Счетчик

Поисковый анализ сайта
яндекс.ћетрика
Cервер и сайт запущен 2011.02.01 на Debian

Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services) - локальный сервер обновлений в вашей сети.
Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

IIS 6 или выше,

.NET Framework 2.0 или выше,

Report Viewer Redistributable 2008,

SQL Server 2005 SP2 Express или выше.


WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express. 

Получить все необходимые компоненты можно на сайте Microsoft:


При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.

Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите .NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:

ASP.NET

Windows - проверка подлинности

Сжатие динамического содержимого

Совместимость управления IIS6


Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.

Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.

default 001 

Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.

default 002

На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.

При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.

 default 003

На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.

 default 004

Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена. 

Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.

 default 005

Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить. В открывшемся окне выберите Конфигурация компьютера - Политики - Административные шаблоны - Центр обновления Windows. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети. Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http:\\ИМЯ_СЕРВЕРА.

 default 006

Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления. 

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск - Выполнить - gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

 default 007

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

default 008

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

default 009

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности. 

Вот мы и подошли к еще одной важной настройке сервера - автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры - Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

 default 010

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

 default 011

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

default 012

default 013

На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.

копипаст

Бывает такое что после установки всус Обновляется только сам сервер а клиенты весят и не отмечены сервером WSUS

Есть решение! Для контроллера домена
Нужно скачать так сказать обновление для WSUS 

отсюда

Далее ставим его, после этого в консоли WSUS добавим группу например оффис и вторую сервер, ребутаем сервер

После перезагрузки на сервере и компах (те которые WSUS не видит) выполним пару команд "Gpupdate /force" (возможно с перезагрузкой) и "Wuauclt /detectnow"

Ждем минут 5-10 и вы увидите то что компы уже тянут обновления с сервера WSUS

Компьютер под управлением Windows 2000, Windows Server 2003 или Windows XP не отображается в консоли cлужбы Windows Server Update Services (WSUS). 

Эта проблема возникает, если компьютер был настроен с помощью образа Windows 2000, в образ Windows Server 2003 или образ Windows XP содержит значение реестра для SusClientID до развертывания на клиентских компьютерах. 

Generalize изображения для виртуальной машины с помощью программы Sysprep или для создания изображений используется уникальная технология создания SID, значение SusClientId реестра не снят, если заполнены в образе до развертывания образа.

Примечание В WSUS 3.0 клиент изменяет его SusClientID при изменении конфигурации оборудования. Для Windows Vista, Windows Server 2008 и более поздних версий для сброса SusClientID изменяется Sysprep. Таким образом эта проблема затрагивает только виртуальные компьютеры под управлением операционных систем с пред-Windows Vista, или не были созданы с помощью программы Sysprep

Эта проблема возникает, так как клиенты с изображением, возможно повторяющееся значение SusClientID в реестре

Чтобы устранить эту проблему, используйте один из следующих методов.

Метод 1: Изменение реестра

Важные

 Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Таким образом убедитесь, что тщательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Дополнительные сведения о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:

322756

Как резервное копирование и восстановление реестра Windows

Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду cmd и нажмите кнопку ОК.

В командной строке введите net stop wuauserv, а затем нажмите клавишу ВВОД.

Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.

Найдите и выделите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

В области сведений редактора реестра удалите следующие записи реестра: 

PingID
AccountDomainSid
SusClientId
SusClientIDValidation

Примечание Агент обновления Windows 3.0 добавляет значение SusClientIDValidation. Это значение было выпущено в мае 2007 г. Записи реестра существуют в обоих Windows Update Agent 2.0 и 3.0 агента обновления Windows.

Закройте редактор реестра.

В командной строке введите net start wuauserv, а затем нажмите клавишу ВВОД.

В командной строке введите wuauclt.exe /resetauthorization /detectnowи нажмите клавишу ВВОД. 

Подождите 10 минут для завершения цикла обнаружения.

Запустите консоль WSUS убедитесь, что клиенты будут отображаться в консоли WSUS.

Способ 2: Используйте файл Sysprep.inf

Если уже имеется файл с именем Sysprep.inf в той же папке, что и программа Sysprep.exe, выполните следующие действия.

Примечание Для решения этой проблемы, необходимо применить следующие действия перед обобщить образ. 

Дважды щелкните файл Sysprep.inf, чтобы открыть файл в блокноте.

Пролистайте список и найдите раздел [GuiRunOnce] .

Примечание Если раздел [GuiRunOnce] не существует, создайте его, введя в конце файла Sysprep.inf.

Под [раздел GuiRunOnce]введите следующий текст.

Примечание Эти новые команды, перечислены как "Command0" через «Command3». Такие обозначения верны только в том случае, если раздел [GuiRunOnce] содержит в настоящее время нет команд. Если уже есть команды под [раздел GuiRunOnce], измените параметры «командаx» в новые команды, таким образом, чтобы они начинались с порядковый номер. Например если раздел уже содержит пять команд, перечисленных как

"Command0" через "Command4", число этих новых команд как "Command5" через «Command8». 
Command0="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f"
Command1="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f"
Command2="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId/f»
Command3="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientIDValidation /f"

В меню файл выберите Сохранить.

В меню файл выберите команду Выход.

Способ 3: Создайте файл Sysprep.inf, если у вас нет файла

Если у вас файл с именем Sysprep.inf в той же папке, что и программа Sysprep.exe, выполните следующие действия для создания файла.

Примечание Для решения этой проблемы, необходимо применить следующие действия перед обобщить образ. 

Нажмите кнопку Пуск, выберите пункт Все программы, Стандартныеи затем щелкните Блокнот.

Введите следующий текст:

Раздел [GuiRunOnce]

Command0="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f"
Command1="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f"
Command2="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId/f»
Command3="reg.exe удаление HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientIDValidation /f"

В меню файл выберите Сохранить.

Перейдите в каталог, в котором находится файл Sysprep.exe.

В поле имя файла введите файл Sysprep.inf .

В поле Тип файла выберите Все файлы .

Нажмите кнопку Сохранить.

В меню файл выберите команду Выход.

Дополнительная информация

Первый компьютер под управлением Windows 2000, компьютер под управлением Windows Server 2003 или компьютер под управлением Windows XP, созданный с помощью образа Windows 2000, в образ Windows Server 2003 или в образ Windows XP отображается в консоли WSUS. Однако далее под управлением Windows 2000, на базе Windows Server 2003 или под Windows XP компьютеры, которые были настроены с помощью одного изображения не отображаются. Эта проблема возникает, поскольку на первый компьютер, который был настроен с помощью одного из этих изображений используется одно и то же значение SusClientID. 

После выполнения действий, описанных в разделе «Решение», создается новое значение SusClientID. Кроме того Далее компьютеры под управлением Windows 2000, компьютеры под управлением Windows Server 2003 или компьютеров под управлением Windows XP, которые были настроены с помощью одного изображения отображаются в консоли WSUS. 

Добавлена автоматическая функция для агента обновления Windows, установленного на клиентских компьютерах службы WSUS. Эта функция может помочь решить эту проблему SusClientID дубликат. Функция обеспечивает решение, которое добавляется клиентский агент обновления Windows, начиная с версии 7.0.6000.374. (Эта версия является версия клиента, который поставляется вместе с WSUS 3.0).

Это решение использует программу проверки оборудования, чтобы определить, изменилось ли текущее оборудование клиента с момента создания значение SUSClientID. (Это оборудование включает сетевые адаптеры и жесткие диски). 

Программу проверки оборудования хранятся в виде больших двоичных объектов в разделе реестра Susclientidvalidation в одном месте, как значение параметра реестра Susclientid. Если программу проверки оборудования указывает, что все оборудование было изменено, новое значение SusClientID создается клиентом. 

Примечание Программу проверки оборудования требует, что клиент подключен к серверу под управлением служб обновления программного обеспечения Windows версии 3.0 или более поздней версии WSUS, а не к серверу под управлением служб обновления программного обеспечения Windows версии 2.0.

Информация в данной статье относится к следующим продуктам.

операционная система Microsoft Windows 2000 Server

Microsoft Windows 2000 Professional Edition

Microsoft Windows 2000 Advanced Server

Microsoft Windows Server 2003 Service Pack 1 на следующих платформах

Microsoft Windows Server 2003, Web Edition

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

Microsoft Windows Server 2003, Enterprise x64 Edition

Microsoft Windows Server 2003, Standard x64 Edition

Вот примерно как то так коллеги!!!

Добавить комментарий


Защитный код
Обновить