Detaljan opis kako wsus radi. Postavljanje i korištenje WSUS poslužitelja

20.07.2019 TV (Smart TV)

Instaliranje ažuriranja i zakrpa vrlo je važan dio sigurnosti. Za sve stručnjake za informacijsku sigurnost, praćenje, analiziranje i popravljanje ranjivosti softvera ključna je potreba. Microsoft pruža besplatnu mogućnost korištenja usluge ažuriranja za svoje softverske proizvode tijekom cijelog razdoblja podrške za softverski proizvod. Potrebna ažuriranja dostupna su putem interneta svim korisnicima softverskih proizvoda.

Primjena ažuriranja na poslovno okruženje zahtijeva dodatne kontrole. Microsoft nudi korištenje snažnog besplatnog proizvoda, Windows Server Update Services (WSUS), u korporativnom okruženju, koji vam omogućuje uštedu prometa na Internetu i centralizirano upravljanje ažuriranjima za poslužitelje i radne stanice.

Ovaj će članak dati pregled iskustva instaliranja i održavanja WSUS-a u poslovnom okruženju, što će početnicima omogućiti da izbjegnu brojne zamke.

Instalacija WSUS-a

Unutar operativnog sustava Windows Server 2008 postoji uloga poslužitelja Windows Server Update Services (slika 1).

Za Windows Server 2003, sljedeći sistemski zahtjevi za instaliranje WSUS 3.0 SP1:

Operativni sustav: Windows Server 2003 SP1 i noviji.

Dodatne uloge poslužitelja: IIS 6.0 i noviji

Dodatna ažuriranja OS-a: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

Dodatni programi: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS može instalirati uslugu Windows Internal Database).

Unatoč činjenici da usluga praktički nije zahtjevna za procesor i RAM, zahtijeva priličan udio prostora na disku. Po mogućnosti 40 GB ili više. U konačnici, količina potrošenog prostora na disku ovisit će o broju proizvoda koje je potrebno ažurirati i broju potrebnih ažuriranja infrastrukture.

Ako tijekom instalacije poslužitelj ne zadovoljava sistemske zahtjeve, pojavit će se prozor upozorenja koji će opisati što je potrebno instalirati (slika 2).

Postavljanje WSUS poslužitelja

Za normalan rad poslužitelja morate navesti niz parametara koji se rade pomoću "Čarobnjaka za konfiguraciju usluga ažuriranja sustava Windows"

U prozoru "Odaberi uzvodni poslužitelj" morate odabrati opciju "Sinkroniziraj s Microsoft Update" (Slika 3).

Prilikom primjene proxy poslužitelja na korporativno okruženje, u prozoru "Postavke proxy poslužitelja" morate navesti IP adresu, broj priključka i parametre provjere autentičnosti na proxy poslužitelju (slika 4).

U prozoru "Odaberi jezike" morate odabrati opciju "Preuzmi ažuriranja samo na sljedećim jezicima"; svakako odaberite "Engleski". Odabir drugih jezika mora se napraviti na temelju sustava instaliranih u tvrtki; obično dodaju i "ruski" (slika 5). Nema potrebe odabrati "Preuzmi ažuriranja na svim jezicima, uključujući nove" jer će to povećati broj ažuriranja pohranjenih na disku.

U prozoru Select Products morate odabrati proizvode instalirane u vašem poslovnom okruženju. PAŽNJA! Nikada nemojte instalirati sve proizvode jer to može uzrokovati povećanje veličine pohranjenih ažuriranja i ažuriranja se neće koristiti. Potrebno je metodično i dosljedno birati samo one proizvode koji se koriste unutar korporativnog okruženja (slika 6).

U prozoru "Odaberi klase" trebate navesti samo one klase koje zahtijevaju ažuriranje. Budući da navođenje dodatnih klasa značajno povećava veličinu pohranjenih ažuriranja (slika 7).

U prozoru “Postavke rasporeda sinkronizacije” morate odabrati vrijeme sinkronizacije (slika 8). WSUS sinkronizacija ne uključuje preuzimanje ažuriranja. U ovom slučaju, sinkronizacija će samo ažurirati informacije s poslužitelja Microsoft Update."

Nakon prve sinkronizacije potrebno je otvoriti WSUS konzolu i odabrati "Opcije". U "Opcijama" otvorite stavku "Datoteke i ažuriranje jezika" (Sl. 9)

U kartici "Ažuriraj datoteke" u prozoru "Ažuriraj datoteke i jezike", morate odrediti kako će datoteke ažuriranja biti pohranjene. Budući da želimo smanjiti veličinu internetskog prometa, moramo odabrati “Store update files locally on this server” i OBAVEZNO! odaberite stavke „prenesite datoteke ažuriranja na poslužitelj tek nakon što je ažuriranje odobreno“ i „prenesite datoteke brze instalacije“ (Slika 10). Stavka "Učitaj ažurirane datoteke na poslužitelj tek nakon što je ažuriranje odobreno" je neophodno, budući da će prema zadanim postavkama poslužitelj preuzeti SVA ažuriranja koja smatra potrebnima za odabrane proizvode. Međutim, budući da se tijekom vremena mnoga ažuriranja nakupljaju u servisnom paketu, najvjerojatnije neće biti potrebna i zauzet će prostor na disku.

Nakon svih postavki potrebno je dodati računala na WSUS servis.

Dodavanje računala u WSUS

Ako imate domenu, tada sve što trebate učiniti je registrirati WSUS servis u njegovoj grupnoj politici i odabrati pravila ažuriranja računala.

To se radi na sljedeći način " Start - Administrativni alati - Upravljanje pravilima grupe" Odaberite pravilo koje je važeće u domeni (zadano pravilo grupe prema zadanim postavkama). Kliknite desnom tipkom miša i odaberite "Uredi".

U prozoru "Uređivač upravljanja pravilima grupe" idite na " Konfiguracija računala – Pravila – Administrativni predlošci – Komponente sustava Windows – Ažuriranje sustava Windows" Odaberite stavku "Odredite mjesto usluge ažuriranja na intranetu" (Sl. 11)

U prozoru "Svojstva: Navedite lokaciju usluge ažuriranja na intranetu", navedite parametar "Omogućeno" i u retku "Navedite uslugu ažuriranja na intranetu za traženje ažuriranja" unesite red poput: http:// [ IP adresa ili DNS naziv poslužitelja za ažuriranje na mreži]. Kopirajte adresu u prozor „Navedite poslužitelj statistike na intranetu” (Slika 12). Unutar uređivača grupnih pravila nalaze se savjeti u prozoru s objašnjenjima (slika 12).

Također morate definirati politiku ažuriranja. To se radi kroz stavku "Postavljanje automatskih ažuriranja" (Sl. 13)

U prozoru “Svojstva: Postavljanje automatskih ažuriranja” navedite opciju “Omogućeno” i parametre “Postavljanje automatskih ažuriranja”, “Planirana instalacija - dan”, “Planirana instalacija - vrijeme”. U prozoru “Objašnjenje” nalazi se opis svih parametara za poslužitelje, a preporučljivo je postaviti parametar “2 – obavijesti o preuzimanju i instalaciji”, što će omogućiti administratorima da odaberu kada će se ažuriranja instalirati na poslužitelje (slika 14. ).

Ako unutar infrastrukture postoje radne stanice koje nisu dio domene (primjerice mobilne radne stanice), ali je za te radne stanice neophodna usluga ažuriranja, tada je tu uslugu moguće navesti u “Lokalnoj sigurnosnoj politici”.

U naredbeni redak upišite gpedit.msc i izvedite iste operacije koje su gore opisane za pravila grupe u domeni.

Nakon nekog vremena računalo će se pojaviti u " Računala – Sva računala – Nedodijeljena računala"na "Uvjet: Bilo koji" (Sl. 15).

Upravljanje ažuriranjem

Kako biste vidjeli i odobrili potrebna ažuriranja, trebate odabrati sljedeće stavke filtra u “Ažuriranja – Sva ažuriranja”: “Odobrenje: Neodobreno” i Status: Potrebno” i kliknuti “Ažuriraj” (Slika 16). PAŽNJA! Da biste provjerili potrebna ažuriranja, uvijek provjerite jesu li postavke filtra postavljene na "Odobrenje: Neodobreno" i Status: Obavezno, inače riskirate preuzimanje ažuriranja koja vam ne trebaju ili ih uopće ne preuzimate. Ako filtar u postavkama "Odobrenje: Neodobreno" i Status: Potrebno pokazuje prazno polje, tada su sva potrebna ažuriranja za računala već odobrena i nalaze se na poslužitelju.

Nakon odobrenja, ažuriranja će se nakon nekog vremena pojaviti na računalu prema pravilima konfiguriranim u sigurnosnoj politici.

Vrlo često postoji potreba prisiljavanja računala da provjeri ima li ažuriranja na poslužitelju za ažuriranje. Za to postoji program wuauclt.exe, koji se pokreće preko naredbenog retka. Da biste provjerili ima li ažuriranja, morate ga pokrenuti s ključem /detectnow (wuauclt.exe /detectnow). Za slanje izvješća o statusu (vrlo često potrebno kada se prvi put povezujete s poslužiteljem ažuriranja), morate pokrenuti s ključem /prijavi sada (wuauclt.exe /reportnow).

Gospodo, sretno s ažuriranjima!

Vasiljev Denis

Opisan je postupak instalacije ove mrežne usluge. Ovaj post opisuje postupak postavljanja računala za ažuriranje s WSUS poslužitelja koji su vam dostupni.

Postavljanje računala radne grupe ili samostalnih poslužitelja

Za konfiguriranje računala u ovom slučaju trebat će vam dodatak Group Policy Object Editor. Da biste ga otvorili, učinite sljedeće:

1. Otvorite izbornik Start - Run. U retku "otvori" - upišite "mmc" - zatim OK
2. U MMC konzoli otvorite izbornik Datoteka – Dodaj ili ukloni snap-in...
3. Odaberite dodatak “Group Policy Object Editor” – Gotovo – U redu
4. Želimo stvoriti pravilo za ažuriranje OS-a računala. Stoga u desnom dijelu uređivača u košnici “Konfiguracija računala” otvorite granu Pravila – Administrativni predlošci – Komponente sustava Windows – Ažuriranje sustava Windows
5. Na desnoj strani prozora uređivača vidjet ćete pravila koja opisuju ponašanje računala u vezi s procesima ažuriranja. Odaberite pravilo "Postavi automatsko ažuriranje".
6. U prozoru postavki automatskog ažuriranja omogućite pravilo i odredite parametre. Prema zadanim postavkama bit će odabran način podešavanja br. 3 - automatsko preuzimanje i obavijest o instalaciji. U tom slučaju instalacija će se provesti tek nakon potvrde za ažuriranje. Također je moguće instalirati ažuriranja prema rasporedu. Nakon dovršetka postavki kliknite gumbe "Primijeni" i "Sljedeća postavka".
7. Sljedeći parametar bit će pravilo “Navedite lokaciju Microsoftove usluge ažuriranja na intranetu”, gdje morate navesti lokaciju usluge ažuriranja, kao i poslužitelj statistike (obično je to isti poslužitelj). Kliknite OK. U principu, to je dovoljno. Ali također možete fino podesiti proces ažuriranja. Nakon što pročitate ugrađene savjete za pravila, shvatit ćete što trebate.
8. Zatvorite dodatak

Sve... pravila stupaju na snagu odmah.

Općenito, računala domene možete konfigurirati na ovaj način. Ali ako je mrežni administrator već postavio te postavke na razini domene, gornja pravila se neće primjenjivati jer će ih nadjačati pravila grupe domena.

Postavljanje domenskih računala

Da biste konfigurirali domenska računala za ažuriranje s korporativnog WSUS poslužitelja, morate imati administratorska prava Windows domene.

Za konfiguraciju trebat će vam dodatak GPMC (Group Policy Management Console).

Na računalima sa sustavom Windows 7 bolje je instalirati snap-in s kompletom za daljinsku administraciju RSAT (postoji lokalizirana verzija). Nakon instaliranja Remote Administration Kita, ne zaboravite omogućiti potrebne kontrolne komponente (Upravljačka ploča - Programi i značajke - Uključivanje ili isključivanje Windows komponenti)

Morate učiniti sljedeće:
1. Pokrenite pomoću izbornika Start - Pokreni - GPMC.msc

2. Otvorite granu Domains – Domain_Name – Group Policy Objects i desnom tipkom miša odaberite izbornik „Create”
3. U polju “Name” navedite naziv novog objekta grupne politike (neka bude “WSUS Group Policy”), zatim OK
4. U desnom prozoru snap-ina pronađite naziv svog objekta i desnom tipkom miša kliknite izbornik "Uredi". Otvara se dodatak uređivača upravljanja pravilima grupe.
5. Zatim trebate slijediti iste korake kao što je opisano u prethodnom odjeljku.

Dakle, Group Policy Object (GPO) je stvoren, ali je stvoreni GPO još uvijek samo gola izjava. Kako bi instrukcija radila, trebate vezati ovaj GPO na odgovarajući Windows AD spremnik. Ona domenska računala koja se nalaze u ovom spremniku izvršit će ove upute (tj. ažuriranje). Ovaj spremnik može biti cijela domena, stranica ili odjel.
Koji spremnik odabrati ovisi o vama. Ali kriteriji su sljedeći:

-- Ako želite da sva računala u vašoj domeni budu ažurirana, povežite GPO s domenom
-- Ako želite ažurirati samo dio računala, na primjer, pojedinačne poslužitelje, napravite odjeljak u domeni, tamo postavite potrebne poslužitelje i povežite se na ovaj odjeljak
-- Ako vaša mreža ima nekoliko stranica u različitim gradovima, tada bi podmreže tih stranica trebale pripadati zasebnim stranicama. U ovom slučaju, kako se ne bi opterećivali komunikacijski kanali između web-mjesta, ima smisla instalirati vlastiti WSUS poslužitelj na svako web-mjesto i stvoriti zaseban GPO za svako web-mjesto koji upućuje posebno na njega. Ubuduće biste ih trebali povezati s odgovarajućim stranicama (pogledajte sliku u nastavku)

Sljedeći koraci opisuju postupak povezivanja GPO-ova koje ste izradili s odgovarajućim Windows AD spremnicima.

Recimo da odlučite ažurirati sva računala u domeni.

1. Zatim u prethodno otvorenom snap-inu “Group Policy Management” s lijeve strane prozora otvorite granu “Forest: Forest_Name – Domains – Domain_Name”
2. Desnom tipkom miša kliknite naziv svoje domene i odaberite izbornik "Poveži postojeći GPO...".
3. U prozoru “Select Group Policy Object” pronađite odgovarajući GPO, koji smo prethodno nazvali “WSUS Group Policy” i kliknite OK.

WMI filteri za GPO-ove

Smatram dobrom praksom ažuriranje operativnih sustava klijenta i poslužitelja pomoću zasebnih grupnih pravila domene. U ovom slučaju polazim od činjenice da:

- OS poslužitelja bolje je ažurirati ručno kao dio planiranog održavanja (u ovom slučaju oprez je sasvim primjeren);
- klijent OS Bolje je ažurirati se automatski. Njihovo ručno ažuriranje s velikom flotom računala vrlo je problematično, a korisnici to vjerojatno neće učiniti (čak i ako im se pokaže kako).

Što trebam učiniti?

Prvo, trebali biste, na primjer, stvoriti zasebne GPO-ove u dodatku GPMC.msc

Pravila grupe ServerOS WSUS
Politika grupe ClientOS WSUS

i konfigurirajte ih za ručni (automatsko preuzimanje i obavijest o instalaciji) odnosno automatski način ažuriranja OS-a.

Drugo, stvorite dva WMI filtra u istom snap-inu. Ti će filtri odrediti koji će od gore navedenih GPO-ova biti na snazi prilikom ažuriranja svakog računala na vašoj mreži.

Treće, možete povezati WMI filtre s odgovarajućim GPO-ovima, a oba ova GPO-a sada se mogu izravno povezati s domenom ili web-stranicom (kako želite).

Kako izraditi filtre

U već otvorenom GPMC snap-inu idite na granu Forest - Domene - _Domain_name_ - WMI filteri. Desnom tipkom miša kliknite "Stvori" za stvaranje filtra s nazivom OS poslužitelja i DC

Dodamo mu zahtjev u root\CIMv2 prostor

Pravila grupe ServerOS WSUS"raditi samo s računalima s poslužiteljskim OS Windows (uključujući kontrolere domene).

Na sličan način izradite filtar s imenom Klijentski OS-ovi

Dodajte mu zahtjev u root\CIMv2

Ovaj filtar će omogućiti GPO pod nazivom " Politika grupe ClientOS WSUS"raditi samo s računalima koja koriste Windows klijent OS, bez obzira na verziju (Windows 2000 pro, Windows XP, Vista, Windows 7 i Windows 8)

Filteri su spremni.

Kao što smo već napisali, trebate povezati GPO Pravila grupe ServerOS WSUS I Politika grupe ClientOS WSUS s odgovarajućim filterima. Na primjer, to se može učiniti na sljedeći način: u grani “Group Policy Objects” odaberite željeni GPO, zatim u donjem desnom kutu “WMI Filter” odaberite željeni filtar s padajućeg popisa.

Dakle, sada će se klijentska računala domene automatski ažurirati, a poslužitelji će poslušno čekati vašu pozornost.

Ovo dovršava postavljanje.

Kako provjeriti rezultat?

Kao rezultat svih gore navedenih radnji, očekujemo početak ažuriranja onog dijela domenskih računala koji bi, po našem mišljenju, trebali podlijegati konfiguriranoj politici.

Prvo, u zapisnicima dodatka WSUS Server Management možete pogledati sve unose o statusu klijenata automatskog ažuriranja.

Drugo, možete provjeriti primjenjuje li se konfigurirana politika na WSUS klijente. Otvorite Upravljačku ploču - Windows Update i provjerite pojavljuje li se sljedeća poruka na desnoj strani prozora Update Center: "Kontrolira administrator sustava" (za Windows 7/Vista/2008/2008R2) Ako to nije slučaj, politika nije na snazi.

Ali to ne znači da ste negdje pogriješili. Računalo možda još nije ažuriralo svoje postavke s kontrolera domene.

To je zbog činjenice da se grupna pravila na računalima u domeni ne primjenjuju odmah (GP ažuriranja na lokalnoj mreži događaju se prema zadanim postavkama u intervalima od 15 minuta, a replikacija između stranica događa se još rjeđe)
Stoga možete jednostavno pričekati ili ažurirati pravila grupe na računalima s naredbom

WSUS klijentsko računalo ne izvodi potrebne usluge (kao što su Windows Update i Group Policy Client, itd.)

GPO nije radio za pojedinačna računala. U ovom slučaju, morat ćete se pozabaviti svakim zasebno. Preporučujem simulaciju učinka pravila grupe na problematična računala pomoću istog dodatka GPMC.msc. To će vam omogućiti da provjerite je li kreirani GPO primijenjen na računalo koje se analizira. Nažalost, rješavanje problema s pravilima grupe Windows AD je izvan opsega ovog posta.

Pa, i najvažnije... zapis WSUS klijenta je ovdje --> c:\Windows\WindowsUpdate.log

Windows poslužitelj Ažuriraj Usluge (WSUS) je usluga ažuriranja koja administratorima omogućuje centralno upravljanje implementacijom zakrpa i sigurnosnih ažuriranja za Microsoftove proizvode (Operacijski sustavi Widows, Office, SQL Server, Exchange itd.) na računalima i poslužiteljima u korporativnoj mreži. Prisjetimo se ukratko kako radi WSUS: WSUS poslužitelj je predviđen za sinkronizaciju s Microsoftovim poslužiteljem za ažuriranje na Internetu i preuzimanje novih ažuriranja za odabrane proizvode. Administrator WSUS-a odabire koja ažuriranja treba instalirati na radne stanice i poslužitelje tvrtke. WSUS klijenti preuzimaju i instaliraju potrebna ažuriranja s korporativnog poslužitelja ažuriranja u skladu s konfiguriranim pravilima. Korištenje vlastitog WSUS poslužitelja za ažuriranje omogućuje vam uštedu internetskog prometa i fleksibilnije upravljanje instalacijom ažuriranja u vašoj tvrtki.

Microsoft nudi i druge načine instaliranja ažuriranja na svoje proizvode, na primjer, SCCM 2007/2012. Međutim, za razliku od mnogih drugih proizvoda, WSUS poslužitelj je potpuno besplatan (zapravo, usluga ažuriranja u SCCM - SUP Software Update Point također se temelji na WSUS-u).

Prije izdanja Windows Servera 2012, posljednja trenutna verzija Microsoftovog poslužitelja za ažuriranje bila je WindowsposlužiteljAžurirajUsluge3.0 SP2 - WSUS 3.2, koji ne podržava moderni OS (). Uz izlazak nove poslužiteljske platforme, Microsoft je predstavio i novu verziju WSUS 6.0 (što je čudno, jer bi se logično ova verzija trebala zvati WSUS 4.0...).

U osnovi, ništa se nije promijenilo u novoj verziji WSUS-a u sustavu Windows Server 2012R2 / 2016. Imajte na umu da se instalacijski paket WSUS sada ne može preuzeti zasebno s Microsoftove web stranice; on je integriran u distribuciju Windows Servera i instaliran kao zasebna uloga poslužitelja. Osim toga, WSUS 6.0 uveo je mogućnost upravljanja instalacijom ažuriranja pomoću PowerShell-a.

U ovom ćemo članku pogledati osnovna pitanja instaliranja i konfiguriranja WSUS poslužitelja temeljenog na Windows Server 2012 R2 / Windows Server 2016.

Instaliranje WSUS uloge na Windows Server 2012 R2/2016

Još u sustavu Windows Server 2008, usluga WSUS bila je dodijeljena kao zasebna uloga koja se mogla instalirati putem konzole za upravljanje poslužiteljem. Ova se točka nije promijenila u sustavu Windows Server 2012 / R2. Otvorite konzolu i označite ulogu WindowsposlužiteljAžurirajUsluge(sustav će automatski odabrati i ponuditi instalaciju potrebnih komponenti IIS web poslužitelja).

Windows Server 2012 R2 podržava sljedeće vrste SQL baza podataka za WSUS poslužitelj:

Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 u izdanjima Enterprise / Standard / Express;
Microsoft SQL Server 2012 Enterprise/Standard/Express Edition.

Sukladno tome, možete koristiti ugrađeni Windows WID (Windows Internal database), koji je besplatan i ne zahtijeva dodatno licenciranje. Ili možete koristiti namjensku lokalnu ili udaljenu (na drugom poslužitelju) bazu podataka SQL Servera za pohranu WSUS podataka.

Poziva se zadana WID baza SUSDB.mdf i pohranjeni u imeniku windir%\šir\podaci\. Ova baza podataka podržava samo Windows autentifikaciju (ne SQL). Poziva se interna (WID) instanca baze podataka za WSUS poslužitelj_Ime\Microsoft##WID. WSUS baza podataka pohranjuje postavke poslužitelja ažuriranja, metapodatke ažuriranja i informacije klijenta WSUS poslužitelja.

Interna baza podataka sustava Windows preporučuje se ako:

Organizacija nema i ne planira kupiti licence za SQL Server;
Nema planova za korištenje uravnoteženja opterećenja na WSUS-u (NLB WSUS);
Ako planirate postaviti podređeni WSUS poslužitelj (na primjer, u poslovnicama). U tom slučaju preporuča se korištenje ugrađene WSUS baze podataka na sekundarnim poslužiteljima.

WID bazom podataka može se upravljati putem SQL Server Management Studio (SSMS) navođenjem \\.\pipe\MICROSOFT##WID\tsql\query u nizu veze.

Imajte na umu da u besplatnim izdanjima SQL Servera 2008/2012 Express postoji ograničenje maksimalne veličine baze podataka – 10 GB. Najvjerojatnije ovo ograničenje neće biti dostignuto (na primjer, veličina WSUS baze podataka za 2500 klijenata je oko 3 GB). Ograničenje unutarnje baze podataka sustava Windows je 524 GB.

U slučaju instaliranja WSUS uloge i poslužitelja baze podataka na različite poslužitelje, postoje brojna ograničenja:

SQL poslužitelj s WSUS bazom podataka ne može biti kontroler domene;
WSUS poslužitelj ne može istovremeno biti terminalski poslužitelj s ulogom Remote Desktop Services;

Ako planirate koristiti ugrađenu bazu podataka (ovo je visoko preporučena i izvediva opcija čak i za velike infrastrukture), označite opciju Baza podataka.

Zatim morate odrediti direktorij u koji će biti pohranjene datoteke ažuriranja (preporuča se da odabrani disk ima najmanje 10 GB slobodnog prostora).

Veličina WSUS baze podataka uvelike varira ovisno o broju proizvoda i operativnih sustava Windows koje planirate nadograditi. U velikoj organizaciji, veličina datoteka ažuriranja na WSUS poslužitelju može doseći stotine GB. Na primjer, moj direktorij s ažuriranjima WSUS-a zauzima oko 400 GB (ažuriranja za Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 i 2016, SQL Server 2008/2012/2016 su pohranjeno) . Imajte to na umu kada planirate gdje ćete staviti svoje WSUS datoteke.

Ako ste prethodno odabrali korištenje zasebne namjenske SQL baze podataka, morate navesti naziv DBMS poslužitelja, DB instance i provjeriti vezu.

Također možete instalirati WSUS poslužitelj s internom bazom podataka pomoću sljedeće naredbe PowerShell:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

Početno postavljanje WSUS poslužitelja za ažuriranje na Windows Server 2012 R2 / 2016

Prvi put kada pokrenete WSUS konzolu, automatski će se pokrenuti Čarobnjak za konfiguraciju poslužitelja ažuriranja. Pogledajmo osnovne korake postavljanja WSUS poslužitelja pomoću čarobnjaka.

Odredite hoće li WSUS poslužitelj izravno preuzimati ažuriranja s web-mjesta Microsoft Update ili ih treba preuzimati s uzvodnog WSUS poslužitelja (obično se ova opcija koristi u velikim mrežama za konfiguriranje WSUS poslužitelja velikog regionalnog odjela, koji preuzima ažuriranja s WSUS-a središnjeg ureda čime se značajno smanjuje opterećenje komunikacijskih kanala između središnjeg ureda i poslovnice).

Ako sam vaš WSUS poslužitelj mora preuzimati ažuriranja s poslužitelja Windows Update, a internetu pristupate preko proxy poslužitelja, morate navesti adresu proxy poslužitelja, port i prijavu/lozinku za autorizaciju na njemu.

Zatim morate odabrati jezike za koje će WSUS preuzimati ažuriranja. Naznačit ćemo Engleski I ruski(popis jezika se može promijeniti kasnije iz WSUS konzole).

Zatim navodi popis proizvoda za koje WSUS treba preuzeti ažuriranja. Morate odabrati sve Microsoftove proizvode koji se koriste na vašoj poslovnoj mreži. Imajte na umu da sva ažuriranja zauzimaju dodatni prostor na disku, stoga ne biste trebali označavati dodatne proizvode. Ako ste potpuno sigurni da na vašoj mreži nema računala sa sustavom Windows XP ili Windows 7, nemojte odabrati ove opcije. Tako ćete uštedjeti značajan prostor na disku WSUS poslužitelja.

Na stranici KlasifikacijaStranica, trebate navesti vrste ažuriranja koja će se distribuirati putem WSUS-a. Preporuča se navesti: Kritična ažuriranja, Ažuriranja definicija, Sigurnosni paketi, Servisni paketi, Skupna ažuriranja, Ažuriranja.

Ažuriranja izdanja sustava Windows 10 (verzije) (1709, 1803, 1809 itd.) na WSUS konzoli uključena su u klasu Nadogradnje.

Zatim morate odrediti raspored za sinkronizaciju ažuriranja - preporučuje se korištenje automatske dnevne sinkronizacije WSUS poslužitelja s Microsoft Update poslužiteljima. Ima smisla izvršiti sinkronizaciju noću kako ne biste opterećivali pristupni kanal Internetu tijekom radnog vremena.

Početna sinkronizacija WSUS poslužitelja s uzvodnim poslužiteljem za ažuriranje može potrajati nekoliko dana, ovisno o broju proizvoda koje ste prethodno odabrali i brzini vašeg pristupa internetu.

Nakon što čarobnjak završi, pokrenut će se WSUS konzola.

Za poboljšanje performansi WSUS poslužitelja na Windows Serveru, preporuča se isključiti sljedeće mape iz opsega antivirusnog skeniranja:

\WSUS\WSUSContent;
%windir%\wid\podaci;
\SoftwareDistribution\Preuzimanje.

Klijenti sada mogu primati ažuriranja povezivanjem s WSUS poslužiteljem na portu 8530 (port 80 koristi se prema zadanim postavkama u sustavima Windows Server 2003 i 2008). S velikim brojem računala (više od 1500), performanse skupa IIS WsusPoll, koji distribuira ažuriranja klijenata, mogu se prilagoditi prema.

Kako biste mogli pregledavati izvješća o instaliranim ažuriranjima na WSUS poslužitelju, morate instalirati dodatne komponente Microsoft Report Viewer 2008 SP1 Redistributable (ili noviji), koje se mogu besplatno preuzeti s Microsoft web stranice.

U drugim člancima ćemo pogledati daljnju konfiguraciju WSUS poslužitelja na Windows Server 2012 R2 / 2016, te značajke i.

Opisan je postupak instalacije ove mrežne usluge. Ovaj post opisuje postupak postavljanja računala za ažuriranje s WSUS poslužitelja koji su vam dostupni.