Përshkrimi i detajuar se si funksionon wsus. Vendosja dhe përdorimi i një serveri WSUS

20.07.2019 TV (Smart TV)

Instalimi i përditësimeve dhe arnimeve është një komponent shumë i rëndësishëm sigurie. Për të gjithë profesionistët e sigurisë së informacionit, nevoja kryesore është monitorimi, analizimi dhe eliminimi i dobësive të softuerit. Microsoft ofron një mundësi falas për të përdorur shërbimin e përditësimit për produktet e tij softuerike gjatë gjithë periudhës së mbështetjes për produktin softuerik. Përditësimet e nevojshme janë të disponueshme nëpërmjet internetit për të gjithë përdoruesit e produkteve softuerike.

Zbatimi i përditësimeve në një mjedis të korporatës kërkon kontrolle shtesë. Microsoft ofron përdorimin e produktit të fuqishëm falas Windows Server Update Services (WSUS) në një mjedis të korporatës, i cili ju lejon të kurseni trafikun në internet, të menaxhoni në mënyrë qendrore përditësimet për serverët dhe stacionet e punës.

Ky artikull do të diskutojë përvojën e instalimit dhe mirëmbajtjes së WSUS në një mjedis korporativ, i cili do t'i lejojë fillestarët të shmangin një sërë "grackash".

Instalimi i WSUS

Brenda sistemit operativ Windows Server 2008, ekziston roli i serverit të Windows Server Update Services (Figura 1).

Për Windows Server 2003, këto janë kërkesat e sistemit për instalimin e WSUS 3.0 SP1:

Sistemi operativ: Windows Server 2003 SP1 dhe më lart.

Rolet shtesë të serverit: IIS 6.0 dhe më i lartë

Përditësimet shtesë të OS: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

Programe shtesë: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS është në gjendje të instalojë shërbimin e bazës së të dhënave të brendshme të Windows).

Përkundër faktit se shërbimi praktikisht nuk është kërkues për procesorin dhe RAM-in, ai ka nevojë për një pjesë të drejtë të hapësirës në disk. Preferohet 40 GB ose më shumë. Në fund të fundit, sasia e hapësirës së konsumuar në disk do të varet nga numri i produkteve që duhet të përditësohen dhe numri i përditësimeve të nevojshme të infrastrukturës.

Nëse gjatë instalimit serveri nuk i plotëson kërkesat e sistemit, do të shfaqet një dritare paralajmëruese, e cila do të përshkruajë se çfarë duhet të instalohet (Fig. 2).

Konfigurimi i serverit WSUS

Për funksionimin normal të serverit, duhet të specifikoni një numër parametrash që kryhen duke përdorur "Windows Server Update Services Configuration Wizard"

Në dritaren "Zgjidhni një server në rrjedhën e sipërme", duhet të zgjidhni artikullin "Sinkronizimi me Microsoft Update" (Fig. 3).

Kur aplikoni një server proxy në një mjedis të korporatës, në dritaren "Cilësimet e serverit proxy", duhet të specifikoni adresën IP, numrin e portit dhe cilësimet e vërtetimit në serverin proxy (Fig. 4).

Në dritaren "Zgjidh gjuhët", duhet të zgjidhni artikullin "Shkarko përditësimet vetëm në gjuhët e mëposhtme", sigurohuni që të zgjidhni "Anglisht". Zgjedhja e gjuhëve të tjera duhet të bëhet në bazë të sistemeve të instaluara në kompani, zakonisht shtohet edhe "rusishtja" (Fig. 5). Nuk ka nevojë të zgjidhni "Shkarko përditësimet në të gjitha gjuhët, duke përfshirë ato të reja", pasi kjo do të rrisë numrin e përditësimeve të ruajtura në hapësirën e diskut.

Në dritaren "Zgjidh produktet", duhet të specifikoni produktet e instaluara brenda mjedisit të korporatës. KUJDES! Asnjëherë mos i instaloni të gjitha produktet, pasi kjo mund të rrisë madhësinë e përditësimeve të ruajtura dhe përditësimet nuk do të përdoren. Është e nevojshme që në mënyrë metodike dhe konsistente të zgjidhen vetëm ato produkte që përdoren në mjedisin e korporatës (Fig. 6).

Në dritaren "Zgjidh klasat", duhet të specifikoni vetëm ato klasa që kërkojnë përditësime. Meqenëse treguesi i klasave shtesë rrit shumë madhësinë e përditësimeve të ruajtura (Fig. 7).

Në dritaren "Cilësimi i orarit të sinkronizimit" duhet të zgjidhni kohën e sinkronizimit (Fig. 8). Brenda WSUS, sinkronizimi nuk përfshin shkarkimin e përditësimeve. Në këtë rast, sinkronizimi do të përditësojë vetëm informacionin nga serveri i Microsoft Update"

Pas sinkronizimit të parë, duhet të hapni tastierën WSUS dhe të zgjidhni Opsionet. Në "Cilësimet" hapni artikullin "Përditësoni skedarët dhe gjuhët" (Fig. 9)

Në skedën "Përditëso skedarët" të dritares "Përditëso skedarët dhe gjuhët", duhet të specifikoni se si do të ruhen skedarët e përditësimit. Meqenëse duam të zvogëlojmë sasinë e trafikut të Internetit, është e nevojshme të zgjidhni "Ruaj skedarët e përditësimit lokalisht në këtë server" dhe DUHET! zgjidhni artikujt "Shkarko skedarët e përditësimit në server vetëm pasi të miratohet përditësimi" dhe "Shkarko skedarët e instalimit të shpejtë" (Fig. 10). Artikulli "Ngarko skedarët e përditësimit në server vetëm pasi të miratohet përditësimi" është i nevojshëm, sepse si parazgjedhje serveri do të shkarkojë TË GJITHA përditësimet që i konsideron të nevojshme për produktet e zgjedhura. Sidoqoftë, meqenëse me kalimin e kohës grumbullohen kaq shumë përditësime në Paketën e Shërbimit, ka shumë të ngjarë që ato nuk do të nevojiten dhe do të zënë hapësirë në disk.

Pas të gjitha cilësimeve, duhet të shtoni kompjuterë në shërbimin WSUS.

Shtimi i kompjuterëve në WSUS

Nëse keni një domen, atëherë mjafton të regjistroni shërbimin WSUS në politikën e tij të grupit dhe të zgjidhni rregullat për përditësimin e kompjuterëve.

Kjo bëhet në mënyrën e mëposhtme " Fillimi - Mjetet Administrative - Menaxhimi i Politikave të Grupit". Ne zgjedhim politikën që funksionon në domen (Default Group Policy by default). Klikoni me të djathtën dhe zgjidhni "Ndrysho".

Në dritaren "Redaktori i menaxhimit të politikave të grupit", shkoni te " Konfigurimi i kompjuterit - Politikat - Modelet administrative - Komponentët e Windows - Përditësimi i Windows". Zgjidhni artikullin " Specifikoni vendndodhjen e shërbimit të përditësimit në Intranet" (Fig. 11)

Në dritaren "Properties: Specifikoni vendndodhjen e shërbimit të përditësimit në intranet", specifikoni parametrin "Enabled" dhe në rreshtin "Specifikoni shërbimin e përditësimit në intranet për të kërkuar përditësime" shkruani një rresht si kjo: http:/ / [ adresa ip ose emri DNS i serverit të përditësimit në rrjet]. Kopjo adresën në dritaren “Specify the statistics server on intranet” (Fig. 12). Brenda Redaktorit të Politikave të Grupit, ka sugjerime në dritaren e shpjegimit (Figura 12).

Ju gjithashtu duhet të përcaktoni një politikë përditësimi. Kjo bëhet përmes artikullit "Konfigurimi i përditësimeve automatike" (Fig. 13)

Në dritaren "Properties: Automatic Updates Settings", specifikoni opsionin "Enabled" dhe parametrat "Automatic Updates Settings", "Cscheduled Installation - day", "Cscheduled installing - time". Në dritaren "Shpjegimi" ka një përshkrim të të gjithë parametrave për serverët dhe është e dëshirueshme të vendoset parametri "2 - njoftimet për shkarkim dhe instalim", i cili do t'i lejojë administratorët të zgjedhin se kur të instalohen përditësimet në serverë (Fig. 14).

Nëse brenda infrastrukturës ka punë që nuk janë pjesë e domenit (për shembull, punë në celular), por kërkohet shërbimi i përditësimit për këto punë, atëherë është e mundur të specifikoni këtë shërbim në "Politikën e Sigurisë Lokale".

Në vijën e komandës, ne shkruajmë gpedit.msc dhe bëjmë të njëjtat operacione që u përshkruan më lart për politikën e grupit në domen.

Pas një kohe, kompjuteri do të shfaqet në dritare " Kompjuterët - Të gjithë kompjuterët - Kompjuterët e pacaktuar» me «Status: Çdo» (Fig. 15).

Menaxhimi i përditësimeve

Për të parë dhe miratuar përditësimet e nevojshme, duhet të zgjidhni artikujt e mëposhtëm të filtrit në "Përditësimet - Të gjitha përditësimet": "Aprovimi: I pamiratuar" dhe Statusi: Kërkohet" dhe klikoni "Përditëso" (Fig. 16). KUJDES! për të kontrolluar përditësimet e nevojshme, sigurohuni gjithmonë që cilësimet e filtrit të jenë vendosur në "Miratuar: I pamiratuar" dhe Statusi: Kërkohet, përndryshe rrezikoni të shkarkoni përditësime që nuk ju nevojiten ose të mos i shkarkoni fare. Nëse filtri në cilësimet "Aprovimi: i pamiratuar" dhe statusi: i kërkuar" tregoi një fushë bosh, atëherë të gjitha përditësimet e nevojshme për kompjuterët tashmë janë miratuar dhe janë në server.

Pas miratimit, përditësimet do të shfaqen në kompjuter pas disa kohësh sipas rregullave të konfiguruara në politikën e sigurisë.

Shumë shpesh, ekziston nevoja për të detyruar një kontroll për përditësime në serverin e përditësimit nga kompjuteri. Ekziston një program për këtë. wuauclt.exe, i cili drejtohet përmes vijës së komandës. Për të kontrolluar për përditësime, duhet të ekzekutohet me çelës /zbuloj tani (wuauclt.exe /detectnow). Për të dërguar një raport statusi (shpesh i nevojshëm kur lidheni me serverin e përditësimit për herë të parë), duhet të ekzekutoni me çelësin /raporto tani (wuauclt.exe /reportnow).

Zotërinj, fat të mirë me përditësimet tuaja!

Vasiliev Denis

Përshkruan mënyrën e instalimit të këtij shërbimi rrjeti. Ky postim përshkruan se si të konfiguroni kompjuterët që të përditësohen nga serverët WSUS të disponueshëm për ju.

Konfigurimi i kompjuterëve të grupit të punës ose i serverëve të pavarur

Për të konfiguruar kompjuterët në këtë rast, do t'ju duhet redaktuesi i objektit të politikës së grupit. Për ta hapur, bëni sa më poshtë:

1. Hapni menynë Start - Run. Në rreshtin "hapur" - shkruani "mmc" - pastaj OK
2. Në tastierën MMC, hapni menynë File - Shto ose hiq snap-in ...
3. Zgjidhni snap-in "Group Policy Object Editor" - U krye - OK
4. Ne duam të krijojmë një rregull për të përditësuar sistemin operativ të kompjuterit. Prandaj, në anën e djathtë të redaktuesit në kutinë "Konfigurimi i kompjuterit", hapni degën Politikat - Modelet Administrative - Përbërësit e Windows - Përditësimi i Windows
5. Në pjesën e djathtë të dritares së redaktorit, do të shihni rregullat që përshkruajnë sjelljen e kompjuterëve në lidhje me proceset e përditësimit. Zgjidhni rregullin "Konfiguro përditësimet automatike".
6. Në dritaren e cilësimeve të përditësimit automatik, aktivizoni rregullin dhe specifikoni cilësimet. Si parazgjedhje, do të zgjidhet mënyra e konfigurimit #3 - njoftimi automatik i shkarkimit dhe instalimit. Në këtë rast, instalimi do të kryhet vetëm pas konfirmimit për përditësimin. Mund të instalohen gjithashtu përditësime të planifikuara. Pasi të keni përfunduar cilësimet, klikoni butonat "Aplikoni" dhe "Opsioni tjetër".
7. Parametri tjetër do të jetë rregulli "Specifikoni vendndodhjen e shërbimit të përditësimit të Microsoft në intranet", ku duhet të specifikoni vendndodhjen e shërbimit të përditësimit, si dhe serverin e statistikave (zakonisht i njëjti server). Klikoni OK. Në parim, kjo është e mjaftueshme. Por gjithashtu mund të rregulloni mirë procesin e përditësimit. Pasi të keni lexuar sugjerimet e integruara për rregullat, do të kuptoni se çfarë ju nevojitet.
8. Mbyllni fotografimin

Të gjitha… rregullat do të hyjnë në fuqi menjëherë.

Në përgjithësi, kompjuterët e domenit gjithashtu mund të konfigurohen në këtë mënyrë. Por nëse administratori i rrjetit i ka bërë tashmë këto cilësime në nivelin e domenit, atëherë rregullat e mësipërme nuk do të funksionojnë, pasi ato do të anashkalohen nga politikat e grupit të domenit.

Vendosja e kompjuterëve të domenit

Për të konfiguruar kompjuterët e domenit që të përditësohen nga një server i korporatës WSUS, duhet të jeni një administrator domeni Windows.

Për ta konfiguruar, do t'ju duhet skedari i menaxhimit të politikave të grupit (GPMC).

Në kompjuterët që ekzekutojnë Windows 7, është më mirë të instaloni snap-in me kompletin e administrimit në distancë RSAT (ekziston një version i lokalizuar). Pas instalimit të kompletit të administrimit në distancë, mos harroni të aktivizoni komponentët e nevojshëm të menaxhimit (Paneli i kontrollit - Programet dhe veçoritë - Aktivizoni ose çaktivizoni veçoritë e Windows)

Ju duhet të bëni sa më poshtë:
1. Ekzekutoni duke përdorur menynë Start - Run - GPMC.msc

2. Hapni degën Domains - Domain_Name - Group Policy Objects dhe kliko me të djathtën në menunë "Krijo"
3. Në fushën "Emri", specifikoni emrin e GPO-së së re (le të jetë "WSUS Group Policy"), më pas OK
4. Në dritaren e djathtë të snap-in, gjeni emrin e objektit tuaj dhe kliko me të djathtën në menunë "Edit". Hapet skedari i redaktimit të menaxhimit të politikave të grupit.
5. Më pas, ndiqni të njëjtat hapa siç përshkruhet në seksionin e mëparshëm.

Pra, Objekti i Politikës së Grupit (GPO) është krijuar, por GPO i krijuar është vetëm një deklaratë e zhveshur deri më tani. Në mënyrë që udhëzimi të funksionojë, ju duhet ta lidhni këtë GPO me kontejnerin përkatës të Windows AD. Janë ata kompjuterë të domenit që janë në këtë kontejner që do të ekzekutojnë këto udhëzime (d.m.th. përditësimin). Ky kontejner mund të jetë një domen, sajt ose njësi organizative e tërë.
Cilin enë të zgjidhni varet nga ju. Por kriteret janë:

-- Nëse dëshironi që të gjithë kompjuterët në domenin tuaj të përditësohen, lidhni GPO-në me domenin
-- Nëse dëshironi të përditësoni vetëm një pjesë të kompjuterëve, për shembull, serverë individualë, krijoni një OU në domen, vendosni serverët e nevojshëm atje dhe lidheni me këtë OU
-- Nëse rrjeti juaj ka disa site në qytete të ndryshme, atëherë në një mënyrë të mirë nënrrjetat e këtyre faqeve duhet t'i përkasin sajteve të veçanta. Në këtë rast, për të mos ngarkuar kanalet e komunikimit midis sajteve, ka kuptim të instaloni serverin e tij WSUS në secilën faqe dhe të krijoni një GPO të veçantë për secilën që tregon drejt tij. Në të ardhmen, ju duhet t'i lidhni ato me faqet përkatëse (shih figurën më poshtë)

Hapat e mëposhtëm përshkruajnë procesin e lidhjes së GPO-ve që keni krijuar me kontejnerët e duhur të Windows AD.

Le të themi se keni vendosur të përditësoni të gjithë kompjuterët në domen.

1. Më pas, në skedarin e hapur më parë "Group Policy Management", në pjesën e majtë të dritares, hapni degën "Forest: Forest_Name - Domains - Domain_Name".
2. Klikoni me të djathtën mbi emrin e domenit tuaj, zgjidhni menynë "Lidhni një objekt ekzistues të politikës së grupit ..."
3. Në dritaren "Group Policy Object Selection", gjeni GPO-në e duhur, të cilën më parë e emërtuam "WSUS Group Policy" dhe klikoni OK.

Filtrat WMI për GPO

Unë e konsideroj një praktikë të mirë përditësimin e sistemeve operative të klientit dhe serverit duke përdorur politika të veçanta të grupeve të domenit. Në këtë rast, unë supozoj:

- OS serverështë më mirë të përditësoni manualisht si pjesë e punës së planifikuar të mirëmbajtjes (në këtë rast, kujdes është mjaft i përshtatshëm);
- OS klienti përditësoni më mirë automatikisht. Është shumë problematike t'i përditësoni ato manualisht me një flotë të madhe kompjuterësh, dhe përdoruesit nuk kanë gjasa ta bëjnë këtë (edhe nëse u tregohet se si).

Çfarë duhet të bëj?

Së pari, në snap-in GPMC.msc, për shembull, krijoni GPO të veçanta

Politika e Grupit ServerOS WSUS
Politika e Grupit ClientOS WSUS

dhe vendosini ato në modalitetin manual (një njoftim automatik i shkarkimit dhe instalimit) dhe në modalitetin automatik të përditësimit të OS, përkatësisht.

Së dyti, në të njëjtën snap-in, krijoni dy filtra WMI. Janë këta filtra që do të përcaktojnë se cili nga GPO-të e mësipërme do të veprojë kur përditësohet çdo kompjuter në rrjetin tuaj.

Së treti, lidhni filtrat WMI me GPO-të përkatëse dhe të dyja këto GPO tashmë mund të lidhen drejtpërdrejt me një domen ose sajt (sipas dëshirës).

Si të krijoni filtra

Në snap-in tashmë të hapur GPMC, shkoni te dega Forest - Domains - _Domain_Name_ - WMI Filters. Klikoni me të djathtën "Krijo" krijoni një filtër me emrin Server OS dhe DC

Shtoni një kërkesë në të në hapësirën rrënjë\CIMv2

Politika e Grupit ServerOS WSUS"punoni vetëm me kompjuterë që përdorin serverin OS Windows (përfshirë kontrolluesit e domenit).

Në mënyrë të ngjashme, ne krijojmë një filtër me emrin Sistemi operativ i klientit

Shtoni një kërkesë në të në root\CIMv2

Ky filtër do të lejojë një GPO të quajtur " Politika e Grupit ClientOS WSUS" Punoni vetëm me kompjuterë që përdorin OS klient Windows pavarësisht nga versioni (Windows 2000 pro, Windows XP, Vista, Windows 7 dhe Windows 8)

Filtrat janë gati.

Siç kemi shkruar tashmë, ju duhet të lidhni GPO Politika e Grupit ServerOS WSUS Dhe Politika e Grupit ClientOS WSUS me filtrat e duhur. Për shembull, kjo mund të bëhet si më poshtë: në degën "Objektet e politikës së grupit", zgjidhni GPO-në e dëshiruar, pastaj në fund djathtas "WMI Filter" zgjidhni filtrin e dëshiruar nga lista rënëse.

Pra, tani kompjuterët e klientëve të domenit do të përditësohen automatikisht dhe serverët do të presin me kujdes vëmendjen tuaj.

Kjo përfundon konfigurimin.

Si të kontrolloni rezultatin?

Si rezultat i të gjitha veprimeve të mësipërme, ne presim fillimin e përditësimit të pjesës së kompjuterëve në domen, i cili, sipas mendimit tonë, duhet të mbulohet nga politika e konfiguruar.

Së pari, mund të shikoni në regjistrat e skedarit të menaxhimit të serverit WSUS për të parë nëse ka të dhëna statusi për klientët e përditësimit automatik.

Së dyti, mund të verifikoni që politika e konfiguruar ka efekt tek klientët WSUS. Hapni panelin e kontrollit - Windows Update dhe sigurohuni që mesazhi i mëposhtëm të shfaqet në pjesën e djathtë të dritares së Qendrës së Përditësimit: "Kontrollohet nga administratori i sistemit" (për Windows 7/Vista/2008/2008R2) Nëse nuk është kështu , politika nuk funksionon.

Por kjo nuk do të thotë se keni bërë një gabim diku. Kompjuteri mund të mos i ketë përditësuar ende cilësimet e tij nga kontrolluesi i domenit.

Kjo për faktin se politikat e grupit në kompjuterët e domenit nuk zbatohen menjëherë (përditësimi i GP në rrjetin lokal ndodh si parazgjedhje në një interval prej 15 minutash, dhe përsëritja ndërfaqe ndodh edhe më rrallë)
Prandaj, thjesht mund të prisni ose përditësoni politikat e grupit në kompjuterë me komandën

Shërbimet e kërkuara nuk funksionojnë në kompjuterin e klientit WSUS (si p.sh. Windows Update dhe Group Policy Client, etj.)

Nuk e plotësoi GPO për kompjuterë të veçantë. Në këtë rast, do të duhet të merreni me secilën veç e veç. Unë rekomandoj simulimin e një veprimi të politikës së grupit për kompjuterët me probleme duke përdorur të njëjtin snap-in GPMC.msc. Kjo do të sigurojë që GPO e krijuar të jetë aplikuar në kompjuterin e analizuar. Fatkeqësisht, Zgjidhja e problemeve të Politikës së Grupit Windows AD është përtej qëllimit të këtij postimi.

Dhe më e rëndësishmja... regjistri i klientit WSUS është këtu --> c:\Windows\WindowsUpdate.log

Dritaret server përditësimi Shërbimet (WSUS) është një shërbim përditësimi që lejon administratorët të menaxhojnë në mënyrë qendrore shpërndarjen e arnimeve dhe përditësimeve të sigurisë për produktet e Microsoft (sistemet operative Widows, Office, SQL Server, Exchange, etj.) në kompjuterë dhe serverë në një rrjet të korporatës. Le të kujtojmë shkurtimisht se si funksionon WSUS: serveri WSUS është planifikuar të sinkronizohet me serverin e përditësimit të Microsoft në internet dhe të shkarkojë përditësime të reja për produktet e zgjedhura. Administratori i WSUS zgjedh se cilat përditësime do të instalohen në stacionet e punës dhe serverët e kompanisë. Klientët WSUS shkarkojnë dhe instalojnë përditësimet e kërkuara nga serveri i përditësimit të korporatës sipas politikave të konfiguruara. Përdorimi i serverit tuaj të përditësimit WSUS ju lejon të kurseni trafikun e internetit dhe të menaxhoni në mënyrë më fleksibël instalimin e përditësimeve në kompaninë tuaj.

Microsoft ofron mjete të tjera për instalimin e përditësimeve për produktet e tij, si SCCM 2007/2012. Sidoqoftë, ndryshe nga shumë produkte të tjera, serveri WSUS është plotësisht falas (në fakt, shërbimi i përditësimit në SCCM - SUP Software Update Point bazohet gjithashtu në WSUS).

Para lëshimit të Windows Server 2012, versioni më i fundit i përditësuar i serverit të përditësimit të Microsoft ishte DritaretserverpërditësimiShërbimet3.0SP2 - WSUS 3.2, i cili nuk mbështet sistemet operative moderne (). Së bashku me lëshimin e një platforme të re serveri, Microsoft prezantoi një version të ri WSUS 6.0 (që është e çuditshme, sepse logjikisht ky version duhet të quhet WSUS 4.0 ...).

Në thelb, asgjë nuk ka ndryshuar në versionin e ri të WSUS në Windows Server 2012R2 / 2016. Vini re se tani paketa e instalimit WSUS nuk mund të shkarkohet veçmas nga faqja e internetit e Microsoft, ajo është e integruar në shpërndarjen e Windows Server dhe instalohet si një rol i veçantë serveri. Përveç kësaj, WSUS 6.0 prezantoi aftësinë për të menaxhuar instalimet e përditësimeve duke përdorur PowerShell.

Në këtë artikull, ne do të mbulojmë çështjet themelore të instalimit dhe konfigurimit të një serveri WSUS bazuar në Windows Server 2012 R2 / Windows Server 2016.

Instalimi i rolit WSUS në Windows Server 2012 R2 / 2016

Në Windows Server 2008, shërbimi WSUS u nda në një rol të veçantë që mund të instalohej përmes tastierës së menaxhimit të serverit. Në Windows Server 2012 / R2, kjo pikë nuk ka ndryshuar. Hapni tastierën dhe shënoni rolin DritaretserverpërditësimiShërbimet(sistemi do të zgjedhë automatikisht dhe do të ofrojë instalimin e komponentëve të nevojshëm të serverit të internetit IIS).

Windows Server 2012 R2 mbështet llojet e mëposhtme të bazave të të dhënave SQL për një server WSUS:

Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 në Enterprise / Standard / Express Editions;
Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.

Në përputhje me rrethanat, mund të përdorni bazën e të dhënave të integruar të Windows WID (baza e të dhënave e brendshme e Windows), e cila është falas dhe nuk kërkon licencim shtesë. Ose mund të përdorni një bazë të dhënash të dedikuar lokale ose të largët (në një server tjetër) SQL Server për të ruajtur të dhënat WSUS.

Baza e paracaktuar WID quhet SUSDB.mdf dhe ruhet në drejtori windir%\wid\ të dhënat\. Kjo bazë të dhënash mbështet vetëm vërtetimin e Windows (jo SQL). Shembulli i brendshëm i bazës së të dhënave (WID) për WSUS është emërtuar server_emri\Microsoft##WID. Baza e të dhënave WSUS ruan cilësimet e përditësimit të serverit, përditësimin e meta të dhënave dhe informacionin e klientit për serverin WSUS.

Baza e të dhënave të brendshme të Windows rekomandohet nëse:

Organizata nuk ka dhe nuk planifikon të blejë licenca për SQL Server;
Nuk është planifikuar të përdoret balancimi i ngarkesës në WSUS (NLB WSUS);
Nëse planifikoni të vendosni një server fëmijësh WSUS (për shembull, në zyrat e degëve). Në këtë rast, rekomandohet përdorimi i bazës së të dhënave të integruar WSUS në serverët dytësorë.

Baza e të dhënave WID mund të administrohet përmes SQL Server Management Studio (SSMS) duke specifikuar \\.\pipe\MICROSOFT##WID\tsql\query në vargun e lidhjes.

Vini re se në botimet falas të SQL Server 2008/2012 Express, madhësia maksimale e bazës së të dhënave është e kufizuar në 10 GB. Me shumë mundësi, ky kufi nuk do të arrihet (për shembull, madhësia e bazës së të dhënave WSUS për 2500 klientë është rreth 3 GB). Kufiri i bazës së të dhënave të brendshme të Windows është 524 GB.

Në rastin e instalimit të rolit WSUS dhe serverit të bazës së të dhënave në serverë të ndryshëm, ekzistojnë një sërë kufizimesh:

Serveri SQL me bazën e të dhënave WSUS nuk mund të jetë një kontrollues domeni;
Serveri WSUS nuk mund të jetë gjithashtu një server terminal me rolin e Shërbimeve të Desktopit në distancë;

Nëse planifikoni të përdorni një bazë të dhënash të integruar (ky është një opsion shumë i rekomanduar dhe i zbatueshëm edhe për infrastruktura të mëdha), kontrolloni opsionin Baza e të dhënave.

Pastaj duhet të specifikoni drejtorinë ku do të ruhen skedarët e përditësimit (rekomandohet që disku i zgjedhur të ketë të paktën 10 GB hapësirë të lirë).

Madhësia e bazës së të dhënave WSUS varet shumë nga numri i produkteve dhe OS Windows që planifikoni të përmirësoni. Në një organizatë të madhe, skedarët e përditësimit në serverin WSUS mund të jenë qindra GB në madhësi. Për shembull, drejtoria ime e përditësimit WSUS merr rreth 400 GB (përditësimet për Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 dhe 2016, SQL Server 2008/20162 ruhen/ruhen) . Mbani parasysh këtë kur planifikoni se ku t'i vendosni skedarët tuaj WSUS.

Nëse më parë keni zgjedhur të përdorni një SQL DB të veçantë të dedikuar, duhet të specifikoni emrin e serverit DBMS, shembullin DB dhe të provoni lidhjen.

Ju gjithashtu mund të instaloni një server WSUS me një bazë të dhënash të brendshme duke përdorur komandën e mëposhtme PowerShell:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services-IncludeManagementTools

Konfigurimi fillestar i serverit të përditësimit të WSUS në Windows Server 2012 R2 / 2016

Herën e parë që filloni tastierën WSUS, magjistari i konfigurimit të serverit të përditësimit do të fillojë automatikisht. Le të ecim nëpër hapat bazë për konfigurimin e një serveri WSUS duke përdorur magjistarin.

Specifikoni nëse serveri WSUS do të marrë përditësime nga faqja e Microsoft Update drejtpërdrejt ose duhet ta shkarkojë atë nga një server WSUS në rrjedhën e sipërme (zakonisht ky opsion përdoret në rrjete të mëdha për të konfiguruar një server WSUS të një divizioni të madh rajonal që merr përditësime nga WSUS i zyra qendrore, e cila redukton ndjeshëm ngarkesën e kanaleve të komunikimit ndërmjet zyrës qendrore dhe degës).

Nëse vetë serveri juaj WSUS duhet të shkarkojë përditësime nga serverët e Windows Update dhe ju hyni në internet përmes një serveri proxy, duhet të specifikoni adresën e serverit proxy, portin dhe hyrjen / fjalëkalimin për autorizim në të.

Më pas duhet të zgjidhni gjuhët për të cilat WSUS do të shkarkojë përditësimet. Ne do të tregojmë anglisht Dhe rusisht(lista e gjuhëve mund të ndryshohet më vonë nga tastiera WSUS).

Më pas specifikon një listë produktesh për të cilat WSUS duhet të shkarkojë përditësime. Ju duhet të zgjidhni të gjitha produktet e Microsoft që përdoren në rrjetin tuaj të korporatës. Mbani në mend se të gjitha përditësimet zënë hapësirë shtesë në disk, kështu që nuk duhet të kontrolloni produkte shtesë. Nëse jeni i sigurt se nuk ka mbetur asnjë kompjuter Windows XP ose Windows 7 në rrjetin tuaj, mos i zgjidhni këto opsione. Kështu, ju do të kurseni hapësirë të konsiderueshme në disk në serverin WSUS.

Në faqe klasifikimiFaqe, duhet të specifikoni llojet e përditësimeve që do të shpërndahen përmes WSUS. Rekomandohet që të specifikoni: Përditësimet kritike, Përditësimet e përkufizimeve, Paketat e Sigurisë, Paketat e Shërbimit, Përmbledhjet e Përditësimeve, Përditësimet.

Përditësimet e edicioneve (ndërtimeve) të Windows 10 (1709, 1803, 1809, etj.) në konsolën WSUS përfshihen në klasën e Përmirësimeve.

Tjetra, duhet të specifikoni orarin e sinkronizimit të përditësimeve - rekomandohet të përdorni sinkronizimin automatik ditor të serverit WSUS me serverët e Microsoft Update. Ka kuptim të kryeni sinkronizimin gjatë natës në mënyrë që të mos ngarkoni kanalin e hyrjes në internet gjatë orarit të punës.

Sinkronizimi fillestar i serverit WSUS me serverin e përditësimit në rrjedhën e sipërme mund të zgjasë disa ditë, në varësi të numrit të produkteve që keni zgjedhur më parë dhe shpejtësisë së lidhjes suaj të internetit.

Pas përfundimit të magjistarit, konsola WSUS do të fillojë.

Për të përmirësuar performancën e serverit WSUS në Windows Server, rekomandohet të përjashtohen dosjet e mëposhtme nga fusha e skanimit antivirus:

\WSUS\WSUSContent;
%windir%\wid\data;
\SoftwareDistribution\Shkarko.

Klientët tani mund të marrin përditësime duke u lidhur me serverin WSUS në portën 8530 (Windows Server 2003 dhe 2008 përdorin portin 80 si parazgjedhje). Me një numër të madh kompjuterësh (më shumë se 1500), performanca e grupit IIS WsusPoll, i cili shpërndan përditësimet e klientëve, mund të rregullohet sipas .

Për të qenë në gjendje të shikoni raportet për përditësimet e instaluara në serverin WSUS, duhet të instaloni komponentët shtesë Microsoft Report Viewer 2008 SP1 të rishpërndashëm (ose më të lartë), të cilët mund të shkarkohen lirisht nga faqja e internetit e Microsoft.

Në artikuj të tjerë, ne do të shikojmë vendosjen e mëtejshme të një serveri WSUS në Windows Server 2012 R2 / 2016, dhe veçoritë dhe.

Përshkruan mënyrën e instalimit të këtij shërbimi rrjeti. Ky postim përshkruan se si të konfiguroni kompjuterët që të përditësohen nga serverët WSUS të disponueshëm për ju.