Настройка windows server update services (wsus) в системе аналитики платформыconfigure windows server update services (wsus) in analytics platform system

Зависимости обновления программного обеспечения, являющиеся внешними для Configuration ManagerSoftware update dependencies that are external to Configuration Manager

В следующих разделах перечислены внешние зависимости для обновления программного обеспечения.The following sections list the external dependencies for software updates.

Службы IISInternet Information Services

Службы IIS должны быть установлены на серверах системы сайта для запуска точки обновления программного обеспечения, точки управления и точки распространения.Internet Information Services (IIS) must be installed on the site system servers to run the software update point, the management point, and the distribution point. Дополнительные сведения см. в разделе Необходимые компоненты для ролей системы сайта.For more information, see Prerequisites for site system roles.

Службы WSUSWindows Server Update Services

Службы обновления Windows Server (Windows Server Update Services, WSUS) необходимы для синхронизации обновлений программного обеспечения, а также для проверки применимости обновлений на клиентах.Windows Server Update Services (WSUS) is needed for software updates synchronization and for the software updates applicability scan on clients. Сервер служб WSUS должен быть установлен перед созданием роли «Точка обновления программного обеспечения».The WSUS server must be installed before you create the software update point role. Для точки обновления программного обеспечения поддерживаются следующие версии служб WSUS:The following versions of WSUS are supported for a software update point:

  • WSUS 10.0.14393 (роль в Windows Server 2016);WSUS 10.0.14393 (role in Windows Server 2016)
  • WSUS 10.0.17763 (роль в Windows Server 2019) (требуется Configuration Manager 1810 или более поздней версии);WSUS 10.0.17763 (role in Windows Server 2019) (Requires Configuration Manager 1810 or later)
  • WSUS 6.2 и 6.3 (роль в Windows Server 2012 и Windows Server 2012 R2);WSUS 6.2 and 6.3 (role in Windows Server 2012 and Windows Server 2012 R2)

    При развертывании обновлений Windows 10 требуется KB 3095113 и KB 3159706 (или эквивалентное обновление) для WSUS 6.2 и 6.3.KB 3095113 and KB 3159706 (or an equivalent update) are needed for WSUS 6.2 and 6.3 if you deploy Windows 10 upgrades.

Примечание

При наличии нескольких точек обновления программного обеспечения на сайте убедитесь в том, что они используют одинаковую версию WSUS.When you have multiple software update points at a site, ensure that they’re all running the same version of WSUS.

Консоль администрирования WSUSWSUS Administration Console

Консоль администрирования WSUS необходима на сервере сайта Configuration Manager, если точка обновления программного обеспечения находится на удаленном сервере системы сайта, а службы WSUS еще не установлены на сервере сайта.The WSUS Administration Console is required on the Configuration Manager site server when the software update point is on a remote site system server and WSUS isn’t already installed on the site server.

Важно!

  • Версия WSUS на сервере сайта должна совпадать с версией WSUS в точках обновления программного обеспечения.The WSUS version on the site server must be the same as the WSUS version that’s running on the software update points.
  • Не пользуйтесь консолью администрирования WSUS для настройки параметров служб WSUS.Don’t use WSUS Administration Console to configure WSUS settings. Диспетчер Configuration Manager подключается к экземпляру служб WSUS в точке обновления ПО и настраивает соответствующие параметры.Configuration Manager connects to the instance of WSUS that is running on the software update point and configures the appropriate settings.

Агент обновления WindowsWindows Update Agent

Агент Центра обновления Windows (WUA) требуется на клиентах, чтобы они могли подключаться к серверу WSUS.The Windows Update Agent (WUA) client is required on clients so that they can connect to the WSUS server. WUA получает список обновлений программного обеспечения, которые необходимо проверить на соответствие требованиям.WUA retrieves the list of software updates that must be scanned for compliance.

При установке Configuration Manager скачивается последняя версия WUA.When you install Configuration Manager, the latest version of WUA is downloaded. Затем, когда устанавливается клиент Configuration Manager, при необходимости производится обновление WUA.Then, when you install the Configuration Manager client, WUA is upgraded if necessary. Если выполнить установку не удастся, необходимо использовать другой метод обновления WUA.If the installation fails, you must use a different method to upgrade WUA.

Erwähnungen / Citations

— «WSUS Offline Update Testbericht» (pro.de)
— «WSUS Offline Update» (msn)
— «ctupdate» (CHIP)
— «WSUS Offline Update» (PCpraxis)
— «WSUS Offline Update» (tecchannel.de)
— «WSUS Offline Update» (Swiss IT magazine)
— «WSUS Offline Update» (administrator.de)
— «WSUS Offline Update» (arcor.de)
— «WSUS Offline Update» (FAZ)
— «WSUS Offline Update» (SZ)
— «WSUS Offline Update» (wintotal.de)
— «WSUS Offline Update» (giga.de)
— «WSUS Offline Update» (soft-ware.net)
— «c’t Offline Update» (Softpedia)
— «WSUS Offline-Update» (Update-Scout)
— «c’t-Offline Update» (EFB.nu)
— «WSUS Offline Update» (softonic.de)
— «WSUS Offline Update» (supernature-forum.de)
— «WSUS Offline Update» (pcfreunde.de)
— «WSUS Offline Update — Easiest Way To Download And Distribute Windows Updates And Hotfixes» (megaleecher.net)
— «Update Windows with Offline Update», «Offline Update 6 Adds Linux Support» (ghacks.net)
— «How To Update Windows with Offline Update 6» (Darenji)
— «Offline Update 6.0: Update without the Internet!» (secpoint.com)
— «Windows Offline Update CD erstellen» (Administrator)
— «Offline-Update CDs für Microsoft Betriebssysteme und Office-Pakete» (Regionale Rechenzentrum für Niedersachsen (RRZN) Hannover)
— «Update-CD für Windows» (Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen)
— «Sicherheitspatches» (Regionales Rechenzentrums Erlangen (RRZE))
— «Windows Update ohne Microsoft Server» (Fachhochschule Braunschweig/Wolfenbüttel)
— «WSUS-Offline-Update-CD» (Rechenzentrum CAU Kiel)
— «WSUS Offline Update» (basskarre.de)
— «4 Tools to Update Windows Offline» (Raymond.CC Blog)
— «Update Windows 7 PC Offline By Downloading Windows Updates To Another Computer» (TroubleFixers)
— «Update Windows offline without internet connection» (tothePC)
— «Microsoft Update», «c’t» (Wikipedia)
— «PC Security» (Lunarsoft)
— «WSUS Offline Update» (MegaDownloads.nl)

Настройка WSUS

После первоначальной настройки (выбора вышестоящего сервера (то-ли сервера WSUS, то-ли Microsoft Update), прокси-сервера (если используется)) необходимо выполнить первоначальную синхронизацию, после которой будет доступна следующая информация об обновляемых продуктах:

  • Имеющиеся типы обновлений;
  • Продукты, допускающие обновления;
  • Доступные языки.

WSUS — Подключение к вышестоящему серверу

После этой синхронизации можно выбирать что и для чего загружать.

А именно: языки:

Языки обновлений

продукты:

Продукты

классы обновлений:

Классы

В данном примере WSUS конфигурируется таким образом, что он будет выкачивать только критические обновления для русскоязычных версий Windows XP.

На следующем этапе нужно указать расписание синхронизации с вышестоящим сервером – либо вручную, либо автоматически. Во втором случае нужно указать время первой синхронизации и количество синхронизаций в день:

Расписание синхронизации

Все эти настройки можно настраивать как при первоначальной настройке, так и потом в любое время (на скриншотах как раз из варианта “потом”).

Теперь у нас всё готово для работы. После прохождения всех вышеописанных этапов открывается консоль WSUS:

Консоль WSUS

В дереве слева задаются опции, большинство из которых мы уже рассмотрели.

Так как сервер мы только настроили, и ещё не запускали синхронизацию, то в разделе “Общие сведения” сплошные нули.

Нажимаем “Синхронизировать сейчас” и ждём.

Примечание: Нужно отметить, что процесс получения обновлений сравнительно длительный процесс (особенно в первый раз) и зависит от тех настроек, которые мы рассматривали выше, а именно какие обновления качать, для каких продуктов, и на каких языках. За это время можно если не выпить, то налить чашку кофе точно

После завершения синхронизации в этом же окне можно ознакомиться с результатом синхронизации и с количеством выкачанных обновлений:

Консоль WSUS после синхронизации

Развернув дерево в левой части окна, можно выбрать конкретный тип обновлений, в левой части окна вверху появится список соответствующих обновлений, а снизу информация о выбранном обновлении:

Обзор обновлений

А при двойном щелчке на обновлении подробная информация о нём открывается в отдельном окне, при условии, что был установлен Microsoft Report Viewer.

После ознакомления с информацией об обновлении, для того, чтобы его можно было установить, его нужно одобрить (некоторые обновления заменяются другими, и их можно не устанавливать, в таком случае в информации об обновлении появляется предупреждение). Для одобрения нужно нажать правой кнопкой мышки на обновлении и в появившемся меню выбрать пункт Одобрить. В следующем окне последовательно нажать Одобрено для установки и Применить к дочерним.

Одобрение обновлений

На этом настройка собственно WSUS заканчивается.

Оптимизация WSUS

Настройка Internet Information Server

В конфигурации «по-умолчанию» пул приложений «WsusPool» настроен неоптимально. Давайте донастроим его. Для этого запустите оснастку IIS, откройте «Application pools», выберите WsusPool и откройте «Advanced settings»:

По умолчанию процессу w3wp.exe выделяется мало памяти. Давайте уберем лимиты:

В поле «Private Memory Limit (KB)» установите в качестве лимита 0

При большом количестве клиентов WSUS, особенно получающих обновления впервые, рекомендуем увеличить следующие параметры:

  1. В поле «Queue Length» установите значение 25 000 или даже 50 000 (по умолчанию там всего 1000).
  2. Если у Вас используется NUMA, в поле «Maximum Worker Processes» поставьте значение 0 (по умолчанию 1). Если Вы не знаете, поддерживает ли сервер NUMA, оставьте значение по умолчанию.
  3. В поле «»Service Unavailable» Response Type» поставьте значение TcpLevel (по умолчанию — HttpLevel).
  4. В поле «‘Failure Interval (minutes)» поставьте значение 30 (по умолчанию 5).
  5. В поле «Maximum Failures» поставьте значение 60 (по умолчанию 5)

После изменения настроек перезагрузите сервер или только IIS. Для перезагрузки IIS выполните в командной строке от имени администратора:

Настройка TempDB

Настройте базу TempDB: укажите количество файлов базы данных равным количеству процессоров на SQL сервере. Если количество процессоров больше 8, используйте 8 файлов в базе данных TempDB.
Microsoft рекомендует:
As a general rule, if the number of logical processors is less than or equal to 8, use the same number of data files as logical processors. If the number of logical processors is greater than 8, use 8 data files and then if contention continues, increase the number of data files by multiples of 4 (up to the number of logical processors) until the contention is reduced to acceptable levels or make changes to the workload/code.

Обновления не загружаются из конечной точки интрасети (WSUS или Configuration Manager)Updates aren’t downloading from the intranet endpoint (WSUS or Configuration Manager)

Устройства с Windows 10 могут получать обновления из различных источников, в том числе с веб-сайта центра обновления Windows, сервера Windows Server Update Services и других пользователей.Windows 10 devices can receive updates from a variety of sources, including Windows Update online, a Windows Server Update Services server, and others. Чтобы определить источник обновлений Windows, используемых в настоящее время на устройстве, выполните указанные ниже действия.To determine the source of Windows Updates currently being used on a device, follow these steps:

  1. Запустите Windows PowerShell с правами администратора.Start Windows PowerShell as an administrator.
  2. Выполните \ $MUSM = New-Object-ComObject «Microsoft. Update. ServiceManager».Run $MUSM = New-Object -ComObject «Microsoft.Update.ServiceManager».
  3. Запустите \ $MUSM. Служб.Run $MUSM.Services.

Проверьте выходные данные для параметров Name и OffersWindowsUPdates, которые можно интерпретировать в соответствии с этой таблицей.Check the output for the Name and OffersWindowsUPdates parameters, which you can interpret according to this table.

ВыводOutput КаноническInterpretation
-Name: Microsoft Update- Name: Microsoft Update -OffersWindowsUpdates: true-OffersWindowsUpdates: True -Источник обновлений — это Microsoft Update, и это значит, что вы также можете доставить обновления для других продуктов Майкрософт, кроме операционной системы.- The update source is Microsoft Update, which means that updates for other Microsoft products besides the operating system could also be delivered.-Указывает на то, что клиент настроен для получения обновлений для всех продуктов Майкрософт (Office и т. д.)- Indicates that the client is configured to receive updates for all Microsoft Products (Office, etc.)
— Name (имя): DCat тестовый заказ- Name: DCat Flighting Prod -OffersWindowsUpdates: true- OffersWindowsUpdates: True -Начиная с Windows 10 1709, обновления компонентов всегда доставляются через службу DCAT.- Starting with Windows 10 1709, feature updates are always delivered through the DCAT service.-Указывает на то, что клиент настроен для получения обновлений компонентов из центра обновления Windows.- Indicates that the client is configured to receive feature updates from Windows Update.
-Name: Магазин Windows (DCat произв.)- Name: Windows Store (DCat Prod) -OffersWindowsUpdates: false- OffersWindowsUpdates: False -Источник обновлений — это обновления для участников программы предварительной оценки для приложений Магазина.-The update source is Insider Updates for Store Apps.-Указывает на то, что клиент не может получать и не настроен для получения этих обновлений.- Indicates that the client will not receive or is not configured to receive these updates.
-Name: служба обновления Windows Server- Name: Windows Server Update Service -OffersWindowsUpdates: true- OffersWindowsUpdates: True -Источник — это сервер служб Windows Server Updates.- The source is a Windows Server Updates Services server. -Клиент настроен для получения обновлений от WSUS.- The client is configured to receive updates from WSUS.
-Name: Windows Update- Name: Windows Update-OffersWindowsUpdates: true- OffersWindowsUpdates: True -Источник — это Windows Update.- The source is Windows Update. -Клиент настроен для получения обновлений из центра обновления Windows Online.- The client is configured to receive updates from Windows Update Online.

WSUS Server role description

A WSUS server provides features that you can use to manage and distribute updates through a management console. A WSUS server can also be the update source for other WSUS servers within the organization. The WSUS server that acts as an update source is called an upstream server. In a WSUS implementation, at least one WSUS server on your network must be able to connect to Microsoft Update to get available update information. As an administrator, you can determine — based on network security and configuration — how many other WSUS servers connect directly to Microsoft Update.

Practical applications

Update management is the process of controlling the deployment and maintenance of interim software releases into production environments. It helps you maintain operational efficiency, overcome security vulnerabilities, and maintain the stability of your production environment. If your organization cannot determine and maintain a known level of trust within its operating systems and application software, it might have a number of security vulnerabilities that, if exploited, could lead to a loss of revenue and intellectual property. Minimizing this threat requires you to have properly configured systems, use the latest software, and install the recommended software updates.

The core scenarios where WSUS adds value to your business are:

  • Centralized update management

  • Update management automation

New and changed functionality

Note

Upgrade from any version of Windows Server that supports WSUS 3.2 to Windows Server 2012 R2 requires that you first uninstall WSUS 3.2.

In Windows Server 2012, upgrading from any version of Windows Server with WSUS 3.2 installed is blocked during the installation process if WSUS 3.2 is detected. In that case, you will be prompted to first uninstall Windows Server Update Services prior to upgrading your server.

However, because of changes in this release of Windows Server and Windows Server 2012 R2, when upgrading from any version of Windows Server and WSUS 3.2, the installation is not blocked. Failure to uninstall WSUS 3.2 prior to performing a Windows Server 2012 R2 upgrade will cause the post installation tasks for WSUS in Windows Server 2012 R2 to fail. In this case, the only known corrective measure is to format the hard drive and reinstall Windows Server.

Windows Server Update Services is a built-in server role that includes the following enhancements:

  • Can be added and removed by using the Server Manager

  • Includes Windows PowerShell cmdlets to manage the most important administrative tasks in WSUS

  • Adds SHA256 hash capability for additional security

  • Provides client and server separation: versions of the Windows Update Agent (WUA) can ship independently of WSUS

Using Windows PowerShell to manage WSUS

For system administrators to automate their operations, they need coverage through command-line automation. The main goal is to facilitate WSUS administration by allowing system administrators to automate their day-to-day operations.

What value does this change add?

By exposing core WSUS operations through Windows PowerShell, system administrators can increase productivity, reduce the learning curve for new tools, and reduce errors due to failed expectations resulting from a lack of consistency across similar operations.

What works differently?

In earlier versions of the Windows Server operating system, there were no Windows PowerShell cmdlets, and update management automation was challenging. The Windows PowerShell cmdlets for WSUS operations add flexibility and agility for the system administrator.

Устройству не удается получить доступ к файлам обновленияDevice cannot access update files

Убедитесь, что устройства могут получить необходимые конечные точки центра обновления Windows через брандмауэр.Ensure that devices can reach necessary Windows Update endpoints through the firewall. Например, в Windows 10 версии 2004 следующие протоколы должны поддерживать доступ к соответствующим конечным точкам.For example, for Windows 10, version 2004, the following protocols must be able to reach these respective endpoints:

Используемый протоколProtocol URL-адрес конечной точкиEndpoint URL
TLS 1,2TLS 1.2
HTTPHTTP
HTTPHTTP
HTTPHTTP
HTTPSHTTPS
TLS 1,2TLS 1.2
TLS 1,2TLS 1.2

Примечание

Убедитесь, что для конечных точек, задающих HTTP, и наоборот не используются протоколы HTTPS.Be sure not to use HTTPS for those endpoints that specify HTTP, and vice versa. Соединение закончится сбоем.The connection will fail.

Проблемы, связанные с HTTP/проксиIssues related to HTTP/Proxy

Служба центра обновления Windows использует WinHttp с запросами на частичный диапазон (RFC 7233) для загрузки обновлений и приложений с серверов центра обновления Windows или локальных серверов WSUS.Windows Update uses WinHttp with Partial Range requests (RFC 7233) to download updates and applications from Windows Update servers or on-premises WSUS servers. Поэтому прокси-серверы в сети должны поддерживать запросы HTTP RANGE.Therefore proxy servers on the network must support HTTP RANGE requests. Если прокси-сервер настроен в Internet Explorer (на уровне пользователя), но не в WinHTTP (на уровне системы), подключение к обновлению Windows завершится сбоем.If a proxy was configured in Internet Explorer (User level) but not in WinHTTP (System level), connections to Windows Update will fail.

Чтобы устранить эту проблему, настройте прокси-сервер в WinHTTP с помощью следующей команды Netsh:To fix this issue, configure a proxy in WinHTTP by using the following netsh command:

Примечание

Параметры прокси-сервера также можно импортировать из Internet Explorer с помощью следующей команды: netsh WinHTTP Import Source = IEYou can also import the proxy settings from Internet Explorer by using the following command: netsh winhttp import proxy source=ie

Если загрузка через прокси-сервер завершается сбоем с ошибкой 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH или при загрузке обновлений загружается большое использование ЦП, проверьте конфигурацию прокси-сервера, чтобы разрешить выполнение запросов HTTP RANGE.If downloads through a proxy server fail with a 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH error, or if you notice high CPU usage while updates are downloading, check the proxy configuration to permit HTTP RANGE requests to run.

Вы можете применить правило для разрешения запросов HTTP RANGE для следующих URL-адресов:You might choose to apply a rule to permit HTTP RANGE requests for the following URLs:

Если вы не можете разрешить запросы к ДИАПАЗОНу, вам будет загружаться больше содержимого, чем требуется в обновлениях (поскольку исправление изменений не работает).If you can’t allow RANGE requests, you’ll be downloading more content than needed in updates (as delta patching will not work).

Управление группами компьютеровManaging computer Groups

Служба WSUS позволяет направлять обновления на группы клиентских компьютеров, таким образом обеспечивается получение определенными компьютерами нужных обновлений в самое подходящее время.WSUS allows you to target updates to groups of client computers, so you can ensure that specific computers always get the right updates at the most convenient times. Например, если компьютеры в одном отделе (например, бухгалтерии) имеют особую конфигурацию, то можно настроить группу для данного отдела, определить, какие обновления нужны на их компьютерах и в какое время их нужно устанавливать, а затем использовать отчеты WSUS для оценки данных обновлений.For example, if all the computers in one department (such as the Accounting team) have a specific configuration, you can set up a group for that team, decide which updates their computers need and what time they should be installed, and then use WSUS reports to evaluate the updates for the team.

Компьютеры всегда назначаются группе » все компьютеры » и остаются назначенными группе » Неназначенные компьютеры » до тех пор, пока они не будут назначены другой группе.Computers are always assigned to the All computers group, and remain assigned to the Unassigned computers group until you assign them to another group. Компьютеры могут входить в несколько групп.Computers can belong to more than one group.

Можно создать иерархические группы компьютеров (например, создать группу «Зарплата» и группу «Расчеты с поставщиками» в группе «Бухгалтерия»).Computer groups can be set up in hierarchies (for example, the Payroll group and the Accounts Payable group below the Accounting group). Обновления, утвержденные для более высокой группы, будут автоматически развернуты в более низких группах, а также в самой группе более высокого уровня.Updates that are approved for a higher group will automatically be deployed to lower groups, as well as to the higher group itself. Таким же, если вы утвердите update1 для группы учета, обновление будет развернуто на всех компьютерах в группе Бухгалтерия, на всех компьютерах в группе зарплата и на всех компьютерах в группе расчеты с клиентами.Thus, if you approve Update1 for the Accounting group, the update will be deployed to all the computers in the Accounting group, all the computers in the Payroll group, and all the computers in the Accounts Payable group.

Поскольку компьютеры могут состоять в нескольких группах, то возможна ситуация, когда одно обновление будет одобрено несколько раз на одном и том же компьютере.Because computers can be assigned to multiple groups, it is possible for a single update to be approved more than once for the same computer. Тем не менее само обновление будет развернуто только один раз, а любые конфликты будут разрешены сервером WSUS.However, the update will be deployed only once, and any conflicts will be resolved by the WSUS server. Чтобы продолжить работу с приведенным выше примером, если компьютер a назначен для групп Payroll и Accounting и update1 утвержден для обеих групп, он будет развернут только один раз.To continue with the example above, if computerA is assigned to both the Payroll and the Accounts Payable groups, and Update1 is approved for both groups, it will be deployed only once.

Для добавления компьютеров в группы можно использовать один из двух методов: указание на стороне сервера и указание на стороне клиентов.You can assign computers to computer groups by using one of two methods, server-side targeting or client-side targeting. Нацеливание на стороне сервера позволяет вручную переместить один или несколько клиентских компьютеров в одну группу компьютеров.With server-side targeting, you manually move one or more client computers to one computer group at a time. Нацеливание на стороне клиента позволяет использовать групповая политика или изменять параметры реестра на клиентских компьютерах, чтобы разрешить этим компьютерам автоматически добавлять себя в ранее созданные группы компьютеров.With client-side targeting, you use Group Policy or edit the registry settings on client computers to enable those computers to automatically add themselves into the previously created computer groups. Этот процесс можно записать в скрипт и развернуть на нескольких компьютерах одновременно.This process can be scripted and deployed to many computers at once. Необходимо указать метод нацеливания, который будет использоваться на сервере WSUS, выбрав один из двух параметров в разделе » Компьютеры » страницы » Параметры «.You must specify the targeting method you will use on the WSUS server by selecting one of the two options on the computers section of the Options page.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий