Подробное описание работы wsus. Развертывание и использование WSUS сервера

20.07.2019 Телевизоры (Smart TV)

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Операционная система: Windows Server 2003 SP1 и выше.

Дополнительные роли сервера: IIS 6.0 и выше

Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.

Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7).

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт»

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» (рис. 9)

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс – установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети ]. Копируете адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13)

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры » при «Состояние: Любой» (рис. 15).

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe , которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow ). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow ).

Господа, удачных вам обновлений!

Васильев Денис

Описывался процесс установки этой сетевой службы. В данном посте описан процесс настройки компьютеров на обновление с доступных вам серверов WSUS.

Настройка компьютеров рабочей группы или отдельно стоящих серверов

Для настройки компьютеров в данном случае потребуется оснастка «Редактор объекта групповой политики». Чтобы ее открыть, сделайте следующее:

1. Открыть меню «Пуск» - Выполнить. В строке «открыть» – набрать «mmc» - далее ОК
2. В консоли MMC открыть меню Файл – Добавить или удалить оснастку…
3. Выбрать оснастку «Редактор объектов групповой политики» - Готово – ОК
4. Мы хотим создать правило для обновления ОС компьютера. Поэтому в правой части редактора в кусте «Конфигурация компьютера» открываем ветку Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows
5. В правой части окна редактора вы увидите правила, описывающие поведение компьютеров, касающиеся процессов обновления. Выберите правило «Настройка автоматического обновления».
6. В окне настройки автоматического обновления включите правило и укажите параметры. По умолчанию будет выбран режим настройки №3 – автоматическая загрузка и уведомление об установке. В этом случае установка будет производиться только после подтверждения на обновление. Возможна так же установка обновлений по расписанию. Выполнив настройки, нажмите кнопки «Применить» и «Следующий параметр»
7. Следующим параметром будет правило «Указать размещение службы обновлений Майкрософт в интрасети», где необходимо указать расположение службы обновлений, а так же сервер статистики (обычно это один и тот же сервер). Нажмите кнопку ОК.В принципе, этого достаточно. Но можно сделать и более тонкую настройку процесса обновления. Почитав встроенные подсказки к правилам, вы поймете, что вам нужно.
8. Закрыть оснастку

Все… правила начнут действовать сразу.

Вообще, таким образом можно настраивать и доменные компьютеры. Но если администратор сети сделал уже эти настройки на уровне домена, то вышеуказанные правила действовать не будут, поскольку будут перекрыты доменными групповыми политиками.

Настройка компьютеров домена

Для настройки компьютеров домена на обновление с корпоративного сервера WSUS необходимо иметь права администратора домена Windows.

Для настройки вам потребуется оснастка GPMC (Group Policy Management Console - Оснастка Управления Групповой Политикой).

На компьютерах с ОС Windows 7 оснастку лучше установить с комплектом удаленного администрирования RSAT (есть локализованная версия). После установки комплекта удаленного администрирования, не забудьте включить нужные компоненты управления (Панель управления - Программы и компоненты - Включение или отключение компонентов Windows)

Необходимо сделать следующее:
1. Запустить с помощью меню Пуск - Выполнить - GPMC.msc

2. Открыть ветку Домены – Имя_Домена – Объекты групповой политики и правой кнопкой мыши выбрать меню «Создать»
3. В поле «Имя» указать имя нового объекта групповой политики (пусть это будет “WSUS Group Policy”), далее - ОК
4. В правом окне оснастки найдите имя вашего объекта и правой кнопкой выберите меню «Изменить». Откроется оснастка «Редактор управления групповыми политиками»
5. Далее, необходимо выполнить те же самые шаги, что описаны в предыдущем разделе.

Итак, объект групповой политики (GPO) создан, но созданный GPO пока является лишь голой инструкцией. Для того, чтобы инструкция заработала, необходимо сделать привязку этой GPO к соответствующему контейнеру Windows AD. Именно те компьютеры домена, которые находятся в этом контейнере, будут выполнять эти инструкции (т.е. обновляться). Таким контейнером может быть весь домен, сайт или подразделение.
Какой контейнер выбрать – решать вам. Но критерии следующие:

-- Если вы хотите, чтобы обновлялись все компьютеры вашего домена – привязывайте GPO к домену
-- Если вы хотите обновлять только часть компьютеров, например отдельные серверы – создайте подразделение в домене, поместите туда нужные сервера и сделайте привязку к этому подразделению
-- Если ваша сеть имеет несколько площадок в разных городах, то по-хорошему подсети этих площадок должны принадлежать отдельным сайтам. В этом случае, чтобы не нагружать каналы связи между площадками, на каждом сайте имеет смысл установить свой сервер WSUS и создать для каждого отдельный GPO, указывающий именно на него. В дальнейшем, следует сделать привязки их к соответствующим сайтам (см. рисунок ниже)

Дальнейшие шаги описывают процесс привязки созданных вами объектов групповых политик к соответствующим контейнерам Windows AD.

Допустим, вы решили обновлять все компьютеры домена.

1. Тогда в открытой ранее оснастке «Управление групповой политикой» в левой части окна откройте ветку «Лес: Имя_Леса – Домены – Имя_домена»
2. Правой кнопкой мыши на имени вашего домена выбрать меню «Связать существующий объект групповой политики…»
3. В окне «Выбор объекта групповой политики» найти соответствующий GPO, который мы ранее назвали «WSUS Group Policy» и нажать ОК.

Фильтры WMI для GPO

Считаю хорошей практикой обновлять клиентские и серверные ОС с помощью отдельных групповых политик домена. В данном случае я исхожу из того, что:

- серверные ОС лучше обновлять вручную в рамках плановых регламентных работ (в этом случае осторожность вполне уместна);
- клиентские ОС лучше обновлять автоматически. Обновлять их вручную при большом парке компьютеров весьма проблематично, а пользователи это делать вряд ли будут (даже если им показать как).

Что для этого нужно сделать?

Во-первых, в оснастке GPMC.msc следует создать раздельные GPO, например

ServerOS WSUS Group Policy
ClientOS WSUS Group Policy

и настроить их на ручной (автоматическая загрузка и уведомление об установке) и автоматический режимы обновления ОС соответственно.

Во-вторых, в той же оснастке создать два WMI-фильтра. Именно эти фильтры и будут определять, которая из выше указанных GPO будет действовать при обновлении каждого компьютера вашей сети.

В третьих, связать фильтры WMI с соответствующими GPO, а обе эти GPO уже можно будет связать прямо с доменом или сайтом (как вам будет угодно).

Как создать фильтры

В уже открытой оснастке GPMC идем по ветке Лес -- Домены -- _Имя_домена_ -- Фильтры WMI. Правой кнопкой "Создать" создаем фильтр с именем Server OS"s and DC

Добавляем в него запрос в пространство root\CIMv2

ServerOS WSUS Group Policy " работать только с компьютерами под управлением серверных OS Windows (в том числе, с контроллерами домена).

Аналогично создаем фильтр с именем Client OS"s

Добавляем в него запрос в root\CIMv2

Этот фильтр позволит GPO с именем "ClientOS WSUS Group Policy " работать только с компьютерами под управлением клиентских OS Windows независимо от версии (Windows 2000 pro, Windows XP, Vista, Windows 7 и Windows 8)

Фильтры готовы.

Как мы уже писали, нужно связать GPO ServerOS WSUS Group Policy и ClientOS WSUS Group Policy с соответствующими фильтрами. Например, это можно сделать следующим образом: в ветке "Объекты групповой политики" выбрать нужный GPO, далее справа внизу "Фильтр WMI" выбрать нужный фильтр из выпадающего списка.

Итак, теперь клиентские компьютеры домена будут обновляться автоматически, а сервера будут покорно ждать вашего внимания.

На этом настройка закончена.

Как проверить результат?

В результате всех вышеуказанных действий, мы ожидаем начала обновления той части компьютров домена, на которые, по нашему мнению, должна распространяться настроенная политика.

Во-первых, можно посмотреть в журналах оснастки управления сервером WSUS появление записей о состоянии клиентов автоматического обновления.

Во-вторых, можно убедиться, что настроенная политика действует на клиентов WSUS. Откройте Панель управления - Центр обновления Windows, и убедитесь, что в правой части окна Центра обновления появилась надпись: "Контролирует системный администратор" (для Windows 7/Vista/2008/2008R2) Если этого нет - политика не действует.

Но это еще не значит, что вы где то допустили ошибку. Возможно, компьютер еще не обновил свои настройки с контроллера домена.

Это связано с тем, что групповые политики на компьютерах домена применяются не моментально (обновление GP в локальной сети идет по умолчанию с интервалом 15 минут, а межсайтовая репликация происходит еще реже)
Поэтому, можно просто подождать или выполнить обновление групповых политик на компьютерах командой

На компьютере-клиенте WSUS не запущены необходимые службы (такие, как Центр обновления Windows и Клиент групповой политики и т.д.)

Не отработал GPO для отдельных компьютеров. В этом случае прийдется разбираться с каждым отдельно. Рекомендую смоделировать действие групповой политики для проблеммных компьютеров с помощью той же оснастки GPMC.msc. Это позволит убедится, применился ли созданный GPO для анализируемого компьютера. К сожалению, траблешутинг Group Policy Windows AD выходит за рамки этого поста.

Ну и самое главное... лог WSUS-клиента вот тут --> c:\Windows\WindowsUpdate.log

Windows Server Update Services (WSUS ) - это служба обновлений, позволяющая администраторам централизованно управлять расстановкой патчей и обновлений безопасностей для продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в корпоративной сети. Вкратце напомним, как работает WSUS: сервер WSUS по расписанию синхронизируется с сервером обновлений Microsoft в Интернете и выкачивает новые обновления для выбранных продуктов. Администратор WSUS выбирает какие обновления необходимо установить на рабочие станции и сервера компании. Клиенты WSUS скачивают и устанавливают требуемые обновления с корпоративного сервера обновлений согласно настроенным политикам. Использование собственного сервера обновлений WSUS позволяет экономить интернет трафик и более гибко управлять установкой обновлений в компании.

Компания Microsoft предлагает и другие средства установки обновлений на свои продукты, например, SCCM 2007/2012. Однако в отличии от многих других продуктов, сервер WSUS является абсолютно бесплатным (на самом деле служба обновлений в SCCM – SUP Software Update Point также основана на WSUS).

До выхода Windows Server 2012 последней актуальной версией сервера обновлений Microsoft был Windows Server Update Services 3.0 SP 2 - WSUS 3.2, который не поддерживает современные ОС (). Вместе с выходом новой серверной платформы, Microsoft презентовала и новую версию WSUS 6.0 (что странно, ведь по логике эта версия должна носить имя WSUS 4.0…).

Принципиально в новой версии WSUS в Windows Server 2012R2 / 2016 практически ничего не изменилось. Отметим, что теперь установочный пакет WSUS нельзя скачать отдельно с сайта Microsoft, он интегрирован в дистрибутив Windows Server и устанавливается в виде отдельной роли сервера. Кроме того, во WSUS 6.0 появилась возможность управления установкой обновлений с помощью PowerShell.

В этой статье мы рассмотрим базовые вопросы установки и настройки сервера WSUS на базе Windows Server 2012 R2 / Windows Server 2016.

Установка роли WSUS на Windows Server 2012 R2 / 2016

Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2012 / R2 этот момент не поменялся. Откройте консоль и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).

В Windows Server 2012 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:

Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в редакциях Enterprise / Standard / Express Edition;
Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.

Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.

База WID по умолчанию называется SUSDB .mdf и хранится в каталоге windir %\wid \data \. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server _name \Microsoft ##WID . В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.

Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:

Организация не имеет и не планирует покупать лицензии на SQL Server;
Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
Если планируется развернуть дочерний сервер WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.

Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \\.\pipe\MICROSOFT##WID\tsql\query.

Отметим, что в бесплатных редакциях SQL Server 2008/2012 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.

В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:

SQL сервер с БД WSUS не может быть контроллером домена;
Сервер WSUS не может быть одновременно сервером терминалов с ролью Remote Desktop Services;

Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию Database .

Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).

Размер базы данных WSUS сильно зависит от количества продуктов и ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб. Например, у меня каталог с обновлениями WSUS занимает около 400 Гб (хранятся обновления для Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2/ 2016, Exchange 2013, Office 2010 и 2016, SQL Server 2008/2012/2016). Имейте это в виду, планируя место для размещения файлов WSUS.

В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.

Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

Начальная настройка сервера обновлений WSUS в Windows Server 2012 R2 / 2016

При первом запуске консоли WSUS автоматически запустится мастер настройки сервера обновлений. Рассмотрим основные шаги настройки сервера WSUS с помощью мастера.

Укажите, будет ли сервер WSUS брать обновления с сайта Microsoft Update напрямую или он должен качать его с вышестоящего WSUS сервера (обычно этот вариант используется в крупных сетях для настройки WSUS сервера большого регионального подразделения, который берет обновления с WSUS центрального офиса, чем существенно снижается нагрузка на каналы связи между центральным офисом и филиалом).

Если ваш сервер WSUS сам должен загружать обновления с серверов Windows Update, и доступ в Интернет у вас осуществляется через прокси-сервер, вы должны указать адрес прокси сервера, порт и логин/пароль для авторизации на нем.

Затем необходимо выбрать языки, для которых WSUS будет скачивать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).

Затем указывается список продуктов, для которых WSUS должен скачивать обновления. Необходимо выбрать все продукты Microsoft, которые используются в Вашей корпоративной сети. Имейте в виду, что все обновления занимают дополнительное место на диске, поэтому лишние продукты отмечать не следует. Если вы точно уверены, что в вашей сети не осталось компьютеров с Windows XP или Windows 7, не выбирайте эти опции. Тем самым вы сэкономите существенно место на диске WSUS сервера.

На странице Classification Page , нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.

Обновления редакций (билдов) Windows 10 (1709, 1803, 1809 и т.д.) в консоли WSUS входят в класс Upgrades.

Далее необходимо указать расписание синхронизации обновлений – рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Имеет смысл выполнять синхронизацию в ночные часы, чтобы не загружать канал доступа в Интернет в рабочее время.

Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занят несколько дней, в зависимости от количества продуктов, которое вы выбрали ранее и скорости доступа в Интернет.

После окончания работы мастер запустится консоль WSUS.

С целью повышения производительности сервера WSUS на Windows Server рекомендуется исключить следующие папки из области проверки антивируса:

\WSUS\WSUSContent;
%windir%\wid\data;
\SoftwareDistribution\Download.

Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). При большом количестве компьютеров (более 1500) производительность пула IIS WsusPoll, который раздает обновления клиентов, можно отрегулировать согласно .

Для возможности просмотра отчетов по установленным обновлениям на сервере WSUS нужно установить дополнительный компоненты Microsoft Report Viewer 2008 SP1 Redistributable (или выше), который можно свободно скачать с сайта Microsoft.

В других статьях мы рассмотрим дальнейшую настройку сервера WSUS на Windows Server 2012 R2 / 2016, и , особенности и .