Поделиться через


Шаг 2. Настройка служб WSUS

После установки на сервере роли сервера Windows Server Update Services (WSUS) ее нужно правильно настроить. Кроме того, нужно настроить клиентские компьютеры, чтобы они получали обновления с сервера WSUS.

В этой статье рассматриваются следующие задачи:

Задача Description
2.1. Настройка сетевых подключений Настройте параметры брандмауэра и прокси-сервера, чтобы разрешить серверу выполнять необходимые подключения.
2.2. Настройка служб WSUS с помощью мастера настройки WSUS С помощью мастера настройки WSUS выполните базовую настройку WSUS.
2.3. Защита служб WSUS с помощью протокола SSL Настройте протокол SSL для защиты служб WSUS.
2.4. Настройка групп компьютеров WSUS Создайте группы компьютеров в консоли администрирования WSUS для управления обновлениями в организации.
2.5. Настройка клиентских компьютеров для установки SSL-подключений к серверу WSUS Настройте клиентские компьютеры для установления безопасных подключений к серверу WSUS.
2.6. Настройка клиентских компьютеров для получения обновлений с сервера WSUS Настройте клиентские компьютеры для получения обновлений с сервера WSUS.

2.1. Настройка сетевых подключений

До начала процесса настройки убедитесь в том, что вы знаете ответы на следующие вопросы.

  • Разрешают ли настройки брандмауэра на сервере доступ клиентов к серверу?

  • Может ли этот компьютер подключаться к вышестоящему серверу (например, к серверу, предназначенному для загрузки обновлений из Центра обновления Майкрософт)?

  • Располагаете ли вы именем и адресом прокси-сервера, а также учетными данными пользователя для данного прокси-сервера, если они вам требуются?

Затем можно приступить к настройке следующих сетевых параметров WSUS:

  • Обновления. Укажите, откуда сервер будет получать обновления: из Центра обновления Майкрософт или с другого сервера WSUS.

  • Прокси-сервер. Если для доступа к Интернету службы WSUS должны использовать прокси-сервер, настройте на сервере WSUS параметры прокси-сервера.

  • Брандмауэр. Если службы WSUS размещены за корпоративным брандмауэром, на пограничном устройстве нужно дополнительно разрешить трафик WSUS.

Внимание

Если у вас только один сервер WSUS, он должен иметь доступ к Интернету, так как ему нужно скачивать обновления с серверов Майкрософт. Если у вас несколько серверов WSUS, доступ к Интернету необходим только одному из них. Другим серверам нужен только сетевой доступ к серверу WSUS, который подключен к Интернету. Клиентским компьютерам не требуется доступ к Интернету. Им нужен только сетевой доступ к серверу WSUS.

Совет

Если ваша сеть полностью отключена от Интернета, вы все равно можете использовать WSUS для предоставления обновлений клиентским компьютерам в сети. Для этого вам потребуются два сервера WSUS. Первый сервер WSUS с доступом к Интернету получает обновления от Майкрософт. Второй сервер WSUS в защищенной сети выполняет обновления клиентских компьютеров. Обновления экспортируются с первого сервера на съемный носитель, переносятся через воздушный зазор и импортируются на второй сервер. В этой статье мы не будем рассматривать такую конфигурацию.

2.1.1. Настройка брандмауэра: подключение первого сервера WSUS к доменам Майкрософт в Интернете

Если между сервером WSUS и сетью Интернет располагается корпоративный брандмауэр, возможно, вам потребуется настроить брандмауэр, чтобы сервер WSUS мог получать обновления. Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порты 80 и 443 для протоколов HTTP и HTTPS. Большинство корпоративных брандмауэров разрешают этот тип трафика, но в некоторых организациях доступ к Интернету с таких серверов ограничен в соответствии с политиками безопасности. В этом случае необходимо настроить брандмауэр так, чтобы сервер WSUS мог подключаться к доменам Майкрософт.

У первого сервера WSUS должен быть исходящий доступ к портам 80 и 443 в следующих доменах:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Внимание

Вам нужно настроить брандмауэр, чтобы разрешить первому серверу WSUS получать доступ к любому URL-адресу в этих доменах. IP-адреса этих доменов постоянно меняются, поэтому не пытайтесь использовать диапазоны IP-адресов вместо URL-адресов.

Если при получении обновлений в WSUS возникает ошибка, связанная с настройками брандмауэра, см. статью 885819 в базе знаний Майкрософт.

2.1.2. Настройка брандмауэра: подключение других серверов WSUS к первому серверу

Если у вас несколько серверов WSUS, вам нужно настроить для других серверов WSUS подключение к первому (верхнему) серверу. Другие серверы WSUS будут получать все сведения об обновлениях от верхнего сервера. Такая конфигурация позволяет управлять всей сетью с помощью консоли администрирования WSUS на верхнем сервере.

У других серверов WSUS должен быть исходящий доступ к верхнему серверу через два порта. По умолчанию это порты 8530 и 8531. Эти порты можно изменить, как описано далее в этой статье.

Примечание.

Если сетевое подключение между серверами WSUS работает медленно или оно затратное, можно настроить один или несколько других серверов WSUS на получение полезных данных обновлений непосредственно от Майкрософт. В этом случае с серверов WSUS на верхний сервер будут отправляться только небольшие объемы данных. Обратите внимание, что в этой конфигурации другие серверы WSUS должны иметь доступ к тем же доменам Интернета, что и верхний сервер.

Примечание.

Если у вас большая организация, вы можете использовать цепочки подключенных серверов WSUS вместо подключения всех остальных серверов WSUS напрямую к верхнему серверу. Например, у вас может быть второй сервер WSUS, который подключается к верхнему серверу, а другие серверы WSUS подключаются ко второму серверу WSUS.

2.1.3 Настройка серверов WSUS для использования прокси-сервера (при необходимости)

Если корпоративная сеть использует прокси-серверы, прокси-серверы должны поддерживать протоколы HTTP и HTTPS. Они также должны использовать обычную проверку подлинности или проверку подлинности Windows. Эти требования можно выполнить с помощью одной из следующих конфигураций:

  • Один прокси-сервер, поддерживающий два канала протоколов. В этом случае настройте для одного канала использование протокола HTTP, а для другого канала использование протокола HTTPS.

    Примечание.

    Можно настроить один прокси-сервер, обрабатывающий оба протокола для WSUS, во время установки программного обеспечения сервера WSUS.

  • Два прокси-сервера, каждый из которых поддерживает один протокол. В этом случае один прокси-сервер настроен для использования протокола HTTP, а другой — для использования протокола HTTPS.

Настройка служб WSUS для использования двух прокси-серверов

  1. Войдите на компьютер, который будет использоваться в качестве сервера WSUS, используя учетную запись, которая включена в локальную группу администраторов.

  2. Установите роль сервера WSUS. Во время работы с мастером настройки WSUS не указывайте прокси-сервер.

  3. Откройте командную строку (Cmd.exe) от имени администратора.

    1. Выберите Пуск.
    2. В поле Начать поиск введите Командная строка.
    3. Вверху меню "Пуск" щелкните правой кнопкой мыши элемент Командная строка и выберите пункт Запустить от имени администратора.
    4. Если откроется диалоговое окно Контроль учетных записей, введите соответствующие учетные данные (при запросе), подтвердите, что отображаемое действие — именно то, что вы хотите сделать, и нажмите кнопку Продолжить.
  4. В окне командной строки перейдите в папку C:\Program Files\Update Services\Tools. Введите следующую команду:

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    В этой команде:

    • proxy_server — имя прокси-сервера, который поддерживает протокол HTTPS;

    • proxy_port — номер порта прокси-сервера.

  5. Закройте окно командной строки.

Добавление прокси-сервера в конфигурацию WSUS

  1. Откройте консоль администрирования WSUS.

  2. В области слева разверните имя сервера и щелкните Параметры.

  3. В области Параметры выберите Источник обновления и прокси-сервер, а затем перейдите на вкладку Прокси-сервер.

  4. Установите флажок Использовать прокси-сервер при синхронизации.

  5. В поле Имя прокси-сервера введите имя прокси-сервера.

  6. В поле Номер порта прокси-сервера введите номер порта прокси-сервера. Номер порта по умолчанию: 80.

  7. Если прокси-сервер требует использования определенной учетной записи пользователя, установите флажок Использовать учетные данные пользователя для подключения к прокси-серверу. Введите нужное имя пользователя, домен и пароль в соответствующие текстовые поля.

  8. Если прокси-сервер поддерживает обычную проверку подлинности, установите флажок Разрешить обычную проверку подлинности (пароль передается открытым текстом).

  9. Нажмите ОК.

Удаление прокси-сервера из конфигурации WSUS

  1. Снимите флажок Использовать прокси-сервер при синхронизации.

  2. Нажмите ОК.

2.1.4. Настройка брандмауэра для разрешения доступа клиентских компьютеров к серверу WSUS

Все клиентские компьютеры будут подключаться к одному из серверов WSUS. У клиентского компьютера должен быть исходящий доступ к двум портам на сервере WSUS. По умолчанию это порты 8530 и 8531.

2.2. Настройка служб WSUS с помощью мастера настройки WSUS

Эта методика предполагает, что вы используете мастер настройки WSUS, который открывается при первом запуске консоли управления WSUS. Далее в этой статье вы узнаете, как производить такую настройку при помощи страницы Параметры.

Настройка служб WSUS

  1. В окне диспетчера серверов в области слева выберите Панель мониторинга>Инструменты>Windows Server Update Services.

    Примечание.

    При появлении диалогового окна Завершить установку WSUS выберите Выполнить. После успешного завершения установки в диалоговом окне Завершить установку WSUS выберите Закрыть.

  2. Откроется окно мастера настройки WSUS. Просмотрите сведения на странице Перед началом работы и нажмите кнопку Далее.

  3. Ознакомьтесь с инструкциями на странице Принять участие в программе улучшения качества Центра обновления Майкрософт. Оставьте установленный флажок, если хотите участвовать в программе, или снимите флажок, если это не хотите участвовать. Затем выберите Далее.

  4. На странице Выбор вышестоящего сервера выберите один из двух вариантов: Синхронизировать обновления с Центром обновления Майкрософт или Синхронизировать с другим сервером Windows Server Update Services.

    Если вы выбрали синхронизацию с другим сервером WSUS, сделайте следующее:

    • Укажите имя сервера и порт, через который сервер будет связываться с вышестоящим сервером.

    • Для использования SSL установите флажок Использовать SSL при синхронизации данных об обновлениях. Для синхронизации серверы будут использовать порт 443. (Убедитесь в том, что оба сервера поддерживают протокол SSL).

    • Если это сервер-реплика, установите флажок Это реплика вышестоящего сервера.

  5. Выбрав параметры развертывания, нажмите кнопку Далее.

  6. На странице Настройка прокси-сервера установите флажок Использовать прокси-сервер при синхронизации. Затем введите имя прокси-сервера и номер порта (по умолчанию — порт 80) в соответствующих полях.

    Внимание

    Выполнение этого действия необходимо, если службам WSUS требуется прокси-сервер для доступа к Интернету.

  7. Если для подключения к прокси-серверу нужно использовать определенную учетную запись пользователя, установите флажок Использовать учетные данные пользователя для подключения к прокси-серверу. Затем введите имя пользователя, домен и пароль пользователя в соответствующих полях.

    Чтобы задействовать обычную проверку подлинности для пользователя, подключающегося к прокси-серверу, установите флажок Разрешить обычную проверку подлинности (пароль передается открытым текстом).

  8. Выберите Далее.

  9. На странице Подключение к вышестоящему серверу нажмите Начать подключение.

  10. Когда службы WSUS подключатся к серверу, нажмите кнопку Далее.

  11. На странице Выбор языков можно выбрать языки для получения обновлений службами WSUS — все языки или некоторый набор языков. Выбор ограниченного набора языков позволяет сохранить пространство на диске, однако важно выбрать все те языки, которые необходимы всем клиентам этого сервера WSUS.

    Чтобы получать обновления только для определенных языков, выберите Загружать обновления только для следующих языков, а затем выберите языки, для которых нужно получать обновления. В противном случае оставьте уже выбранное значение.

    Предупреждение

    При выборе варианта Загружать обновления только для следующих языков:, а также при наличии подчиненного сервера WSUS, подключенного к данному серверу, подразумевается принудительное использование только выбранных языков также и подчиненным сервером.

  12. Выбрав языки для своего развертывания, нажмите кнопку Далее.

  13. На странице Выбор продуктов можно указать продукты, для которых вы хотите получать обновления. Выберите категории продуктов, например Windows, или определенные продукты, например Windows Server 2012. Выбор категории продукта подразумевает выбор всех продуктов в данной категории.

  14. Выбрав продукты для своего развертывания, нажмите кнопку Далее.

  15. На странице Выбор классов выберите классы обновлений, которые хотите получать. Выберите все классы или некоторый их набор, а затем нажмите кнопку Далее.

  16. На странице Настройка расписания синхронизации можно выбрать выполнение синхронизации автоматически или вручную.

    • Если выбран вариант Синхронизация вручную, синхронизацию необходимо запускать в консоли администрирования служб WSUS.

    • Если выбран вариант Автоматическая синхронизация, сервер WSUS выполняет синхронизацию с установленными интервалами.

    Установите время первой синхронизации и укажите, сколько раз в день сервер должен выполнять синхронизацию. Например, если указать четыре синхронизации в день, начиная с 03:00, синхронизация будет происходить в 03:00, 09:00, 15:00 и 21:00.

  17. Выбрав параметры синхронизации для своего развертывания, нажмите кнопку Далее.

  18. На странице Завершено предусмотрена возможность начать синхронизацию прямо сейчас. Для этого нужно установить флажок Запустить первоначальную синхронизацию.

    Если этот флажок не установить, вам нужно будет запустить начальную синхронизацию через консоль управления служб WSUS. Чтобы получить информацию о дополнительных параметрах, нажмите кнопку Далее. Чтобы завершить работу мастера по начальной настройке служб WSUS, нажмите кнопку Готово.

  19. После нажатия кнопки Готово отобразится консоль администрирования WSUS. Эта консоль будет использоваться для управления сетью WSUS, как описано далее.

2.3. Защита служб WSUS с помощью протокола SSL

Вам следует использовать протокол SSL, чтобы защитить свою сеть WSUS. WSUS может использовать SSL для аутентификации подключений, а также для шифрования и защиты информации об обновлениях.

Предупреждение

Защита WSUS с помощью протокола SSL важна для безопасности вашей сети. Если сервер WSUS не использует SSL надлежащим образом для защиты своих подключений, злоумышленник может изменить важную информацию об обновлении при ее отправке с одного сервера WSUS на другой или с сервера WSUS на клиентские компьютеры. Это позволит злоумышленнику устанавливать вредоносные программы на клиентских компьютерах.

Внимание

Клиенты и подчиненные серверы, которые настроены на использование протокола TLS или HTTPS, также должны быть настроены для использования полного доменного имени для вышестоящего сервера WSUS.

2.3.1. Включение SSL/HTTPS в службе IIS сервера WSUS для использования SSL/HTTPS

Чтобы начать этот процесс, нужно включить поддержку SSL в службе IIS сервера WSUS. Это подразумевает создание SSL-сертификата для сервера.

Процедура получения SSL-сертификата для сервера выходит за рамки этой статьи и зависит от конфигурации сети. Дополнительные сведения и инструкции по установке сертификатов и настройке этой среды см. в следующих статьях:

2.3.2. Настройка веб-сервера IIS сервера WSUS для использования SSL при некоторых подключениях

WSUS требует наличия двух портов для подключения к другим серверам WSUS и клиентским компьютерам. Один порт использует HTTPS (SSL) для отправки метаданных обновлений (важные сведения об обновлениях). По умолчанию это порт 8531. Второй порт использует протокол HTTP для отправки полезных данных обновления. По умолчанию это порт 8530.

Внимание

Настроить весь веб-сайт WSUS так, чтобы он требовал использования SSL, невозможно. Задача WSUS — только шифрование метаданных обновления. Центр обновления Windows распространяет обновления аналогичным образом.

Чтобы защитить от злоумышленников полезные данные обновлений, все данные обновлений подписываются с помощью определенного набора доверенных сертификатов для подписи. Кроме того, для полезных данных каждого обновления вычисляется криптографический хэш. Этот хэш передается на клиентский компьютер через безопасное HTTPS-подключение для метаданных вместе с другими метаданными обновления. При скачивании обновления клиентское программное обеспечение проверяет цифровую подпись и хэш полезных данных. Если обновление было изменено, оно не устанавливается.

Шифрование SSL следует требовать только для следующих виртуальных корневых папок IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Для следующих виртуальных корней шифрование SSL требовать не следует:

  • Содержимое

  • Запасы

  • ReportingWebService

  • SelfUpdate

Сертификат центра сертификации (ЦС) должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера каждого сервера WSUS или хранилище доверенных корневых ЦС WSUS, если оно существует.

Дополнительные сведения об использовании сертификатов SSL в службах IIS см. в разделе Требование протокола SSL (IIS 7).

Внимание

Необходимо использовать хранилище сертификатов локального компьютера. Хранилище сертификатов пользователя использовать нельзя.

Как правило, в службах IIS для HTTPS-подключений следует настроить порт 8531, а для HTTP-подключений — порт 8530. При изменении этих портов необходимо использовать два соседних номера портов. Номер порта для HTTP-подключений должен быть ровно на единицу меньше, чем номер порта для HTTPS-подключений.

При изменении имени сервера, конфигурации SSL или номера порта необходимо повторно инициализировать ClientServicingProxy.

2.3.3. Настройка WSUS для использования сертификата подписи SSL для клиентских подключений

  1. Войдите в систему сервера WSUS, используя учетную запись, которая включена в группу администраторов WSUS или локальную группу администраторов.

  2. В меню Пуск введите CMD, щелкните правой кнопкой мыши элемент Командная строка и выберите пункт Запустить от имени администратора.

  3. Перейдите в папку %ProgramFiles%\Update Services\Tools\ .

  4. В командной строке введите следующую команду:

    wsusutil configuressl _certificateName_

    В этой команде certificateName — это DNS-имя сервера WSUS.

2.3.4. Защита подключения SQL Server (при необходимости)

Если вы используете службы WSUS с удаленной базой данных SQL Server, подключение между сервером WSUS и сервером базы данных не защищается шифрованием SSL. Это создает потенциальный вектор атаки. Чтобы защитить это подключение, примите во внимание следующие рекомендации:

  • Переместите базу данных WSUS на сервер WSUS.

  • Переместите удаленный сервер базы данных и сервер WSUS в частную сеть.

  • Выполните развертывание протокола IPsec, чтобы обеспечить защиту сетевого трафика. Дополнительные сведения о протоколе IPsec см. в статье Создание и использование политик IPsec.

2.3.5. Создание сертификата для подписи кода для локальной публикации (при необходимости)

Наряду с распространением обновлений, предоставляемых корпорацией Майкрософт, службы WSUS также поддерживают локальную публикацию. Локальная публикация позволяет создавать и распространять обновления, разработанные самостоятельно, с собственными полезными данными и поведением.

Включение и настройка локальной публикации выходят за рамки этой статьи. Полные сведения см. в статье Локальная публикация.

Внимание

Локальная публикация — сложный процесс, и зачастую она не требуется. Прежде чем вы решите включить локальную публикацию, внимательно изучите документацию и определите, будете ли вы использовать эту функцию и как именно вы планируете ее использовать.

2.4. Настройка групп компьютеров WSUS

Группы компьютеров являются важной частью эффективного использования WSUS. Группы компьютеров позволяют проверять обновления и направлять их на конкретные компьютеры. По умолчанию имеются две группы компьютеров: "Все компьютеры" и "Неназначенные компьютеры". По умолчанию каждый клиентский компьютер прежде всего контактирует с сервером WSUS, а сервер добавляет клиентский компьютер в обе указанные группы.

Вы можете создать любое количество групп пользовательских компьютеров, необходимое для управления обновлениями в вашей организации. Наилучшей методикой является создание не менее одной группы компьютеров для проверки обновлений до их развертывания на других компьютерах вашей организации.

2.4.1. Выбор способа назначения клиентских компьютеров группам компьютеров

Есть два подхода к назначению клиентских компьютеров группам компьютеров. Правильный подход для организации будет зависеть от того, как обычно осуществляется управление клиентскими компьютерами.

  • Нацеливание на стороне сервера. Это подход по умолчанию. В этом случае вы назначаете клиентские компьютеры группам компьютеров с помощью консоли администрирования WSUS.

    Такой подход позволяет быстро перемещать клиентские компьютеры из одной группы в другую по мере изменения обстоятельств. Но это означает, что новые клиентские компьютеры нужно вручную перемещать из группы неназначенных компьютеров в соответствующую группу компьютеров.

  • Нацеливание на стороне клиента. В этом случае каждый клиентский компьютер назначается той или иной группе компьютеров с помощью параметров политики, заданных на самом клиентском компьютере.

    Такой подход упрощает назначение новых клиентских компьютеров соответствующим группам, так как процедура выполняется на этапе настройки клиентского компьютера для получения обновлений с сервера WSUS. Но это означает, что клиентские компьютеры невозможно назначать группам компьютеров или перемещать из одной группы в другую с помощью консоли администрирования WSUS. Вместо этого необходимо изменить политики клиентских компьютеров.

2.4.2. Включение нацеливания на стороне клиента (при необходимости)

Внимание

Пропустите этот шаг, если планируете использовать нацеливание на стороне сервера.

  1. В консоли администрирования WSUS в разделе Службы обновления разверните узел сервера WSUS и щелкните Параметры.

  2. На вкладке Общие в области Параметры выберите Использовать групповую политику или параметры реестра на компьютерах.

2.4.3. Создание нужных групп компьютеров

Примечание.

Группы компьютеров, в которые будут добавляться клиентские компьютеры, необходимо создавать с помощью консоли администрирования WSUS, независимо от того, какой подход вы используете: нацеливание на стороне сервера или на стороне клиента.

  1. В консоли администрирования WSUS в разделе Службы обновления разверните узел сервера WSUS, разверните узел Компьютеры, щелкните правой кнопкой мыши пункт Все компьютеры, а затем щелкните Добавить группу компьютеров.

  2. В диалоговом окне Добавить группу компьютеров в поле Имя укажите имя новой группы. Нажмите кнопку Добавить.

2.5. Настройка клиентских компьютеров для установки SSL-подключений к серверу WSUS

При условии, что сервер WSUS настроен для защиты подключений клиентских компьютеров с помощью SSL, вам нужно настроить клиентские компьютеры так, чтобы они доверяли этим SSL-подключениям.

SSL-сертификат сервера WSUS необходимо импортировать в хранилище доверенных корневых ЦС на клиентских компьютерах или в хранилище доверенных корневых ЦС службы автоматического обновления на клиентских компьютерах (если оно существует).

Внимание

Необходимо использовать хранилище сертификатов локального компьютера. Хранилище сертификатов пользователя использовать нельзя.

Клиентские компьютеры должны доверять сертификату, привязанному к серверу WSUS. В зависимости от типа используемого сертификата вам, возможно, потребуется настроить службу, которая позволит клиентским компьютерам доверять сертификату, привязанному к серверу WSUS.

Если вы используете функцию локальной публикации, вам следует настроить клиентские компьютеры таким образом, чтобы они также доверяли сертификату сервера WSUS для подписи кода. Инструкции см. в статье Локальная публикация.

2.6. Настройка клиентских компьютеров для получения обновлений с сервера WSUS

По умолчанию клиентские компьютеры получают обновления из Центра обновления Windows. Вместо этого они должны быть настроены для получения обновлений с сервера WSUS.

Внимание

В этой статье описывается настройка клиентских компьютеров с использованием групповой политики. Эти действия подходят во многих ситуациях. Но есть множество других вариантов настройки процесса обновления на клиентских компьютерах, включая использование программного обеспечения для управления мобильными устройствами (MDM). Эти варианты описываются в статье Управление дополнительными параметрами Центра обновления Windows.

2.6.1. Выбор правильного набора политик для изменения

Если в вашей сети настроена служба каталогов Active Directory, вы можете настроить несколько компьютеров одновременно. Для этого их нужно включить в объект групповой политики (GPO), а затем настроить для этого объекта параметры WSUS.

Рекомендуется создать новый объект групповой политики, содержащий исключительно параметры WSUS. Свяжите этот объект (далее — объект WSUS) с контейнером Active Directory, который подходит для вашей среды.

В простой среде вы можете привязать один объект групповой политики WSUS к домену. В более сложных средах может потребоваться связать несколько объектов WSUS с несколькими подразделениями. Связывание объектов групповой политики с подразделениями позволит применять параметры политики WSUS к различным типам компьютеров.

Если вы не используете Active Directory в своей сети, каждый компьютер будет настраиваться с помощью редактора локальных групповых политик.

2.6.2. Изменение политик для настройки клиентских компьютеров

Примечание.

В этих инструкциях предполагается, что вы используете одну из последних версий средств для редактирования политик. В более старых версиях эти политики могут упорядочиваться иначе.

  1. Откройте соответствующий объект политики.

    • Если вы используете Active Directory, в консоли управления групповыми политиками перейдите к объекту групповой политики, на котором нужно настроить WSUS, и щелкните Изменить. Затем разверните узлы Конфигурация компьютера и Политики.
    • Если вы не используете Active Directory, откройте редактор локальных групповых политик. Откроется политика локального компьютера. Разверните узел Конфигурация компьютера.
  2. В объекте, развернутом на предыдущем шаге, разверните узлы Административные шаблоны, Компоненты Windows и Центр обновления Windows, а затем щелкните Управление взаимодействием с пользователем.

  3. В области сведений дважды щелкните элемент Настройка автоматического обновления. Откроется политика Настройка автоматического обновления .

  4. Щелкните Включено, а затем выберите нужный параметр в разделе Настройка автоматического обновления, чтобы управлять тем, как функция автоматического обновления будет скачивать и устанавливать утвержденные обновления.

    Рекомендуется использовать параметр Автоматическое скачивание и планирование установки. Это гарантирует, что обновления, утвержденные в WSUS, будут скачиваться и устанавливаться своевременно без вмешательства пользователя.

  5. При необходимости измените другие части политики, как описано в статье Управление дополнительными параметрами Центра обновления Windows.

    Примечание.

    Флажок Установить обновления из других продуктов Майкрософт не влияет на клиентские компьютеры, получающие обновления от WSUS. Клиентские компьютеры получат все обновления, утвержденные для них на сервере WSUS.

  6. Щелкните ОК, чтобы закрыть политику Настройка автоматического обновления.

  7. Вернитесь к узлу Центр обновления Windows и щелкните Управление обновлениями, предлагаемыми в WSUS.

  8. В области сведений Управление обновлениями, предлагаемыми во WSUS, дважды щелкните Указать размещение службы обновлений Майкрософт в интрасети. Откроется политика Указать расположение службы Центра обновления Майкрософт в интрасети.

  9. Щелкните Включено, затем введите URL-адрес сервера WSUS в поля Укажите службу обновлений в интрасети для поиска обновлений и Укажите сервер статистики в интрасети.

    Предупреждение

    Убедитесь, что в URL-адресе указан правильный порт. Если вы настроили на сервере использование SSL согласно рекомендациям, следует указать порт, настроенный для использования HTTPS. Например, если вы решили использовать порт 8531 для HTTPS, а доменное имя сервера — wsus.contoso.com, введите https://wsus.contoso.com:8531 в оба текстовых поля.

  10. Щелкните ОК, чтобы закрыть политику Указать размещение службы Центра обновления Майкрософт в интрасети.

Настройка нацеливания на стороне клиента (при необходимости)

Если вы решили использовать нацеливание на стороне клиента, вам нужно указать соответствующую группу компьютеров для настраиваемых клиентских компьютеров.

Примечание.

Предполагается, что вы только что закончили редактировать политики для настройки клиентских компьютеров.

  1. В области сведений Управление обновлениями, предлагаемыми во WSUS, дважды щелкните Разрешить клиенту присоединение к целевой группе. Откроется политика Разрешить клиенту присоединение к целевой группе.

  2. Выберите Включено, а затем в поле Имя целевой группы для этого компьютера введите имя группы компьютеров WSUS, в которую вы хотите добавить клиентские компьютеры.

    При использовании текущей версии WSUS клиентские компьютеры можно добавить в несколько групп компьютеров, указав несколько имен групп компьютеров, разделенных точкой с запятой. Например, чтобы добавить клиентские компьютеры в группы "Бухгалтерия" и "Руководители", укажите Бухгалтерия;Руководители.

  3. Щелкните ОК, чтобы закрыть политику Разрешить клиенту присоединение к целевой группе.

2.6.3. Настройка клиентского компьютера для подключения к серверу WSUS

Клиентские компьютеры не будут отображаться в консоли администрирования WSUS, пока они не подключатся к серверу WSUS в первый раз.

  1. Дождитесь, пока изменения политики вступят в силу на клиентском компьютере.

    Если для настройки клиентских компьютеров использовался объект групповой политики Active Directory, механизму обновления групповых политик может потребоваться некоторое время для доставки изменений на клиентский компьютер. Чтобы ускорить этот процесс, откройте окно командной строки с более высоким уровнем привилегий и выполните команду gpupdate /force.

    Если для настройки отдельного клиентского компьютера использовался редактор локальных групповых политик, изменения вступят в силу сразу.

  2. Перезапустите компьютер клиента. Это гарантирует, что Центр обновления Windows на компьютере определит изменения в политике.

  3. Разрешите клиентскому компьютеру проверять наличие обновлений. Эта проверка обычно занимает некоторое время.

    Ускорить процесс можно с помощью одного из следующих вариантов:

    • На компьютере под управлением Windows 10 или 11 откройте приложение Настройки и на странице "Центр обновления Windows" вручную проверьте наличие обновлений.
    • В предыдущих версиях Windows (до Windows 10) откройте панель управления и в разделе Центр обновления Windows вручную проверьте наличие обновлений.
    • В предыдущих версиях Windows (до Windows 10) откройте окно командной строки с более высоким уровнем привилегий и выполните команду wuauclt /detectnow.

2.6.4 Проверка успешного подключения клиентского компьютера к серверу WSUS

Если все описанные выше действия выполнены успешно, вы увидите следующие результаты:

  • На клиентском компьютере успешно выполняется проверка обновлений. (При этом подходящие обновления для скачивания и установки могут быть и не найдены.)

  • В течение 20 минут клиентский компьютер появится в списке компьютеров, которые можно увидеть в консоли администрирования WSUS (зависит от типа нацеливания):

    • Если вы используете нацеливание на стороне сервера, клиентский компьютер появится в группах компьютеров "Все компьютеры" и "Неназначенные компьютеры".

    • Если вы используете нацеливание на стороне клиента, клиентский компьютер появится в группе "Все компьютеры", а также группе, которую вы выбрали на этапе настройки клиентского компьютера.

2.6.5. Настройка нацеливания на стороне сервера для клиентского компьютера (при необходимости)

Если вы используете нацеливание на стороне сервера, теперь вам нужно добавить новый клиентский компьютер в соответствующие группы компьютеров.

  1. В консоли администрирования WSUS найдите новый клиентский компьютер. На сервере WSUS он должен отображаться в списке компьютеров в группах "Все компьютеры" и "Неназначенные компьютеры".

  2. Щелкните правой кнопкой мыши клиентский компьютер и выберите Изменить членство.

  3. В диалоговом окне выберите соответствующие группы компьютеров и щелкните ОК.