Начальная настройка сервера обновлений wsus в windows server 2021 r2 / 2021
При первом запуске консоли WSUS автоматически запустится мастер настройки сервера обновлений. Рассмотрим основные шаги настройки сервера WSUS с помощью мастера.
Укажите, будет ли сервер WSUS брать обновления с сайта Microsoft Update напрямую или он должен качать его с вышестоящего WSUS сервера (обычно этот вариант используется в крупных сетях для настройки WSUS сервера большого регионального подразделения, который берет обновления с WSUS центрального офиса, чем существенно снижается нагрузка на каналы связи между центральным офисом и филиалом).
Windows server 2021 – установка и настройка wsus, создание и настройка gpo
WSUS (Windows Server Update Services) – служба обновлений для серверов компании Microsoft. Позволяет централизованно обновлять компьютеры и сервера, управлять параметрами обновления. Позволяет не только значительно экономить использованный трафик из-за централизованного обновления в сети, но и гибко управлять пакетами обновлений, которые будут применяться. Установка и настройка службы Windows Server Update Services на Windows server 2021 не сильно отличается от развертывания WSUS в операционной системе Windows server 2021, 2021.
Требования к установке WSUS (Windows Server Update Services)
Ввод сервера WSUS в домен
Установка роли сервера WSUS
Настройка WSUS
Установка дополнительных компонентов, необходимых для работы отчетов WSUS
Создание и настройка групповых политик для WSUS
Проверка применения групповой политики на компьютере пользователя
1. В строке поиска выполняем команду ncpa.cpl. В открывшемся окне выбираем сетевой интерфейс, правой клавишей мыши – “Свойства“.
2. Снимаем чекбокс с “IP версии 6 (TCP/IPv6)“, если не используем. Далее выбираем “IP версии 4 (TCP/IPv4)” – “Свойства“.
3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.
4. Далее задаём имя серверу, для этого нажимаем правой клавишей мыши на “Этот компьютер“, в открывшемся окне – “Изменить параметры“. Далее нажимаем “Изменить“, в новом окне в поле “Имя компьютера” вписываем имя сервера, далее “ОК“. Далее необходимо перезагрузить компьютер.
5. После перезагрузки компьютера нажимаем правой клавишей мыши на “Этот компьютер“, в открывшемся окне – “Изменить параметры“. Далее нажимаем “Изменить“, выбираем “Является членом домена“, вписываем имя домена. Далее “ОК“.
6. Вводим имя и пароль учетной записи с правами на присоединение к домену.
7. При успешном вводе в домен сервера, появится сообщение “Добро пожаловать в домен…“. Далее необходимо перезагрузить компьютер.
1. Нажимаем “Пуск“, далее “Диспетчер серверов“.
2. Далее нажимаем “Добавить роли и компоненты“.
3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем “Далее“.
4. Выбираем “Установка ролей или компонентов“, затем “Далее“.
5. Выбираем сервер из пула серверов, нажимаем “Далее“.
6. Ставим чекбокс напротив “Службы Windows Server Update Services“.
7. В открывшемся окне нажимаем “Добавить компоненты“, затем “Далее“.
8. В следующем окне “Далее“, дополнительных компонентов в данном случае не требуется.
9. Читаем на что обратить внимание, затем “Далее“.
.
10. Оставляем настройки по умолчанию, нажимаем “Далее“.
11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:wsus), нажимаем “Далее“.
13. Читаем сообщение “Роль веб-сервера (IIS)“, нажимаем “Далее“.
14. В следующем окне оставляем настройки по умолчанию, нажимаем “Далее“.
15. Подтверждаем установку выбранных компонентов – “Установить“.
16. После установки “Службы Windows Server Update Services“, нажимаем “Закрыть“.
17. После установки WSUS, нажимаем на желтый треугольник в “Диспетчер серверов” и нажимаем “Запуск послеустановочных задач“. На этом установка WSUS закончена.
Настройка WSUS (Windows Server Update Services)
1. Открываем “Диспетчер серверов” – “Средства” – “Службы Windows Server Update Services“.
2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем “Далее“.
3. Снимаем чекбокс “Yes, I would like to join the Microsoft Update Improvement Program” (чекбокс можно оставить), затем “Далее“.
4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем “Далее“.
5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем “Далее“.
6. Нажимаем “Начать подключение“. При этом будет скачана следующая информация:
- Имеющиеся типы обновлений;
- Продукты, которые можно обновить;
- Доступные языки.
После получения необходимой информации, нажимаем “Далее“.
7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем “Далее“.
8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем “Далее“.
9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:
- Upgrades;
- Критические обновления;
- Накопительные пакеты обновления;
- Обновления определений;
- Обновления системы безопасности.
Нажимаем “Далее“.
10 Оставляем чекбокс “Синхронизацию вручную“, после окончания всех настроек и проверки работы WSUS, устанавливаем “Автоматическая синхронизация” и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем “Далее“.
.
11. Устанавливаем чекбокс “Запустить первоначальную синхронизацию“, нажимаем “Далее“.
12. После того, как первоначальная синхронизация будет закончена, нажимаем “Готово“. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.
13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2021 необходимо установить два компонента:
- Microsoft System CLR Types для SQL Server 2021 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2021 Runtime (ReportViewer.msi).
Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты.
14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.
15. Следующим шагом открываем в оснастке Windows Server Update Services “Параметры“, устанавливаем чекбокс “Использовать на компьютерах групповую политику или параметры реестра“. Нажимаем “ОК“.
16. Затем добавляем группы компьютеров, которые будут обновляться. Для этого нажимаем правой клавишей на “Все компьютеры” – “Добавить группу компьютеров“.
17. В новом окне задаём имя для новой группы, нажимаем “Добавить“.
18. В данном случае добавляем группы компьютеров:
Создание и настройка групповых политик для WSUS
1. Открываем “Диспетчер серверов” – “Средства” – “Управление групповой политикой“.
2. Создаем групповую политику, для этого нажимаем правой клавишей мыши на “Объекты групповой политики” – “Создать“.
3. Задаём имя нового объекта групповой политики, нажимаем “ОК“. В данном случае создадим две групповые политики:
- WSUS-servers;
- WSUS-computers.
4. Далее изменяем вновь созданную политику, для чего нажимаем правой клавишей мыши на созданную политику – “Изменить“. Для WSUS-servers:
Переходим Конфигурация – Политики – Административные шаблоны – Центр обновления Windows. Изменяем:
Настройка автоматического обновления:
Включено
Настройка автоматического обновления – 3 – авт. загрузка и уведом. об устан
Установка по расписанию – время: 01:00
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Servers
Далее переходим Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Системные службы
Изменяем:
Центр обновления Windows
автоматически
5. Для групповой политики WSUS-computers:
Переходим Конфигурация – Политики – Административные шаблоны – Центр обновления Windows. Изменяем:
Настройка автоматического обновления:
Включено
Настройка автоматического обновления – 4 – авт. загрузка и устан. по расписанию
Установка по расписанию – день: 3 – каждый вторник
Установка по расписанию – время: 12:00
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях
Включено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Сomputers
Далее переходим Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Системные службы
Изменяем:
Центр обновления Windows
автоматически
6. Далее привязываем вновь созданные политики к соответствующим объектам домена. Для этого выбираем объект домена, правой клавишей мыши – “Связать существующий объект групповой политики“. Выбираем соответствующую групповую политику. Для немедленного применения групповых политик, открываем командную строку, выполняем команду: gpupdate / force.
Проверка применения групповой политики на компьютере пользователя
1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне “Результирующая политика” применение политики.
Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь:
Устанавливаем обновления при помощи ansible
Практически любая система управления конфигурациями может облегчить работу с обновлениями. Разберем пример на базе Ansible для установки обновлений по требованию.
Устраивать холивар, что лучше из бесплатных систем — Ansible, Chef, Puppet или вовсе Salt, нет ни малейшего желания. Система Ansible выбрана за отсутствие необходимости использования агентов и за простоту настройки. И, конечно, из-за Python: ведь этот язык намного проще освоить начинающим автоматизаторам, в отличие от Ruby.
Стоит отметить, что помимо решения задачи, это будет неплохое подспорье для ознакомления с принципами работы подобных систем. Если, конечно, вы еще не развлекались установкой Streisand, особенно, когда что-то в процессе идет не так. А если вы уже используете Ansible или другие модные решения, то запросто сможете и обновления устанавливать.
Для начала подготовим сервер Ansible. Подойдет практически любой GNULinux дистрибутив, но примеры команд я буду приводить для Ubuntu Server (так исторически сложилось).
Для начала установим пакетный менеджер для приложений на Python:
apt-get install python-pip
pip install --upgrade pip
pip install --upgrade virtualenvЗатем нам понадобится установить пакет pywinrm для подключения к системам Windows и непосредственно систему Ansible:
sudo pip install pywinrm
sudo pip install ansibleПроверить установку можно командой ansible –version.
Проверка установки.Вместо пакета в теории pywinrm можно использовать любое другое средство для управления Windows с машины на Linux. Часть из них разобрана в статье «Перекрестное опыление: управляем Linux из-под Windows, и наоборот».
Теперь нужно разрешить подключение к Windows по WinRM. Для этого есть уже готовый скрипт ConfigureRemotingForAnsible.ps1, доступный на GitHub. Ну, а как запускать скрипты на удаленных машинах вы уже знаете.
Проверить подключение к Windows можно командой:
ansible windows -m win_ping
Проверка подключения успешна.
Теперь можно заняться созданием playbook. Нам облегчит жизнь тот факт, что разработчики Ansible уже подумали за нас и сделали модуль win_updates, как раз для решения таких задач.
Playbook — это «инструкция», которая говорит системе управления конфигурациями, что же ей делать. Разумеется, пошаговая.
Любой playbook является файлом в формате yml и представляет из себя набор директив — у каждого модуля они свои. Модуль winupdate позволяет использовать следующие директивы (жирным выделены значения по умолчанию):
Таким образом, для установки определенных обновлений подойдет следующий playbook:
- name: Install specific updates based on the KBs for those updates
win_updates:
category_name:
- SecurityUpdates
whitelist:
- KB4073819
- KB4074228А если надо просто посчитать, сколько обновлений не хватает, playbook будет таким:
– name: Check for missing updates
win_updates: state=searched
register: update_countДля установки всех доступных обновлений с последующей перезагрузкой будет подобный playbook:
- name: Install all critical and security updates
win_updates:
category_names:
- CriticalUpdates
- SecurityUpdates
- UpdateRollups
state: installed
register: update_result
- name: reboot host if required
win_reboot:
when: update_result.reboot_requiredНапомню, что для работы со списком серверов понадобится файл инвентаризации. Например, такой:
[DCs]
dc1.mydomain.local
dc2.mydomain.local
[AppServers]
app1.mydomain.local
app2.mydomain.local
[DBServers]
db1.mydomain.local
db2.mydomain.localИ теперь для установки обновлений только на контроллеры домена можно использовать playbook:
- hosts: DCs
tasks:
- name: Choose which Windows updates to install
win_updates:
category_names:
- SecurityUpdates
- CriticalUpdates
- UpdateRollupsКоманда, которая проделает все эти операции, будет такой:
ansible-playbook -i inventory.yml -s windowsupdates.ymlВнимательный читатель может спросить про источник скачиваемых обновлений. Источник будет тот, что настроен на компьютере: будь то Windows Update в интернете или локальный WSUS. Даже если до настройки WSUS руки не дошли, можно дать команду на установку нужных срочных апдейтов, особенно если детальки Lego под ноги уже высыпались.
Остается добавить, что не обязательно использовать именно Ansible. Например, для системы управления конфигурациями Chef можно использовать Cookbook Wsus Client или более навороченный boxstarter. Аналогичные модули существуют и для Puppet. В общем-то практически любая система управления конфигурациями может что-то подобное, в том числе и MS SCCM.
Напоследок приведу еще несколько заинтересовавших меня инструментов.
Установка роли wsus на windows server 2021 r2 / 2021
Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2021 / R2 этот момент не поменялся. Откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
Отметьте опцию WSUS Services, далее необходимо выбрать тип базы данных, которую будет использовать WSUS.
В Windows Server 2021 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:
Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%widdata. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_nameMicrosoft##WID. В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- Организация не имеет и не планирует покупать лицензии на SQL Server;
- Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- Если планируется развернуть дочерний сервер WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \.pipeMICROSOFT##WIDtsqlquery.
Отметим, что в бесплатных редакциях SQL Server 2008/2021 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.
В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена;
- Сервер WSUS не может быть одновременно сервером терминалов с ролью Remote Desktop Services;
Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию WIDDatabase.
Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).
Размер базы данных WSUS сильно зависит от количества продуктов и ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб. Например, у меня каталог с обновлениями WSUS занимает около 400 Гб (хранятся обновления для Windows 7, 8.
В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.
Далее запустится установка роли WSUS и всех необходимых компонентов, после окончания которых запустите консоль управления WSUS в консоли Server Manager.
Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:
https://www.youtube.com/watch?v=zyRgQ8rM5os
Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools