Descrizione dettagliata dell'operazione wsus. Distribuzione e utilizzo di un server WSUS

20.07.2019 Televisori (Smart TV)

L'installazione di aggiornamenti e patch è una parte molto importante del mantenimento della sicurezza. Per tutti i professionisti della sicurezza delle informazioni, un'esigenza fondamentale è monitorare, analizzare e correggere le vulnerabilità del software. Microsoft offre l'opportunità gratuita di utilizzare il servizio di aggiornamento dei propri prodotti software durante l'intero periodo di supporto del prodotto software. Gli aggiornamenti necessari sono disponibili via Internet per tutti gli utenti di prodotti software.

L'applicazione degli aggiornamenti all'ambiente aziendale richiede meccanismi di gestione aggiuntivi. Microsoft offre di utilizzare in ambiente aziendale un potente prodotto gratuito Windows Server Update Services (WSUS), che consente di risparmiare traffico su Internet, gestire centralmente gli aggiornamenti per server e workstation.

Questo articolo esaminerà l'esperienza di installazione e manutenzione di WSUS in un ambiente aziendale, che consentirà ai neofiti di evitare una serie di insidie.

Installazione di WSUS

All'interno di Windows Server 2008, è presente il ruolo del server Windows Server Update Services (Figura 1).

Per Windows Server 2003, i seguenti requisiti di sistema per l'installazione di WSUS 3.0 SP1:

Sistema operativo: Windows Server 2003 SP1 o successivo.

Ruoli server aggiuntivi: IIS 6.0 e versioni successive

Aggiornamenti aggiuntivi del sistema operativo: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

Programmi aggiuntivi: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS può installare Windows Internal Database).

Nonostante il servizio non sia praticamente impegnativo per il processore e la RAM, richiede una discreta quantità di spazio su disco. Preferibilmente 40 GB o più. In definitiva, la quantità di spazio su disco utilizzata dipenderà dal numero di prodotti che devono essere aggiornati e dal numero di aggiornamenti richiesti nell'infrastruttura.

Se durante l'installazione il server non soddisfa i requisiti di sistema, verrà visualizzata una finestra di avviso che descriverà ciò che deve essere installato (Fig. 2).

Configurazione del server WSUS

Per il normale funzionamento del server, è necessario specificare un numero di parametri che vengono eseguiti utilizzando la "Configurazione guidata di Windows Server Update Services"

Nella finestra "Seleziona un server upstream" è necessario specificare la voce "Sincronizza con Microsoft Update" (Fig. 3).

Quando si applica un server proxy ad un ambiente aziendale, nella finestra "Impostazioni server proxy" è necessario specificare l'indirizzo IP, il numero di porta ei parametri di autenticazione sul server proxy (Fig. 4).

Nella finestra "Seleziona lingue" devi selezionare la voce "Scarica aggiornamenti solo nelle seguenti lingue" assicurati di selezionare "Inglese". La scelta delle altre lingue va fatta in base ai sistemi installati in azienda, di solito aggiungono anche "russo" (Fig. 5). Non è necessario selezionare "Scarica aggiornamenti in tutte le lingue, comprese quelle nuove", poiché ciò aumenterà il numero di aggiornamenti archiviati nello spazio su disco.

Nella finestra "Seleziona prodotti" è necessario specificare i prodotti installati all'interno dell'ambiente aziendale. ATTENZIONE! Non installare mai tutti i prodotti, poiché ciò potrebbe aumentare le dimensioni degli aggiornamenti archiviati e gli aggiornamenti non verranno utilizzati. È necessario selezionare metodicamente e coerentemente solo quei prodotti che vengono utilizzati all'interno dell'ambiente aziendale (Fig. 6).

Nella finestra "Seleziona classi", è necessario specificare solo le classi che richiedono aggiornamenti. Poiché specificare classi non necessarie aumenta notevolmente la dimensione degli aggiornamenti memorizzati (Fig. 7).

Nella finestra "Impostazioni del programma di sincronizzazione", è necessario selezionare l'ora di sincronizzazione (Fig. 8). Come parte di WSUS, la sincronizzazione non comporta il download degli aggiornamenti. In questo caso, la sincronizzazione aggiornerà solo le informazioni dal server Microsoft Update "

Dopo la prima sincronizzazione, è necessario aprire la console WSUS e selezionare Opzioni. In "Opzioni" apri la voce "File e aggiorna lingue" (Fig. 9)

Nella scheda "File di aggiornamento" della finestra "File di aggiornamento e lingue", è necessario specificare come verranno archiviati i file di aggiornamento. Poiché vogliamo ridurre le dimensioni del traffico Internet, dobbiamo selezionare "Salva i file di aggiornamento localmente su questo server" e OBBLIGATORIO! selezionare le voci "scarica i file di aggiornamento sul server solo dopo l'approvazione dell'aggiornamento" e "Scarica i file di installazione rapida" (Fig. 10). La voce "Carica i file di aggiornamento sul server solo dopo l'approvazione dell'aggiornamento" è necessaria, poiché per impostazione predefinita il server scaricherà TUTTI gli aggiornamenti che ritiene necessari per i prodotti selezionati. Tuttavia, poiché molti aggiornamenti si accumulano nel Service Pack nel tempo, molto probabilmente non saranno necessari e occuperanno spazio su disco.

Dopo tutte le impostazioni, è necessario aggiungere computer a WSUS.

Aggiunta di computer a WSUS

Se si dispone di un dominio, è sufficiente registrare il servizio WSUS nella relativa policy di gruppo e selezionare le regole per l'aggiornamento dei computer.

Questo viene fatto come segue " Start - Strumenti di amministrazione - Gestione criteri di gruppo". Selezioniamo il criterio che opera nel dominio (per impostazione predefinita, il Criterio di gruppo predefinito). Fare clic con il tasto destro e selezionare "Cambia".

Nell'"Editor gestione criteri di gruppo" vai a " Configurazione computer - Criteri - Modelli amministrativi - Componenti di Windows - Windows Update". Selezioniamo la voce "Specificare la posizione del servizio di aggiornamento nella Intranet" (Fig. 11)

Nella finestra "Proprietà: specificare la posizione del servizio di aggiornamento nella Intranet", specificare il parametro "Abilitato" e nella riga "Specificare il servizio di aggiornamento sulla rete Intranet per la ricerca degli aggiornamenti" scrivere una riga del tipo: http: // [ indirizzo IP o nome DNS del server di aggiornamento sulla rete]. Copiare l'indirizzo nella finestra "Specificare il server delle statistiche sulla intranet" (Fig. 12). All'interno dell'Editor criteri di gruppo, sono presenti suggerimenti nella finestra delle spiegazioni (Figura 12).

È inoltre necessario definire una politica di aggiornamento. Ciò avviene tramite la voce "Configurazione aggiornamenti automatici" (Fig. 13)

Nella finestra "Proprietà: Configura aggiornamenti automatici", specificare il parametro "Abilitato" e i parametri "Configura aggiornamenti automatici", "Installazione pianificata - giorno", "Installazione pianificata - ora". Nella finestra "Spiegazione" è presente la descrizione di tutti i parametri per i server ed è consigliabile impostare il parametro "2 - notifiche su download e installazione", che consentirà agli amministratori di scegliere quando installare gli aggiornamenti sul server (Fig. 14).

Se l'infrastruttura contiene postazioni di lavoro che non fanno parte del dominio (ad esempio postazioni mobili), ma è richiesto il servizio di aggiornamento per queste postazioni, allora è possibile specificare tale servizio nella "Politica di sicurezza locale".

Nella riga di comando, digita gpedit.msc ed esegui le stesse operazioni descritte sopra per i criteri di gruppo nel dominio.

Dopo un po', il computer apparirà nella " Computer - Tutti i computer - Computer non assegnati Stato "A": Qualsiasi "(Fig. 15).

Gestione aggiornamenti

Per vedere e approvare gli aggiornamenti necessari, seleziona le seguenti voci di filtro in "Aggiornamenti - Tutti gli aggiornamenti": "Approvazione: Non approvato" e Stato: Richiesto "e fai clic su" Aggiorna "(Fig. 16). ATTENZIONE! per verificare la presenza di aggiornamenti necessari, assicurati sempre che le impostazioni del filtro siano nelle posizioni "Approvato: Non approvato" e Stato: Richiesto", altrimenti rischi di scaricare gli aggiornamenti che non ti servono, o di non scaricarli affatto. Se il filtro in "Approvazione: Non approvato" e Stato: Impostazioni richieste ha mostrato un campo vuoto, allora tutti gli aggiornamenti necessari per i computer sono già stati approvati e si trovano sul server.

Dopo l'approvazione, gli aggiornamenti appariranno sul computer dopo qualche tempo secondo le regole configurate nella politica di sicurezza.

Molto spesso è necessario che un computer controlli gli aggiornamenti sul server di aggiornamento. Per questo c'è un programma wuauclt.exe che viene lanciato tramite la riga di comando. Per verificare la presenza di aggiornamenti, deve essere eseguito con la chiave / rileva ora (wuauclt.exe / detectnow). Per inviare un report di stato (molto spesso necessario quando ci si connette al server di aggiornamento per la prima volta), è necessario eseguire con il tasto / segnala ora (wuauclt.exe / reportnow).

Signori, felici aggiornamenti!

Vasiliev Denis

È stato descritto il processo di installazione per questo servizio di rete. Questo post descrive il processo di configurazione dei computer per l'aggiornamento dai server WSUS a tua disposizione.

Configurazione di computer per gruppi di lavoro o server autonomi

Per configurare i computer in questo caso, è necessario lo snap-in Editor oggetti Criteri di gruppo. Per aprirlo, procedi come segue:

1. Aprire il menu "Start" - Esegui. Nella riga "apri" - digita "mmc" - quindi OK
2. Nella MMC, aprire il menu File - Aggiungi o rimuovi snap-in...
3. Selezionare lo snap-in "Editor oggetti Criteri di gruppo" - Fine - OK
4. Vogliamo creare una regola per aggiornare il sistema operativo del computer. Pertanto, sul lato destro dell'editor, nell'hive Configurazione computer, aprire il ramo Criteri - Modelli amministrativi - Componenti di Windows - Windows Update
5. Nella parte destra della finestra dell'editor, vedrai le regole che descrivono il comportamento dei computer riguardo ai processi di aggiornamento. Seleziona la regola "Configura aggiornamenti automatici".
6. Nella finestra delle impostazioni di aggiornamento automatico, abilitare la regola e specificare i parametri. Per impostazione predefinita, verrà selezionata la modalità di installazione n. 3 - download automatico e notifica di installazione. In questo caso, l'installazione verrà eseguita solo dopo la conferma dell'aggiornamento. È anche possibile installare gli aggiornamenti in base a una pianificazione. Dopo aver completato le impostazioni, fare clic sui pulsanti "Applica" e "Parametro successivo"
7. Il parametro successivo sarà la regola "Specifica la posizione del servizio di aggiornamento Microsoft sulla intranet", dove è necessario specificare la posizione del servizio di aggiornamento, nonché il server delle statistiche (di solito lo stesso server). Fare clic su OK e basta. Ma puoi anche mettere a punto il processo di aggiornamento. Dopo aver letto i suggerimenti per le regole integrate, capirai di cosa hai bisogno.
8. Chiudi lo snap

Tutto... le regole entreranno in vigore immediatamente.

In generale, i computer del dominio possono essere configurati in questo modo. Ma se l'amministratore di rete ha già effettuato queste impostazioni a livello di dominio, le regole di cui sopra non verranno applicate, poiché verranno sovrascritte dai criteri del gruppo di dominio.

Configurazione dei computer di dominio

Per configurare i computer del dominio per l'aggiornamento da un server WSUS aziendale, è necessario disporre dei diritti di amministratore del dominio Windows.

Per la configurazione, è necessario lo snap-in GPMC (Console Gestione Criteri di gruppo).

Sui computer che eseguono Windows 7, è meglio installare lo snap-in con il kit di amministrazione remota RSAT (è disponibile una versione localizzata). Dopo aver installato il kit di amministrazione remota, non dimenticare di abilitare i componenti di controllo necessari (Pannello di controllo - Programmi e funzionalità - Attiva o disattiva le funzionalità di Windows)

Devi fare quanto segue:
1. Esegui utilizzando il menu Start - Esegui - GPMC.msc

2. Aprire il ramo Domini - Nome_Dominio - Oggetti Criteri di gruppo e fare clic con il pulsante destro del mouse sul menu "Nuovo"
3. Nel campo "Nome", specificare il nome del nuovo oggetto criteri di gruppo (lascia che sia "Criteri di gruppo WSUS"), quindi - OK
4. Nella finestra di destra dello snap-in trova il nome del tuo oggetto e fai clic con il pulsante destro del mouse sul menu "Cambia". Si apre lo snap-in Editor gestione criteri di gruppo
5. Successivamente, è necessario seguire gli stessi passaggi descritti nella sezione precedente.

Quindi, l'oggetto Criteri di gruppo (GPO) è stato creato, ma finora l'oggetto Criteri di gruppo creato è solo una guida nuda. Affinché l'istruzione funzioni, è necessario associare questo oggetto Criteri di gruppo al contenitore Windows AD appropriato. Sono quei computer nel dominio che si trovano in questo contenitore che seguiranno queste istruzioni (ovvero l'aggiornamento). Questo contenitore può essere un intero dominio, sito o unità organizzativa.
Quale contenitore scegliere dipende da te. Ma i criteri sono i seguenti:

- Se desideri che tutti i computer del tuo dominio vengano aggiornati, associa l'oggetto Criteri di gruppo al dominio
- Se si desidera aggiornare solo una parte dei computer, ad esempio singoli server, creare un'unità organizzativa nel dominio, posizionare lì i server necessari e associare a questa unità organizzativa
- Se la tua rete ha diversi siti in città diverse, in modo amichevole le sottoreti di questi siti dovrebbero appartenere a siti separati. In questo caso, per non caricare i canali di comunicazione tra i siti, ha senso installare il proprio server WSUS su ciascun sito e creare un GPO separato per ciascuno, che punti ad esso. In futuro, dovresti farli associare ai siti corrispondenti (vedi la figura sotto)

I passaggi successivi descrivono il processo di collegamento degli oggetti Criteri di gruppo creati ai contenitori Windows AD appropriati.

Supponiamo che tu decida di aggiornare tutti i computer nel dominio.

1. Quindi nello snap-in "Gestione criteri di gruppo" precedentemente aperto nella parte sinistra della finestra, aprire il ramo "Foresta: Nome_foresta - Domini - Nome_dominio"
2. Fai clic con il pulsante destro del mouse sul nome del tuo dominio, seleziona il menu "Collega un oggetto Criteri di gruppo esistente ..."
3. Nella finestra "Seleziona oggetto Criteri di gruppo", trova l'oggetto Criteri di gruppo appropriato, precedentemente denominato "Criteri di gruppo WSUS" e fai clic su OK.

Filtri WMI per GPO

Considero una buona pratica aggiornare i sistemi operativi client e server utilizzando criteri di gruppo di domini separati. In questo caso, parto dal fatto che:

- sistema operativo del serverè meglio aggiornare manualmente come parte della manutenzione programmata (in questo caso, la cautela è del tutto appropriata);
- sistema operativo client meglio aggiornare automaticamente. Aggiornarli manualmente con una vasta flotta di computer è molto problematico ed è improbabile che gli utenti lo facciano (anche se viene mostrato come).

Cosa devo fare?

Innanzitutto, è necessario creare oggetti Criteri di gruppo separati nello snap-in GPMC.msc, ad esempio

Criteri di gruppo di ServerOS WSUS
Criteri di gruppo ClientOS WSUS

e configurarli rispettivamente per le modalità di aggiornamento del sistema operativo manuale (download automatico e notifica di installazione) e automatico.

In secondo luogo, creare due filtri WMI nello stesso snap-in. Sono questi filtri che determineranno quale dei suddetti oggetti Criteri di gruppo sarà attivo durante l'aggiornamento di ciascun computer sulla rete.

Terzo, collega i filtri WMI all'oggetto Criteri di gruppo corrispondente ed entrambi questi oggetti Criteri di gruppo possono già essere collegati direttamente al dominio o al sito (come preferisci).

Come creare filtri

Nello snap-in GPMC già aperto, vai al ramo Foresta - Domini - _Nome_dominio_ - Filtri WMI. Fare clic con il pulsante destro del mouse su "Crea" per creare un filtro denominato Sistemi operativi server e DC

Aggiungi una richiesta nello spazio root \ CIMv2

Criteri di gruppo di ServerOS WSUS"funziona solo con computer che eseguono il sistema operativo del server Windows (inclusi i controller di dominio).

Allo stesso modo, crea un filtro chiamato Sistema operativo client "s

Aggiungi una richiesta in root \ CIMv2

Questo filtro consentirà un oggetto Criteri di gruppo denominato " Criteri di gruppo ClientOS WSUS"funziona solo con computer che eseguono il sistema operativo client Windows indipendentemente dalla versione (Windows 2000 pro, Windows XP, Vista, Windows 7 e Windows 8)

I filtri sono pronti.

Come abbiamo già scritto, devi collegare il GPO Criteri di gruppo di ServerOS WSUS e Criteri di gruppo ClientOS WSUS con filtri appropriati. Ad esempio, questo può essere fatto come segue: nel ramo "Oggetti Criteri di gruppo", selezionare l'oggetto Criteri di gruppo desiderato, quindi in basso a destra "Filtro WMI" selezionare il filtro desiderato dall'elenco a discesa.

Quindi, ora i computer client del dominio verranno aggiornati automaticamente e i server attenderanno doverosamente la tua attenzione.

Questo completa la configurazione.

Come posso verificare il risultato?

A seguito di tutte le azioni di cui sopra, siamo in attesa dell'inizio dell'aggiornamento di quella parte dei computer del dominio che, a nostro avviso, dovrebbe essere coperta dalla policy configurata.

Innanzitutto, è possibile visualizzare i registri dello snap-in WSUS Server Management per l'aspetto dei record di stato per i client di Aggiornamenti automatici.

In secondo luogo, è possibile verificare che la policy configurata sia effettiva sui client WSUS. Aprire il Pannello di controllo - Windows Update e assicurarsi che sul lato destro della finestra di aggiornamento appaia la seguente scritta: "Controlli dell'amministratore di sistema" (per Windows 7/Vista/2008/2008R2) In caso contrario, il la politica non funziona

Ma questo non significa che hai commesso un errore da qualche parte. Il computer potrebbe non aver ancora aggiornato le sue impostazioni dal controller di dominio.

Ciò è dovuto al fatto che i criteri di gruppo sui computer del dominio non vengono applicati istantaneamente (gli aggiornamenti GP sulla rete locale sono per impostazione predefinita ogni 15 minuti e la replica tra siti si verifica anche meno frequentemente)
Pertanto, puoi semplicemente attendere o aggiornare i criteri di gruppo sui computer con il comando

I servizi richiesti (come Windows Update e Group Policy Client, ecc.) non sono in esecuzione sul computer client WSUS

L'oggetto Criteri di gruppo non funzionava per i singoli computer. In questo caso, dovrai occuparti di ciascuno separatamente. Consiglio di simulare l'azione di Criteri di gruppo per i computer problematici utilizzando lo stesso snap-in GPMC.msc. Ciò assicurerà che l'oggetto Criteri di gruppo creato sia stato applicato al computer analizzato. Sfortunatamente, la risoluzione dei problemi di Criteri di gruppo di Windows AD esula dallo scopo di questo post.

Bene, e soprattutto ... il registro del client WSUS è qui -> c: \ Windows \ WindowsUpdate.log

finestre server Aggiornare Servizi (WSUS) è un servizio di aggiornamento che consente agli amministratori di gestire centralmente la distribuzione di patch e aggiornamenti di sicurezza per i prodotti Microsoft (sistemi operativi Windows, Office, SQL Server, Exchange, ecc.) su computer e server in una rete aziendale. In poche parole, come funziona WSUS: il server WSUS è programmato per sincronizzarsi con il server di aggiornamento Microsoft su Internet e scaricare nuovi aggiornamenti per i prodotti selezionati. L'amministratore WSUS sceglie quali aggiornamenti devono essere installati sulle workstation e sui server dell'azienda. I client WSUS scaricano e installano gli aggiornamenti richiesti dal server di aggiornamento aziendale in base ai criteri configurati. L'utilizzo del proprio server di aggiornamento WSUS consente di risparmiare traffico Internet e di gestire in modo più flessibile l'installazione degli aggiornamenti in azienda.

Microsoft offre altri mezzi per installare gli aggiornamenti ai suoi prodotti, come SCCM 2007/2012. Tuttavia, a differenza di molti altri prodotti, WSUS è completamente gratuito (infatti anche il servizio di aggiornamento in SCCM - SUP Software Update Point è basato su WSUS).

Prima del rilascio di Windows Server 2012, l'ultima versione aggiornata del server di aggiornamento di Microsoft era finestreserverAggiornareServizi3.0 SP2 - WSUS 3.2, che non supporta il sistema operativo moderno (). Insieme al rilascio di una nuova piattaforma server, Microsoft ha presentato anche una nuova versione WSUS 6.0 (il che è strano, perché, logicamente, questa versione dovrebbe chiamarsi WSUS 4.0...).

Fondamentalmente, nella nuova versione di WSUS in Windows Server 2012R2 / 2016, praticamente non è cambiato nulla. Si noti che ora il pacchetto di installazione di WSUS non può essere scaricato separatamente dal sito Web Microsoft, è integrato nella distribuzione di Windows Server ed è installato come ruolo del server separato. Inoltre, WSUS 6.0 introduce la possibilità di gestire l'installazione degli aggiornamenti tramite PowerShell.

In questo articolo, ti illustreremo le basi dell'installazione e della configurazione di un server WSUS basato su Windows Server 2012 R2 / Windows Server 2016.

Installazione del ruolo WSUS su Windows Server 2012 R2 / 2016

In Windows Server 2008, WSUS era separato in un ruolo separato che poteva essere installato tramite la console di gestione del server. Questo punto non è cambiato in Windows Server 2012/R2. Apri la tua console e segna il ruolo finestreserverAggiornareServizi(il sistema selezionerà automaticamente e proporrà di installare i componenti necessari del server web IIS).

I seguenti tipi di database SQL per WSUS Server sono supportati in Windows Server 2012 R2:

Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 nelle edizioni Enterprise / Standard / Express;
Microsoft SQL Server 2012 Edizione Enterprise / Standard / Express.

Di conseguenza, è possibile utilizzare il database interno di Windows (database interno di Windows), che è gratuito e non richiede licenze aggiuntive. In alternativa, è possibile utilizzare un database dedicato locale o remoto (su un server diverso) su SQL Server per archiviare i dati WSUS.

Il WID predefinito è denominato SUSDB.mdf ed è memorizzato nella directory vento% \ larghezza\ dati\. Questo database supporta solo l'autenticazione di Windows (non SQL). Viene chiamata l'istanza del database interno (WID) per WSUS server_nome\ Microsoft## WID... Il database WSUS archivia le impostazioni del server di aggiornamento, i metadati di aggiornamento e le informazioni sul client del server WSUS.

Si consiglia di utilizzare il database interno di Windows se:

L'organizzazione non possiede né prevede di acquistare licenze di SQL Server;
Non è previsto l'utilizzo del bilanciamento del carico su WSUS (NLB WSUS);
Se prevedi di distribuire un server WSUS figlio (ad esempio, nelle filiali). In questo caso, si consiglia di utilizzare il WSUS integrato sui server secondari.

Il database WID può essere amministrato tramite SQL Server Management Studio (SSMS) specificando \\.\Pipe \ MICROSOFT ## WID \ tsql \ query nella stringa di connessione.

Si noti che nelle edizioni gratuite di SQL Server 2008/2012 Express è previsto un limite alla dimensione massima del database: 10 GB. Molto probabilmente, questo limite non verrà raggiunto (ad esempio, la dimensione del database WSUS per 2500 client è di circa 3 GB). Il limite del database interno di Windows è 524 GB.

In caso di installazione del ruolo WSUS e del server di database su server diversi, esistono una serie di restrizioni:

Il server SQL con database WSUS non può essere un controller di dominio;
Il server WSUS non può essere un server terminal con il ruolo di Servizi Desktop remoto contemporaneamente;

Se prevedi di utilizzare il database integrato (questa è un'opzione completamente consigliata e praticabile anche per grandi infrastrutture), seleziona l'opzione Banca dati.

Quindi è necessario specificare la directory in cui verranno archiviati i file di aggiornamento (si consiglia che il disco selezionato abbia almeno 10 GB di spazio libero).

La dimensione del database WSUS dipende fortemente dal numero di prodotti e dal sistema operativo Windows che si intende aggiornare. In un'organizzazione di grandi dimensioni, i file di aggiornamento sul server WSUS possono avere una dimensione massima di centinaia di GB. Ad esempio, il mio catalogo con aggiornamenti WSUS richiede circa 400 GB (gli aggiornamenti vengono archiviati per Windows 7, 8.1, 10, Windows Server 2008 R2, 2012/R2 / 2016, Exchange 2013, Office 2010 e 2016, SQL Server 2008/2012/2016 ) ... Tienilo a mente quando pianifichi dove ospitare i tuoi file WSUS.

Se in precedenza hai scelto di utilizzare un database SQL dedicato separato, devi specificare il nome del server DBMS, dell'istanza database e verificare la connessione.

Puoi anche installare un server WSUS con un database interno utilizzando il seguente comando PowerShell:

Install-WindowsFeature -Name Updateservices, UpdateServices-WidDB, UpdateServices-services –IncludeManagementTools

Configurazione iniziale del server di aggiornamento WSUS su Windows Server 2012 R2 / 2016

Quando si avvia la console WSUS per la prima volta, la configurazione guidata del server di aggiornamento si avvia automaticamente. Esaminiamo i passaggi di base della configurazione di un server WSUS utilizzando la procedura guidata.

Specificare se il server WSUS riceverà gli aggiornamenti direttamente dal sito Microsoft Update o se deve scaricarli da un server WSUS upstream (questa opzione viene solitamente utilizzata nelle reti di grandi dimensioni per configurare un server WSUS per una grande divisione regionale che riceve gli aggiornamenti dal WSUS centrale ufficio, che riduce notevolmente il carico per i canali di comunicazione tra la sede centrale e la filiale).

Se il tuo server WSUS stesso deve scaricare gli aggiornamenti dai server Windows Update e hai accesso a Internet tramite un server proxy, devi specificare l'indirizzo del server proxy, la porta e login/password per l'autorizzazione.

Quindi è necessario selezionare le lingue per le quali WSUS scaricherà gli aggiornamenti. noi indicheremo inglese e inglese(l'elenco delle lingue può essere ulteriormente modificato dalla console WSUS).

Quindi specifica un elenco di prodotti per i quali WSUS dovrebbe scaricare gli aggiornamenti. È necessario selezionare tutti i prodotti Microsoft utilizzati nella rete aziendale. Tieni presente che tutti gli aggiornamenti occupano spazio su disco aggiuntivo, quindi non dovresti controllare i prodotti in eccesso. Se sei sicuro che non ci siano più computer Windows XP o Windows 7 sulla tua rete, non selezionare queste opzioni. Pertanto, risparmierai spazio su disco significativo sul server WSUS.

Sulla pagina ClassificazionePagina, è necessario specificare i tipi di aggiornamenti che verranno distribuiti tramite WSUS. Si consiglia di specificare: Aggiornamenti critici, Aggiornamenti delle definizioni, Security Pack, Service Pack, Aggiornamenti cumulativi, Aggiornamenti.

Gli aggiornamenti delle edizioni (build) di Windows 10 (1709, 1803, 1809 e così via) nella console WSUS sono inclusi nella classe Aggiornamenti.

Successivamente, è necessario specificare la pianificazione della sincronizzazione degli aggiornamenti: si consiglia di utilizzare la sincronizzazione giornaliera automatica del server WSUS con i server di aggiornamento di Microsoft Update. Ha senso eseguire la sincronizzazione di notte per non caricare il canale di accesso a Internet durante l'orario di lavoro.

La sincronizzazione iniziale del server WSUS con il server di aggiornamento upstream può richiedere diversi giorni, a seconda del numero di prodotti selezionati in precedenza e della velocità della connessione Internet.

Al termine, la procedura guidata avvierà la console WSUS.

Per migliorare le prestazioni del server WSUS su Windows Server, si consiglia di escludere le seguenti cartelle dall'ambito della scansione antivirus:

\ WSUS \ WSUSContent;
% windir% \ wid \ data;
\ SoftwareDistribution \ Scarica.

I client possono ora ricevere gli aggiornamenti connettendosi al server WSUS sulla porta 8530 (in Windows Server 2003 e 2008, l'impostazione predefinita è la porta 80). Se è presente un numero elevato di computer (più di 1500), è possibile regolare le prestazioni del pool IIS WsusPoll, che distribuisce gli aggiornamenti client.

Per visualizzare i report sugli aggiornamenti installati sul server WSUS, è necessario installare componenti aggiuntivi Microsoft Report Viewer 2008 SP1 Redistributable (o versioni successive), che possono essere scaricati gratuitamente dal sito Web di Microsoft.

In altri articoli, esamineremo ulteriormente la configurazione del server WSUS su Windows Server 2012 R2 / 2016, e, soprattutto, e.

È stato descritto il processo di installazione per questo servizio di rete. Questo post descrive il processo di configurazione dei computer per l'aggiornamento dai server WSUS a tua disposizione.