In this guide, we will demonstrate the steps to install WSUS console on Windows Server and Windows 11. There are several ways to install the WSUS admin console, including Server Manager, Windows PowerShell, and optional features.
Organizations often use WSUS as the primary solution to help keep up with and manage the frequent release of security updates, software upgrades, and service packs. WSUS plays an important role in distributing updates to your devices. For example, the software update point integrates with WSUS to provide software updates to Configuration Manager clients.
When you install the WSUS role on a Windows Server, the WSUS console is automatically installed. However, there are different procedures to follow if you want to manually install the WSUS console on Windows Server or Windows 11.
The most recent Microsoft product updates can be deployed by administrators using Windows Server Update Services (WSUS). Installing WSUS in your setup will allow you to efficiently manage and distribute updates.
What is WSUS Admin Console?
The WSUS administration console is a software or tool that allows you to connect to the WSUS Server and manage Windows updates. The WSUS admin console allows you to connect to a remote Windows Server Update Services server.
The Windows Server Update Services Tools can be installed on both Windows Server and Windows 11. By installing the WSUS administration console on a Windows 11 laptop, you can manage multiple WSUS servers without logging in to them.
Ways to Install WSUS Administration Console
There are three ways to install the WSUS administration console.
- Manually install the WSUS console using Server Manager
- Install WSUS admin console using PowerShell
- Install WSUS administration console on Windows 11 via optional features
On a Windows server, the WSUS admin console installed using PowerShell is quicker than Server Manager. However, the server manager is not available in Windows 11, and PowerShell is not supported for installing the WSUS console. The only way is to do it via the optional features.
Method 1: Install WSUS Console on Windows Server
Let’s look at the steps to install the WSUS console on Windows Server. On Windows Server, launch the Server Manager. In the Server Manager window, under the Configure this local server heading, click Add roles and features.
Click Next on the page titled “Before you begin.” If you want to avoid seeing this window again, you can choose to skip this page by default.
Select the installation type as role-based or feature-based installation. Click Next.
Make sure the server you select to install the WSUS console is the correct one in the server selection window. Click Next.
You do not need to make any choices in the Select Server Roles window. Click Next.
You can enable the installation of the WSUS console in the Features window. Expand “Role Administration Tools” and select the Windows Server Update Services Tools. The API and PowerShell cmdlets and User Interface Management console are also selected. Click Next.
On the Confirmation window, click Specify an alternate source path. Enter the path of the SXS folder from the Windows Server installation media. Click Next.
The WSUS console is now installed, and the Results window displays the installation status. The Windows Server message “Feature installation succeeded” verifies the installation of the WSUS console.
Installing the WSUS console on a server doesn’t require restarting the computer. Close the Add roles and features wizard window.
Method 2: Install WSUS Admin Console using PowerShell
The steps below explain how to install the WSUS console on a Windows server using PowerShell.
- Launch the PowerShell as an administrator.
- Run the command Install-WindowsFeature -Name UpdateServices-Ui to install the WSUS console.
- Exit code success means the WSUS console has been installed successfully.
- You can now launch the Windows Server Update Services console and connect to the WSUS server.
Method 3: Install WSUS Console on Windows 11
On Windows 11, you can install the WSUS administration console using optional features. The optional feature “RSAT: Windows Server Update Services Tools” contains both graphical and PowerShell tools for managing WSUS.
Click Start and launch the Settings app. Go to System > Optional Features. Next to the option “Add an optional feature,” select View Features.
Windows 11 has several optional features that you can install. To make it easier, type “Windows Server Update Services” in the search box. From the search results, select the optional feature RSAT: Windows Server Update Services Tools. Click Next.
The RSAT: Windows Server Update Services Tools optional feature that you selected above is shown on the confirmation screen. Click on Install.
The RSAT: Windows Server Update Services Tools are now downloaded and installed on your Windows 11 PC. Installing this optional feature doesn’t require a reboot.
How to Launch the WSUS Administration Console
The steps to launch the WSUS administration console vary based on the operating system that you have installed it on.
- WSUS Server: On your WSUS server, click Start, point to All Programs, point to Administrative Tools, and then click Windows Server Update Services.
- Windows Server: Open the Server Manager on the WSUS server. Select Tools from the top menu, then select Windows Server Update Services. This will open the WSUS administration console.
- Windows 11: Click Start, type “WSUS” in the search box, and open the Windows Server Update Services console.
- Shortcut: You can use the following shortcut to directly open the WSUS console: C:\Program Files\Update Services\AdministrationSnapin\wsus.msc
You must be a member of the local administrators group or the WSUS administrators group on the server on which WSUS is installed to use the WSUS console.
How to Connect to WSUS Server
The WSUS Server can be accessed in two different ways.
- You can use the WSUS console to connect to a remote WSUS server
- Open the administration console from Microsoft Edge on any server or computer by going to http://WSUSServerName[:portnumber]/WSUSAdmin/.
Using the WSUS admin console is the simplest method to gain access to the WSUS server. Launch the WSUS console, right-click Update Services and select Connect to Server.
In the Connect to Server window, specify the WSUS server to which you want to connect. If you have an existing WSUS server, enter the WSUS server name and port number.
If you wish to use SSL to communicate with the WSUS server, select the Use Secure Sockets Layer (SSL) to connect to this server check box. You may connect to as many servers as you need to manage through the console.
Video Tutorial
Take a look at the YouTube video tutorial that explains how to install the WSUS console. If you feel the video helped you, please subscribe to the channel for more such videos.
Read Next
Listed below are some useful WSUS guides.
- Manually Import Updates into WSUS
- How to Connect to WSUS with PowerShell
- Use CMPivot Query to Find WSUS Server Details in SCCM
- 2 Best Ways to Uninstall WSUS Admin Console
- How to Run WSUS Server Cleanup Wizard to Clean Updates
Still Need Help?
If you need further assistance on the above article or want to discuss other technical issues, check out some of these options.
С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.
Содержание:
- Установка роли WSUS в Windows Server
- Начальная настройка сервера обновлений WSUS в Windows Server
- Установка консоли администрирования WSUS в Windows 10/11
- Оптимизация производительности WSUS
Как работает WSUS?
Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:
- После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
- Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
- Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.
Установка роли WSUS в Windows Server
Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.
Если вы развертываете новый сервер WSUS, рекомендуется сразу устанавливать его на последнем релизе Windows Server 2022 (возможна установка на Windows Serve Core).
Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.
Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:
- Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
- Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- У вас отсутствуют лицензии MS SQL Server;
- Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
В бесплатной SQL Server Express Edition максимальный размер БД ограничен 10 Гб. Ограничение Windows Internal Database – 524 Гб. Например, в моей инфраструктуре размер базы данных WSUS на 3000 клиентов составил около 7Гб.
При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
- Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения
\\.\pipe\MICROSOFT##WID\tsql\query
.
Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.
Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.
Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).
Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server
После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.
Для управления WSUS из командной строки можно использовать консольную утилиту
WsusUtil.exe
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:
CD "C:\Program Files\Update Services\Tools"
WsusUtil.exe PostInstall CONTENT_DIR=E:\WSUS
Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:
wsusutil.exe postinstall SQL_INSTANCE_NAME="SQLSRV1\SQLINSTANCEWSUS" CONTENT_DIR=E:\WSUS_Content
Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.
Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.
Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.
Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.
Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).
Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.
Обязательно включите в классификации следующие общие разделы:
- Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
- Windows Dictionary Updates в категории Windows
- Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Обновления редакций (билдов) Windows 10 (21H2, 20H2, 1909 и т.д.) в консоли WSUS входят в класс Upgrades.
Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.
Консоль WSUS состоит из нескольких разделов:
- Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
- Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
- Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
- Syncronizations –расписание синхронизации обновлений
- Reports – отчёты WSUS
- Options – настройка сервера WSUS
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:
Test-NetConnection -ComputerName wsussrv1 -Port 8530
Можно использовать защищенное SSL подключение по порту 8531. Для этого нужно привязать сертификат в IIS.
Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.
Установка консоли администрирования WSUS в Windows 10/11
Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
wsus.msc
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.
Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0
Если вы хотите установить консоль WSUS в Windows Server, выполните команду:
Install-WindowsFeature -Name UpdateServices-Ui
При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.
- WSUS Administrators
- WSUS Reporters
Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:
The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.
Оптимизация производительности WSUS
В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.
- Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
- При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists). Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
Import-Module WebAdministration
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.00:15:00"
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0
Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel" - Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.
Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:
- \WSUS\WSUSContent;
- %windir%\wid\data;
- \SoftwareDistribution\Download.
After installing WSUS 3.0 on a server, you can manage WSUS 3.0 from any computer on your network, as long as the domain of that computer has a trust relationship with the domain of the server. You will need to perform a separate installation, from the same downloaded installation package, on every machine from which you want to run the WSUS 3.0 administration console.
To install the WSUS 3.0 administration console, use the same installation package you downloaded to install the WSUS server.
| Note |
|---|
| The latest version of the WSUS setup executable is available on the WSUS Web site (http://go.microsoft.com/fwlink/?LinkId=74472). |
The console-only installation process can be run from the setup UI from the command line. For more information about command-line installation, see Appendix A: Unattended Installations later in this guide.
To install the WSUS 3.0 console only from the UI
- Double-click the installer file (WSUSSetup-x86.exe or WSUSSetup-x64.exe).
- On the Welcome page, click Next.
- On the Installation Mode Selection page, select the Administration Console only check box, and then click Next.
- Read the terms of the license agreement carefully. Click I accept the terms of the License Agreement, and then click Next.
- The final page of the installation wizard will tell you whether or not the WSUS 3.0 installation was completed successfully. Then click Finish.
To install the WSUS 3.0 console only from the command line
- Open a command window.
- Navigate to the directory in which you saved the installation executable. (This will be either WSUSSetup-x86.exe or WSUSSetup-x64.exe.)
- Type one of the following commands:
WSUSSetup-x86.exe CONSOLE_INSTALL=1 or WSUSSetup-x64.exe CONSOLE_INSTALL=1
- This will bring up the Welcome page of the installation UI. Click Next.
- Read the terms of the license agreement carefully. Click I accept the terms of the License Agreement, and then click Next.
- Wait for the installation process to finish, and then click Finish.
Access the WSUS administration console
You must be a member of the local Administrators group or the WSUS Administrators security group on the computer on which WSUS is installed in order to use all the features of the WSUS console. Members of the WSUS Reporters security group have read-only access to the console.
To open the WSUS administration console
- Click Start, point to Control Panel, point to Administrative Tools, and then click Microsoft Windows Server Update Services 3.0.
- If you are bringing up the remote console for the first time, you will see only Update Services in the left pane of the console.
- To connect to a WSUS server, in the Actions pane click Connect to Server.
- In the Connect To Server dialog box, type the name of the WSUS server and the port on which you would like to connect to it.
- If you wish to use SSL to communicate with the WSUS server, select the Use Secure Sockets Layer (SSL) to connect to this server check box.
- Click Connect to connect to the WSUS server.
- You may connect to as many servers as you need to manage through the console.
Welcome to my tutorial for the Windows Server Update Services Part 4: Getting to know your WSUS console
Please note: If you want to use the reports from the WSUS console, you will need to install the Microsoft Report Viewer Redistributable. For Windows 7, 8, 8.1 and Server 2012/2012R2, use the Microsoft Report Viewer Redistributable 2008 (https://www.microsoft.com/en-us/download/details.aspx?id=6576). For Windows 10 and Server 2016 and newer, use Microsoft Report Viewer Runtime 2012 (https://www.microsoft.com/en-us/download/details.aspx?id=35747).
Before we jump into the management, let’s get familiarized with the WSUS console first.
If you want to start the WSUS console from your WSUS server, then there is not else to do. If you want to start it from another computer, you have to install the console first.
For Windows 10 1809 or later this console is available as optional feature. Open “Settings”, click on “Apps”, then “Optional Features” and finally “Add a feature”. You need the “RSAT: Windows Server Update Services Tools”.
WSUS RSAT Tools
You can open the console from the start menu either by starting to type the name or search for the link in the “Windows Administrative Tools” folder.
Summary
This is your WSUS console with the server summary page (When you click on your server’s name. This page will give you a brief overview about your computers and updates plus important notification about updates not approved or changed products/classifications.
The WSUS console
If your WSUS has important information or items requiring your attention, it will list them in the To Do section Which items are to be shown can be changed under “Options” and “Personalization”.
The summary also gives you a brief status on your computers and updates plus the most recent synchronization.
Synchronization status
Updates
This section covers all synchronized updates. The node “Updates” will just give you an overview about your updates. If you need more information, you need to use the node “All updates” or of the others (Which nodes are present depends on your products and classifications).
I personally use the “All updates” node all the time, but your workflow might be different.
My recommendation is to add a few more columns to your console as this will give you more information about your updates. To add columns, right click on the table header and select the columns. Afterwards select “Apply to All Views” as this will updates your selection to all updates sections. My console usually consists of these columns:
-Installation status
-File status
-Supersedence
-Title
-Classification
-KB article
-Failed count
-Needed count
-Installed count
-Not applicable count
-No status count
-Installed/Not Applicable Percentage
-Release date
-Approval
Customized update list
Computers
This section contains every computer (Client or server), which has contacted your WSUS (and has not been removed -obviously-).
The node “All Computers” contains every computer in the database. There might be more groups below, which allow you to separate your computers into logical groups (Like update waves or locations).
My recommendation is to add a few more columns to your console as this will give you more information about your updates. To add columns, right click on the table header and select the columns. Afterwards select “Apply to All Views” as this will updates your selection to all updates sections. My console usually consists of these columns:
-Installation Status
-Name
-IP Address
-Operating System
-Version
-Failed Count
-Needed Count
-Installed Count
-Not Applicable Count
-No Status Count
-Installed/Not Applicable Percentage
-Last Status Report
-Last Contact
Downstream Servers
“Downstream servers” gives you status information about your downstream servers. These are WSUS servers, which download updates from your WSUS and distribute them locally to their clients.
Synchronizations
Under “Synchronization” are all synchronization jobs listed. Each job contains information about why the job started (manual or scheduled), if the job failed or succeeded and how many updates have been added, changed or removed/expired.
This allows you to easily detect if you WSUS has trouble downloading new updates.
List of synchronization jobs
Reports
The “Reports” nodes contains pre-defined reports, which give you an overview about your update situation. You can use these or create a report per computer or update (I will show this later).
Options
Under “Options” are all customizations available.
“Update Source and Proxy Server” lets you change the source of update (Either from Microsoft or from another WSUS server) and your WSUS’ proxy settings.
With “Products and Classifications” you can add or remove products you have started or stopped to use and add more classifications if you do not receive all updates you require.
The link “Update files and Languages” lets you add or remove languages. You can also define it you want to updates directly after synchronization or after it has been approved only. I recommend to check this option for the first synchronizations and unchecked after you know your way around WSUS.
“Download express installation files” changes how WSUS deploys updates. With express installation files, your WSUS downloads larger updates (meaning more download and storage capacities), but your clients will need to download smaller packages. Use this option if you have clients connecting to your WSUS will very limited bandwidths.
The “Synchronization Schedule” lets you automatically search for new updates and download them. You can set a time for synchronization and how often per day it synchronizes. Unfortunately it is not possible to sync less often than daily.
“Automatic Approvals” allows you to approve update for certain or all groups when they arrive. This might be useful for Windows Defender definitions, but in general I would not approve untested updates.
The “Advanced” tab allows you to define that updates for the WSUS role are approved automatically without use a rule (Which should be enabled) and that newer revisions of approved updates are approved too. This is useful as Microsoft sometimes releases a new versions of an update, which you otherwise be not available for your clients.
With “Computers” you define whether you define your client groups via the WSUS console for with the registry entry. I will explain that concept later.
The “WSUS Server Cleanup Wizard” will perform some maintenance tasks (Most important deleting unneeded updates files). This wizard should be run monthly.
Warning: While the wizard runs, the WSUS service will be stopped. This means that you clients cannot download updates. Also be aware that this wizard might run up to 30 minutes (or longer), if not run regularly.
“Reporting Rollup” is only important if you have downstream servers. This options defines if update and computer information should be rolled up to this server or not. If you roll up the information, you can check the status of every system from this WSUS console instead of checking each downstream server individually.
If you would like to be notified about the current state of your WSUS, you can use “E-Mail Notifications”. You can receive an e-mail every time your WSUS synchronizes and/or daily or weekly status mails.
Mail notification for new updates
WSUS status mail
The “Microsoft Update Improvement Program” allows you to join the program. By doing so, your WSUS will send data to Microsoft helping the developers to improve the update components. Check your company policies, applying laws and regulations and other rules you have to follow if you are allowed to send information to Microsoft.
The “Personalization” link allows you to tweak some settings the way you want. You can choose to show computer and status from WSUS downstream servers or not. Plus you can choose which items are to be shown in the To Do section of your server’s summary. The settings for the downstream servers are up to you (And only important if you are using downstream servers). For the To Do list, my recommendation is to show all items.
The last point “WSUS Server Configuration Wizard” simply restarts the setup wizard from the first run. All options in the wizard can be changed via the “Options” tree node too.
Обновлено:
Опубликовано:
Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.
В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.
Подготовка сервера
Установка роли сервера обновлений
Постустановка и настройка WSUS с помощью мастера
Ручная настройка сервера
Установка Microsoft Report Viewer
Конфигурирование сервера
Настройка клиентов
Групповой политикой
Реестром
Автоматическая чистка
Перед установкой
Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:
- Задаем имя компьютера.
- Настраиваем статический IP-адрес.
- При необходимости, добавляем компьютер в домен.
- Устанавливаем все обновления Windows.
Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.
Установка роли
Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:
В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:
На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):
На следующей странице оставляем переключатель в положении Установка ролей или компонентов:
Далее выбираем сервер из списка, на который будем ставить WSUS:
В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:
Среди компонентов оставляем все по умолчанию и нажимаем Далее:
Мастер запустит предварительную настройку служб обновления — нажимаем Далее:
Среди ролей службы можно оставить галочки, выставленные по умолчанию:
Прописываем путь, где WSUS будет хранить файлы обновлений:
* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.
Запустится настройка роли IIS — просто нажимаем Далее:
Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:
В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:
Процесс установки занимаем несколько минут. После завершения можно закрыть окно:
Установка роли WSUS завершена.
Первый запуск и настройка WSUS
После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.
В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:
При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:
… и ждем завершения настройки:
Откроется стартовое окно мастера настройки WSUS — идем далее:
На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):
Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:
* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.
Если в нашей сети используется прокси-сервер, задаем настройки:
* в нашем примере прокси-сервер не используется.
Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:
… и дожидаемся окончания процесса:
Выбираем языки программных продуктов, для которых будут скачиваться обновления:
Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:
* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.
Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:
* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.
Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:
Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:
После откроется консоль управления WSUS.
Завершение настройки сервера обновлений
Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.
Установка Microsoft Report Viewer
Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:
… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:
Продолжаем установку и завершаем ее.
Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:
После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.
Донастройка WSUS
Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.
1. Группы компьютеров
При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.
В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:
Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:
2. Автоматические утверждения
После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.
В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:
Кликаем по Создать правило:
У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:
- Для тестовой группы применять все обновления сразу после их выхода.
- Для рабочих станций и серверов сразу устанавливать критические обновления.
- Для рабочих станций и серверов применять обновления спустя 7 дней.
- Для серверов устанавливать обновления безопасности по прошествии 3-х дней.
3. Добавление компьютеров в группы
Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.
В консоли WSUS переходим в Параметры — Компьютеры:
Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:
Настройка клиентов
И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.
Групповая политика (GPO)
Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:
- Для тестовой группы.
- Для серверов.
- Для рабочих станций.
Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:
| Название политики | Значение | Описание |
|---|---|---|
| Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений | Включить | Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений. |
| Настройка автоматического обновления | Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок. |
Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки. |
| Указать размещение службы обновлений Microsoft в интрасети | Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 * |
Настройка говорит клиентам, на каком сервере искать обновления. |
| Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях | Включить | Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям. |
| Не выполнять автоматическую перезагрузку, если в системе работают пользователи | Включить | Позволит избежать ненужных перезагрузок компьютера во время работы пользователя. |
| Повторный запрос для перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 1440 | Если перезагрузка была отложена, необходимо повторить запрос. |
| Задержка перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 30 | Дает время перед перезагрузкой компьютера после установки обновлений. |
| Разрешить клиенту присоединяться к целевой группе | Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа |
Позволяет добавить наши компьютеры в соответствующую группу WSUS. |
* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.
Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.
Настройка клиентов через реестр Windows
Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.
Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:
- WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- TargetGroupEnabled, REG_DWORD — значение 1
- TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».
Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:
- AUOptions, REG_DWORD — значение 2
- AutoInstallMinorUpdates, REG_DWORD — значение 0
- NoAutoUpdate, REG_DWORD — значение 0
- ScheduledInstallDay, REG_DWORD — значение 0
- ScheduledInstallTime, REG_DWORD — значение 3
- UseWUServer, REG_DWORD — значение 1
После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:
wuauclt.exe /detectnow
Автоматическая чистка WSUS
Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.
Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.
Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:
Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates
Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.