Windows Сървър Актуализация Услуги (WSUS) е услуга за актуализиране, която позволява на администраторите централно да управляват разпределението на корекциите и актуализациите на защитата за продукти на Microsoft (операционни системи Widows, Office, SQL Server, Exchange и др.) на компютри и сървъри в корпоративната мрежа. Нека да припомним накратко как работи WSUS: Планира се, че WSUS сървърът ще се синхронизира със сървъра за актуализиране на Microsoft в Интернет и ще изтегли нови актуализации за избрани продукти. Администраторът на WSUS избира кои актуализации да инсталира на работните станции и сървърите на компанията. Клиентите на WSUS изтеглят и инсталират необходимите актуализации от сървъра за корпоративни актуализации в съответствие с конфигурираните правила. Използването на вашия собствен сървър за актуализиране на WSUS ви позволява да спестите интернет трафик и по-гъвкаво да управлявате инсталирането на актуализации в компанията.
Microsoft предлага и други средства за инсталиране на актуализации на своите продукти, например SCCM 2007/2012. Въпреки това, за разлика от много други продукти, WSUS сървърът е напълно безплатен (всъщност услугата за актуализиране на SCCM - SUP Software Update Point също се основава на WSUS).
Преди Windows Server 2012 беше най-новата актуална версия на Microsoft Update Server Windows Сървър Актуализация Услуги 3.0 SP2 - WSUS 3.2, който не поддържа съвременни ОС (как да активирате поддръжка за Windows 8 и Windows 2012 на WSUS 3.0). Заедно с пускането на нова сървърна платформа, Microsoft представи нова версия WSUS 6.0 (което е странно, защото логично тази версия трябва да бъде кръстена WSUS 4.0 ...).По принцип в новата версия на WSUS в Windows Server 2012R2 / 2016 практически нищо не се е променило. Обърнете внимание, че инсталационният пакет WSUS не може да бъде изтеглен отделно от уебсайта на Microsoft, той е интегриран в дистрибуцията на Windows Server и е инсталиран като отделна сървърна роля. В допълнение, WSUS 6.0 представи възможността да контролира инсталирането на актуализации с помощта на PowerShell.
В тази статия ще разгледаме основните проблеми на инсталирането и конфигурирането на WSUS сървър на базата на Windows Server 2012 R2 / Windows Server 2016.
Съдържание:
- Инсталиране на ролята WSUS на Windows Server 2012 R2 / 2016
- Първоначална конфигурация на сървъра за актуализиране на WSUS в Windows Server 2012 R2 / 2016
Инсталиране на ролята WSUS на Windows Server 2012 R2 / 2016
В Windows Server 2008 WSUS беше разпределен в отделна роля, която може да бъде инсталирана чрез конзолата за управление на сървъра. В Windows Server 2012 / R2 тази точка не се е променила. Отворете конзолата на Server Manager и маркирайте ролята Windows Сървър Актуализация Услуги (системата автоматично ще избере и предложи да инсталирате необходимите компоненти на IIS сървъра).
Проверете опцията WSUS Services, след което изберете типа база данни, която WSUS ще използва.
В Windows Server 2012 R2 се поддържат следните видове SQL бази данни за WSUS сървъра:
- Вътрешна база данни на Windows (WID);
- Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 в изданията на Enterprise / Standard / Express Edition;
- Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.
Съответно можете да използвате вградената база данни на Windows WID (Windows Internal database), която е безплатна и не изисква допълнително лицензиране. Или можете да използвате специализирана локална или отдалечена (на друг сървър) база данни на SQL Server, за да съхранявате WSUS данни.
Извиква се базата по подразбиране WID SUSDB.мдф и се съхранява в директория Windir% \ wid\ данни\. Тази база данни поддържа само автентификацията на Windows (но не и SQL). Извиква се вътрешната (WID) база данни за WSUS сървър_името\ Microsoft## WID. Базата данни на WSUS съхранява настройките на сървъра за актуализация, метаданните за актуализиране и информацията за клиента на WSUS сървъра.
Вътрешната база данни на Windows се препоръчва, ако:
- Организацията няма и не планира да купува лицензи за SQL Server;
- Не се планира използването на балансиране на натоварването на WSUS (NLB WSUS);
- Ако имате намерение да внедрите детски WSUS сървър (например в клонове). В този случай се препоръчва да използвате вградената WSUS база данни на вторични сървъри..
WID базата данни може да се администрира чрез SQL Server Management Studio (SSMS), ако посочите \\. Тръба \ MICROSOFT ## WID \ tsql \ заявка в връзката на връзката.
Имайте предвид, че в безплатните издания на SQL Server 2008/2012 Express има ограничение за максималния размер на базата данни - 10 GB. Най-вероятно това ограничение няма да бъде постигнато (например размерът на WSUS базата за 2500 клиенти е около 3 GB). Ограничение за вътрешна база данни на Windows - 524 GB.
В случай на инсталиране на ролята на WSUS и сървъра на базата данни на различни сървъри, има редица ограничения:
- SQL сървър с WSUS база данни не може да бъде контролер на домейн;
- WSUS сървърът не може едновременно да бъде терминален сървър с ролята на Remote Desktop Services;
Ако планирате да използвате вградената база данни (това е силно препоръчана и ефективна опция дори за големи инфраструктури), поставете отметка в квадратчето WID база данни.
След това трябва да посочите директорията, в която ще се съхраняват актуализиращите файлове (препоръчително е да има поне 10 GB свободно пространство на избраното устройство).
Размерът на базата данни на WSUS силно зависи от броя продукти и Windows, които планирате да надстроите. В голяма организация размерът на файловете за актуализиране на WSUS сървър може да достигне стотици GB. Например, имам директория с актуализации на WSUS, която заема около 400 GB (актуализират се актуализации за Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 и 2016, SQL Server 2008/2012/2016) , Имайте това предвид, когато планирате местоположението си за WSUS файлове..
В случай, че преди сте избрали да използвате отделна специализирана SQL база данни, трябва да посочите името на DBMS сървъра, екземпляра на базата данни и да проверите връзката.
След това ще започне инсталирането на ролята на WSUS и всички необходими компоненти, след което стартирайте конзолата за управление на WSUS в конзолата на Server Manager.
Можете също да инсталирате WSUS сървър с вътрешна база данни, използвайки следната команда PowerShell:
Install-WindowsFeature -Name Updateservices, UpdateServices-WidDB, UpdateServices-services -IncludeManagementTools
Първоначална конфигурация на сървъра за актуализиране на WSUS в Windows Server 2012 R2 / 2016
Първият път, когато стартирате конзолата WSUS, съветникът за конфигуриране на сървъра за актуализиране автоматично се стартира. Помислете за основните стъпки за настройка на WSUS сървър с помощта на съветника.
Укажете дали WSUS сървърът ще приема актуализации директно от уебсайта на Microsoft Update или дали трябва да го изтегли от горния WSUS сървър (тази опция обикновено се използва в големи мрежи за конфигуриране на WSUS сървъра на голям регионален офис, който получава актуализации от централния офис на WSUS, което значително намалява натоварването до каналите за комуникация между централния офис и клона).
Ако самият вашият WSUS сървър трябва да изтегля актуализации от сървърите за актуализация на Windows и имате достъп до Интернет чрез прокси сървър, трябва да посочите адреса на прокси сървъра, порт и вход / парола за разрешение на него.
След това се проверява връзката със сървъра за актуализация нагоре. Натиснете бутона Започнете да се свързвате.
След това трябва да изберете езиците, на които WSUS ще изтегли актуализации. Ще посочим английски и руски (списъкът на езиците може да бъде допълнително променен от конзолата WSUS).
След това той изброява продуктите, за които WSUS трябва да изтегля актуализации. Трябва да изберете всички продукти на Microsoft, които се използват във вашата корпоративна мрежа. Имайте предвид, че всички актуализации заемат допълнително място на диска, така че не бива да маркирате излишни продукти. Ако сте сигурни, че в мрежата ви няма компютри, работещи под Windows XP или Windows 7, не избирайте тези опции. По този начин ще спестите значително дисково пространство WSUS сървър.
Ако е необходимо, можете ръчно да импортирате всички актуализации от каталога на Microsoft Update на вашия WSUS сървър.
На страница класификация страница, трябва да посочите типовете актуализации, които ще се разпространяват чрез WSUS. Препоръчва се да посочите: Критични актуализации, актуализации на дефиниции, пакети за сигурност, сервизни пакети, актуализиране на актуализации, актуализации.
След това трябва да посочите графика за синхронизиране на актуализациите - препоръчително е да използвате ежедневната автоматична синхронизация на WSUS сървъра със сървърите на Microsoft Update. Има смисъл да се синхронизира през нощта, за да не се зарежда каналът за достъп до Интернет през работно време.
Първоначалната синхронизация на WSUS сървъра със сървъра за актуализиране нагоре може да отнеме няколко дни, в зависимост от броя на продуктите, които сте избрали по-рано, и скоростта на достъп до Интернет.
След приключване на съветника стартира конзолата WSUS..
За да подобрите ефективността на WSUS сървъра на Windows Server, се препоръчва да изключите следните папки от областта на антивирусно сканиране:
- \ WSUS \ WSUSСъдържание;
- % windir% \ wid \ данни;
- \ SoftwareDistribution \ Изтегляне.
Клиентите вече могат да получават актуализации, като се свържат към WSUS сървъра на порт 8530 (Windows Server 2003 и 2008 използват порт 80 по подразбиране). С голям брой компютри (повече от 1500), производителността на пула IIS WsusPoll, който разпространява актуализации на клиента, може да се регулира според статията.
За да можете да преглеждате отчети за инсталирани актуализации на сървъра WSUS, трябва да инсталирате допълнителни Microsoft Report Viewer 2008 SP1 преразпределими компоненти (или по-нови), които могат да бъдат свободно изтеглени от уебсайта на Microsoft.
В други статии ще разгледаме по-нататъшната конфигурация на WSUS сървъра на Windows Server 2012 R2 / 2016 и конфигурацията на WSUS клиенти (сървъри и работни станции), използвайки групови правила, функциите за одобряване на актуализации и прехвърляне на одобрени актуализации между групите в WSUS.
