В этой статье мы подробно рассмотрим процесс установки и настройки сервера обновлений WSUS (Windows Server Update Services) на операционных системах Windows Server 2019, 2016 и 2012 R2. WSUS позволяет централизованно управлять обновлениями продуктов Microsoft, таких как Windows, Office, SQL Server, Exchange, и других. Мы рассмотрим шаги установки, настройки, а также оптимизацию производительности WSUS.
Приобрести оригинальные ключи активации можно у нас в каталоге:
Windows Server 2019 — от 2640 ₽
Windows Server 2016 — от 2370 ₽
Windows Server 2012 R2 — от 1270 ₽
Как работает WSUS?
Сервер WSUS представляет собой отдельную роль Windows Server, которая выполняет следующие функции:
— Периодическая синхронизация с серверами обновлений Microsoft для получения новых обновлений.
— Администратор выбирает и одобряет установку необходимых обновлений для рабочих станций и серверов.
— Клиенты WSUS скачивают и устанавливают обновления в соответствии с политиками, настроенными администратором.
Начиная с Windows Server 2008, WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером (Server Manager) или с помощью PowerShell.
Установка через Server Manager:
1. Откройте консоль Server Manager.
2. Отметьте роль Windows Server Update Services. Система автоматически выберет необходимые компоненты веб-сервера IIS.
В окне выбора компонентов WSUS выберите WSUS Services. Далее выберите, какую базу данных будет использовать WSUS:
— Windows Internal Database (WID) — встроенная база данных Windows. Это рекомендуемый вариант, особенно для больших инфраструктур.
— Microsoft SQL Server — для использования локальной или удалённой базы данных SQL Server. Это опция SQL Server Connectivity.
Важно: SQL Server для WSUS не может быть установлен на контроллере домена Active Directory, и WSUS не должен работать на сервере с ролью Remote Desktop Services.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге %windir%\wid\data.
Для её администрирования используйте строку подключения \\.\pipe\MICROSOFT##WID\tsql\query в SQL Server Management Studio.
Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.
Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.
Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).
Чтобы установить сервер WSUS с использованием WID, выполните следующую команду:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server
После установки роли WSUS выполните начальную настройку через Post-Deployment Configuration => Launch Post-Installation tasks в Server Manager.
Основные шаги настройки:
1. Запустите мастер начальной настройки.
2. Выберите, будет ли сервер WSUS синхронизироваться с Microsoft Update или с вышестоящим WSUS сервером.
3. Укажите настройки прокси, если используется прокси-сервер для доступа в Интернет.
4. Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.
5. Выберите языки и продукты, для которых WSUS будет скачивать обновления.
Выберите продукты Microsoft, которые актуальны для вашей инфраструктуры. Например, если компьютеры с Windows 7 больше не используются, отключите обновления для этой версии ОС.
Обязательно включите в классификации следующие общие разделы:
— Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
— Windows Dictionary Updates в категории Windows
— Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
На этапе выбора типов обновлений рекомендуем включить следующие классификации:
— Critical Updates
— Security Updates
— Service Packs
— Updates
— Update Rollups
Задайте расписание синхронизации. Оптимально настроить автоматическую ежедневную синхронизацию в ночные часы, чтобы не перегружать сеть в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.
Консоль WSUS состоит из нескольких разделов:
Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки).
Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы).
Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS.
Syncronizations – расписание синхронизации обновлений.
Reports – отчёты WSUS.
Options – настройка сервера WSUS.
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:
Test-NetConnection -ComputerName wsussrv1 -Port 8530
Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.
Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services ( wsus.msc ).
Консоль WSUS (wsus.msc) доступна как в локальной установке на сервере, так и удалённо через RSAT (Remote Server Administration Tools) на рабочих станциях с Windows 10 или 11.
Установка RSAT для WSUS:
Для установки WSUS консоли на Windows 10/11 выполните команду PowerShell:
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0
Для установки консоли WSUS на сервере используйте:
Install-WindowsFeature -Name UpdateServices-Ui
После установки создаются две локальные группы:
— WSUS Administrators — для пользователей с полным доступом к управлению WSUS.
— WSUS Reporters — для пользователей с доступом к отчетам.
Чтобы формировать отчеты в WSUS, необходимо установить:
— Microsoft System CLR Types для SQL Server 2012
— Microsoft Report Viewer 2012 Runtime
Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:
«The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.»
Для оптимальной работы WSUS рекомендуется следующее:
1. Минимум 4 Гб оперативной памяти и 2 процессорных ядра.
2. При большом количестве клиентов (1500+) может потребоваться увеличение ресурсов, чтобы избежать ошибок производительности, таких как 0x80244022 или Event ID 7053.
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS. Воспользуетесь следующими командами:
Import-Module WebAdministration
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel"
Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.
Исключения для антивируса:
Добавьте следующие папки в исключения антивируса, чтобы не снизить производительность WSUS:
— \WSUS\WSUSContent
— %windir%\wid\data
— \SoftwareDistribution\Download
Эти действия помогут улучшить работу WSUS и обеспечить своевременное обновление клиентов
Теперь, следуя этим инструкциям, вы сможете установить и настроить сервер WSUS на Windows Server, обеспечить централизованное управление обновлениями и оптимизировать его работу в вашей инфраструктуре.
