Instalowanie serwera aktualizacji WSUS w systemie Windows Server 2012 R2 / 2016

Windows Serwer Aktualizacja Usługi (WSUS) to usługa aktualizacji, która pozwala administratorom centralnie zarządzać dystrybucją poprawek i aktualizacji zabezpieczeń produktów Microsoft (systemy operacyjne Widows, Office, SQL Server, Exchange itp.) na komputerach i serwerach w sieci firmowej. Przypomnijmy krótko, jak działa WSUS: serwer WSUS ma synchronizować się z serwerem aktualizacji Microsoft w Internecie i pobierać nowe aktualizacje dla wybranych produktów. Administrator WSUS wybiera, które aktualizacje mają zostać zainstalowane na stacjach roboczych i serwerach firmy. Klienci WSUS pobierają i instalują wymagane aktualizacje z korporacyjnego serwera aktualizacji zgodnie ze skonfigurowanymi zasadami. Korzystanie z własnego serwera aktualizacji WSUS pozwala zaoszczędzić ruch internetowy i bardziej elastycznie zarządzać instalacją aktualizacji w firmie.

Microsoft oferuje również inne sposoby instalowania aktualizacji swoich produktów, na przykład SCCM 2007/2012. Jednak w przeciwieństwie do wielu innych produktów, serwer WSUS jest całkowicie darmowy (w rzeczywistości usługa aktualizacji SCCM - Punkt aktualizacji oprogramowania SUP jest również oparty na WSUS).

Przed Windows Server 2012 najnowsza wersja Microsoft Update Server była Windows Serwer Aktualizacja Usługi 3.0 SP2) - WSUS 3.2, który nie obsługuje nowoczesnych systemów operacyjnych (jak włączyć obsługę systemu Windows 8 i Windows 2012 w programie WSUS 3.0). Wraz z wydaniem nowej platformy serwerowej Microsoft zaprezentował nową wersję WSUS 6.0 (co jest dziwne, ponieważ logicznie ta wersja powinna mieć nazwę WSUS 4.0 ...).

Zasadniczo w nowej wersji WSUS w systemie Windows Server 2012R2 / 2016 praktycznie nic się nie zmieniło. Zauważ, że teraz pakietu instalacyjnego WSUS nie można pobrać osobno ze strony Microsoft, jest on zintegrowany z dystrybucją Windows Server i jest instalowany jako osobna rola serwera. Ponadto WSUS 6.0 wprowadził możliwość kontrolowania instalacji aktualizacji za pomocą PowerShell.

W tym artykule omówimy podstawowe problemy związane z instalowaniem i konfigurowaniem serwera WSUS opartego na systemie Windows Server 2012 R2 / Windows Server 2016.

Treść

  • Instalowanie roli WSUS w systemie Windows Server 2012 R2 / 2016
  • Wstępna konfiguracja serwera aktualizacji WSUS w systemie Windows Server 2012 R2 / 2016

Instalowanie roli WSUS w systemie Windows Server 2012 R2 / 2016

W systemie Windows Server 2008 program WSUS został przypisany do osobnej roli, którą można zainstalować za pomocą konsoli zarządzania serwerem. W Windows Server 2012 / R2 ten punkt się nie zmienił. Otwórz konsolę Menedżera serwera i zaznacz rolę Windows Serwer Aktualizacja Usługi (system automatycznie wybierze i zaoferuje instalację niezbędnych komponentów serwera internetowego IIS).

Zaznacz opcję Usługi WSUS, a następnie wybierz typ bazy danych, z której będzie korzystał WSUS.

W systemie Windows Server 2012 R2 dla serwera WSUS obsługiwane są następujące typy baz danych SQL:

  • Wewnętrzna baza danych Windows (WID);
  • Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 w wydaniach Enterprise / Standard / Express Edition;
  • Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.

W związku z tym można korzystać z wbudowanej bazy danych Windows WID (wewnętrzna baza danych Windows), która jest bezpłatna i nie wymaga dodatkowych licencji. Możesz użyć dedykowanej lokalnej lub zdalnej (na innym serwerze) bazy danych na serwerze SQL Server do przechowywania danych WSUS.

Domyślna nazwa WID nazywa się SUSDB.mdf i jest przechowywany w katalogu windir% \ wid\ data\. Ta baza danych obsługuje tylko uwierzytelnianie systemu Windows (ale nie SQL). Wywoływana jest wewnętrzna instancja bazy danych (WID) dla WSUS serwer_nazwa\ Microsoft## WID. Baza danych WSUS przechowuje ustawienia serwera aktualizacji, aktualizuj metadane i informacje o kliencie serwera WSUS.

Wewnętrzna baza danych systemu Windows jest zalecana, jeśli:

  • Organizacja nie ma i nie planuje zakupu licencji na SQL Server;
  • Nie jest planowane stosowanie równoważenia obciążenia na WSUS (NLB WSUS);
  • Jeśli planujesz wdrożyć podrzędny serwer WSUS (na przykład w oddziałach). W takim przypadku zaleca się korzystanie z wbudowanej bazy danych WSUS na serwerach pomocniczych..

Bazą danych WID można administrować za pomocą SQL Server Management Studio (SSMS), jeśli podasz \\. \ Pipe \ MICROSOFT ## WID \ tsql \ query w ciągu połączenia.

Należy pamiętać, że w bezpłatnych wersjach programu SQL Server 2008/2012 Express obowiązuje limit maksymalnej wielkości bazy danych - 10 GB. Najprawdopodobniej to ograniczenie nie zostanie osiągnięte (na przykład rozmiar bazy WSUS dla 2500 klientów wynosi około 3 GB). Limit wewnętrznej bazy danych Windows - 524 GB.

W przypadku instalowania roli WSUS i serwera bazy danych na różnych serwerach istnieje szereg ograniczeń:

  • Serwer SQL z bazą danych WSUS nie może być kontrolerem domeny;
  • Serwer WSUS nie może jednocześnie być serwerem terminali z rolą usług pulpitu zdalnego;

Jeśli planujesz korzystać z wbudowanej bazy danych (jest to wysoce zalecana i wydajna opcja nawet w przypadku dużych infrastruktur), zaznacz pole WID Baza danych.

Następnie musisz określić katalog, w którym będą przechowywane pliki aktualizacji (zaleca się, aby na wybranym dysku było co najmniej 10 GB wolnego miejsca).

Rozmiar bazy danych WSUS jest wysoce zależny od liczby produktów i systemu Windows, które planujesz uaktualnić. W dużej organizacji rozmiar plików aktualizacji na serwerze WSUS może osiągnąć setki GB. Na przykład mam katalog z aktualizacjami WSUS, który zajmuje około 400 GB (aktualizacje dla Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 i 2016, SQL Server 2008/2012/2016 są przechowywane) . Należy o tym pamiętać przy planowaniu lokalizacji plików WSUS..

W przypadku wcześniejszego wyboru oddzielnej dedykowanej bazy danych SQL należy podać nazwę serwera DBMS, instancji bazy danych i sprawdzić połączenie.

Następnie rozpocznie się instalacja roli WSUS i wszystkich niezbędnych składników, po czym uruchom konsolę zarządzania WSUS w konsoli Server Manager.

Możesz także zainstalować serwer WSUS z wewnętrzną bazą danych, używając następującego polecenia PowerShell:

Install-WindowsFeature -Name Updateservices, UpdateServices-WidDB, UpdateServices-services -IncludeManagementTools

Wstępna konfiguracja serwera aktualizacji WSUS w systemie Windows Server 2012 R2 / 2016

Przy pierwszym uruchomieniu konsoli WSUS automatycznie uruchomi się Kreator konfiguracji serwera aktualizacji. Rozważ podstawowe kroki konfigurowania serwera WSUS za pomocą kreatora..

Określ, czy serwer WSUS będzie pobierał aktualizacje bezpośrednio z witryny Microsoft Update, czy też powinien pobierać je z wcześniejszego serwera WSUS (ta opcja jest zwykle używana w dużych sieciach do konfigurowania serwera WSUS dużego biura regionalnego, który odbiera aktualizacje z biura centralnego WSUS, co znacznie zmniejsza obciążenie do kanałów komunikacji między centralą a oddziałem).

Jeśli sam serwer WSUS musi pobierać aktualizacje z serwerów Windows Update i uzyskujesz dostęp do Internetu za pośrednictwem serwera proxy, musisz podać adres serwera proxy, port i login / hasło do autoryzacji na nim.

Następnie sprawdzane jest połączenie z serwerem aktualizacji. Naciśnij przycisk Zacznij się łączyć.

Następnie musisz wybrać języki, dla których WSUS pobierze aktualizacje. Wskażemy Angielski i Rosyjski (listę języków można dodatkowo zmienić w konsoli WSUS).

Następnie wyświetla listę produktów, dla których WSUS powinien pobrać aktualizacje. Musisz wybrać wszystkie produkty Microsoft, które są używane w sieci firmowej. Należy pamiętać, że wszystkie aktualizacje zajmują dodatkowe miejsce na dysku, dlatego nie należy oznaczać niepotrzebnych produktów. Jeśli masz pewność, że w sieci nie ma komputerów z systemem Windows XP lub Windows 7, nie wybieraj tych opcji. W ten sposób zaoszczędzisz znacznie miejsca na dysku na serwerze WSUS.

W razie potrzeby możesz ręcznie zaimportować dowolne aktualizacje z katalogu Microsoft Update do serwera WSUS.

Na stronie Klasyfikacja Strona, musisz określić typy aktualizacji, które będą dystrybuowane za pośrednictwem WSUS. Zaleca się określenie: Aktualizacje krytyczne, Aktualizacje definicji, Dodatki bezpieczeństwa, Dodatki Service Pack, Pakiety aktualizacji, Aktualizacje.

Aktualizacje wersji (kompilacji) systemu Windows 10 (1709, 1803, 1809 itp.) W konsoli WSUS są zawarte w klasie Upgrades.  

Następnie należy określić harmonogram synchronizacji aktualizacji - zaleca się stosowanie automatycznej codziennej synchronizacji serwera WSUS z serwerami Microsoft Update. Synchronizacja w nocy ma sens, aby nie ładować kanału dostępu do Internetu w godzinach pracy.

Początkowa synchronizacja serwera WSUS z serwerem aktualizacji upstream może potrwać kilka dni, w zależności od liczby wybranych wcześniej produktów i szybkości dostępu do Internetu.

Po zakończeniu pracy kreatora uruchamia się konsola WSUS..

Aby poprawić wydajność serwera WSUS w systemie Windows Server, zaleca się wykluczenie następujących folderów z obszaru skanowania antywirusowego:

  • \ WSUS \ WSUSContent;
  • % windir% \ wid \ data;
  • \ SoftwareDistribution \ Download.

Klienci mogą teraz otrzymywać aktualizacje, łącząc się z serwerem WSUS na porcie 8530 (Windows Server 2003 i 2008 domyślnie korzystają z portu 80). Przy dużej liczbie komputerów (ponad 1500) wydajność puli WsusPoll IIS, która dystrybuuje aktualizacje klienta, można dostosować zgodnie z artykułem.

Aby móc wyświetlać raporty dotyczące zainstalowanych aktualizacji na serwerze WSUS, musisz zainstalować dodatkowe składniki redystrybucyjne Microsoft Report Viewer 2008 SP1 (lub nowsze), które można bezpłatnie pobrać ze strony internetowej Microsoft.

W innych artykułach rozważymy dalszą konfigurację serwera WSUS w systemie Windows Server 2012 R2 / 2016 oraz konfigurację klientów WSUS (serwerów i stacji roboczych) przy użyciu zasad grupy, funkcje zatwierdzania aktualizacji i przesyłania zatwierdzonych aktualizacji między grupami w programie WSUS.