Установка и настройка сервера обновлений WSUS

23.08.2021

Установка и настройка сервера обновлений WSUS


В видео подробно рассказано как настроить WSUS сервер, хотелось бы немного его дополнить, несколькими моментами:

Диагностика WSUS

1.      Быстрое применение политики (в видео об этом говорилось), запуск консоли из под администратор и выполняем: gpupdate.exe /force (Обновить групповые политики)

2.      Проверяем, что политика применилась: gpresult.exe /R (Посмотреть применение групповых политик )

3. wuauclt /detectnow — Запустить немедленный опрос сервера WSUS на наличие обновлений

4. wuauclt /reportnow - Сбросить на сервер список уже установленных обновлений

5. wuauclt /resetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений

6. wuauclt /UpdateNow - Запускает процесс установки найденных обновлений

7. Проверка доступности порта WSUS через PowerShell:

Test-NetConnection -ComputerName wsus -Port 8530

Если машина не регистрируется на сервисе WSUS

Открываем командную строку с правами администратора и вводим команды

net stop wuauserv
net stop bits
Удаляем содержимое папки C:\Windows\SoftwareDistribution, сделав заранее копию или
rename c:\windows\SoftwareDistribution SoftwareDistribution.bak
net start wuauserv net start bits wuauclt.exe /detectnow

Если вы используете различные инструменты деплоя ОС из образов, то замечали что далеко не все ОС отправляют отчет на сервер WSUS или вообще пропадают с сервера.
Тут и кроется корень проблемы, после клонирования у машин остается один и тот же SusClientId. 
Посмотреть его можно в реестре, по следующему пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

Значения которые нам нужны называются — SusClientId и SusClientIdValidation. 
Данные значения должны быть уникальными на каждой машине, если это не так, то машины будут перерегистрироваться на WSUS затирая таким образом соседей с таким же SusClientId. Чтобы это исправить нужно выполнить следующие команды:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientId"
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientIdValidation"
wuauclt /resetauthorization /detectnow

После этого машина сбросит авторизацию на WSUS и зарегистрируется с новым, уникальным SusClientId.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

  1. Для тестовой группы.
  2. Для серверов.
  3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows. Стоит настроить следующие политики:

Название политики Значение Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений Включить Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления Включить.
Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки.
Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.
Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети Включить.
Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *
Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях Включить Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи Включить Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках Включить и выставить значение в минутах, например, 1440 Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках Включить и выставить значение в минутах, например, 30 Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе Включить и задать значение созданной в WSUS группе компьютеров:
- Рабочие станции
- Серверы
- Тестовая группа
Позволяет добавить наши компьютеры в соответствующую группу WSUS.

8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры - Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates


Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.


< Назад к списку новостей