Usługa Microsoft Windows Server Update Services (WSUS) to zaawansowane narzędzie służące do zarządzania aktualizacjami w sieci.
źródło : technet.microsoft.com
Przed instalacją Windows Server Update Services należy zainstalować i skonfigurować :
– usługę Active Directory (WSUS można wdrożyć również poprzez lokalne polisy)
– serwer DNS
– serwer IIS
Opis instalacji i konfiguracji znajdziesz tutaj :
Usługi Active Directory, Serwer DNS, DHCP, IIS w Windows Server 2012
Instalacja Windows Server Update Services :
Podczas wybrania do instalacji roli Windows Server Update Services automatycznie zaznacza się do instalacji Serwer IIS. Też jest wymagany do poprawnego działania WSUS-a. Instalację oraz konfigurację usługi DNS, Active Directory i IIS przedstawiłem w innym artykule.
Klikamy Next.
Klikamy Next.
Zostawiamy domyślne ustawienia. Klikamy Next.
Zaznaczamy opcję Store updates in the following location.
Podajemy ścieżkę na dysku na którym będą trzymane aktualizacje. Można też pobierać aktualizacje (przez komputery klienckie) bezpośrednio za każdym razem z Internetu. Ale zajmie to długo czasu no chyba że mamy bardzo szybkie łącza internetowe.
Klikamy Install. Po instalacji przechodzimy do konfiguracji. Przechodzimy do Tools i wybieramy narzędzie
Windows Server Update Services.
Narzędzie Windows Server Update Services znajduje się w :
Powinien otworzyć się kreator :
Klikamy Next.
Ja w tym przykładzie przedstawiam łączenie się z Microsoft Update.
Jeżeli nie używamy serwera proxy to klikamy Next.
Klikamy na Start Connecting.
Ściągamy aktualizacje dla systemów w języku polskim. Jeżeli posiadamy systemy operacyjne (klienckie) w innym języku, należy zaznaczyć do instalacji odpowiedni język.
Klikamy Next.
Wybieramy produkty jakie będziemy chcieli aktualizować.
Możemy określić typ aktualizacji. Klikamy Next.
Określamy w jaki sposób mają być ściągane aktualizacje na serwer (ręcznie czy automatycznie).
Klikamy Finish.
Otwieramy narzędzie Windows Server Update Services :
Tak wygląda główne okno usługi WSUS:
Jeżeli nie wykonaliśmy synchronizacji lub synchronizacja została przerwana to możemy wykonać ją ponownie, przechodząc do zakładki Synchronizations oraz klikając na Synchronize Now. Synchronizację możemy również ustawić tak aby wykonywała się automatycznie.
Postęp synchronizacji możemy śledzić tutaj :
Wyniki synchronizacji :
Widzimy że mamy dostępnych 407 aktualizacji :
Zakładka Updates podzielona została na grupy aktualizacji. Grupy aktualizacji jakie mają się wyświetlać zostały skonfigurowane podczas konfiguracji WSUS:
W All Updates wyświetlone zostają wszystkie aktualizacje.
W Critical Updates wyświetlone są tylko krytyczne aktualizacje.
W Security Updates wyświetlone są aktualizacje, które poprawiają bezpieczeństwo.
WSUS Updates zawiera aktualizacje dla WSUS-a.
WSUS umożliwia tworzenie grup komputerów :
Możemy utworzyć przykładowo grupę Testowe oraz Produkcyjne. Do grupy Testowe możemy „wrzucić” wszystkie komputery na których możemy spokojnie przetestować aktualizacje. Natomiast do grupy Produkcyjne możemy wrzucić komputery na których będą instalowane aktualizacje „zaufane” przez nas.
Zatwierdzanie aktualizacji :
Klikamy na daną aktualizację i wybieramy Approve.
Następnie wybieramy grupę komputerów na których aktualizacja będzie instalowana. Najlepiej wybrać grupę testową (jeżeli aktualizacja nie jest znana):
Po wybraniu klikamy OK.
Jednocześnie do zatwierdzenia można zaznaczyć kilka aktualizacji :
Zatwierdzone aktualizacje pobiorą się na dysk twardy.
Jak dodajemy komputery do grup :
Zalecam najpierw dodać jakiś komputer do grupy testowej. W tej grupie będą testowane aktualizacje.
Nowe komputery, które połączą się z serwerem WSUS automatycznie trafią do domyślnej grupy : Unassigned Computers. Jest możliwość ustawienia aby komputery trafiały automatycznie do odpowiednich grup.
Konfigurowanie klientów. Przykład oparty na systemie Windows 7:
Dla celów napisania tego artykułu stworzyłem dwa systemy wirtualne oparte na systemie Windows 7.
Systemy podpiąłem pod domenę.
Windows 7 domyślnie pobiera aktualizacje z Internetu. Musimy to zmienić. Postawiliśmy serwer WSUS aby klienci pobierali aktualizacje z tego serwera. Trzeba klientów odpowiednio skonfigurować.
Wszelkie zmiany na komputerach najlepiej jest wykonywać z wykorzystaniem Group Policy Management.
Uruchamiamy narzędzie Group Policy Management :
Uruchamia nam się edytor. Tworzymy nową politykę o nazwie np. Aktualizacje_WSUS :
Edytujemy następnie nową politykę :
Jeżeli chcemy skonfigurować automatyczne aktualizacje na komputerach klienckich, przechodzimy do :
Computer Configuration – Policies – Administrative Templates – Windows Update
Konfigurujemy :
Configure Automatic Updates
Ustawiamy status na Enabled.
Dostępne opcje :
Specify intranet Microsoft update service location :
Musimy nadać klientowi serwer aktualizacji WSUS.
Należy podać adres w formacie :
http://nazwa_serwera:port_usługi
Automatic Updates detection frequency :
Ustawiamy częstotliwość sprawdzania nowych aktualizacji do zainstalowania :
No auto-restart with logged on users for scheduled automatic – możemy ustawić na Enabled
Klient zostanie poinformowany że należy zrobić restart komputera.
Re-prompt for restart with scheduled installations :
Możemy ustawić czas powiadamiania klienta o potrzebie restartu.
Aby zobaczyć informację o wprowadzaniu nowej polityki GPO na komputerach klienckich, należy włączyć wyświetlanie informacji podczas logowania :
Sprawdzenie wykonania aktualizacji na komputerach :
Załóżmy że zatwierdziliśmy na serwerze WSUS aktualizacje, które mają być zainstalowane na komputerach klienckich.
Jedną z nich jest aktualizacja np. :
KB2690533
Sprawdzamy na komputerze klienckim czy dana aktualizacja jest dostępna.
Mamy monit że jest dostępna 1 ważna aktualizacja:
Sprawdzamy :
Widzimy że jest to aktualizacja zabezpieczeń : KB2690533.
Po pierwszej instalacji aktualizacji i po restarcie komputera pozostałe aktualizacje również będą do pobrania :
Aktualizacje zatwierdzone na serwerze WSUS :
Jak widzimy wszystko działa 🙂
Jeśli widzimy :
Nie ma dla nas dostępnych nowych aktualizacji 🙂
Przydatne polecenia :
Ręczne zainicjowanie wykrywania przez serwer WSUS :
W wierszu poleceń należy wpisać polecenie wuauclt.exe /detectnow
Aktualizowanie ręcznie polityk GPO :
W wierszu poleceń należy wpisać gpupdate /force