Задача: разобрать для себя как установить WSUS на сервер Server 2012 R2 Std
Устанавливаю роль сервера обновлений для операционных систем обслуживаемой инфраструктуры:
Нажимаю: Win + X — Control Panel — Administrative Tools — Server Manager — Dashboard — Add roles and features, затем тип установки Role-bases or feature-based installation, затем что в качестве установки будет использован текущей сервер (но также можно указать что установку производить на смонтированный vhd диск), отмечаю галочкой роль: Windows Server Update Services, после чего мастер сам предложит установить необходимые зависимости требуемых компонентов, не снимаем галочку с пункта Include management tools (if applicable) и нажимаю Add Features потом Next , Next , Next –
WSUS в Windows Server 2012 R2 поддерживает следующие базы данных:
- WID Databases → встроенная база Windows
- WSUS Services
Database → будет использоваться локальная или внешняя база данных на SQL Server для WSUS
На заметку: Роль WSUS не может быть поднята на:
- Если сервер с ролью контроллера домена
- Если сервер с ролью сервера терминалов
Я буду использовать WID Databases & WSUS Servcies
После нажимаю Next, указываю путь на логическом диске (У меня под это дело выделен отдельный логический раздел) где будет располагаться структура файлов обновлений (минимум должно быть 6Gb свободного места и файловая система NTFS)
отмечаю галочкой: Store updates in the following location
d:\wsus и нажимаю Next , Next , этап установки ролей для IIS можно выбрать какие компоненты Вам нужны, я же пока ничего не буду указывать (все ведь можно сделать тогда когда функционал потребуется), а потому нажимаю Next , Install (галочку у пункта Restart the destination server automatically if required не ставлю я лучше когда все установится сам перезагружу сервер), Ожидаю того когда мастер установит все необходимые компоненты для разворачиваемого сервиса WSUS, установка считается завершенной когда видна надпись: Configuration required. Installation succeeded on srv-host — после нажимаем по кнопке Close
Для правильности разворачиваемого сервиса WSUS текущую систему лучше перезагрузить: Win +X → Shut down or sign out → Restart — Choose a reason that best describes why you want to shut down this computer (Other (Unplanned)) и нажимаю на кнопку Continue
После запускаю оснастку по управлению сервисом WSUS:
Win +X → Control Panel — Administrative Tools — Windows Server Update Services, у меня к примеру последовало появление окна подтверждающего, а действительно ли каталог для обновлений: D:\wsus – – да действительно и нажимаю RUN
Ожидаю… Окно ни в коем случае не закрываю. Также если в окне установки (Complete WSUS Installation) по окончании наблюдаем надпись: Post-installation successfully completed, то значит установка роли WSUS прошла успешно можно смело нажать Close.
Через некоторое время (у меня по прошествии пары минут) запустился Мастер настройки WSUS для текущего хоста: – иду по шагам.
- Before You Begin: Next
- Microsoft Update Improvement Program: отмечаю галочкой Yes, I would like to join the Microsoft Update Improvement Program , Next
- Choose Upstream Server: т. к. это будет единственный сервер WSUS в локальной сети то отмечаю пункт Synchronize from Microsoft Update если это не так то можно указать другой сервер и порт по умолчанию для WSUS 8530, Next
- Specify Proxy Server: нужно указать если в локальной сети используется прокси сервер для выхода в интернет, у меня он прозрачный и указывать его не нужно, Next
- Specify Proxy Server: нажимаю на Start Connecting — ожидаю, сейчас мой хост пытается подключиться к серверам Microsoft с целью проверки доступных обновлений, продуктов и языков, т. е. Тест соединения (будет перемещаться бегунок зеленого цвета).
Тест соединения прошел успешно нажимаю Next
- Choose Languages: нужно указать языки обновлений (в последствии их можно будет либо изменить), я выбираю: Download updates only in these languages: English & Russian, Next
- Choose Products: нужно отметить только те продукты которые используются в локальной сети и не более, т. к. бездумный выбор скажется на месте которое будет истрачено в пустую скачанными обновлениями, я выбираю: Windows 7 (со всех предустановленных продуктов отмеченных галочкой я ее снимаю), Next
- Choose Classifications: нужно отметить тип обновлений, я отмечаю: Critical Update, Security Updates, Next
- Configure Sync Schedule: указываем время когда сервер WSUS будет подключаться к Microsoft Update дабы получить последние сведения обновлений, либо в ручную я буду это делать сам, либо же по заданию планировщика, я выбираю первый вариант — Synchronize manually (в последствии это можно будет изменить), Next
- Finished: отмечаю галочкой пункт Begin Initial Synchronization, Finish
Затем вот уже и запустить мастер управления обновлениями на текущем хосте:
Создаю группу хостов именуемую, как Workstations (в нее у меня буду включены только рабочие станции под управлением Windows 7):
Update Services — srv-host — Computer — All Computers — Add Computer Group… – именую как Workstations и нажимаю Add
Затем перейдя в каждую категорию обновлений (Security Updates & Critical Updates) по нажатию по гиперссылке approved, выделяю все доступные обновления (по сочетанию клавиш Ctrl + A) и нажимаю через правый клик мышью пункт Approve, указываю группу компьютеров All Computer (лучше конечно создать группы тех компьютеров на которые будут нацелены одобренные обновления) — Workstations и через правый клик мышью по ней выбираю настройку → Approved for Install, Ok
И ожидаю следя за назначаемыми обновлениями на созданную выше группу, по завершении нажимаю Close
Первый раз синхронизация происходит долго, о статусе получения обновлений можно узнать перейдя: Update Services — srv-host
Как только будут появляться новые обновления нужно будет переходить либо в Critical или Security и по аналогии выше подтверждать новые обновления на группу Workstations. Ничего сложного в этом нет. Я за ручное управление в рамках тестирования и получения опыта, а уже потом только в автоматическом режиме.
Допустим все обновления скачались и ждут своего заветного часа когда за ними обратится рабочая станция.
В моем случае только обновления для Windows 7 (язык Russian & English) составили по полученному размеру каталога: D:\WSUS => 8.74Gb (1416 Files, 257 Folders на текущую дату 18.05.2016)
Загружаю рабочую станцию (для станции которая не в домене) под управление Windows 7 Профессиональная SP1. В локальной политике безопасности нужно внести следующие изменения:
Win + R → gpedit.msc – Политика «Локальный компьютер» – Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows –
- Указать размещение службы обновлений Майкрософт в интрасети:
отмечаю пункт Включить
Укажите службу обновлений в интрасети для поиска обновлений: http://192.168.1.177:8530
Укажите сервер статистики в интрасети: http://192.168.1.177:8530
Обязательно нажимаю Применить и OK
- Настройка автоматического обновления:
отмечаю пункт Включить
Настройка автоматического обновления: 4 — авт. Загрузка и устан. По расписанию
Установка по расписанию — день: 1 — каждое воскресенье
Установка по расписанию — время: 22:00
Обязательно нажимаю Применить и OK
- Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи:
отмечаю пункт Включить
Обязательно нажимаю Применить и OK
- Разрешить клиенту присоединяться к целевой группе:
отмечаю пункт Включить
Имя целевой группы для данного компьютера: Workstations
Обязательно нажимаю Применить и OK
На заметку: Если последняя настройка не указана, то в оснастке WSUS компьютер обратившийся за обновлениями нужно будет переместить в нужную группу с назначенными обновлениями, в противном случае обновления не будут установлены на рабочую станцию, т. к. по умолчанию компьютер будет значит в группе Unassigned Computers (на нее не следует назначать ни какие обновления).
Чтобы получить обновления на рабочую станцию нужно перезагрузить компьютер, Пуск — Завершение работы — Перезагрузка
либо: Пуск — Все программы — Стандартные — запустить консоль командной строки с правами Администратора и набрать команду:
C:\Windows\system32>gpupdate /force
Обновление политики…
Обновление политики пользователя завершено успешно.
Обновление политики для компьютера успешно завершено.
C:\Windows\system32>wuauclt /resetauthorization /detectnow
После чего компьютер появится в оснастке WSUS в разделе: Update Services — SRV-HOST — Computer — All Computer — Unassigned Computers — нужно будет выделить его и через правый клик мышью поместить в группу Change Membership… – Workstations (отметив галочкой) и нажать OK тем самым компьютер переместиться в созданную группу Workstations на которую выше были назначены обновления и если они не установлены они будут установлены. Может так случится что рабочая станции не получает обновления — поправить это дело можно следующим образом:
Просмотреть логи на рабочей станции: %system root%\Windows\WindowsUpdate.log — у меня были вот такие ошибки:
2016-05-18 18:18:47:668 900 870 PT +++++++++++ PT: Synchronizing server updates +++++++++++
2016-05-18 18:18:47:668 900 870 PT + ServiceId = {9482F4B4-E343-43B6-B170-9A65BC822C77}, Server URL = https://fe2.update.microsoft.com/v6/ClientWebService/client.asmx
2016-05-18 18:18:47:668 900 870 PT WARNING: Cached cookie has expired or new PID is available
2016-05-18 18:18:47:778 900 870 PT WARNING: PTWarn: Anonymous plug-in skipped for WU
2016-05-18 18:18:47:948 900 870 PT WARNING: GetCookie failure, error = 0x8024400D, soap client error = 7, soap error code = 300, HTTP status code = 200
2016-05-18 18:18:47:948 900 870 PT WARNING: SOAP Fault: 0x00012c
2016-05-18 18:18:47:948 900 870 PT WARNING: faultstring:Fault occurred
2016-05-18 18:18:47:948 900 870 PT WARNING: ErrorCode:ConfigChanged(2)
2016-05-18 18:18:47:948 900 870 PT WARNING: Message:(null)
2016-05-18 18:18:47:948 900 870 PT WARNING: Method:”http://www.microsoft.com/SoftwareDistribution/Server/ClientWebService/GetCookie”
2016-05-18 18:18:47:948 900 870 PT WARNING: ID:54f275db-435b-4e02-b5e6-26d79949ca9f
2016-05-18 18:18:48:319 900 870 PT WARNING: Cached cookie has expired or new PID is available
2016-05-18 18:18:48:319 900 870 PT WARNING: PTWarn: Anonymous plug-in skipped for WU
Сделал несколько раз запуск команды:
C:\Windows\system32>wuauclt /detectnow
После перешел: Пуск — Панель управления — Администрирование — Центр обновления Windows — Поиск обновлений и система определила что можно установить важных обновлений в размере 174 Штуки, нажимаю «Установить обновления» и просто ожидаю завершения установки обновлений с сервера WSUS
Что еще важного хотелось бы отметить, а то что на самом сервере с ролью WSUS можно по каждой станции отобразить отчет:
Update Services — SRV-HOST — Reports — к примеру Computer Detailes Status вот только как говорит мастер в системе отсутствует установленный пакет именуемый, как Microsoft Report Viewer 2008 Redistributalbe.
Пытаясь скачать данный пакет через браузер с сервера можно столкнуться с тем, что браузер будет сопротивляться этому выдавая Вам сообщение: Your Current Security settings do not allow this file to be downloaded, убираю эту дефолтную настройку (вот зачем спрашивается Microsoft создает кастыли безопасности на ровном месте почему нельзя чтобы сам системный администратор все сделал как ему удобнее и правильнеее)
IE — Tools — Internet Options — вкладка Security — Internet — Custom Level — Downloads (File download) отмечаю Enable, после возвращаюсь во вкладку Security и снимаю галочку Enable Protected Mode (requires restartings Internet Explorer) и подтверждаю свое намерение Ok, OK после перезапускаю браузер, а после больше не возникает ни каких сообщений, что нельзя скачивать файлы.
Перед тем как установить скачанный пакет Microsoft Report Viewer 2008 Redistributable в систему нужно установить Microsoft .NET Framework 2.0 (NetFx20SP2_x64.exe), но вот только он не поставится нужно использовать пакет .NET Framework 3.5 (includes .NET 2.0 and 3.0) которые имеет место быть обозначен в компонентах который можно установить при добавлении ролей посредством мастера:
После установка пакета ответственного за возможность формирования отчетов в WSUS пройдет успешно. Затем закрываю оснастку управления WSUS и запускаем заново для принятия изменений, щелкнув по хосту → Status Report
Вот чего мне так не хватало когда я не использовал сервис WSUS так это централизованного управления обновлениями, но сейчас все изменится. Больше ни какой ручной установки обновлений, только использование собственного поднятого сервера обновлений WSUS. Если какое либо обновление вредит системе, то его можно отозвать. Вот так вот, на этом я прощаюсь с Вами читатели моего блога, с уважением ekzorchik.