Instalace aktualizačního serveru WSUS na Windows Server 2012 R2 / 2016

Windows Server Aktualizace Služby (WSUS) je aktualizační služba, která umožňuje správcům centrálně spravovat distribuci oprav a aktualizací zabezpečení produktů společnosti Microsoft (operační systémy Widows, Office, SQL Server, Exchange atd.) na počítačích a serverech v podnikové síti. Připomeňme si krátce, jak WSUS funguje: server WSUS je naplánován na synchronizaci s aktualizačním serverem Microsoft na internetu a stáhnout nové aktualizace pro vybrané produkty. Správce služby WSUS vybere, které aktualizace nainstalovat na pracovní stanice a servery společnosti. Klienti WSUS stahují a instalují požadované aktualizace ze serveru podnikových aktualizací podle nakonfigurovaných zásad. Použití vlastního aktualizačního serveru WSUS vám umožní ušetřit internetový provoz a flexibilněji spravovat instalaci aktualizací ve společnosti.

Společnost Microsoft také nabízí další způsoby instalace aktualizací svých produktů, například SCCM 2007/2012. Na rozdíl od mnoha jiných produktů je však server WSUS zcela zdarma (ve skutečnosti je aktualizační služba SCCM - SUP Software Update Point také založen na WSUS)..

Před Windows Server 2012 byla nejnovější aktuální verze serveru Microsoft Update Server Windows Server Aktualizace Služby 3,0 SP2 - WSUS 3.2, který nepodporuje moderní OS (jak povolit podporu pro Windows 8 a Windows 2012 na WSUS 3.0). Spolu s vydáním nové serverové platformy představila společnost Microsoft novou verzi WSUS 6.0 (což je zvláštní, protože logicky by tato verze měla být pojmenována WSUS 4.0 ...).

V nové verzi WSUS v systému Windows Server 2012R2 / 2016 se prakticky nic nezměnilo. Upozorňujeme, že nyní nelze instalační balíček WSUS stáhnout samostatně z webu společnosti Microsoft, je integrován do distribuce Windows Server a je nainstalován jako samostatná role serveru. Kromě toho WSUS 6.0 představil schopnost řídit instalaci aktualizací pomocí prostředí PowerShell.

V tomto článku se budeme zabývat základními otázkami instalace a konfigurace serveru WSUS založeného na systému Windows Server 2012 R2 / Windows Server 2016..

Obsah:

  • Instalace role WSUS na Windows Server 2012 R2 / 2016
  • Počáteční konfigurace aktualizačního serveru WSUS v systému Windows Server 2012 R2 / 2016

Instalace role WSUS na Windows Server 2012 R2 / 2016

Zpět v systému Windows Server 2008 byla služba WSUS přidělena do samostatné role, kterou lze nainstalovat pomocí konzoly pro správu serveru. V systému Windows Server 2012 / R2 se tento bod nezměnil. Otevřete konzolu Správce serveru a označte roli Windows Server Aktualizace Služby (systém automaticky vybere a nabídne instalaci nezbytných součástí webového serveru IIS).

Zaškrtněte možnost Služby WSUS a poté vyberte typ databáze, kterou bude služba WSUS používat.

V systému Windows Server 2012 R2 jsou pro server WSUS podporovány následující typy databází SQL:

  • Interní databáze Windows (WID);
  • Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 v edicích Enterprise / Standard / Express Edition;
  • Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.

V souladu s tím můžete použít vestavěnou databázi Windows WID (interní databáze Windows), která je bezplatná a nevyžaduje další licence. K ukládání dat WSUS můžete použít vyhrazenou místní nebo vzdálenou (na jiném serveru) databázi na serveru SQL.

Volá se výchozí základna WID SUSDB.mdf a je uložen v adresáři Windir% \ wid\ data\. Tato databáze podporuje pouze ověřování systému Windows (nikoli však SQL). Volá se interní (WID) databáze instance pro WSUS server_name\ Microsoft## WID. Databáze WSUS ukládá nastavení aktualizačního serveru, metadata aktualizací a informace o klientovi serveru WSUS.

Interní databáze systému Windows se doporučuje, pokud:

  • Organizace nemá a neplánuje nákup licencí pro SQL Server;
  • Není plánováno použití vyrovnávání zátěže na WSUS (NLB WSUS);
  • Pokud plánujete nasazení podřízeného serveru WSUS (například v pobočkách). V tomto případě se doporučuje použít vestavěnou databázi WSUS na sekundárních serverech..

Databázi WID lze spravovat prostřednictvím SQL Server Management Studio (SSMS), pokud v připojovacím řetězci zadáte \\. \ Pipe \ MICROSOFT ## WID \ tsql \ query..

Všimněte si, že ve bezplatných vydáních serveru SQL Server 2008/2012 Express má limit maximální velikosti databáze - 10 GB. Nejpravděpodobněji nebude tohoto omezení dosaženo (například velikost základny WSUS pro 2500 klientů je asi 3 GB). Limit vnitřní databáze systému Windows - 524 GB.

V případě instalace role WSUS a databázového serveru na různé servery existuje několik omezení:

  • SQL server s databází WSUS nemůže být řadičem domény;
  • Server WSUS nemůže být současně terminálovým serverem s rolí Remote Desktop Services;

Pokud plánujete používat vestavěnou databázi (jedná se o vysoce doporučenou a efektivní možnost i pro velké infrastruktury), zaškrtněte políčko WID Databáze.

Pak musíte určit adresář, do kterého se budou aktualizační soubory ukládat (doporučujeme, aby na vybrané jednotce bylo alespoň 10 GB volného místa).

Velikost databáze WSUS je vysoce závislá na počtu produktů a systému Windows, které plánujete upgradovat. Ve velké organizaci může velikost aktualizačních souborů na serveru WSUS dosáhnout stovek GB. Mám například adresář s aktualizacemi WSUS, který zabírá asi 400 GB (jsou uloženy aktualizace pro Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 a 2016, SQL Server 2008/2012/2016) . Při plánování umístění souborů WSUS mějte na paměti..

V případě, že jste se dříve rozhodli použít samostatnou vyhrazenou databázi SQL, musíte zadat název serveru DBMS, instance databáze a zkontrolovat připojení.

Dále se spustí instalace role WSUS a všech nezbytných součástí, po které se spustí konzola pro správu WSUS v konzole Server Manager.

Server WSUS můžete také nainstalovat s interní databází pomocí následujícího příkazu PowerShell:

Install-WindowsFeature - Aktualizační služby pro aktualizace, UpdateServices-WidDB, UpdateServices-services -IncludeManagementTools

Počáteční konfigurace aktualizačního serveru WSUS v systému Windows Server 2012 R2 / 2016

Při prvním spuštění konzoly WSUS se automaticky spustí Průvodce aktualizací serveru. Zvažte základní kroky pro nastavení serveru WSUS pomocí průvodce.

Určete, zda server WSUS přebírá aktualizace přímo z webu Microsoft Update nebo zda by měl stahovat z předcházejícího serveru WSUS (tato možnost se obvykle používá ve velkých sítích ke konfiguraci serveru WSUS velké regionální kanceláře, která přijímá aktualizace z ústřední kanceláře WSUS, čímž se výrazně sníží zatížení na komunikační kanály mezi ústředím a pobočkou).

Pokud váš server WSUS musí stahovat aktualizace ze serverů Windows Update a vy přistupujete k Internetu přes proxy server, musíte pro jeho autorizaci zadat adresu proxy serveru, port a přihlašovací jméno / heslo.

Dále je zkontrolováno připojení k upstream serveru pro aktualizaci. Stiskněte tlačítko Začněte se připojovat.

Poté musíte vybrat jazyky, pro které bude služba WSUS stahovat aktualizace. Budeme naznačovat Anglicky a Ruština (seznam jazyků lze dále změnit z konzoly WSUS).

Poté uvádí seznam produktů, pro které má služba WSUS stahovat aktualizace. Musíte vybrat všechny produkty společnosti Microsoft, které se používají v podnikové síti. Nezapomeňte, že všechny aktualizace zabírají další místo na disku, takže byste neměli označovat nepotřebné produkty. Pokud jste si jisti, že v síti nejsou nainstalovány žádné počítače se systémem Windows XP nebo Windows 7, nevybírejte tyto možnosti. Tím výrazně ušetříte místo na serveru WSUS.

V případě potřeby můžete ručně importovat všechny aktualizace z katalogu Microsoft Update do svého serveru WSUS.

Na stránce Klasifikace Stránka, musíte určit typy aktualizací, které budou distribuovány prostřednictvím služby WSUS. Doporučujeme zadat: Kritické aktualizace, aktualizace definic, balíčky zabezpečení, aktualizace Service Pack, kumulativní aktualizace, aktualizace.

Aktualizace vydání (sestavení) systému Windows 10 (1709, 1803, 1809 atd.) V konzole WSUS jsou součástí třídy Upgrades..  

Dále je třeba zadat plán synchronizace aktualizací - doporučuje se používat automatickou denní synchronizaci serveru WSUS se servery Microsoft Update. Má smysl synchronizovat se v noci, aby se během pracovní doby nenačítal přístupový kanál k internetu.

Počáteční synchronizace serveru WSUS s aktualizačním serverem může trvat několik dní, v závislosti na počtu produktů, které jste vybrali dříve, a rychlosti internetového přístupu..

Po dokončení průvodce se spustí konzola WSUS..

Chcete-li zvýšit výkon serveru WSUS v systému Windows Server, doporučujeme vyloučit z oblasti antivirové kontroly následující složky:

  • \ WSUS \ WSUSContent;
  • % windir% \ wid \ data;
  • \ SoftwareDistribuce \ Stáhnout.

Klienti nyní mohou dostávat aktualizace připojením k serveru WSUS na portu 8530 (Windows Server 2003 a 2008 standardně používají port 80). U velkého počtu počítačů (více než 1500) lze výkon fondu IIS WsusPoll, který distribuuje aktualizace klientů, upravovat podle článku.

Chcete-li zobrazit zprávy o nainstalovaných aktualizacích na serveru WSUS, musíte nainstalovat další redistribuovatelné součásti Microsoft Report Viewer 2008 SP1 (nebo vyšší), které lze volně stáhnout z webu společnosti Microsoft.

V dalších článcích se budeme zabývat další konfigurací serveru WSUS na Windows Server 2012 R2 / 2016 a konfigurací klientů WSUS (serverů a pracovních stanic) pomocí skupinových zásad, funkcí schvalování aktualizací a přenosu schválených aktualizací mezi skupinami na serveru WSUS..