За что отвечает служба microsoft wsus
Ускоряем работу WSUS
Свежеустановленный сервер обновлений WSUS через несколько лет эксплуатации превращается в неповоротливое чудовище. Клиенты медленно обновляются и долго ищут обновления, журналы WindowsUpdate.log пестрят ошибками HTTP, а администратор впадает в депрессию.
Вот несколько советов, которые могут во многих случаях значительно ускорить сервер.
1. Настройка IIS
2. Очистка базы
3. Переиндексация
4. Настройка TempDB
Настройка Internet Information Server
В конфигурации «по-умолчанию» пул приложений «WsusPool» незаслуженно обделён памятью. Это является главной причиной HTTP-ошибок сервера в журналах клиентов.
Чтобы прибавить процессу память, запустите оснастку IIS и откройте Advanced settings:
Установите в качестве лимита 0.
Очистка базы
В консоли WSUS можно запустить «Server Cleanup Wizard». Главный секрет в том, что запускать его надо регулярно, не реже одного раза в месяц.
Одобрили свежую пачку обновлений — очистите сервер. Если этого не делать, мастер прекращает нормально работать. После запуска он висит несколько часов, после чего консоль падает с ошибкой.
Для начала можно попробовать запускать каждый пункт по отдельности, сверху вниз:
Если это не помогает, надо выполнить очистку напрямую в базе. Для этого необходимо подключиться к экземпляру SQL Server инструментом Management Studio. Management Studio стала отдельным продуктом. Его можно скачать по этой ссылке.
Если вы используете Windows Internal Database, необходимо поставить Management Studio на сервер с WSUS. Для подключения к экземпляру используется строка:
Для очистки базы выполните 4 волшебные команды:
Для команды spCompressUpdate используется «обёртка»:
Такая же обертка для spDeleteUpdate:
Во время работы «обёрток» клиенты прекращают получать обновления. Вы можете в любой момент прервать выполнение скрипта без потери прогресса. Для того, чтобы продолжить процесс, не забудьте удалить временную таблицу:
В мастере очистки 5 команд, мы вполнили 4 из них. Команду «Delete computers not contacting server» следует выполнить из мастера.
Переиндексация базы
Для переиндексации базы используйте следующий скрипт:
Настройка TempDB
As a general rule, if the number of logical processors is less than or equal to 8, use the same number of data files as logical processors. If the number of logical processors is greater than 8, use 8 data files and then if contention continues, increase the number of data files by multiples of 4 (up to the number of logical processors) until the contention is reduced to acceptable levels or make changes to the workload/code.
Эту рекомендацию не следует игнорировать. Я останавливаюсь на четырех файлах. Начальный размер файлов должен быть одинаковым. После этого ожидания, как правило, исчезают.
Спасибо за внимание. Знаете еще какие-то фишки — делитесь!
Приручаем WSUS при помощи Ansible и не только
Ну что ж, вот и настала пора подружить Windows-обновления с миром Open Source. В этой статье разнообразим быт интеграцией Ansible со всеми возможными источниками обновлений Windows-машин. Хотя возможности системы значительно шире простой раскатки обновлений на серверы и рабочие станции, но ведь надо с чего-то начинать.
Заодно избавимся от досадных неудобств WSUS, если вы предпочитаете «старую школу».
За что мы не любим WSUS
Про настройку Windows Server Update Services рассказывать я не буду, благо она тривиальна. Сосредоточусь на минусах.
Интерфейс WSUS почти не менялся на протяжении всей истории.
Невозможность установки по требованию. Действительно, для штатной работы WSUS подходит неплохо — обновления спокойно себе настраиваются и ставятся по локальной сети при выключении компьютеров. Но если нужно срочно установить патчи безопасности, то придется выкручиваться скриптами и решениями для запуска этих самых скриптов. В этом может помочь наш материал «1000++ способ запуска команд на удаленном компьютере».
Отсутствие штатного способа установки обновлений стороннего ПО. Если есть сервер обновлений, то выглядит разумным использовать его не только для обновлений программ MS, но для других решений. Например, в не к ночи упомянутом Adobe Flash Player уязвимости находятся с завидной регулярностью, да и радовать пользователей новыми возможностями FireFox тоже хотелось бы. Для того чтобы наладить установку обновлений через WSUS, приходится использовать сторонние решения вроде WSUS Package Publisher. Посмотреть примеры настройки можно в статье «Установка любого программного обеспечения средствами WSUS — 2».
Использование встроенной БД Windows. При стандартной установке WSUS использует WID — Windows Internal Database. По сути это маленький встроенный SQL Server с базой данных. В случае каких-то неполадок или конфликтов — к примеру, если у вас на одном сервере живет Remote Desktop Connection Broker и WSUS, — приходится чинить эту базу, настраивать права доступа и всячески развлекаться. Да и резервное копирование бы не помешало. По счастью, WSUS может использовать и классический SQL. Для переноса БД WSUS можно воспользоваться инструкцией Migrating the WSUS Database from WID to SQL от Microsoft.
Необходимость обслуживания и неочевидная настройка сбойных клиентов. Как это бывает с продуктами от Microsoft, рано или поздно WSUS начинает тормозить: клиенты долго не могут к нему подцепиться и скачать обновления. Сборник советов и оптимизаций есть в статье «Ускоряем работу WSUS» и в комментариях к ней.
Конечно, с этими минусами можно жить, но можно и облегчить себе жизнь другими инструментами, используя их как в паре с WSUS, так и без него.
Устанавливаем обновления при помощи Ansible
Практически любая система управления конфигурациями может облегчить работу с обновлениями. Разберем пример на базе Ansible для установки обновлений по требованию.
Устраивать холивар, что лучше из бесплатных систем — Ansible, Chef, Puppet или вовсе Salt, нет ни малейшего желания. Система Ansible выбрана за отсутствие необходимости использования агентов и за простоту настройки. И, конечно, из-за Python: ведь этот язык намного проще освоить начинающим автоматизаторам, в отличие от Ruby.
Стоит отметить, что помимо решения задачи, это будет неплохое подспорье для ознакомления с принципами работы подобных систем. Если, конечно, вы еще не развлекались установкой Streisand, особенно, когда что-то в процессе идет не так. А если вы уже используете Ansible или другие модные решения, то запросто сможете и обновления устанавливать. С азами Ansible я рекомендую ознакомиться в статье «Пособие по Ansible», а ниже — пошаговая инструкция по работе с обновлениями.
Для начала подготовим сервер Ansible. Подойдет практически любой GNU\Linux дистрибутив, но примеры команд я буду приводить для Ubuntu Server (так исторически сложилось).
Для начала установим пакетный менеджер для приложений на Python:
Затем нам понадобится установить пакет pywinrm для подключения к системам Windows и непосредственно систему Ansible:
Проверка установки.
Вместо пакета в теории pywinrm можно использовать любое другое средство для управления Windows с машины на Linux. Часть из них разобрана в статье «Перекрестное опыление: управляем Linux из-под Windows, и наоборот».
Теперь нужно разрешить подключение к Windows по WinRM. Для этого есть уже готовый скрипт ConfigureRemotingForAnsible.ps1, доступный на GitHub. Ну, а как запускать скрипты на удаленных машинах вы уже знаете.
Проверить подключение к Windows можно командой:
Проверка подключения успешна.
Теперь можно заняться созданием playbook. Нам облегчит жизнь тот факт, что разработчики Ansible уже подумали за нас и сделали модуль win_updates, как раз для решения таких задач.
Playbook — это «инструкция», которая говорит системе управления конфигурациями, что же ей делать. Разумеется, пошаговая.
Любой playbook является файлом в формате yml и представляет из себя набор директив — у каждого модуля они свои. Модуль winupdate позволяет использовать следующие директивы (жирным выделены значения по умолчанию):
| Название | Значение | Описание |
| category_names | Application Connectors CriticalUpdates DefinitionUpdates DeveloperKits FeaturePacks Guidance SecurityUpdates ServicePacks Tools UpdateRollups Updates | Категория обновлений. |
| whitelist | Номер обновления или шаблон имени. | Непосредственно номер устанавливаемых обновлений вида KB01234 или шаблон имени в виде регулярного выражения PowerShell. |
| blacklist | Номер обновления или шаблон имени. | Непосредственно номер обновлений, которые не нужно устанавливать, вида KB01234 или шаблон имени в виде регулярного выражения PowerShell. |
| reboot | yes no | Требуется ли перезагрузка после обновления. |
| reboot_timeout | секунды, 1200 | Сколько времени ждать машину после перезагрузки. |
| state | installed searched | Устанавливать ли обновления, или только искать. |
| log_path | путь к файлу | Журнал установки, при этом папка должна существовать. |
Таким образом, для установки определенных обновлений подойдет следующий playbook:
А если надо просто посчитать, сколько обновлений не хватает, playbook будет таким:
Для установки всех доступных обновлений с последующей перезагрузкой будет подобный playbook:
Напомню, что для работы со списком серверов понадобится файл инвентаризации. Например, такой:
И теперь для установки обновлений только на контроллеры домена можно использовать playbook:
Команда, которая проделает все эти операции, будет такой:
Внимательный читатель может спросить про источник скачиваемых обновлений. Источник будет тот, что настроен на компьютере: будь то Windows Update в интернете или локальный WSUS. Даже если до настройки WSUS руки не дошли, можно дать команду на установку нужных срочных апдейтов, особенно если детальки Lego под ноги уже высыпались.
Остается добавить, что не обязательно использовать именно Ansible. Например, для системы управления конфигурациями Chef можно использовать Cookbook Wsus Client или более навороченный boxstarter. Аналогичные модули существуют и для Puppet. В общем-то практически любая система управления конфигурациями может что-то подобное, в том числе и MS SCCM.
Напоследок приведу еще несколько заинтересовавших меня инструментов.
Прочие системы и решения
WSUS offline. Программа, позволяющая скачать необходимые обновления одним пакетом, при необходимости можно запаковать в ISO. Также можно положить пакет в сетевую папку и устанавливать обновления скриптами, без развертывания полноценного WSUS.
Patch Management от Comodo. Система установки обновлений для Windows и другого ПО. В отличие от других решений — бесплатна.
Интерфейс Comodo Patch Management.
Opsi. Бесплатная, интересная система, поддерживающая установку не только обновлений, но и операционных систем, заодно с инвентаризацией.
Интерфейс BatchPatch.
В комментариях добавляйте свои любимые инструменты для работы с обновлениями и не только.
Центр обновления Windows — дополнительные ресурсы
Относится к:
Windows Server 2016 поддерживает политики, доступные в Windows 10 версии 1607. Windows Server 2019 поддерживает политики, доступные в Windows 10 версии 1809.
В следующих ресурсах содержатся дополнительные сведения об использовании Центра обновления Windows.
Устранение неполадок WSUS
Как сбросить компоненты Центра обновления Windows?
Если другие действия не помогают, попробуйте сбросить агент Центра обновления Windows, выполнив следующие команды из командной строки с повышенными привилегиями.
Сброс компонентов Центра обновления Windows вручную
Откройте командную строку Windows. Чтобы открыть командную строку, нажмите Пуск > Выполнить. Скопируйте и вставьте (или введите вручную) следующую команду в командную строку, затем нажмите клавишу ВВОД:
Остановите службу BITS, службу Центра обновления Windows и службу шифрования. Для этого введите следующие команды в командной строке. После ввода каждой команды нажимайте клавишу ВВОД.
Удалите файлы qmgr*.dat. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
Если вы впервые пытаетесь устранить неполадки Центра обновления Windows, выполнив действия, перечисленные в этой статье, перейдите к шагу 5, не выполняя действия шага 4. Действия, описанные на шаге 4, необходимо выполнять при устранении неполадок только в случае, если неполадки Центра обновления Windows не удается устранить, выполнив все шаги, кроме шага 4. Действия шага 4 также выполняются в «агрессивном» режиме указанного выше решения «Исправить».
Для этого введите следующие команды в командной строке. После ввода каждой команды нажимайте клавишу ВВОД.
Введите следующую команду в командной строке и нажмите клавишу ВВОД:
Зарегистрируйте файлы BITS и файлы Центра обновления Windows. Для этого введите следующие команды в командной строке. После ввода каждой команды нажимайте клавишу ВВОД.
Сбросьте WinSock. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
Если вы используете Windows XP или Windows Server 2003, необходимо настроить параметры прокси-сервера. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
Перезапустите службу BITS, службу Центра обновления Windows и службу шифрования. Для этого введите следующие команды в командной строке. После ввода каждой команды нажимайте клавишу ВВОД.
Если вы используете Windows Vista или Windows Server 2008, очистите очередь BITS. Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
Управление клиентскими компьютерами и группами компьютеров служб WSUS
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Узел Компьютеры — это центральная точка доступа в консоли администрирования WSUS для управления клиентскими компьютерами и устройствами WSUS. В этом узле можно найти различные настроенные группы (а также группу по умолчанию, Неназначенные компьютеры).
Управление клиентскими компьютерами
Выбор одной из групп компьютеров в узле «Параметры » приводит к тому, что компьютеры в этой группе будут отображаться в области сведений. Если компьютер назначен нескольким группам, он будет отображаться в списках обеих групп. Если выбрать компьютер в списке, можно просмотреть его свойства, в том числе общие сведения о компьютере и состояние обновлений для него, например состояние установки или обнаружения обновления для определенного компьютера. Можно отфильтровать список компьютеров в заданной группе компьютеров по состоянию. По умолчанию отображаются только те компьютеры, для которых требуются обновления или произошел сбой установки. Однако можно отфильтровать отображение по любому состоянию. Нажмите кнопку Обновить после изменения фильтра состояния.
Можно также управлять группами компьютеров на странице Компьютеры, в том числе создавать группы и назначать им компьютеры. Дополнительные сведения об управлении группами компьютеров см. в разделе об управлении группами компьютеров в следующем разделе этого раздела и 1,5. Планирование групп компьютеров WSUS в шаге 1. Подготовка к развертыванию WSUS в руководство по развертыванию WSUS.
Сначала необходимо настроить клиентские компьютеры для связи с сервером WSUS, прежде чем можно будет управлять ими с этого сервера. Пока эта задача не будет выполнена, сервер WSUS не сможет распознать клиентские компьютеры и не будет отображаться в списке на странице компьютеры. Дополнительные сведения о настройке клиентских компьютеров см. в статье 1,5. Планирование групп компьютеров WSUS из шага 1. Подготовка к развертыванию WSUS и шаг 3. Настройка WSUS в разделе Руководство по развертыванию WSUS.
Управление моментом установки обновлений клиентскими компьютерами WSUS
Существует два способа управления установкой обновлений клиентскими компьютерами WSUS.
Утверждение с крайними сроками: крайние сроки строго применяются при установке обновления
групповые политики WSUS. групповые политики контролируют, когда агент Центр обновления Windows сканирует и устанавливает обновления.
дополнительные сведения см. в разделе шаг 5. настройка групповая политика Параметры для автоматическое обновлениев разделе руководство по развертыванию WSUS.
Управление группами компьютеров
Служба WSUS позволяет направлять обновления на группы клиентских компьютеров, таким образом обеспечивается получение определенными компьютерами нужных обновлений в самое подходящее время. Например, если компьютеры в одном отделе (например, бухгалтерии) имеют особую конфигурацию, то можно настроить группу для данного отдела, определить, какие обновления нужны на их компьютерах и в какое время их нужно устанавливать, а затем использовать отчеты WSUS для оценки данных обновлений.
Компьютеры всегда назначаются группе » все компьютеры » и остаются назначенными группе » Неназначенные компьютеры » до тех пор, пока они не будут назначены другой группе. Компьютеры могут входить в несколько групп.
Можно создать иерархические группы компьютеров (например, создать группу «Зарплата» и группу «Расчеты с поставщиками» в группе «Бухгалтерия»). Обновления, утвержденные для более высокой группы, будут автоматически развернуты в более низких группах, а также в самой группе более высокого уровня. Таким же, если вы утвердите update1 для группы учета, обновление будет развернуто на всех компьютерах в группе Бухгалтерия, на всех компьютерах в группе зарплата и на всех компьютерах в группе расчеты с клиентами.
Поскольку компьютеры могут состоять в нескольких группах, то возможна ситуация, когда одно обновление будет одобрено несколько раз на одном и том же компьютере. Тем не менее само обновление будет развернуто только один раз, а любые конфликты будут разрешены сервером WSUS. Чтобы продолжить работу с приведенным выше примером, если компьютер a назначен для групп Payroll и Accounting и update1 утвержден для обеих групп, он будет развернут только один раз.
Для добавления компьютеров в группы можно использовать один из двух методов: указание на стороне сервера и указание на стороне клиентов. Нацеливание на стороне сервера позволяет вручную переместить один или несколько клиентских компьютеров в одну группу компьютеров. Нацеливание на стороне клиента позволяет использовать групповая политика или изменять параметры реестра на клиентских компьютерах, чтобы разрешить этим компьютерам автоматически добавлять себя в ранее созданные группы компьютеров. Этот процесс можно записать в скрипт и развернуть на нескольких компьютерах одновременно. Необходимо указать метод нацеливания, который будет использоваться на сервере WSUS, выбрав один из двух параметров в разделе » Компьютеры » страницы » Параметры «.
Установка и настройка сервера обновлений WSUS
Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.
В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.
Перед установкой
Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:
Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.
Установка роли
Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:
На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):
На следующей странице оставляем переключатель в положении Установка ролей или компонентов:
Далее выбираем сервер из списка, на который будем ставить WSUS:
Среди компонентов оставляем все по умолчанию и нажимаем Далее:
Мастер запустит предварительную настройку служб обновления — нажимаем Далее:
Среди ролей службы можно оставить галочки, выставленные по умолчанию:
Прописываем путь, где WSUS будет хранить файлы обновлений:
* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.
Запустится настройка роли IIS — просто нажимаем Далее:
Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:
В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:
Процесс установки занимаем несколько минут. После завершения можно закрыть окно:
Установка роли WSUS завершена.
Первый запуск и настройка WSUS
После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.
При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:
. и ждем завершения настройки:
Откроется стартовое окно мастера настройки WSUS — идем далее:
На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):
Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:
* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.
Если в нашей сети используется прокси-сервер, задаем настройки:
* в нашем примере прокси-сервер не используется.
Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:
. и дожидаемся окончания процесса:
Выбираем языки программных продуктов, для которых будут скачиваться обновления:
Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:
* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.
Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:
* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.
Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:
Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:
После откроется консоль управления WSUS.
Завершение настройки сервера обновлений
Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.
Установка Microsoft Report Viewer
Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:
Продолжаем установку и завершаем ее.
Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/en-us/download/details.aspx?id=3841 и скачиваем установочный пакет:
После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.
Донастройка WSUS
Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.
1. Группы компьютеров
При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.
Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:
2. Автоматические утверждения
После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.
Кликаем по Создать правило:
У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:
3. Добавление компьютеров в группы
Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.
Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:
Настройка клиентов
И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.
Групповая политика (GPO)
Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:
| Название политики | Значение | Описание |
|---|---|---|
| Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений | Включить | Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений. |
| Настройка автоматического обновления | Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок. | Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки. |
| Указать размещение службы обновлений Microsoft в интрасети | Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 * | Настройка говорит клиентам, на каком сервере искать обновления. |
| Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях | Включить | Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям. |
| Не выполнять автоматическую перезагрузку, если в системе работают пользователи | Включить | Позволит избежать ненужных перезагрузок компьютера во время работы пользователя. |
| Повторный запрос для перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 1440 | Если перезагрузка была отложена, необходимо повторить запрос. |
| Задержка перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 30 | Дает время перед перезагрузкой компьютера после установки обновлений. |
| Разрешить клиенту присоединяться к целевой группе | Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа | Позволяет добавить наши компьютеры в соответствующую группу WSUS. |
* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.
Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.
Настройка клиентов через реестр Windows
Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.
Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:
Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:
После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:
Автоматическая чистка WSUS
Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.
Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой: