
Теперь необходимо создать новую группу компьютеров, разрешить установку определенных обновлений на эту группу и добавить в эту группу компьютеры, на которые планируется устанавливать обновления.
Возвращаемся на сервер, на котором установлена роль Windows Server Update Services.
Заходим в систему под учетной записью с правами администратора.
Открываем “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Windows Server Update Services”.
Переходим в раздел “Computers” и нажимаем правой кнопкой мыши на подраздел “All Computers”. В открывшемся меню выбираем “Add Computer Group”.
В данном руководстве будет использоваться группа “Servers”, куда будут добавляться сервера, на которые требуется установить обновления.
Указываем имя для новой группы компьютеров и нажимаем на кнопку “Add”.
Теперь в новую группу необходимо добавить компьютеры, на которые требуется установить обновления.
В данном руководстве в качестве компьютера, куда будут устанавливаться обновления, используется сервер, который выполняет роль контроллера домена.
Переходим в раздел “Computers”, затем в подраздел “Unassigned Computers”. В меню “Status” выбираем “Any” и нажимаем на кнопку “Refresh”.
В этом подразделе появляются все компьютеры, на которые распространилась информация о вашем сервере обновлений.
Нажимаем правой кнопкой мыши на компьютер, на который требуется установить обновления, и в открывшемся меню выбираем “Change Membership”.
Указываем группу компьютеров, в которую необходимо добавить компьютер и нажимаем на кнопку “OK”.
Переходим в раздел “Computers”, затем в подраздел “Servers”. В меню “Status” выбираем “Any” и нажимаем на кнопку “Refresh”.
Компьютер успешно добавлен в группу “Servers”.
Теперь необходимо разрешить установку обновлений на новую группу компьютеров.
В разделе “Updates” переходим в подраздел “All Updates” и в правой части экрана выбираем необходимые для установки обновления.
В данном руководстве будут разрешены все обновления для операционной системы Windows Server 2012 R2.
Выбираем обновления, которые необходимо разрешить для установки, и нажимаем на кнопку “Approve”.
Теперь нужно выбрать группу компьютеров, на которую нужно разрешить установку выбранных обновлений.
Выбираем “Servers”, и в открывшемся меню выбираем “Approved for Install”.
Все готово к разрешению на установку выбранных обновлений на группу “Servers”.
Нажимаем на кнопку “OK”.
Обновления успешно разрешены для установки на выбранную группу компьютеров.
Нажимаем на кнопку “Close”.
Теперь необходимо подождать, и через некоторое время на указанную группу компьютеров будут загружены и установлены только те обновления, которые были разрешены.
Теперь можно создать правило для автоматического разрешения новых обновлений.
Обратите внимание, в промышленной среде для важных серверов не рекомендуется использовать правила для автоматического разрешения обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
В разделе “Options” выбираем “Automatic Approvals”.
Нажимаем на кнопку “New Rule”.
В разделе “Step 1: Select properties” ставим галочку на пункте “When an update is in a specific classification”, чтобы указать для каких классификаций обновления будут разрешаться автоматически.
Затем ставим галочку на пункте “When an update is in a specific product”, чтобы указать для каких продуктов обновления будут разрешаться автоматически.
В разделе “Step 2: Edit the properties” выбираем “Any classification”.
Далее необходимо выбрать нужные обновления по классификации.
Выбираем все классификации кроме “Drivers” и “Update Rollups”.
Обратите внимание, обновления, которые относятся к классификациям “Drivers” и “Update Rollups”, не рекомендуется устанавливать, используя сервер обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
Нажимаем на кнопку “OK”.
Теперь необходимо выбрать для каких продуктов нужно автоматически разрешать обновления.
В разделе “Step 2: Edit the properties” выбираем “Any product”.
В данном руководстве будут автоматически разрешаться обновления для операционной системы Windows Server 2012 R2.
Выбираем продукты, на которые планируется устанавливать обновления, и нажимаем на кнопку “OK”.
Теперь необходимо выбрать для какой группы компьютеров необходимо автоматически разрешать обновления.
В разделе “Step 2: Edit the properties” выбираем “All computers”.
В данном руководстве в качестве группы, на которую необходимо автоматически разрешать обновления, используется группа “Servers”.
Выбираем группу компьютеров, для которой необходимо автоматически разрешать обновления, и нажимаем на кнопку “OK”.
Теперь необходимо указать имя для нового правила.
В разделе “Step 3: Specify a name” указываем имя для нового правила и нажимаем на кнопку “OK”.
Создание правила для автоматического разрешения новых обновлений завершено.
Ставим галочку на новом правиле и нажимаем на кнопку “OK”.
Теперь проверим, установились ли обновления.
Через день возвращаемся на компьютер, на котором должны были установиться обновления.
В данном руководстве в качестве компьютера, на который устанавливались обновления, использовался контроллер домена.
Заходим в систему под учетной записью с правами администратора домена и переходим в меню “Start”.
Теперь переходим в раздел “System and Security”.
Выбираем раздел “Windows Update”.
Обновления успешно установились на сервер.
Чтобы завершить установку обновлений необходимо перезагрузить сервер.
Нажимаем на кнопку “Restart now”.
In this post, we learn the steps to configure WSUS Server 2012 R2 on Windows Server 2012 R2. In old post, we learned the steps to install WSUS Server 2012 R2.
1. To configure WSUS server on Windows Server 2012 R2, open Update services console, click on “options” to configure WSUS. Under the Options wizard, click on “WSUS Server Configuration Wizard”.
2. On Before You Begin console, we can read all the pre-requisite tasks to be performed before proceeding further. Click on next.
3. On Join the Microsoft update Improvement Program console, select “Yes, I would like to join the Microsoft Update Improvement Program” if you want that your WSUS server will send information to Microsoft about the quality of updates. Otherwise remain it unchecked and click on Next to continue.
4. On Choose Upstream Server console, we can choose the upstream server from which our WSUS server synchronizes updates. To configure WSUS Server, select “Synchronize from Microsoft Update” for syncing the updates directly from Microsoft. If we select the option of “Synchronize from another Windows Server Update Services Server” then we have to specify the name of other WSUS server from which our WSUS server synchronize.
To configure WSUS server, we have selected the first option i.e. “Synchronize from Microsoft Update“. Click on Next to continue. Please ensure you are connected to internet to synchronize the Microsoft Updates.
5. On Specify Proxy Server console, we can configure the proxy server settings if WSUS server requires a proxy server to access the updates from Microsoft Update. In this practical, we are not configuring any proxy server. Click on Next to proceed.
6. On Connect to Upstream Server console, click on “Start Connecting” for establishing the connection with the upstream server for synchronizing information like types of updates available, products that can be updated, available languages.
7. When our WSUS server successfully establishes the connection with upstream server click on Next to continue.
8. On Choose languages console, either select the option of “Download updates in all languages, including new languages” or select “Download updates only in these languages“. Select languages that are relevant for your environment and click Next. We have selected only English language.
9. On Choose Products console, we can specify the Microsoft products for which we want updates. we selected the windows 7, windows 8.1 and windows server 2012 r2. Click on next.
10. On Choose Classifications console, we can specify what classifications of updates we want to synchronize. we selected Critical updates, Definition updates, Drivers and Security updates. Please select it carefully as per your requirement. Click on next to continue.
11. To configure WSUS Server, on Set Sync Schedule console, we configure this server to synchronize with Microsoft updates and we have two ways to synchronize this server, first is manually and second is automatically. We select Synchronize manually and click on next. However, you can select automatically and define the time and frequency.
12. This console shows the initial configuration of the WSUS server is finished and We can launch the WSUS Administration Console or start the initial synchronization without select any option click on next.
13. Click on Finish to get WSUS Server integrated into the environment.
For the installation of patches, we have to deploy two group policies related to WSUS
Second phase to configure WSUS Server is to modify the Group Policies to deploy patches to all the workstations.
14. Open GPMC console, right click on GPO(WSUS Policies) then, click on edit.
15. In the Group Policy Management Editor, expand Computer Configuration, expand Administrative Templates, expand Windows Components, Windows Update, and then double click on Configure Automatic Updates.
16.In configure Automatic updates console, click on Enabled and select one of the following options:
- Notify for download and notify for install
- Auto download and schedule the install
- Auto download and notify for install
- Allow local admin to choose setting
We have selected the third option Auto download and notify for install, and we can also schedule day and time also. Click on Ok.
17. In the Group Policy Management Editor, expand Computer Configuration, expand Administrative Templates, expand Windows Components, Windows Update and then double click on Specify Intranet Microsoft update service location.
18. Click on Enabled and type the HTTP URL of the WSUS server (http://WSUS.itingredients.com:8530) in the Set the intranet update service for detecting updates box and in the Set the intranet statistics server box.
19. To configure WSUS server, on Update Services console, expand updates. Click on All Updates. Here, we can see all the updates which our update server synchronizes with the Microsoft Update. Right click on any update and then click on Approve to approve this update for the installation on client computers.
20. On Approve Update console, right click on Unassigned Computers and then, click on “Approved for Install“. Click on Ok to approve the updates.
21. On Approval Progress console, we can see that the security updates approval is completed without errors. Click on close to close this console.
22. On any client computer having Windows 8.1 operating system installed open Windows Update. Click on check for update. we can see that there are two important updates are there to install. Click on install update option to install it.
23. We can see that the installation of updates is completed.
Hope you understood the steps to Configure WSUS Server 2012 R2 on Windows Server 2012 R2. Please feel free to leave your comments, suggestions and queries in the comments section.
Windows Server Update Services (WSUS) in Server 2012 R2
Table of Contents
Windows Server Update Services (WSUS) enables the administrators to deploy the latest Microsoft product updates. You can use WSUS to fully manage the distribution of product updates onto your organization computers. A WSUS server can also be the update source for other WSUS servers within the organization. The WSUS server that acts as an update source is called an Upstream Server and the server that connects to the upstream server in called Downstream Server. In a WSUS implementation, at least one WSUS server on your network must be able to connect to Microsoft Update to get available update information.
Note: Upgrade from any version of Windows Server that supports WSUS 3.2 to Windows Server 2012 R2 requires you to first uninstall the WSUS 3.2
Install the WSUS Server Role
-
- Log on to the server on which you plan to install the WSUS server role by using an account that is a member of the Local Administrators group.
- In Server Manager, click Manage, and then click add Roles and Features.
- On the Before you begin page, click Next.
- In the select installation type page, confirm that Role-based or feature-based installation option is selected and click Next.
5. On the select destination server page, choose where the server is located (from a server pool or from a virtual hard disk). After you select the location, choose the server on which you want to install the WSUS server role, and then click Next.
6. On the select server roles page, select Windows Server Update Services. To Add features that are required for Windows Server Update Services, click Add Features, and then click Next.
7. On the Select features page, keep the default selections, and then click Next.
8. On the Windows Server Update Services page, click Next.
9. On the Select Role Services page, choose your preferred database type and then click Next. If you are already have a SQL server on same server (or on different server), you can go ahead and uncheck the WID Database option, then check the Database option. If you choose SQL database, you will have to provide SQL connection details as shown in following diagram:
If you want to use Windows Internal Database (WID), just select WID Database and WSUS services option and click Next as shown in following diagram:
Tip: You must select one Database type. If the database options are all cleared (not selected), the post installation tasks will fail.
10. On the Content location selection page, type a valid location to store the updates. For example, you can create a folder named WSUS at the root of drive C: specifically for this purpose, and type C:\WSUS as the valid location.
11. Click Next. The Web Server Role (IIS) page opens. Review the information, and then click Next. In select the role services to install for Web Server (IIS), keep the defaults, and then click Next.
12. On the Confirm installation selections page, review the selected options, and then click Install.
The WSUS installation wizard runs. This might take several minutes to complete.
13. Once WSUS installation is complete, in the summary window on the Installation progress page, click Launch Post-Installation tasks. The text changes, requesting: Please wait while your server is configured.
When the task has finished, the text changes to: Configuration successfully completed. Click Close.
14. In Server Manager, verify if a notification appears to inform you that a restart is required. This can vary according to the installed server role. If it requires a restart make sure to restart the server to complete the installation.
WSUS Configuration
- Launch WSUS console.
2. When WSUS Configuration wizard opens up, click Next
3. Now you are asked to participate into Microsoft Update Improvement plan. If you are fine with Microsoft collecting some information about your organization (like how many computers your organization have, how many computers successfully installed each update etc.), select the checkbox Yes, I would like to join Microsoft Update Improvement Program and click Next.
4. Next screen is to configure your upstream server which defines Where does this WSUS server will download the updates. You can either select Synchronize from Microsoft Update (which is default) or select Synchronize from another Windows Server Update Services server. If this is the first WSUS server in your organization, you should select first option so that the server can download the updates directly from Windows Update. Make sure to adjust your firewall settings for both cases. If you choose to connect to Windows Update, make sure your server has access to internet or if you choose to connect to an upstream server, be sure to allow Port 8530 or 8531 (SSL) on both servers.
In my case, I already have a WSUS server on 192.168.0.2 server, I will choose to download updates from this server. You can also make this server as a replica server. Replica server picks all the configuration from upstream server and you can not directly approve any update on Replica server, it can only deploy the updates to computers.
5. Next step is to choose Proxy settings, If you use proxy to connect to internet, you can enter the details here. If not, leave everything at its default setting.
6. Now, click Start Connecting. It will take some time to complete the operation.
When progress bar turns all green, click Next.
7. On Language selection screen, select the language for your products and click Next.
8. Next step is to configure the Sync schedule. If you choose to Synchronize manually, server will not check for new updates and will not download any update until you run the synchronization
9. In the next step, uncheck the option Begin initial synchronization and click Finish Since initial synchronization takes a lot of time, we will do it after completing all the configuration steps.
10. Windows Server Update Services wizard will launch automatically.
Close the WSUS console for now. We have to install some required updates.
Install some Required Updates on WSUS server
On Windows Server 2012 R2 and Windows Server 2012 R2, you need to install the KB3095113 and KB3159706.
1. KB3095113 enables the WSUS support for Windows 10 feature upgrades. The update can be downloaded from following link:
https://support.microsoft.com/en-us/kb/3095113
2. KB3159706 enables the ESD decryption provision in WSUS in Windows Server 2012 and Windows Server 2012 R2. The update can be downloaded from following link:
https://support.microsoft.com/en-us/kb/3159706
KB3159706 requires some manual steps to complete the installation. If you do not perform these steps, the WSUS server will keep crashing.
Manual Steps
a. Open an elevated Command Prompt, and run the following command (assuming “C” as OS drive):
"C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing
b. Open Server Manager, click Manage and then select Add Roles and Features
c. On Add and Remove Roles wizard, press Next a couple times until you see Features screen. Expand .NET Framework 4.5 features, and then expand WCF Services and select HTTP Activation feature. When prompted to add required role services, click Add Features button and click Next.
d. Now click Install button and wait for installation to complete.
e. After completing the install either restart the server or restart the WSUS services.
Advanced Configuration of WSUS server
Launch the WSUS console and follow the steps to do additional configurations:
Create Computer Groups
Computer groups enable you to target updates to specific computers. There are two default computer groups: All Computers and Unassigned Computers. When each client computer initially contacts the WSUS server, the server adds that client computer to each of these groups.
Let us add three more computer groups with names IT, Testing, and User PCs. To do this:
- Right click on All Computers default group and select Add Computer Group
- Enter the name for the group and click Add.
It is a good practice to create a Testing group and then add some test lab PCs to this group so that you can test the updates on these computers before rolling out the updates to whole organization computers. If anything goes wrong, you can identify the offending update and Decline that update so that it does not get installed on your production PCs.
Select Product and Classifications
It is always a good idea to select only the products and classifications you require in your organization. By doing so, you will only download what you need. It will save a lot of hard drive space as well as internet bandwidth. To select Products and Classifications:
- Click Options in WSUS console.
- Click Products and Classifications.
- Under Products tab, only select products that are installed in your organization. By default, a whole lot of products will be selected. For example, in my case, I have only Office 2016 and Windows 10 installed. Therefore, I will only select Office 2016 and Windows 10 and uncheck everything else.
- Under Classifications tab, select the product classification you need. In most of the cases you only need to select Critical Updates, Security Updates, Updates and Upgrades but you can choose anything as per your policy or requirement.
Below are some short descriptions of every classification (source Microsoft documentation):
- Critical Updates: Specifies a broadly released update for a specific problem that addresses a critical, non-security-related bug.
- Definition Updates: Specifies an update to virus or other definition files.
- Feature Packs: Specifies new product features that are distributed outside of a product release and that are typically included in the next full product release.
- Security Updates: Specifies a broadly released update for a product-specific, security-related issue.
- Service Packs: Specifies a cumulative set of hotfixes that are applied to an application. These hotfixes can include: security updates, critical updates, software updates, and so on.
- Tools: Specifies a utility or feature that helps to complete one or more tasks.
- Update Rollups: Specifies a cumulative set of hotfixes that are packaged together for easy deployment. These hotfixes can include security updates, critical updates, updates, and so on. An update rollup generally addresses a specific area, such as security or a product component.
- Updates: Specifies an update to an application or file that is currently installed.
- Upgrade: Specifies an upgrade for Windows 10 features and functionality. Your software update points and sites must run a minimum of WSUS 4.0 with the hotfix 3095113to get the Upgrade
Update Files and Languages
You can specify whether to store update files on your local WSUS server or on Microsoft Update. If you choose to store the updates locally, you can limit the updates downloaded to your server by language. If you choose to store the update files on Microsoft Update, then your WSUS server obtains only update information (metadata) for the criteria you have specified on the Synchronization Options page. In this scenario, the update files come directly from Microsoft Update and are downloaded at the time of installation on the client computers receiving updates. You will need to make sure your client computers have direct access to Microsoft Update in this scenario. This option does not make any sense of deploying the WSUS server in organization if every client computer is supposed to download updates from internet.
To select Update Files and Languages:
- Click Options in WSUS console.
- Click Update Files and Languages option.
On Update Files tab, make sure that the Store update files locally on this server radio button is selected. If you want the updates to start downloading only when you approve the updates, select the checkbox against Download update files to this server only when updates are approved. This option gives you explicit privilege to download only the updates you want. You should consider using this option if your ISP gives you limited monthly data.
- Under Update Languages tab, only select the languages that are applicable to your products. In my case, I only selected English since I know that every software (including Windows) in my organization is running on US English. Never ever select the radio button Download updates in all languages. This option will unnecessarily cost you huge disk space and internet bandwidth.
Automatic Approvals
After updates have been synchronized to your WSUS server, you must approve them to initiate a deployment action. When you approve an update, you are essentially telling WSUS what to do with it (for example, your choices are Install, Detect only, Remove, or Decline update). When approving an update, you specify a default approval setting for the All Computers group, and any necessary settings for each computer group in the Approve Updates dialog box. If you do not approve an update, its approval status remains Not approved and your WSUS server performs no action for the update. The exceptions to this are in the Critical Updates and Security Updates classifications, which by default are automatically approved for detection after they are synchronized.
If you do not wish to approve each and every update manually, WSUS console gives you an option to set automatic approval rules.
To open Automatic Approvals:
- Click Options in WSUS console.
- Click Automatic Approvals option.
I would personally recommend creating an automatic approval rule for Testing group we created earlier. In most of the case, WSUS server is set to Sync after business hours. If you do not create any automatic approval rule, what would happen is this:
- Remember previously we selected an option to Download updates only when they are approved.
- If we do not create any automatic approval rule, WSUS server will not download any update after synchronization finishes. It will wait for you to approve the updates. As soon as you approve the updates, the download will start.
- Guess what happens if there are hundreds of updates to be downloaded. The internet connection will get congested which will affect your business applications and production.
- If you want the updates to be downloaded after business hours, you must set the Sync schedule after your business hours and create an automatic approval rule. When WSUS finishes synchronization and it finds new updates to download, the updates will be auto approved and downloaded at the same time thus not impacting production hours. Of course all the updates matching your Products and Classifications criteria will be downloaded. So, be sure to select your Products and Classifications wisely.
If you want to download and approve the Updates for WSUS software itself, go to Advanced tab and select the checkbox against Automatically approve updates to the WSUS product itself option under WSUS Updates.
Assign Computers to Different Groups
We created different Groups (User PC, IT, Testing etc.) so that we could assign the computers into these groups. But how does WSUS assign any computer to a group. This is where Computers option of WSUS console comes into play.
To open the settings:
- Click Options in WSUS console.
- Click Computers option.
There are only two options:
- Use the Update Services console: This option allows you to manually assign the computers to groups.
- Use Group Policy or registry settings on computers: This is the most preferred way of assigning computers. If you are running an Active Directory Domain, you can use Group policy to provide WSUS settings for all the computers. If you are using Workgroup environment, you can use registry settings.
Group Policy settings are located at Computer Configuration –> Policies –> Administrative Templates –> Windows Components –> Windows Update.
To do so via Registry editing, copy the following code into notepad, save the file with .reg extension and then run this file on target client computer. The client computer will be auto configured to download updates from WSUS server instead of Windows update.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "AcceptTrustedPublisherCerts"=dword:00000001 "ElevateNonAdmins"=dword:00000001 "TargetGroup"="User PCs" "TargetGroupEnabled"=dword:00000001 "WUServer"="http://192.168.0.2:8530" "WUStatusServer"="http://192.168.0.2:8530" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "AUOptions"=dword:00000004 "AUPowerManagement"=dword:00000001 "AutoInstallMinorUpdates"=dword:00000001 "DetectionFrequency"=dword:0000000a "DetectionFrequencyEnabled"=dword:00000001 "IncludeRecommendedUpdates"=dword:00000001 "NoAUAsDefaultShutdownOption"=dword:00000001 "NoAUShutdownOption"=dword:00000001 "NoAutoRebootWithLoggedOnUsers"=dword:00000001 "NoAutoUpdate"=dword:00000000 "RebootRelaunchTimeout"=dword:0000000a "RebootRelaunchTimeoutEnabled"=dword:00000001 "RescheduleWaitTime"=dword:0000000a "RescheduleWaitTimeEnabled"=dword:00000001 "ScheduledInstallDay"=dword:00000007 "ScheduledInstallTime"=dword:00000002 "UseWUServer"=dword:00000001
Of course replace the IP and Port (192.168.0.2:8530) with your WSUS server’s IP (Name) and port.
See the following table for more information about registry code:
| Entry name | Data type | Values |
| AcceptTrustedPublisherCerts | Reg_DWORD | Range = 1|0
– 1 = Enabled. The WSUS server distributes available signed non-Microsoft updates. |
| DisableWindowsUpdateAccess | Reg_DWORD | Range = 1|0
– 1 = Disables access to Windows Update. |
| ElevateNonAdmins | Reg_DWORD | Range = 1|0
– 1 = All members of the Users security group can approve or disapprove updates. |
| TargetGroup | Reg_SZ | Name of the computer group to which the computer belongs. This policy is paired with TargetGroupEnabled. |
| TargetGroupEnabled | Reg_DWORD | Range = 1|0
– 1 = Use client-side targeting. |
| WUServer | Reg_SZ | HTTP(S) URL of the WSUS server that is used by Automatic Updates and API callers (by default). This policy is paired with WUStatusServer, and both keys must be set to the same value to be valid. |
| WUStatusServer | Reg_SZ | The HTTP(S) URL of the server to which reporting information is sent for client computers that use the WSUS server that is configured by the WUServer key. This policy is paired with WUServer, and both keys must be set to the same value to be valid. |
| Entry name | Data type | Values |
| AUOptions | Reg_DWORD | Range = 2|3|4|5
– 2 = Notify before download. |
| AutoInstallMinorUpdates | Reg_DWORD | Range = 0|1
– 0 = Treat minor updates like other updates. |
| DetectionFrequency | Reg_DWORD | Range = n, where n = time in hours (1–22).
– Time between detection cycles. |
| DetectionFrequencyEnabled | Reg_DWORD | Range = 0|1
– 1 = Enable detection frequency. |
| NoAutoRebootWithLoggedOnUsers | Reg_DWORD | Range = 0|1
– 1 = Logged-on user can decide whether to restart the client computer. |
| NoAutoUpdate | Reg_DWORD | Range = 0|1
– 0 = Enable Automatic Updates. |
| RebootRelaunchTimeout | Reg_DWORD | Range = n, where n = time in minutes (1–1,440).
– Time between prompts for a scheduled restart. |
| RebootRelaunchTimeoutEnabled | Reg_DWORD | Range = 0|1
– 1 = Enable RebootRelaunchTimeout. |
| RebootWarningTimeout | Reg_DWORD | Range = n, where n = time in minutes (1–30).
– Length, in minutes, of the restart warning countdown after updates have been installed that have a deadline or scheduled updates. |
| RebootWarningTimeoutEnabled | Reg_DWORD | Range = 0|1
– 1 = Enable RebootWarningTimeout. |
| RescheduleWaitTime | Reg_DWORD | Range = n, where n = time in minutes (1–60).
– Time in minutes that Automatic Updates waits at startup before it applies updates from a missed scheduled installation time. |
| RescheduleWaitTimeEnabled | Reg_DWORD | Range = 0|1
– 1 = Enable RescheduleWaitTime . |
| ScheduledInstallDay | Reg_DWORD | Range = 0|1|2|3|4|5|6|7
– 0 = Every day. |
| ScheduledInstallTime | Reg_DWORD | Range = n, where n = the time of day in 24-hour format (0–23). |
| UseWUServer | Reg_DWORD | Range = 0|1
– 1 = The computer gets its updates from a WSUS server. |
Finally, I would like to say that WSUS is a great tool which every organization should consider to save their monthly internet data and bandwidth. This prevents repeated download of same updates over and over again when each computer of your organization is updated.
As your WSUS keeps downloading new and new updates, it will need more and more disk space. Whatever it downloads over a period of time is not always necessary for you to keep. So, I would suggest to run Server Cleanup Tool (available in Options page of WSUS console) once within 1-2 months so that unnecessary updates (like expired, superseded, not-required) could be removed to reclaim disk space.