w tym poście omówię kroki instalacji i konfiguracji WSUS (usługi aktualizacji systemu Windows Server) Na Windows Server 2019. Ten przewodnik powinien ci pomóc, jeśli zdecydujesz się zainstalować i skonfigurować WSUS od podstaw.
w przeszłości opublikowałem kilka postów na WSUS. Obejmuje to instalację WSUS i konfigurację WSUS. Oprócz tego opublikowałem również post na temat rozwiązywania problemów WSUS., Od tego czasu używam Configuration Managera i nigdy nie skupiałem się na WSUS.
kilka dni temu skontaktował się ze mną mój kolega i zapytał, Czy mogę opublikować post na temat konfiguracji WSUS na Windows Server 2019. Firma, w której pracuje, używa tylko WSUS do wdrażania aktualizacji na komputerach. Szukał więc przewodnika, który pomoże mu skonfigurować i skonfigurować WSUS od podstaw.
więc postanowiłem opublikować ten przewodnik, który jest wyłącznie dla administratorów, którzy chcą zainstalować i skonfigurować WSUS do zarządzania aktualizacjami w ich konfiguracji., Omówię również podstawy WSUS, które odpowiadają na podstawowe pytania i znaczenie WSUS.
dawno nie skonfigurowałem niczego w WSUS. Dzieje się tak, ponieważ w momencie, gdy zaczniesz używać SCCM do wdrażania aktualizacji, zapomnisz o konsoli WSUS.
wybrałem System Windows Server 2019 do instalacji i konfiguracji WSUS. Po Server 2012 R2 uważam, że Server 2019 jest stabilnym wydaniem. Nienawidzę systemu Windows Server 2016, ponieważ spędziłem dużo czasu na rozwiązywaniu problemów z aktualizacją systemu windows., Dla mnie najważniejsze jest to, że aktualizacje po prostu nie instalują się poprawnie na serwerze 2016.
zawartość
czym są aktualizacje systemu Windows
Zacznijmy od podstaw. Instalując system operacyjny lub obraz komputera, zawsze upewniasz się, że jest on opatrzony najnowszymi aktualizacjami. Nie tylko system operacyjny, ale prawie każde oprogramowanie, z którego korzystamy, musi być stale aktualizowane.
aktualizacje systemu Windows są wydawane, aby naprawić błędy, naprawić problemy z bezpieczeństwem w systemie operacyjnym i dodać nowe funkcje do systemu operacyjnego., Aktualizacje systemu Windows opierają się na usłudze Windows Update, która domyślnie uruchamia się automatycznie.
usługa Windows Update pobiera i instaluje zalecane i ważne aktualizacje automatycznie.
aktualizacje firmy Microsoft można podzielić na następujące kategorie :-
- aktualizacje krytyczne
- aktualizacje zabezpieczeń
- aktualizacje definicji
- sterowniki
- rollupy aktualizacji
- pakiety usług
- pakiety funkcji
- aktualizacje
jeśli migracja z systemu Windows 7 do systemu Windows 10 spowoduje wiele nowych opcji pod Windows Update., Otrzymasz kilka fajnych opcji, takich jak wstrzymanie aktualizacji przez 7 Dni, zmiana aktywnych godzin instalacji aktualizacji. Oprócz tego istnieje wiele przydatnych opcji w ramach opcji zaawansowanych. Kiedy masz czas, śmiało i zbadać je wszystkie.
Wprowadzenie do Usług Aktualizacji systemu Windows Server
usługi aktualizacji systemu Windows Server (WSUS) umożliwiają administratorom wdrażanie najnowszych aktualizacji produktów firmy Microsoft. WSUS jest rolą serwera Windows Server i po zainstalowaniu go można skutecznie zarządzać i wdrażać aktualizacje.,
jednym z najważniejszych zadań administratorów systemu jest aktualizowanie komputerów klientów i serwerów o najnowsze poprawki oprogramowania i aktualizacje zabezpieczeń. Bez WSUS byłoby naprawdę trudno zarządzać wdrożeniem aktualizacji.
gdy masz pojedynczy serwer WSUS w konfiguracji, aktualizacje są pobierane bezpośrednio z usługi Microsoft Update. Jeśli jednak zainstalujesz kilka serwerów WSUS, możesz skonfigurować serwer WSUS tak, aby działał jako źródło aktualizacji, które jest również znane jako serwer upstream.,
zamiast pozwalać wielu komputerom pobierać aktualizacje bezpośrednio z Internetu, możesz skonfigurować serwer WSUS i skierować klientów do pobrania wszystkich aktualizacji z serwera WSUS. Dzięki temu oszczędzasz przepustowość Internetu, a także przyspieszasz proces Windows update.
mogę dużo mówić o WSUS, ale zacznijmy od instalacji WSUS.
WSUS Lab Setup
przede wszystkim pozwól mi omówić ustawienia WSUS lab. Uważam, że najlepszym sposobem opanowania WSUS jest najpierw zainstalowanie i skonfigurowanie go w konfiguracji testowej lub laboratoryjnej. Następnie możesz zacząć nad nim pracować i spróbować kilku rzeczy.,
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
Server Name | Operating System | Roles |
CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
CORPWSUS.PRAJWAL.,LOCAL | Windows Server 2019 Datacenter | WSUS |
CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.,
wymagania systemowe WSUS
gdy zdecydujesz się wdrożyć WSUS w swojej konfiguracji, musisz najpierw przyjrzeć się wymaganiom WSUS. Aby zaplanować wdrożenie WSUS, polecam przeczytać ten artykuł od firmy Microsoft. Obejmuje wszystkie informacje wymagane do wymagań WSUS, scenariuszy wdrożenia, kwestii wydajności itp.
ten post opisuje procedurę instalacji Usług Aktualizacji systemu Windows Server przy użyciu wewnętrznej bazy danych systemu Windows (WID).,
porty WSUS Firewall/wyjątki
podczas konfiguracji serwera WSUS ważne jest, aby serwer łączył się z Microsoft update, aby pobrać aktualizacje. Jeśli pomiędzy WSUS a Internetem istnieje firmowa zapora ogniowa, być może będziesz musiał skonfigurować tę zaporę, aby zapewnić WSUS możliwość uzyskiwania aktualizacji.
aby uzyskać aktualizacje z Microsoft Update, serwer WSUS używa portu 443 dla protokołu HTTPS., Musisz zezwolić na dostęp do Internetu z WSUS na następującą listę adresów url :-
zainstaluj rolę WSUS w systemie Windows Server 2019
kroki instalacji roli WSUS w systemie Windows Server 2019 obejmują :-
- Zaloguj się na serwerze Windows 2019, na którym planujesz zainstalować rolę WSUS server przy użyciu konta należącego do lokalnej grupy Administratorzy.
- w Menedżerze serwera kliknij Zarządzaj i kliknij Dodaj role i funkcje.
- na stronie przed rozpoczęciem kliknij przycisk Dalej.,
- na stronie wybierz typ instalacji wybierz opcję instalacji opartej na rolach lub funkcji. Kliknij Dalej.
na stronie wyboru serwera zweryfikuj nazwę serwera i kliknij Dalej.,
role serwera – usługi aktualizacji systemu Windows Server
na stronie role serwera wybierz rolę „usługi aktualizacji systemu Windows Server”. Powinieneś zobaczyć okno Dodaj funkcje, które są wymagane dla Usług Aktualizacji systemu Windows Server. Kliknij przycisk Dodaj funkcje, a następnie kliknij przycisk Dalej.,
na stronie Wybierz funkcje pozostaw opcje domyślne i kliknij Dalej.
na stronie usługi aktualizacji systemu Windows Server kliknij przycisk Dalej.
WSUS Database type – Role Services
musisz wybrać role services / Database type do zainstalowania Dla Windows Server Update services. Wybierz usługi WID Connectivity i WSUS. Kliknij Dalej.,
lokalizacja zawartości WSUS
określ lokalizację zawartości do przechowywania aktualizacji. Polecam przechowywanie aktualizacji na innym dysku, a nie na dysku C:. Rozmiar tego folderu może w końcu wzrosnąć i nie chcesz, aby ten folder znajdował się na dysku C:. Dlatego wybierz oddzielny dysk lub przechowuj aktualizacje na zdalnym serwerze.
kliknij Dalej.,
na stronie rola serwera www (IIS) kliknij przycisk Dalej.
role services to install web server (IIS) are select automatically. Nie zmieniaj niczego tutaj i kliknij Dalej.
ostateczne potwierdzenie przed zainstalowaniem WSUS. Przejrzyj ustawienia i kliknij przycisk Zainstaluj.
Po zakończeniu instalacji WSUS kliknij Uruchom zadania po instalacji.,
poczekaj na pomyślną konfigurację wiadomości. Kliknij Zamknij.
konfiguracja Windows Server Update Services (WSUS)
Po zainstalowaniu WSUS możesz skonfigurować serwer WSUS za pomocą WSUS Kreator konfiguracji serwera., Jest to konfiguracja Jednorazowa, w której skonfigurujesz kilka ważnych opcji WSUS.
Jeśli nie widzisz kreatora konfiguracji serwera WSUS lub pominąłeś go przez pomyłkę, nie martw się. Możesz go uruchomić, otwierając konsolę WSUS > opcje > Kreator konfiguracji serwera WSUS.
Uwaga – zanim zaczniesz konfigurować WSUS, kilka ważnych punktów.
- upewnij się, że zapora serwera umożliwia Klientom dostęp do serwera WSUS. Jeśli klienci mają problemy z połączeniem się z serwerem WSUS, aktualizacje nie będą pobierane z serwera.,
- WSUS pobiera aktualizacje z serwera upstream, którym w naszym przypadku jest Microsoft update. Upewnij się więc, że zapora pozwala serwerowi WSUS połączyć się z Microsoft Update.
- jeśli w Twojej konfiguracji jest serwer proxy, musisz wprowadzić poświadczenia serwera proxy podczas konfigurowania WSUS. Mieć je pod ręką, jak są one wymagane.
na stronie przed rozpoczęciem kliknij przycisk Dalej.
kliknij Dalej.,
Wybierz WSUS Upstream Server
jest to ważna sekcja, w której wybierasz upstream server. Masz dwie opcje.
- Synchronizuj z Microsoft Update – wybranie tej opcji spowoduje pobranie aktualizacji z Microsoft update.
- Synchronize from another Windows Server Update Services server-Select this option if you want this WSUS server to download updates from already existing WSUS server. Domyślnie należy podać nazwę serwera i numer portu (8530)., Jeśli wybierasz opcję korzystania z SSL podczas synchronizacji aktualizacji, upewnij się, że upstream WSUS server jest również skonfigurowany do obsługi SSL.
ponieważ będzie to mój jedyny serwer WSUS, wybieram Synchronize z Microsoft Update. Kliknij Dalej.
serwer Proxy
Określ informacje o serwerze Proxy, jeśli go posiadasz. Jeśli ta opcja jest zaznaczona, upewnij się, że podałeś nazwę serwera proxy i numer portu., Oprócz tego określ poświadczenia do połączenia z serwerem proxy. Jeśli chcesz włączyć podstawowe uwierzytelnianie dla użytkownika łączącego się z serwerem proxy, kliknij Zezwól na podstawowe uwierzytelnianie (hasło w czystym tekście).
kliknij Dalej.
na stronie Connect to Upstream Server kliknij przycisk Start Connecting.
po jej zakończeniu kliknij przycisk Dalej.,
wybierz języki dla aktualizacji
na stronie wybierz języki masz możliwość wyboru języków z aktualizacji. Jeśli wybierzesz pobieranie aktualizacji we wszystkich językach, znajdziesz aktualizacje we wszystkich językach w konsoli WSUS.
Jeśli jednak wybierzesz pobieranie aktualizacji tylko dla określonych języków, wybierz opcję Pobierz aktualizacje tylko w tych językach. Wybierz języki, dla których chcesz aktualizować.
kliknij Dalej.,
Wybierz produkty
To jest strona, na której wybierasz produkty, dla których chcesz aktualizować. Produkt jest określoną edycją systemu operacyjnego lub aplikacji.
z listy produktów możesz wybrać poszczególne produkty lub rodziny produktów, dla których chcesz, aby twój serwer synchronizował aktualizacje. W takim przypadku wybieram Windows Server 2019 i Windows 10 1903 jako produkty.
kliknij Dalej.,
Wybierz klasyfikacje aktualizacji
na początku postu wymieniłem rodzaje aktualizacji. Na stronie wybierz klasyfikacje wybierz wymagane klasyfikacje. Wybrałem aktualizacje krytyczne, aktualizacje zabezpieczeń i rollupy aktualizacji.
kliknij Dalej.,
Konfiguracja harmonogramu synchronizacji WSUS
musisz zdecydować, jak chcesz przeprowadzić synchronizację WSUS. Na stronie Ustaw harmonogram synchronizacji można wybrać, czy synchronizacja ma być wykonywana ręcznie, czy automatycznie.
Jeśli wybierzesz Synchronizuj ręcznie, musisz ręcznie rozpocząć proces synchronizacji z Konsoli administracyjnej WSUS. Po wybraniu tej opcji musisz ręcznie wykonać synchronizację za każdym razem., Dlatego nie wybieraj tej opcji, jeśli konfigurujesz WSUS w produkcji.
Jeśli wybierzesz Synchronizuj automatycznie, serwer WSUS będzie synchronizował się w określonych odstępach czasu. Możesz ustawić czas pierwszej synchronizacji. Następnie Ustaw liczbę synchronizacji dziennie. Z listy rozwijanej możesz wybrać wartość między 1-24.
kliknij Dalej.
kliknij Rozpocznij synchronizację początkową. Kliknij Dalej.,
na ostatniej stronie kliknij Zakończ. To kończy kroki konfiguracji WSUS.
Konfiguracja ustawień zasad grupy dla WSUS
Po zainstalowaniu i skonfigurowaniu WSUS następnym ważnym zadaniem jest skonfigurowanie ustawień zasad grupy dla automatycznych aktualizacji. Nowi klienci nadal nie wiedzą o nowym serwerze WSUS, który właśnie skonfigurowałeś., Korzystając z zasad grupy możesz skierować swoje maszyny klienckie na nowy serwer WSUS.
w środowisku active directory można użyć zasad grupy określających serwer WSUS. Ustawienia zasad grupy będą używane do uzyskiwania automatycznych aktualizacji z Usług Aktualizacji systemu Windows Server (WSUS).
możesz utworzyć politykę grupy i zastosować ją na poziomie domeny. Możesz też utworzyć i zastosować GPO do określonego OU (zawierającego Twoje komputery).
Chociaż istnieje wiele ustawień zasad Windows Update, zamierzam skonfigurować kilka z nich., Aby wyświetlić listę wszystkich ustawień zasad usługi windows update, przeczytaj ten artykuł firmy Microsoft.
Konfiguracja automatycznych aktualizacji WSUS
aby skonfigurować automatyczne aktualizacje ustawienia zasad grupy dla WSUS
- otwórz Konsolę zarządzania zasadami grupy i otwórz istniejący GPO lub utwórz nowy.
- przejdź do konfiguracji komputera> Zasady> Szablony administracyjne> komponenty systemu Windows> Windows Update.
- Kliknij dwukrotnie Konfiguruj Aktualizacje automatyczne i ustaw na Włączone.,
w sekcji Konfiguruj automatyczne aktualizowanie wybierz żądaną opcję. W obszarze zaplanuj dzień instalacji wybierz dzień, w którym mają być zainstalowane aktualizacje. Ustaw zaplanowany czas instalacji.
Jeśli wybierzesz automatyczne pobieranie i zaplanuj instalację aktualizacji, otrzymasz kilka opcji, aby ograniczyć częstotliwość aktualizacji. Jeśli skonfigurowałeś ustawienia, kliknij Zastosuj i OK.,
Określ Intranet Microsoft Update Service Location
następnym ustawieniem, które powinieneś skonfigurować, jest określenie intranet Microsoft update service location. Chodzi o to, aby komputery klienckie skontaktowały się z określonym serwerem intranetowym zamiast pobierać aktualizacje z Internetu. Jeśli nie skonfigurujesz tego ustawienia zasad, komputery klienckie nie będą wiedzieć o serwerze intranetowym.
aby włączyć zasady, kliknij włączone., Określ usługę aktualizacji intranetu i serwer statystyk intranetu. Kliknij Zastosuj i OK.
na komputerze klienckim sprawdź Wynikowy zestaw zasad, aby potwierdzić, czy WSUS GPO jest zastosowany.
można również zweryfikować lokalizację usługi aktualizacji intranetu na komputerach klienckich za pomocą rejestru. Na komputerze klienckim Otwórz Edytor rejestru i przejdź do HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.,
sprawdź wartości WUServer i WUSTATUSSERVER i potwierdź, czy wartości pasują do wartości podanych w WSUS GPO.
Skonfiguruj grupy komputerowe WSUS
tworząc grupy komputerowe możesz najpierw testować i kierować aktualizacje na określone Komputery. Po otwarciu konsoli WSUS znajdziesz dwie domyślne grupy komputerów-wszystkie komputery i komputery Nieprzypisane.,
możesz tworzyć niestandardowe grupy komputerowe do zarządzania aktualizacjami w organizacji. Jak na Microsoft musisz utworzyć co najmniej jedną grupę komputerów w konsoli WSUS. Przetestuj aktualizacje przed wdrożeniem ich na innych komputerach w organizacji.
aby utworzyć nową grupę komputerową w konsoli WSUS
w konsoli administracyjnej WSUS, w obszarze Usługi aktualizacji, rozbuduj serwer WSUS. Rozwiń pozycję Komputery, kliknij prawym przyciskiem myszy wszystkie komputery, a następnie kliknij przycisk Dodaj grupę komputer.
w oknie dialogowym Dodaj grupę komputerową określ nazwę nowej grupy, a następnie kliknij przycisk Dodaj.,
kliknij Wszystkie Komputery i powinieneś zobaczyć listę komputerów. Wybierz Komputery, kliknij prawym przyciskiem myszy i kliknij Zmień członkostwo.
w polu Set computer Group Membership wybierz nową grupę, którą właśnie utworzyłeś. Kliknij OK.,
kliknij nową grupę i powinieneś znaleźć te komputery.
zatwierdzanie i wdrażanie aktualizacji w WSUS
Po utworzeniu grupy komputer testowy, kolejne zadanie wdrożenia aktualizacji do grupy testowej. Aby to zrobić, musisz najpierw zatwierdzić i wdrożyć aktualizacje WSUS.
aby zatwierdzić aktualizacje w WSUS
- uruchom konsolę administracyjną WSUS, kliknij aktualizacje> wszystkie aktualizacje.,
- w sekcji Wszystkie aktualizacje Wybierz aktualizacje, które chcesz zatwierdzić Do instalacji w grupie komputer testowy.
- kliknij prawym przyciskiem myszy aktualizacje i kliknij Zatwierdź.
przede wszystkim w oknie dialogowym zatwierdzaj aktualizacje wybierz grupę testową, a następnie kliknij strzałkę w dół. Kliknij Zatwierdź do instalacji. Możesz również ustawić termin instalacji aktualizacji. Kliknij OK.
pojawi się okno postępu zatwierdzania, które pokazuje postęp zadań mających wpływ na zatwierdzanie aktualizacji., Po zakończeniu procesu zatwierdzania kliknij przycisk Zamknij.
Konfiguracja reguł Auto zatwierdzania w WSUS
Jeśli nie chcesz ręcznie zatwierdzać aktualizacji, możesz skonfigurować regułę Auto zatwierdzania w usługach aktualizacji systemu Windows Server.
aby skonfigurować automatyczne zatwierdzanie w WSUS
- uruchom konsolę administracyjną WSUS, rozwiń serwer WSUS, a następnie kliknij Opcje.
- w opcjach kliknij automatyczne zatwierdzanie.
- powinieneś znaleźć domyślną regułę automatycznego zatwierdzania i jeśli chcesz, możesz ją edytować i używać.,
- aby utworzyć nową regułę zatwierdzenia, kliknij Nową Regułę.
zaznacz pole, gdy aktualizacja jest w określonej klasyfikacji. Wybierz klasyfikacje. Możesz również zatwierdzić aktualizację dla grup komputerów. Zamierzam wybrać System Windows 10, ponieważ jest to moja grupa komputerów testowych. Na koniec możesz ustawić termin zatwierdzenia aktualizacji i określić nazwę reguły automatycznego zatwierdzania.
Po skonfigurowaniu reguły kliknij OK.
w oknie automatycznych zatwierdzeń możesz znaleźć regułę, którą właśnie utworzyłeś., Jeśli chcesz uruchomić tę regułę, kliknij Uruchom regułę.
raporty WSUS
ostatnia sekcja, którą chcę opisać, to raporty WSUS. Kliknięcie raportów w konsoli WSUS pokazuje listę raportów. WSUS zawiera kilka raportów, które pomogą Ci znaleźć Status wdrażania aktualizacji, raporty synchronizacji i raporty komputerów.
- raporty aktualizacji-zawiera podsumowanie stanu aktualizacji, stan szczegółowy i tabelaryczny, stan tabelaryczny dla zatwierdzonych aktualizacji.,
- raporty komputerowe-podsumowanie stanu komputera, Stan szczegółowy, stan tabelaryczny i stan tabelaryczny komputera dla zatwierdzonych aktualizacji.
- raporty synchronizacji-pokazuje wyniki ostatniej synchronizacji.