Поделиться через

Шаг 2. Настройка служб WSUS

После установки на сервере роли сервера Windows Server Update Services (WSUS) ее нужно правильно настроить. Кроме того, нужно настроить клиентские компьютеры, чтобы они получали обновления с сервера WSUS.

2.1. Настройка сетевых подключений

До начала процесса настройки убедитесь в том, что вы знаете ответы на следующие вопросы.

  • Разрешают ли настройки брандмауэра на сервере доступ клиентов к серверу?

  • Может ли этот компьютер подключиться к вышестоящему серверу (серверу, который предназначен для скачивания обновлений из Центра обновления Майкрософт)?

  • Располагаете ли вы именем и адресом прокси-сервера, а также учетными данными пользователя для данного прокси-сервера, если они вам требуются?

Затем можно приступить к настройке следующих сетевых параметров WSUS:

  • Updates: Specify the way this server should get updates (from Microsoft Update or from another WSUS server).

  • Proxy: If you identify that WSUS needs to use a proxy server to have internet access, configure proxy settings in the WSUS server.

  • Firewall: If you identify that WSUS is behind a corporate firewall, take extra steps at the edge device to allow WSUS traffic.

Important

Если у вас есть только один сервер WSUS, он должен иметь доступ к Интернету, так как он должен скачать обновления от Майкрософт. Если у вас несколько серверов WSUS, доступ к Интернету необходим только одному из них. Другим серверам нужен только сетевой доступ к серверу WSUS, который подключен к Интернету. Клиентские компьютеры не нуждаются в доступе к Интернету. Им нужен только сетевой доступ к серверу WSUS.

Tip

If your network is air gapped—if it doesn't have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. Для этого вам потребуются два сервера WSUS. Первый сервер WSUS с доступом к Интернету получает обновления от Майкрософт. Второй сервер WSUS в защищенной сети выполняет обновления клиентских компьютеров. Обновления экспортируются с первого сервера на съемный носитель, переносятся через разрыв воздуха и импортируются на второй сервер. Эта конфигурация расширена и выходит за рамки этой статьи.

2.1.1. Настройка брандмауэра: подключение первого сервера WSUS к доменам Майкрософт в Интернете

Если между сервером WSUS и сетью Интернет располагается корпоративный брандмауэр, возможно, вам потребуется настроить брандмауэр, чтобы сервер WSUS мог получать обновления. Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порты 80 и 443 для протоколов HTTP и HTTPS. Большинство корпоративных брандмауэров разрешают этот тип трафика, но в некоторых организациях доступ к Интернету с таких серверов ограничен в соответствии с политиками безопасности. Если ваша компания ограничивает доступ, необходимо настроить брандмауэр, чтобы разрешить серверу WSUS доступ к доменам Майкрософт.

У первого сервера WSUS должен быть исходящий доступ к портам 80 и 443 в следующих доменах:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Если вы управляете обновлениями Microsoft 365, для которых требуется Microsoft Configuration Manager, см. статью "Управление обновлениями приложений Microsoft 365" с помощью Microsoft Configuration Manager , чтобы получить дополнительные сведения о доменах, которые необходимо разрешить.

Important

Вам нужно настроить брандмауэр, чтобы разрешить первому серверу WSUS получать доступ к любому URL-адресу в этих доменах. IP-адреса этих доменов постоянно меняются, поэтому не пытайтесь использовать диапазоны IP-адресов вместо URL-адресов.

2.1.2. Настройка брандмауэра: подключение других серверов WSUS к первому серверу

If you have multiple WSUS servers, you should configure the other WSUS servers to access the first (topmost) server. Затем другие серверы WSUS получают все сведения об обновлении с самого верхнего сервера. Такая конфигурация позволяет управлять всей сетью с помощью консоли администрирования WSUS на верхнем сервере.

У других серверов WSUS должен быть исходящий доступ к верхнему серверу через два порта. По умолчанию эти порты — 8530 и 8531. Эти порты можно изменить, как описано в статье "Настройка веб-сервера IIS сервера WSUS для использования TLS для некоторых подключений далее в этой статье".

Note

Если сетевое подключение между серверами WSUS работает медленно или оно затратное, можно настроить один или несколько других серверов WSUS на получение полезных данных обновлений непосредственно от Майкрософт. В этом случае на самый верхний сервер отправляется только небольшое количество данных с этих серверов WSUS. Обратите внимание, что в этой конфигурации другие серверы WSUS должны иметь доступ к тем же доменам Интернета, что и верхний сервер.

Note

Если у вас большая организация, вы можете использовать цепочки подключенных серверов WSUS вместо подключения всех остальных серверов WSUS напрямую к верхнему серверу. Например, у вас может быть второй сервер WSUS, который подключается к верхнему серверу, а другие серверы WSUS подключаются ко второму серверу WSUS.

2.1.3. Настройка серверов WSUS для использования прокси-сервера (при необходимости)

Если корпоративная сеть использует прокси-серверы, прокси-серверы должны поддерживать протоколы HTTP и HTTPS. Они также должны использовать обычную проверку подлинности или проверку подлинности Windows. Эти требования можно выполнить с помощью одной из следующих конфигураций:

  • Один прокси-сервер, поддерживающий два канала протоколов. В этом случае настройте для одного канала использование протокола HTTP, а для другого канала использование протокола HTTPS.

    Note

    Можно настроить один прокси-сервер, обрабатывающий оба протокола для WSUS, во время установки программного обеспечения сервера WSUS.

  • Два прокси-сервера, каждый из которых поддерживает один протокол. В этом случае настройте один прокси-сервер для использования HTTP и другого прокси-сервера для использования HTTPS.

Настройка служб WSUS для использования двух прокси-серверов

  1. Войдите на компьютер, который планируется использовать в качестве сервера WSUS, с помощью учетной записи, являющейся членом группы локальных администраторов.

  2. Установите роль сервера WSUS. При использовании мастера конфигурации WSUS, как описано в разделе "Настройка WSUS" с помощью мастера конфигурации WSUS, не указывайте прокси-сервер.

  3. Open Command Prompt (Cmd.exe) as an administrator:

    1. On the Start menu, search for Command Prompt.
    2. Right-click Command Prompt, and then select Run as administrator.
    3. Если появится диалоговое окно "Контроль учетных записей пользователей ", введите соответствующие учетные данные (при запросе), убедитесь, что отображается действие, которое требуется, и нажмите кнопку "Продолжить".

  4. В командной строке перейдите в папку C:\Program Files\Update Services\Tools . Введите следующую команду:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    В этой команде:

    • proxy_server is the name of the proxy server that supports HTTPS.

    • proxy_port is the port number of the proxy server.

  5. Закройте командную строку.

Добавление прокси-сервера в конфигурацию WSUS

  1. Откройте консоль администрирования WSUS.

  2. Under Update Services, expand the server name, and then select Options.

  3. On the Options pane, select Update Source and Proxy Server, and then go to the Proxy Server tab.

  4. При синхронизации выберите "Использовать прокси-сервер", а затем введите имя и номер порта прокси-сервера в соответствующих полях. Номер порта по умолчанию: 80.

  5. Если прокси-сервер требует использования определенной учетной записи пользователя, выберите "Использовать учетные данные пользователя для подключения к прокси-серверу". Введите необходимое имя пользователя, домен и пароль в соответствующие поля.

  6. Если прокси-сервер поддерживает обычную проверку подлинности, выберите "Разрешить обычную проверку подлинности" (пароль отправляется в виде ясного текста).

  7. Select OK.

Удаление прокси-сервера из конфигурации WSUS

  1. In the WSUS Administration Console, under Update Services, expand the server name, and then select Options.

  2. On the Options pane, select Update Source and Proxy Server, and then go to the Proxy Server tab.

  3. Снимите флажок "Использовать прокси-сервер" при синхронизации .

  4. Select OK.

2.1.4. Настройка брандмауэра для разрешения доступа клиентских компьютеров к серверу WSUS

Клиентские компьютеры должны подключаться к одному из серверов WSUS. Каждый клиентский компьютер должен иметь исходящий доступ к двум портам на сервере WSUS. По умолчанию эти порты — 8530 и 8531.

2.2. Настройка служб WSUS с помощью мастера настройки WSUS

Процедуры, описанные в следующих разделах, используют мастер настройки WSUS для настройки параметров WSUS. Мастер настройки WSUS отображается при первом запуске консоли управления WSUS. You can also use the Options pane in the WSUS Administration Console to configure WSUS settings. For more information about using the Options pane, see the following procedures in other sections of this article:

Запуск мастера и настройка начальных параметров

  1. In the Server Manager dashboard, select Tools>Windows Server Update Services.

    Note

    Если появится диалоговое окно "Полная установка WSUS ", нажмите кнопку "Выполнить". В диалоговом окне "Завершение установки WSUS" нажмите кнопку "Закрыть ", когда установка завершится успешно.

    Откроется окно мастера настройки WSUS.

  2. На странице "Перед началом работы " просмотрите сведения и нажмите кнопку "Далее".

  3. На странице "Присоединение к программе улучшения обновления Майкрософт " ознакомьтесь с инструкциями. Оставьте установленный флажок, если хотите участвовать в программе, или снимите его, если не хотите участвовать. Then select Next.

Настройка параметров вышестоящего и прокси-сервера

  1. На странице выбора вышестоящего сервера выберите один из следующих вариантов:

    • Синхронизация из Центра обновления Майкрософт

    • Синхронизация с другого сервера служб Центра обновления Windows Server

    Если вы решили синхронизировать с другого сервера WSUS, выполните следующие действия.

    1. Укажите имя сервера и порт, на котором этот сервер должен взаимодействовать с вышестоящим сервером.

    2. Чтобы использовать TLS, выберите "Использовать SSL" при синхронизации сведений об обновлении. Серверы используют порт 443 для синхронизации. (Убедитесь, что этот сервер и вышестоящий сервер поддерживают TLS.)

    3. Если этот сервер является сервером-репликой, выберите "Это реплика" вышестоящего сервера.

  2. After you select the options for your deployment, select Next.

  3. Если служба WSUS требует прокси-сервера для доступа к Интернету, настройте следующие параметры прокси-сервера. В противном случае пропустите этот шаг.

    1. На странице "Указание прокси-сервера " выберите "Использовать прокси-сервер" при синхронизации. Затем введите имя прокси-сервера и номер порта (по умолчанию — порт 80) в соответствующих полях.

    2. Если вы хотите подключиться к прокси-серверу с помощью определенных учетных данных пользователя, выберите "Использовать учетные данные пользователя для подключения к прокси-серверу". Затем введите имя пользователя, домен и пароль пользователя в соответствующих полях.

      Если вы хотите включить базовую проверку подлинности для пользователя, подключающегося к прокси-серверу, выберите разрешить обычную проверку подлинности (пароль отправляется в виде ясного текста).

  4. Select Next.

  5. На странице "Подключение к вышестоящему серверу" нажмите кнопку "Начать подключение".

  6. When WSUS connects to the server, select Next.

Выбор языков, продуктов и классификаций

  1. On the Choose Languages page, you can select the languages from which WSUS receives updates: all languages or a subset of languages. Выбор подмножества языков экономит место на диске, но важно выбрать все языки, необходимые всем клиентам этого сервера WSUS.

    Если вы решили получать обновления только для определенных языков, выберите "Скачать обновления только на этих языках", а затем выберите нужные языки. В противном случае оставьте уже выбранное значение.

    Warning

    Если выбрать параметр "Скачать обновления только на этих языках ", а на этом сервере есть подчиненный сервер WSUS, подключенный к нему, этот параметр заставляет подчиненный сервер также использовать только выбранные языки.

  2. Select Next.

  3. On the Choose Products page, specify the products for which you want updates. Выберите категории продуктов, такие как Windows или определенные продукты, например Windows Server 2019. Выбор категории продукта подразумевает выбор всех продуктов в данной категории.

  4. Select Next.

  5. On the Choose Classifications page, select the update classifications that you want to get. Select all the classifications or a subset of them, and then select Next.

Настройка расписания синхронизации

  1. На странице "Задать расписание синхронизации " выберите, следует ли выполнять синхронизацию вручную или автоматически.

    • If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • If you select Synchronize automatically, the WSUS server synchronizes at set intervals.

      For First synchronization, set the time, and then specify the number of synchronizations per day that you want this server to perform. Например, если указать четыре синхронизации в день, начиная с 3:00 утра, синхронизация происходит в 3:00 утра, 9:00 утра, 3:00 дня и 9:00 вечера.

  2. Select Next.

Завершите работу мастера

  1. On the Finished page, if you want to start the synchronization right away, select Begin initial synchronization. Если этот флажок не установить, вам нужно будет запустить начальную синхронизацию через консоль управления служб WSUS.

  2. If you want to read more about other settings, select Next. Otherwise, select Finish to conclude the wizard and finish the initial WSUS setup.

After you select Finish, the WSUS Administration Console appears. Эта консоль используется для управления сетью WSUS, как описано в последующих разделах этой статьи.

2.3. Защита СЛУЖБ WSUS с помощью протокола TLS

Протокол TLS следует использовать для защиты сети WSUS. СЛУЖБЫ WSUS могут использовать TLS для проверки подлинности подключений и шифрования и защиты сведений об обновлении.

Warning

Защита WSUS с помощью протокола TLS важна для безопасности сети. Если сервер WSUS неправильно использует TLS для защиты своих подключений, злоумышленник может изменить важные сведения об обновлении при отправке с одного сервера WSUS на другой или с сервера WSUS на клиентские компьютеры. В этом случае злоумышленник может установить вредоносное программное обеспечение на клиентских компьютерах.

Important

Клиенты и подчиненные серверы, настроенные для использования TLS или HTTPS, также должны быть настроены для использования полного доменного имени (FQDN) для их вышестоящего сервера WSUS.

2.3.1. Включение TLS/HTTPS в службе IIS сервера WSUS для использования TLS/HTTPS

Чтобы начать процесс использования TLS/HTTPS, необходимо включить поддержку TLS на службе IIS сервера WSUS. Эти усилия включают создание сертификата ПРОТОКОЛА TLS/Secure Sockets Layer (SSL) для сервера.

Действия, необходимые для получения СЕРТИФИКАТА TLS/SSL для сервера, выходят за рамки этой статьи и зависят от конфигурации сети. Дополнительные сведения и инструкции по установке сертификатов и настройке этой среды см. в документации по службам сертификатов Active Directory.

2.3.2. Настройка веб-сервера IIS сервера WSUS для использования TLS для некоторых подключений

WSUS требует наличия двух портов для подключения к другим серверам WSUS и клиентским компьютерам. One port uses TLS/HTTPS to send update metadata (crucial information about the updates). По умолчанию порт 8531 используется для этой цели. Второй порт использует протокол HTTP для отправки обновляющих данных. По умолчанию порт 8530 используется для этой цели.

Important

Для всего веб-сайта WSUS невозможно настроить протокол TLS. Задача WSUS — только шифрование метаданных обновления. Центр обновления Windows распространяет обновления таким же образом.

Чтобы предотвратить вмешательство злоумышленника в пакеты обновлений, все пакеты обновлений подписываются через специфический набор доверенных сертификатов для подписи. Кроме того, криптографический хэш вычисляется для каждой полезной нагрузки обновления. Этот хэш передается на клиентский компьютер через безопасное HTTPS-подключение для метаданных вместе с другими метаданными обновления. Когда обновление загружается, клиентское программное обеспечение проверяет цифровую подпись и хэш данных. Если обновление было изменено, оно не устанавливается.

Вы должны требовать TLS только для следующих виртуальных корней IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Для следующих виртуальных корней не требуется протокол TLS:

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

Сертификат центра сертификации (ЦС) должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера каждого сервера WSUS или хранилище доверенных корневых ЦС WSUS, если оно существует.

Дополнительные сведения об использовании TLS/SSL-сертификатов в IIS см. в статье "Настройка SSL" в IIS 7 или более поздней версии.

Important

Необходимо использовать хранилище сертификатов локального компьютера. Хранилище сертификатов пользователя использовать нельзя.

Как правило, в службах IIS для HTTPS-подключений следует настроить порт 8531, а для HTTP-подключений — порт 8530. При изменении этих портов необходимо использовать два соседних номера портов. Номер порта для HTTP-подключений должен быть ровно на единицу меньше, чем номер порта для HTTPS-подключений.

Необходимо повторно инициализировать ClientServicingProxy прокси-сервер, если имя сервера, конфигурация TLS или номер порта изменяется.

2.3.3. Настройка WSUS для использования сертификата подписи TLS/SSL для подключений клиента

  1. Войдите на сервер WSUS с помощью учетной записи, которая входит в группу администраторов WSUS или группу локальных администраторов.

  2. On the Start menu, enter CMD, right-click Command Prompt, and then select Run as administrator.

  3. Перейдите в папку C:\Program Files\Update Services\Tools .

  4. В командной строке введите следующую команду:

    wsusutil configuressl <certificate-name>

    In that command, certificate-name is the Domain Name System (DNS) name of the WSUS server.

2.3.4. Защита подключения SQL Server (при необходимости)

Если вы используете WSUS с удаленной базой данных SQL Server, подключение между сервером WSUS и сервером базы данных не защищено через TLS. Эта ситуация создает потенциальный вектор атаки. Чтобы защитить это подключение, примите во внимание следующие рекомендации:

  • Переместите базу данных WSUS на сервер WSUS.

  • Переместите удаленный сервер базы данных и сервер WSUS в частную сеть.

  • Выполните развертывание протокола IPsec, чтобы обеспечить защиту сетевого трафика. Дополнительные сведения об IPsec см. в статье "Создание и использование политик IPsec".

2.3.5. Создание сертификата для подписи кода для локальной публикации (при необходимости)

Помимо распространения обновлений, которые корпорация Майкрософт предоставляет, WSUS поддерживает локальную публикацию. Вы можете использовать локальный выпуск для создания и распространения обновлений, которые вы разрабатываете сами, с собственными полезными нагрузками и поведением.

Включение и настройка локальной публикации выходят за рамки этой статьи. For full details, see Local publishing.

Important

Локальная публикация — сложный процесс, и зачастую она не требуется. Перед тем как включить локальную публикацию, необходимо тщательно просмотреть документацию и подумать о том, следует ли использовать эту функцию и как ее использовать.

2.4. Настройка групп компьютеров WSUS

Группы компьютеров являются важной частью эффективного использования WSUS. Группы компьютеров можно использовать для тестирования и целевых обновлений для определенных компьютеров. По умолчанию имеются две группы компьютеров: "Все компьютеры" и "Неназначенные компьютеры". По умолчанию каждый клиентский компьютер прежде всего контактирует с сервером WSUS, а сервер добавляет клиентский компьютер в обе указанные группы.

Вы можете создать любое количество групп пользовательских компьютеров, необходимое для управления обновлениями в вашей организации. Наилучшей методикой является создание не менее одной группы компьютеров для проверки обновлений до их развертывания на других компьютерах вашей организации.

2.4.1. Выбор способа назначения клиентских компьютеров группам компьютеров

Есть два подхода к назначению клиентских компьютеров группам компьютеров. Правильный подход для вашей организации зависит от того, как обычно вы управляете клиентскими компьютерами.

  • Server-side targeting: This approach is the default one. В этом случае вы назначаете клиентские компьютеры группам компьютеров с помощью консоли администрирования WSUS.

    Такой подход позволяет быстро перемещать клиентские компьютеры из одной группы в другую по мере изменения обстоятельств. Но в результате необходимо вручную переместить новые клиентские компьютеры из группы неназначенных компьютеров в соответствующую группу компьютеров.

  • Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.

    Такой подход упрощает назначение новых клиентских компьютеров соответствующим группам, так как процедура выполняется на этапе настройки клиентского компьютера для получения обновлений с сервера WSUS. Но в результате нельзя назначать клиентские компьютеры группам компьютеров или перемещать их из одной группы компьютеров в другую с помощью консоли администрирования WSUS. Вместо этого необходимо изменить политики клиентских компьютеров.

2.4.2. Включение нацеливания на стороне клиента (при необходимости)

Important

Пропустите действия, описанные в этом разделе, если планируется использовать серверную целевую ориентацию.

  1. In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select Options.

  2. On the Options pane, select Computers. Go to the General tab, and then select Use Group Policy or registry settings on computers.

2.4.3. Создание нужных групп компьютеров

Note

Группы компьютеров, в которые будут добавляться клиентские компьютеры, необходимо создавать с помощью консоли администрирования WSUS, независимо от того, какой подход вы используете: нацеливание на стороне сервера или на стороне клиента.

  1. In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.

  2. В диалоговом окне "Добавление группы компьютеров " в поле "Имя" укажите имя новой группы. Then select Add.

2.5. Настройка клиентских компьютеров для установления подключений TLS с сервером WSUS

Если вы настроите сервер WSUS для защиты подключений клиентских компьютеров с помощью TLS, необходимо настроить клиентские компьютеры для доверия к этим подключениям TLS.

Сертификат TLS/SSL сервера WSUS должен быть импортирован в хранилище доверенных корневых ЦС клиентских компьютеров или в хранилище доверенных корневых ЦС клиентских компьютеров, если он существует.

Important

Необходимо использовать хранилище сертификатов локального компьютера. Хранилище сертификатов пользователя использовать нельзя.

Клиентские компьютеры должны доверять сертификату, привязанному к серверу WSUS. В зависимости от типа используемого сертификата вам, возможно, потребуется настроить службу, которая позволит клиентским компьютерам доверять сертификату, привязанному к серверу WSUS.

Если вы используете функцию локальной публикации, вам следует настроить клиентские компьютеры таким образом, чтобы они также доверяли сертификату сервера WSUS для подписи кода. For instructions, see Local publishing.

2.6. Настройка клиентских компьютеров для получения обновлений с сервера WSUS

По умолчанию клиентские компьютеры получают обновления из Центра обновления Windows. Вместо этого они должны быть настроены для получения обновлений с сервера WSUS.

Important

В этой статье описывается настройка клиентских компьютеров с использованием групповой политики. Эти действия подходят во многих ситуациях. Но есть множество других вариантов настройки процесса обновления на клиентских компьютерах, включая использование программного обеспечения для управления мобильными устройствами (MDM). Документация по этим параметрам см. в разделе "Управление дополнительными параметрами Центра обновления Windows".

2.6.1. Выбор правильного набора политик для изменения

Если Active Directory настроена в сети, можно настроить один или несколько компьютеров одновременно, включив их в объект групповой политики (GPO), а затем настроив этот объект групповой политики с параметрами WSUS.

Рекомендуется создать новый объект групповой политики, содержащий исключительно параметры WSUS. Свяжите этот объект (далее — объект WSUS) с контейнером Active Directory, который подходит для вашей среды.

В простой среде вы можете привязать один объект групповой политики WSUS к домену. В более сложных средах вы можете связать несколько объектов групповой политики WSUS с несколькими организационными единицами (ОУ). При связывании объектов групповой политики с организационными единицами можно применять параметры политики WSUS к разным типам компьютеров.

Если в сети не используется Active Directory, необходимо настроить каждый компьютер с помощью редактора локальной групповой политики.

2.6.2. Изменение политик для настройки клиентских компьютеров

Выполните действия, описанные в следующих разделах, чтобы настроить клиентские компьютеры с помощью параметров политики.

Note

В этих инструкциях предполагается, что вы используете одну из последних версий средств для редактирования политик. В более старых версиях эти политики могут упорядочиваться иначе.

Откройте редактор политики и перейдите к элементу Центра обновления Windows

  1. Откройте соответствующий объект политики.

    • If you're using Active Directory, open the Group Policy Management Console, go to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration, and expand Policies.
    • Если вы не используете Active Directory, откройте редактор локальных групповых политик. Откроется политика локального компьютера. Expand Computer Configuration.

  2. In the object that you expanded in the previous step, expand Administrative Templates>Windows components>Windows Update. Если ваша операционная система — Windows 10 или Windows 11, также выберите "Управление взаимодействием с пользователем".

Изменение параметра для автоматических обновлений

  1. В области сведений дважды щелкните "Настройка автоматических обновлений". Откроется параметр Настройка автоматических обновлений.

  2. Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how the automatic updates feature should download and install approved updates.

    Рекомендуется использовать параметр автоматического скачивания и планирования установки . Это гарантирует, что обновления, утвержденные в WSUS, загружаются и устанавливаются своевременно без необходимости вмешательства пользователя.

  3. При желании измените другие части политики. Дополнительные сведения см. в разделе "Управление дополнительными параметрами центра обновления Windows".

    Note

    Установка обновлений из других продуктов Майкрософт не влияет на клиентские компьютеры, получающие обновления от WSUS. Клиентские компьютеры получают все обновления, утвержденные для них на сервере WSUS.

  4. Select OK to close the Configure Automatic Updates policy.

Изменение параметра для указания сервера интрасети для размещения обновлений

  1. На панели сведений дважды щелкните «Указать расположение службы обновления Майкрософт в интрасети». If your operating system is Windows 10 or Windows 11, first go back to the Windows Update node of the tree, and then select Manage updates offered from Windows Server Update Service.

    Откроется политика указания местоположения службы обновления Microsoft в интрасети.

  2. Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server boxes.

    Warning

    Убедитесь, что в URL-адресе указан правильный порт. Если вы настроите сервер для использования TLS, как рекомендуется, следует указать порт, настроенный для HTTPS. Например, если вы решили использовать порт 8531 для HTTPS, и доменное имя сервера wsus.contoso.com, требуется ввести https://wsus.contoso.com:8531 в оба поля.

  3. Select OK to close the Specify intranet Microsoft update service location policy.

Настройка нацеливания на стороне клиента (при необходимости)

Если вы решили использовать таргетинг на стороне клиента, выполните действия, описанные в этом разделе, чтобы указать соответствующую группу для клиентских компьютеров, которые настраиваются.

Note

В этих шагах предполагается, что вы только что выполнили действия по редактированию политик для настройки клиентских компьютеров.

  1. In the policy editor, go to the Windows Update item. Если ваша операционная система — Windows 10 или Windows 11, также выберите "Управление обновлениями", предлагаемыми службой центра обновления Windows Server.

  2. В области сведений дважды щелкните "Включить назначение на стороне клиента". Откроется политика включения целевого назначения на стороне клиента .

  3. Select Enabled. В разделе "Имя целевой группы" для этого компьютера введите имя группы компьютеров WSUS, в которую необходимо добавить клиентские компьютеры.

    При использовании текущей версии WSUS клиентские компьютеры можно добавить в несколько групп компьютеров, указав несколько имен групп компьютеров, разделенных точкой с запятой. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.

  4. Select OK to close the Enable client-side targeting policy.

2.6.3. Настройка клиентского компьютера для подключения к серверу WSUS

Клиентские компьютеры не отображаются в консоли администрирования WSUS, пока они не подключаются к серверу WSUS в первый раз.

  1. Дождитесь, пока изменения политики вступят в силу на клиентском компьютере.

    Если вы используете объект групповой политики Active Directory для настройки клиентских компьютеров, механизм обновления групповой политики требует некоторого времени на доставку изменений клиентскому компьютеру. If you want to speed up this process, you can open Command Prompt with elevated privileges and then enter the command gpupdate /force.

    Если вы используете редактор локальной групповой политики для настройки отдельного клиентского компьютера, изменения вступили в силу немедленно.

  2. Перезапустите компьютер клиента. Это гарантирует, что Центр обновления Windows на компьютере определит изменения в политике.

  3. Разрешите клиентскому компьютеру проверять наличие обновлений. Эта проверка обычно занимает некоторое время.

    Ускорить процесс можно с помощью одного из следующих вариантов:

    • On Windows 10 or 11, use the Settings app Windows Update page to manually check for updates.
    • On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
    • On versions of Windows before Windows 10, open Command Prompt with elevated privileges, and enter the command wuauclt /detectnow.

2.6.4 Проверка успешного подключения клиентского компьютера к серверу WSUS

При успешном выполнении всех предыдущих шагов вы увидите следующие результаты:

  • На клиентском компьютере успешно выполняется проверка обновлений. (При этом подходящие обновления для скачивания и установки могут быть и не найдены.)

  • В течение 20 минут клиентский компьютер появится в списке компьютеров, которые можно увидеть в консоли администрирования WSUS (зависит от типа нацеливания):

    • Если вы используете нацеливание на стороне сервера, клиентский компьютер появится в группах компьютеров "Все компьютеры" и "Неназначенные компьютеры".

    • Если вы используете клиентскую ориентацию, клиентский компьютер отображается в группе компьютеров "Все компьютеры" и в выбранной группе компьютеров при настройке клиентского компьютера.

2.6.5. Настройка нацеливания на стороне сервера для клиентского компьютера (при необходимости)

Если вы используете нацеливание на стороне сервера, теперь вам нужно добавить новый клиентский компьютер в соответствующие группы компьютеров.

  1. В консоли администрирования WSUS найдите новый клиентский компьютер. На сервере WSUS он должен отображаться в списке компьютеров в группах "Все компьютеры" и "Неназначенные компьютеры".

  2. Right-click the client computer and select Change membership.

  3. In the dialog, select the appropriate computer groups, and then select OK.

Next step

Шаг 3. Утверждение и развертывание обновлений