V tomto příspěvku se budu zabývat kroky instalace a konfigurace služby WSUS (Windows Server Update Services) v systému Windows Server 2019. Tato příručka by vám měla pomoci, pokud se rozhodnete nainstalovat a nakonfigurovat WSUS od nuly.
v minulosti jsem publikoval několik příspěvků na WSUS. To zahrnuje instalaci WSUS a konfiguraci WSUS. Kromě toho jsem také publikoval příspěvek na řešení problémů WSUS., Od té doby používám Správce konfigurace a nikdy jsem se neobtěžoval soustředit se na WSUS.
před několika dny mě kontaktoval můj kolega a zeptal se, jestli mohu publikovat příspěvek o nastavení WSUS na Windows Server 2019. Společnost, kde pracuje, používá k nasazení aktualizací do počítačů pouze WSUS. Takže hledal průvodce, který mu může pomoci nastavit a nakonfigurovat WSUS od nuly.
tak jsem se rozhodl publikovat tuto příručku, která je určena výhradně pro administrátory, kteří chtějí nainstalovat a nakonfigurovat WSUS pro správu aktualizací v jejich nastavení., Budu také zahrnovat některé základy WSUS, které odpovídají na základní otázky a význam WSUS.
bylo to docela dlouho, kdy jsem ve WSUS skutečně nakonfiguroval cokoli. Je to proto, že v okamžiku, kdy začnete používat SCCM k nasazení aktualizací, zapomenete na konzoli WSUS.
zvolil jsem Windows Server 2019 pro instalaci a konfiguraci WSUS. Po Serveru 2012 R2 věřím, že Server 2019 je stabilní verze. Nesnáším Windows Server 2016, protože jsem strávil spoustu času při řešení problémů s aktualizací systému windows., Pro mě je nejdůležitější stěžovat si, že aktualizace se na Server 2016 nenainstalují správně.
obsah
jaké jsou aktualizace systému Windows
začněme s některými základy. Při instalaci operačního systému nebo obrazu stroje vždy zajistíte, že je opraven nejnovějšími aktualizacemi. Nejen operační systém, ale téměř každý software, který používáme, musí být neustále aktualizován.
Windows aktualizace jsou uvolněny, aby opravit chyby, opravit problémy zabezpečení v OS a přidat nové funkce do operačního systému., Aktualizace systému Windows se spoléhají na službu Windows Update, která je ve výchozím nastavení nastavena na automatické spuštění.
služba Windows Update Stahuje a instaluje doporučené a důležité aktualizace automaticky.
aktualizace společnosti Microsoft lze rozdělit do následujících kategorií :-
- Kritické Aktualizace
- Bezpečnostní Aktualizace
- Definice Aktualizace
- Ovladače
- Kumulativní Aktualizace
- aktualizace Service Pack
- Nástroje
- Funkce Balení
- Aktualizace
Pokud jste provedli migraci z Windows 7 na Windows 10, můžete si všimnout, mnoho nových možností v rámci Windows Update., Získáte několik skvělých možností, jako je pozastavení aktualizací na 7 dní, změna aktivních hodin pro instalaci aktualizací. Kromě toho existuje mnoho užitečných možností v rámci pokročilých možností. Když budete mít čas, jděte do toho a prozkoumat všechny z nich.
Úvod do služeb Windows Server Update
služby Windows Server Update Services (WSUS) umožňuje správcům nasadit nejnovější aktualizace produktů společnosti Microsoft. WSUS je role serveru Windows Server a při instalaci jej můžete efektivně spravovat a nasazovat aktualizace.,
jedním z nejdůležitějších úkolů správců systému je udržovat klientské a serverové počítače aktualizované nejnovějšími softwarovými záplatami a aktualizacemi zabezpečení. Bez WSUS by bylo opravdu těžké spravovat nasazení aktualizací.
Pokud máte v nastavení jeden server WSUS, aktualizace se stahují přímo z Microsoft Update. Pokud však nainstalujete více serverů WSUS, můžete nakonfigurovat server WSUS tak, aby fungoval jako zdroj aktualizace, který je také známý jako server proti proudu.,
Spíše než nechat více počítačů stáhnout aktualizace přímo z internetu, můžete nastavit server WSUS a bod klienty, aby stáhnout všechny aktualizace ze serveru služby WSUS. Tím uložíte šířku pásma Internetu a také urychlíte proces aktualizace systému Windows.
mohu mluvit hodně o WSUS, ale pojďme začít s instalací WSUS.
WSUS Lab Setup
nejprve mi dovolte pokrýt nastavení WSUS lab. Věřím, že nejlepší způsob, jak zvládnout WSUS, je nejprve nainstalovat a nakonfigurovat jej ve vašem testovacím nebo laboratorním nastavení. Pak můžete začít pracovat na tom a vyzkoušet několik věcí.,
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
| Server Name | Operating System | Roles |
| CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
| CORPWSUS.PRAJWAL.,LOCAL | Windows Server 2019 Datacenter | WSUS |
| CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
| CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.,
požadavky na systém WSUS
když jste se rozhodli implementovat WSUS ve vašem nastavení, musíte se nejprve podívat na požadavky WSUS. Chcete-li naplánovat nasazení WSUS, doporučuji si přečíst tento článek od společnosti Microsoft. Pokrývá všechny informace potřebné pro požadavky WSUS, scénáře nasazení, úvahy o výkonu atd.
tento příspěvek pokrývá postup instalace služeb Windows Server Update pomocí interní databáze systému Windows (WID).,
WSUS firewall porty / výjimky
při nastavení serveru WSUS je důležité, aby se server připojil k Microsoft update ke stažení aktualizací. Pokud je mezi WSUS a internetem firemní firewall, možná budete muset nakonfigurovat tento firewall, abyste zajistili, že WSUS může získat aktualizace.
pro získání aktualizací z Microsoft Update používá server WSUS port 443 pro protokol HTTPS., Musíte povolit přístup k Internetu ze služby WSUS následující seznam adres Url :-
Nainstalovat Role služby WSUS v systému Windows Server 2019
kroky k instalaci systému Windows Server Update Services (WSUS) Role v systému Windows Server 2019 patří :-
- Přihlaste se k systému Windows 2019 serveru, na kterém plánujete instalaci role serveru služby WSUS pomocí účtu, který je členem Místní skupiny Administrators.
- ve Správci serverů klikněte na Spravovat a klikněte na Přidat role a funkce.
- na stránce před zahájením klikněte na další.,
- na stránce vybrat typ instalace vyberte možnost instalace založená na rolích nebo na funkcích. Klikněte Na Další.
Na stránce Výběr Serveru, ověřte, zda název serveru a klepněte na tlačítko Další.,
Role Serveru Windows Server Update Services
Na stránce role Serveru vyberte roli „Windows Server Update Services“. Měli byste vidět přidat funkce, které jsou potřebné pro Windows Server Update Services box. Klikněte na Přidat funkce a poté na tlačítko Další.,
Zvolte vlastnosti stránky, ponechte volby na výchozí a klepněte na tlačítko Další.
na stránce služby Aktualizace Serveru Windows klikněte na další.
WSUS Databáze Typu Role, Služby
musíte vybrat služby rolí / typ Databáze k instalaci pro systém Windows Server Update services. Vyberte možnost připojení WID a služby WSUS. Klikněte Na Další.,
WSUS Umístění Obsahu
Určete umístění obsahu pro ukládání aktualizací. Doporučil bych uložit aktualizace na jinou jednotku a ne na jednotku C:. Velikost této složky může nakonec růst a nechcete, aby tato složka byla umístěna na jednotce C:. Proto zvolte buď samostatnou jednotku nebo uložte aktualizace na vzdáleném serveru.
klikněte na další.,
Na Role Webový Server (IIS) stránka, klepněte na tlačítko Další.
služby rolí pro instalaci webového serveru (IIS) jsou vybrány automaticky. Nic zde neměňte a klikněte na další.
konečné potvrzení před instalací WSUS. Zkontrolujte nastavení a klikněte na Instalovat.
po dokončení instalace WSUS klikněte na spustit úkoly po instalaci.,
Počkejte, až zpráva Konfigurace úspěšně dokončena. Klikněte Na Zavřít.
Konfigurovat Windows Server Update Services (WSUS)
Po instalaci služby WSUS, můžete nakonfigurovat server WSUS pomocí průvodce konfigurací Serveru služby WSUS., Jedná se o jednorázovou konfiguraci, kde nakonfigurujete některé důležité možnosti WSUS.
Pokud nevidíte průvodce konfigurací serveru WSUS nebo pokud jste jej omylem přeskočili, nebojte se. Můžete jej spustit otevřením konzoly WSUS > Možnosti > WSUS server configuration wizard.
Poznámka-než začnete konfigurovat WSUS, některé důležité body.
- ujistěte se, že firewall serveru umožňuje klientům přístup k serveru WSUS. Pokud mají klienti problémy s připojením k serveru WSUS, aktualizace nebudou staženy ze serveru.,
- WSUS stáhne aktualizace z upstream serveru, což je Microsoft update v našem případě. Ujistěte se tedy, že firewall umožňuje serveru WSUS připojit se k aktualizaci společnosti Microsoft.
- v případě, že je v nastavení proxy server, musíte při konfiguraci WSUS zadat přihlašovací údaje pro proxy server. Nechte je po ruce, jak jsou požadovány.
na stránce před zahájením klikněte na tlačítko Další.
Klepněte na tlačítko Další.,
zvolte WSUS Upstream Server
toto je důležitá část, kde vyberete server upstream. Máte dvě možnosti.
- synchronizovat z Microsoft Update-Výběrem této možnosti stáhnete aktualizace z Microsoft update.
- synchronizace z jiného serveru služeb Windows Server Update – vyberte tuto možnost, pokud chcete, aby tento server WSUS stahoval aktualizace z již existujícího serveru WSUS. Ve výchozím nastavení musíte zadat název serveru a číslo portu (8530)., Pokud vybíráte možnost použít SSL během synchronizace aktualizací, ujistěte se, že upstream WSUS server je také nakonfigurován tak, aby podporoval SSL.
protože to bude můj jediný server WSUS, vyberu synchronizovat z Microsoft Update. Klikněte Na Další.
Server Proxy
Zadejte informace o serveru Proxy, pokud máte jeden. Pokud je tato volba vybrána, ujistěte se, že zadáte název proxy serveru a číslo portu., Kromě toho zadejte pověření pro připojení k proxy serveru. Pokud chcete povolit základní autentizaci pro uživatele připojujícího se k proxy serveru, klikněte na Povolit základní autentizaci (heslo v jasném textu).
klikněte na další.
Na stránce Connect to Upstream Server klikněte na tlačítko Start Connecting.
Jakmile je kompletní, klikněte na tlačítko Další.,
zvolte jazyky pro aktualizace
na stránce vybrat jazyky máte možnost vybrat jazyky z aktualizací. Pokud se rozhodnete stahovat aktualizace ve všech jazycích, najdete aktualizace se všemi jazyky v konzole WSUS.
Pokud se však rozhodnete získat aktualizace pouze pro konkrétní jazyky, vyberte Aktualizace stahování pouze v těchto jazycích. Vyberte jazyky, pro které chcete aktualizace.
klikněte na další.,
Vybrat Produkty
Toto je stránka, kde si vyberte produkty, pro které chcete aktualizace. Produkt je specifické vydání operačního systému nebo aplikace.
ze seznamu produktů můžete vybrat jednotlivé produkty nebo rodiny produktů, pro které chcete, aby váš server synchronizoval aktualizace. V tomto případě budu jako produkty vybrat Windows Server 2019 a Windows 10 1903.
klikněte na další.,
Vyberte Aktualizaci Klasifikace
na začátku příspěvku jsem vyjmenoval typy aktualizací. Na stránce Vybrat klasifikace vyberte požadované klasifikace. Vybral jsem kritické aktualizace, Aktualizace zabezpečení a aktualizace.
klikněte na další.,
Konfigurovat službu WSUS Plánu Synchronizace
musíte se rozhodnout, jak chcete provádět WSUS synchronizovat. Stránka Set Sync Schedule umožňuje vybrat, zda chcete synchronizaci provádět ručně nebo automaticky.
Pokud zvolíte synchronizovat ručně, musíte ručně spustit proces synchronizace z konzoly WSUS Administration Console. Při výběru této možnosti musíte synchronizaci pokaždé provést ručně., Proto tuto možnost nevybírejte, pokud nastavujete WSUS ve výrobě.
Pokud zvolíte synchronizovat automaticky, bude server WSUS synchronizovat v nastavených intervalech. Můžete nastavit čas první synchronizace. Poté nastavte počet synchronizací za den. Z rozevíracího seznamu můžete zvolit hodnotu mezi 1-24.
klikněte na další.
Klepněte na tlačítko Begin počáteční synchronizace. Klikněte Na Další.,
a Konečně, na poslední stránce, klepněte na tlačítko Dokončit. Tím se dokončí kroky ke konfiguraci WSUS.
Konfigurovat Nastavení Zásad Skupiny pro službu WSUS
Po instalaci a konfiguraci služby WSUS, dalším důležitým úkolem je konfigurace zásady skupiny nastavení pro automatické aktualizace. Noví klienti stále nevědí o novém serveru WSUS, který právě nastavíte., Pomocí zásad skupiny můžete své klientské stroje nasměrovat na nový server WSUS.
v prostředí active directory můžete použít Zásady skupiny pro zadání serveru WSUS. Nastavení zásad skupiny bude použito k získání automatických aktualizací ze služeb Windows Server Update Services (WSUS).
Zásady skupiny můžete vytvořit a aplikovat na úrovni domény. Nebo můžete vytvořit a aplikovat GPO na konkrétní OU (obsahující vaše počítače).
i když existuje mnoho nastavení zásad Windows Update, Chystám se nakonfigurovat několik z nich., Seznam všech nastavení zásad Windows update naleznete v tomto článku od společnosti Microsoft.
nakonfigurujte automatické aktualizace WSUS
pro konfiguraci automatických aktualizací nastavení zásad skupiny pro WSUS
- otevřete konzolu pro správu zásad skupiny a otevřete existující GPO nebo vytvořte novou.
- Přejděte na Konfigurace Počítače > Politik > Šablony pro Správu > Součásti systému Windows > Windows Update.
- Poklepejte na konfigurovat automatické aktualizace a nastavte je na Povoleno.,
v části konfigurovat automatickou aktualizaci vyberte požadovanou možnost. V části Plán install day vyberte den, kdy chcete aktualizace nainstalovat. Nastavte plánovaný čas instalace.
V případě, že vyberete možnost Automaticky stahovat a plánovat aktualizace nainstalovat, můžete získat nějaké možnosti k omezení četnosti aktualizace. Pokud jste nakonfigurovali nastavení, klikněte na Použít a OK.,
Zadejte Intranet Microsoft Update Service Location
další nastavení, které jste měli nastavit, je zadat intranet Microsoft update service location. Cílem je zajistit, aby klientské počítače kontaktovaly zadaný intranetový server namísto stahování aktualizací z internetu. Pokud nakonfigurujete toto nastavení zásad, klientské počítače by o intranetovém serveru nevěděly.
Chcete-li tuto politiku povolit, Klikněte na Enabled., Zadejte službu aktualizace intranetu a statistický server intranetu. Klikněte na Použít a OK.
v klientském počítači, zkontrolujte, zda výsledná sada zásad potvrdit, pokud WSUS OBJEKT zásad skupiny, je použita.
umístění služby aktualizace intranetu můžete také ověřit v klientských počítačích pomocí registru. V klientském počítači otevřete Editor registru a přejděte na HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.,
zkontrolujte hodnoty Wuserveru a Wustatusserveru a potvrďte, zda hodnoty odpovídají hodnotám, které jste dodali v WSUS GPO.
Konfigurovat službu WSUS skupiny počítače
díky vytvoření skupiny počítačů, můžete nejprve vyzkoušet a cíl aktualizace na konkrétní počítače. Když otevřete konzolu WSUS, najdete dvě výchozí skupiny počítačů – všechny počítače a nepřiřazené počítače.,
můžete vytvořit vlastní počítačové skupiny pro správu aktualizací ve vaší organizaci. Podle společnosti Microsoft musíte v konzole WSUS vytvořit alespoň jednu skupinu počítačů. Otestujte aktualizace před jejich nasazením do jiných počítačů ve vaší organizaci.
Chcete-li vytvořit novou počítačovou skupinu v konzoli WSUS
v konzoli pro správu WSUS, v části Služby aktualizace rozbalte server WSUS. Rozbalte počítače, klepněte pravým tlačítkem myši na všechny počítače a poté klikněte na Přidat skupinu počítačů.
v dialogovém okně Přidat skupinu počítačů zadejte název nové skupiny a poté klikněte na Přidat.,
Klepněte na položku Všechny Počítače a měli byste vidět seznam počítačích. Vyberte počítače, klikněte pravým tlačítkem myši a klikněte na Změnit členství.
Na Nastavení Počítače Členství ve Skupině okno, vyberte nové skupiny, které jste právě vytvořili. Klikněte na OK.,
Klepněte na novou skupinu a měli byste najít ty počítače.
Schválení a Nasazení Aktualizací služby WSUS
Jakmile budete mít testovacím počítači skupina vytvořila, váš další úkol k nasazení aktualizací do testovací skupiny. Chcete-li tak učinit, musíte nejprve schválit a nasadit aktualizace WSUS.
pro schválení aktualizací ve WSUS
- spusťte konzolu správy WSUS, klikněte na aktualizace > všechny aktualizace.,
- v sekci Všechny aktualizace vyberte Aktualizace, které chcete schválit pro instalaci ve skupině testovacího počítače.
- klepněte pravým tlačítkem myši na aktualizace a klepněte na tlačítko Schválit.
nejvíce v dialogovém okně schvalovat aktualizace vyberte testovací skupinu a poté klikněte na šipku dolů. Klikněte na schváleno pro instalaci. Jste také nastavit termín pro instalaci aktualizací. Klikněte na OK.
zobrazí se okno průběhu schvalování, které ukazuje průběh úkolů, které ovlivňují schválení aktualizace., Po dokončení schvalovacího procesu klikněte na Zavřít.
Nastavit Automatické Schválení Pravidel v WSUS
Pokud nechcete ručně schvalovat aktualizace můžete nakonfigurovat automatické schvalování pravidlo v systému Windows Server Update Services.
Chcete-li nakonfigurovat automatické schválení ve WSUS
- spusťte konzolu pro správu WSUS, rozbalte server WSUS a poté klikněte na možnosti.
- v možnostech klikněte na automatické schválení.
- měli byste najít výchozí pravidlo automatického schválení a pokud si přejete, můžete jej upravit a použít.,
- Chcete-li vytvořit nové schvalovací pravidlo, Klikněte na nové pravidlo.
zaškrtněte políčko, pokud je aktualizace v určité klasifikaci. Vyberte klasifikace. Aktualizaci můžete také schválit pro skupiny počítačů. Chystám se vybrat Windows 10, protože to je moje skupina testovacích počítačů. Nakonec můžete nastavit termín pro schválení aktualizace a zadat název pravidla automatického schválení.
po konfiguraci pravidla klikněte na OK.
v okně Automatické schválení najdete pravidlo, které jste právě vytvořili., Pokud chcete spustit toto pravidlo, klepněte na tlačítko Spustit pravidlo.
zprávy WSUS
poslední část, kterou chci pokrýt, jsou zprávy WSUS. Kliknutím na zprávy v konzole WSUS se zobrazí seznam zpráv. WSUS přichází s několika zprávami, které vám pomohou najít stav nasazení aktualizací, zprávy o synchronizaci a zprávy o počítačích.
- zprávy o aktualizaci-obsahuje shrnutí stavu aktualizací, podrobný a tabulkový stav, tabulkový stav schválených aktualizací.,
- Computer Reports-souhrn stavu počítače, podrobný stav, tabulkový stav a tabulkový stav počítače pro schválené aktualizace.
- zprávy synchronizace-zobrazuje výsledky poslední synchronizace.