Развертывание обновлений клиента Windows с помощью служб Windows Server Update Services (WSUS)
Ищете информацию для потребителей? См. раздел Центр обновления Windows: вопросы и ответы
WSUS – это роль сервера Windows, доступная в операционной системе Windows Server. Это единый центр обновлений Windows в организации. WSUS позволяет компаниям не только откладывать обновления, но и выборочно утверждать их, выбирать, когда они будут доставлены, и определять, какие отдельные устройства или группы устройств получают их. СЛУЖБЫ WSUS обеспечивают дополнительный контроль над клиентский компонент Центра обновления Windows для бизнеса, но не предоставляют все параметры планирования и гибкость развертывания, предоставляемые Microsoft Configuration Manager.
При выборе WSUS в качестве источника обновлений Windows используется групповая политика для указания клиентских устройств Windows на сервер WSUS для их обновлений. Отсюда обновления периодически загружаются на сервер WSUS, где с помощью консоли администрирования или групповой политики осуществляется утверждение, развертывание и управление ими, тем самым оптимизируя управление обновлениями в организации. Если в настоящее время вы используете WSUS для управления обновлениями Windows в своей среде, вы можете продолжать делать это в Windows 11.
Требования к обслуживанию клиентов Windows с помощью WSUS
Чтобы иметь возможность использовать WSUS для управления обновлениями компонентов Windows и их развертывания, необходимо использовать поддерживаемую версию WSUS:
- WSUS 10.0.14393 (роль в Windows Server 2016)
- WSUS 10.0.17763 (роль в Windows Server 2019)
- WSUS 6.2 и 6.3 (роль в Windows Server 2012 и Windows Server 2012 R2)
- Kb 3095113 и KB 3159706 (или эквивалентное обновление) должны быть установлены в WSUS 6.2 и 6.3.
Важно.
Как kb 3095113 , так и KB 3159706 включены в ежемесячный накопительный пакет исправлений безопасности , начиная с июля 2017 г. Это означает, что 3095113 базы знаний и 3159706 базы знаний могут не отображаться как установленные обновления, так как они могли быть установлены с накопительным пакетом. Однако если вам нужно одно из этих обновлений, рекомендуется установить ежемесячный накопительный пакет исправлений безопасности , выпущенный после октября 2017 г., так как он содержит дополнительное обновление WSUS для снижения использования памяти в clientwebservice WSUS. Если вы синхронизировали одно из этих обновлений до ежемесячного накопительного пакета исправлений безопасности, вы можете столкнуться с проблемами. Чтобы восстановиться после этого, см . раздел Удаление обновлений в WSUS.
Масштабируемость WSUS
Чтобы использовать WSUS для управления всеми обновлениями Windows, некоторым организациям потребуется доступ к WSUS из сети периметра, либо придется реализовать какой-нибудь другой сложный сценарий. WSUS — это решение с широкими возможностями масштабирования и настройки для организаций любого масштаба, с любой структурой сайтов. Конкретные сведения о масштабировании WSUS, включая конфигурацию вышестоящий и подчиненных серверов, филиалы, балансировку нагрузки WSUS и другие сложные сценарии, см. в статье Развертывание Windows Server Update Services.
Настройка автоматических обновлений и обновление расположения службы
При использовании WSUS для управления обновлениями на клиентских устройствах Windows начните с настройки параметров групповых политик Настройка автоматических обновлений и Размещение службы обновлений Майкрософт в интрасети в своей среде. Это заставляет затронутые клиенты обращаться к серверу WSUS, чтобы он мог осуществлять управление ими. Следующий процесс описывает, как задать эти параметры и развернуть их на всех устройствах домена.
Настройка параметров групповых политик "Настройка автоматических обновлений" и "Размещение службы обновлений Майкрософт в интрасети" в вашей среде
Откройте консоль управления групповая политика (gpmc.msc).
Разверните узел Лес\Домены\Your_Domain.
Щелкните правой кнопкой мыши Your_Domain, а затем выберите Создать объект групповой политики в этом домене и связать его здесь.
Примечание.
В этом примере параметры групповых политик Настройка автоматического обновления и Размещение службы обновлений Майкрософт в интрасети указаны для всего домена. Это не является обязательным; эти параметры можно применить к любой группе безопасности, воспользовавшись фильтрами безопасности или указав конкретное подразделение.
В диалоговом окне Новый объект групповой политики назовите новый объект групповой политики WSUS — автоматическое Обновления и расположение службы обновления интрасети.
Щелкните правой кнопкой мыши объект групповой политики WSUS — авто Обновления и расположение службы обновления интрасети, а затем выберите изменить.
В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows.
Щелкните правой кнопкой мыши параметр Настроить автоматический Обновления и выберите изменить.
В диалоговом окне Настройка автоматических обновлений выберите Включить.
В разделе Параметры в списке Настройка автоматического обновления выберите 3 — Автоматическое скачивание и уведомление об установке, а затем нажмите кнопку ОК.
Важно.
Используйте Regedit.exe, чтобы проверка, что следующий ключ не включен, так как он может нарушить подключение к Магазину Windows: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations
Примечание.
Существуют три других параметра для автоматического скачивания и установки обновлений. В данном случае этот параметр используется исключительно для примера. Другие примеры контроля автоматических обновлений и других связанных политик см. в разделе Настройка автоматических обновлений с использованием групповой политики.
Щелкните правой кнопкой мыши параметр Указать расположение службы обновления Майкрософт в интрасети и выберите изменить.
В диалоговом окне Указать размещение службы обновлений Майкрософт в интрасети выберите Включить.
В разделе Параметры в разделе Настройка службы обновления интрасети для обнаружения обновлений и Настройка параметров сервера статистики интрасети введите
http://Your_WSUS_Server_FQDN:PortNumber
, а затем нажмите кнопку ОК.Примечание.
URL-адрес
http://CONTOSO-WSUS1.contoso.com:8530
на следующем рисунке приведен в качестве примера. В своей среде обязательно укажите имя сервера и номер порта для соответствующего экземпляра WSUS.Примечание.
HTTP-порт по умолчанию для WSUS — 8530, а HTTPS-порт по умолчанию — 8531. (Другие варианты — 80 и 443, другие порты не поддерживаются.)
По мере того как клиенты Windows обновляют политики на своих компьютерах (по умолчанию групповая политика обновляется каждые 90 минут и при перезапуске), компьютеры начинают отображаться в WSUS. Теперь когда клиенты взаимодействуют с сервером WSUS, создайте группы компьютеров, соответствующие вашим кругам развертывания.
Создание групп компьютеров на консоли администрирования WSUS
Примечание.
В следующих процедурах в качестве примеров используются группы из таблицы 1 в разделе Круги развертывания сборки для обновлений клиента Windows .
Группы компьютеров можно использовать, чтобы применить ту или иную политику к подмножеству устройств с определенными исправлениями и обновлениями компонентов. Эти группы представляют ваши круги развертывания, контролируемые WSUS. Эти группы можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Независимо от выбранного метода сначала нужно создать группы на консоли администрирования WSUS.
Создание групп компьютеров на консоли администрирования WSUS
Откройте консоль администрирования WSUS.
Выберите Server_Name\Computers\All Computers и выберите Добавить группу компьютеров.
Введите Ring 2 Pilot Business Users в поле имя и нажмите кнопку Добавить.
Повторите эти действия для групп Круг 3 — широкая группа ИТ-пользователей и Круг 4 — широкая группа бизнес-пользователей. По завершении должно быть три группы кругов развертывания.
Создав группы, добавьте компьютеры в группы компьютеров, соответствующие нужным кругам развертывания. Для этого можно воспользоваться групповой политикой или выполнить это вручную с помощью консоли администрирования WSUS.
Использование консоли администрирования WSUS для заполнения кругов развертывания
Добавить компьютеры в группы компьютеров на консоли администрирования WSUS очень просто, но это может занять намного больше времени, чем при использовании групповой политики, особенно если нужно добавить много компьютеров. Добавление компьютеров в группы компьютеров на консоли администрирования WSUS называется указание на стороне сервера.
В этом примере компьютеры добавляются в группы компьютеров двумя способами: назначая неназначенные компьютеры вручную и выполняя поиск нескольких компьютеров.
Назначение неназначенных компьютеров группам вручную
Когда новые компьютеры обмениваются данными с WSUS, они отображаются в группе Неназначенные компьютеры. Для добавления компьютеров в нужные группы на этом этапе можно использовать следующую процедуру. В этих примерах для добавления компьютеров в группы компьютеров используются два ПК Windows 10 (WIN10-PC1 и WIN10-PC2).
Назначение компьютеров вручную
На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры\Неназначенные компьютеры.
Здесь отображаются новые компьютеры, которые получили созданный в предыдущем разделе объект групповой политики и начали обмен данными с WSUS. В этом примере имеется только два компьютера; В зависимости от того, насколько широко развернута политика, у вас, скорее всего, будет много компьютеров.
Выберите оба компьютера, щелкните их правой кнопкой мыши и выберите команду Изменить членство.
В диалоговом окне Настройка членства в группах компьютеров выберите круг развертывания Пилотные бизнес-пользователи круг 2 , а затем нажмите кнопку ОК.
Так как они были назначены группе, эти компьютеры больше не относятся к группе Неназначенные компьютеры. Если выбрать группу компьютеров Круг 2 пилотных бизнес-пользователей , вы увидите оба компьютера.
Поиск нескольких компьютеров для добавления в группы
Кроме того, чтобы добавить несколько компьютеров в круг развертывания на консоли администрирования WSUS, можно воспользоваться функцией поиска.
Поиск нескольких компьютеров
В консоли администрирования WSUS перейдите в раздел Server_Name\Computers\All Computers, щелкните правой кнопкой мыши Все компьютеры и выберите Поиск.
В поле поиска введите WIN10.
В результатах поиска выберите компьютеры, щелкните их правой кнопкой мыши и выберите команду Изменить членство.
Выберите круг "Круг 3" Расширенное ИТ-развертывание , а затем нажмите кнопку ОК.
Теперь эти компьютеры отображаются в группе компьютеров Круг 3 — широкая группа ИТ-пользователей.
Использование групповой политики для заполнения кругов развертывания
Консоль администрирования WSUS предоставляет удобный интерфейс для управления исправлениями и обновлениями компонентов Windows 10. Если требуется добавить в соответствующий круг развертывания WSUS достаточно много компьютеров, выполнение этой операции вручную с использованием консоли администрирования WSUS может занять много времени. В таких случаях целесообразно использовать для выбора нужных компьютеров групповую политику, которая автоматически добавит их в нужный круг развертывания WSUS в зависимости от их группы безопасности Active Directory. Эта процедура называется указание на стороне клиента. Прежде чем включать в групповой политике указание на стороне клиента необходимо настроить принятие назначений компьютеров в WSUS с помощью групповой политики
Настройка WSUS для указания на стороне клиента с использованием групповой политики
Откройте консоль администрирования WSUS, перейдите в раздел Server_Name\Параметры, а затем выберите Компьютеры.
В диалоговом окне Компьютеры выберите Использовать групповая политика или параметры реестра на компьютерах, а затем нажмите кнопку ОК.
Примечание.
Этот параметр можно задать только по принципу «или — или». Если вы включаете в WSUS использование групповой политики для назначения групп, вы больше не сможете вручную добавлять компьютеры на консоли администрирования WSUS до тех пор, пока не вернете первоначальные настройки.
Подготовив WSUS к указанию на стороне клиента, выполните следующие шаги, чтобы использовать групповую политику для настройки указания на стороне клиента.
Настройка указания на стороне клиента
Совет
При использовании указания на стороне клиента целесообразно присвоить группам безопасности те же имена, что и кругам развертывания. Это упрощает процесс создания политики и гарантирует, что компьютеры не добавляются в неправильные круги.
Откройте консоль управления групповая политика (gpmc.msc).
Разверните узел Лес\Домены\Your_Domain.
Щелкните правой кнопкой мыши Your_Domain, а затем выберите Создать объект групповой политики в этом домене и связать его здесь.
В диалоговом окне Новый объект групповой политики введите WSUS — Целевой клиент — Круг 4 расширенных бизнес-пользователей в качестве имени нового объекта групповой политики.
Щелкните правой кнопкой мыши объект групповой политики WSUS — targeting client — Ring 4 Broad Business Users (Широкий круг бизнес-пользователей) и выберите команду Изменить.
В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows.
Щелкните правой кнопкой мыши Включить нацеливание на стороне клиента и выберите изменить.
В диалоговом окне Включение указания на стороне клиента выберите Включить.
В поле Имя целевой группы для данного компьютера введите Круг 4 — широкая группа бизнес-пользователей. Это имя круга развертывания в WSUS, в который будут добавлены эти компьютеры.
Warning
Имя целевой группы должно соответствовать имени группы компьютеров.
- Закройте редактор управления групповыми политиками.
Теперь вы готовы развернуть этот объект групповой политики в правильной группе безопасности компьютеров для круга развертывания Круг 4 Для широких бизнес-пользователей .
Указание группы в качестве области действия объекта групповой политики
В GPMC выберите политику WSUS — targeting Client Targeting — Ring 4 (Широкая группа бизнес-пользователей ).
Перейдите на вкладку Область .
В разделе Фильтры безопасности удалите группу безопасности по умолчанию ПРОШЕДШИЕ ПРОВЕРКУ, а затем добавьте группу Круг 4 — широкая группа бизнес-пользователей.
В следующий раз, когда клиенты в группе безопасности Круг 4 "Широкая группа бизнес-пользователей " получат политику компьютера и обращаются к WSUS, они будут добавлены в круг развертывания круг 4 "Широкие бизнес-пользователи ".
Автоматическое утверждение и развертывание обновлений компонентов
Для клиентов, для которых обновления компонентов должны быть утверждены, как только они будут доступны, можно настроить правила автоматического утверждения в WSUS.
Примечание.
WSUS учитывает ветвь обслуживания клиентского устройства. Если вы утвердите обновление компонентов, пока оно находится в одной ветви, например в предварительной версии программы предварительной оценки, службы WSUS установят обновление только на устройствах, которые находятся в этой ветви обслуживания. Когда корпорация Майкрософт выпускает сборку для канала общедоступной доступности, устройства в ней будут устанавливать ее. клиентский компонент Центра обновления Windows для бизнеса параметры ветви не применяются к обновлениям компонентов через WSUS.
Настройка правила автоматического утверждения для обновлений клиентских компонентов Windows и утверждение их для круга расширенного ИТ-развертывания круга 3 В этом примере используется Windows 10, но процесс одинаков для Windows 11.
В консоли администрирования WSUS перейдите в раздел Update Services\Server_Name\Options, а затем выберите Автоматические утверждения.
На вкладке Обновить правила выберите Создать правило.
В диалоговом окне Добавление правила установите флажки Когда обновление затрагивает конкретный класс, Когда обновление затрагивает конкретный продукт и Установить крайний срок для утверждения.
В области Изменить свойства щелкните любая классификация. Очистите все, кроме обновлений, а затем нажмите кнопку ОК.
В области Изменение свойств выберите ссылку на любой продукт . Очистите все поля проверка, кроме Windows 10, а затем нажмите кнопку ОК.
Windows 10 находится в разделе Все продукты\Microsoft\Windows.
В области Изменить свойства выберите ссылку Все компьютеры . Очистите все поля группы компьютеров проверка, кроме круга 3 Broad IT, а затем нажмите кнопку ОК.
Оставьте заданный срок: 7 дней после утверждения в 3:00.
В поле Шаг 3. Укажите имя введите Windows 10 Автоматическое утверждение обновления для круга 3 Расширенный ИТ и нажмите кнопку ОК.
В диалоговом окне Автоматические утверждения нажмите кнопку ОК.
Примечание.
Службы WSUS не учитывают существующие параметры отсрочки по месяцам, неделям и дням. При этом, если вы используете клиентский компонент Центра обновления Windows для бизнеса для компьютера, для которого WSUS также управляет обновлениями, когда WSUS утвердит обновление, оно будет установлено на компьютере независимо от того, настроено ли групповая политика ждать.
Теперь при публикации обновлений компонентов клиента Windows в WSUS они автоматически утверждаются для круга широкого ИТ-развертывания круга 3 с крайним сроком установки в 1 неделю.
Warning
Правило автоматического утверждения запускается после синхронизации. Это означает, что следующее обновление для каждой версии клиента Windows будет утверждено. Если выбрать Запустить правило, будут утверждены все возможные обновления, соответствующие условиям, потенциально включая старые обновления, которые вам не нужны, что может стать проблемой, если размер загрузки очень велик.
Утверждение и развертывание обновлений компонентов вручную
Можно вручную утвердить обновления и установить сроки для установки на консоли администрирования WSUS. Возможно, лучше утвердить правила обновления вручную после обновления пилотного развертывания.
Чтобы упростить процесс утверждения вручную, начните с создания представления обновления программного обеспечения, содержащего только Windows 10 (в этом примере) обновлений. Для обновлений Windows 11 происходит то же самое.
Примечание.
При утверждении нескольких обновлений компонентов для компьютера может возникнуть ошибка с клиентом. Утвердить только одно обновление компонентов на компьютер.
Утверждение и развертывание обновлений компонентов вручную
В консоли администрирования WSUS выберите Update Services\Server_Name\Обновления. В области Действие выберите Создать представление обновления.
В диалоговом окне Добавление режима просмотра обновлений выберите Обновления принадлежат конкретному классу и Обновления предназначены для конкретного продукта.
В разделе Шаг 2. Изменение свойств выберите любую классификацию. Очистите все поля проверка, кроме обновлений, и нажмите кнопку ОК.
В разделе Шаг 2. Изменение свойств выберите любой продукт. Очистите все поля проверка, кроме Windows 10, а затем нажмите кнопку ОК.
Windows 10 находится в разделе Все продукты\Microsoft\Windows.
В поле Шаг 3. Указание имени введите Все обновления Windows 10, а затем нажмите кнопку ОК.
Теперь, когда у вас есть представление Все обновления Windows 10, выполните следующие действия, чтобы вручную утвердить обновление для круга развертывания Круг 4 широких бизнес-пользователей:
В консоли администрирования WSUS выберите Update Services\Server_Name\Обновления\All Windows 10 Upgrades.
Щелкните правой кнопкой мыши обновление компонентов, которое требуется развернуть, и выберите утвердить.
В диалоговом окне Утверждение обновлений в списке Круг 4 — широкая группа бизнес-пользователей выберите Утверждено для установки.
В диалоговом окне Утверждение Обновления в списке Круг 4 широких бизнес-пользователей выберите Крайний срок, выберите Одна неделя, а затем нажмите кнопку ОК.
Если откроется диалоговое окно Условия лицензионного соглашения на использование программного обеспечения Майкрософт , выберите Принять.
Если развертывание завершено успешно, вы получите отчет об успешном выполнении операции.
В диалоговом окне Ход утверждения выберите Закрыть.