Windows Server Update Services -WSUS

przez | 30 stycznia 2015

Usługa Microsoft Windows Server Update Services (WSUS) to zaawansowane narzędzie służące do zarządzania aktualizacjami w sieci.

źródło : technet.microsoft.com

Przed instalacją Windows Server Update Services należy zainstalować i skonfigurować :

– usługę Active Directory (WSUS można wdrożyć również poprzez lokalne polisy)

– serwer DNS

– serwer IIS

Opis instalacji i konfiguracji znajdziesz tutaj :

Usługi Active Directory, Serwer DNS, DHCP, IIS w Windows Server 2012

Instalacja Windows Server Update Services :

WSUS1

Podczas wybrania do instalacji roli Windows Server Update Services automatycznie zaznacza się do instalacji Serwer IIS. Też jest wymagany do poprawnego działania WSUS-a. Instalację oraz konfigurację usługi DNS, Active Directory i IIS przedstawiłem w innym artykule.

Klikamy Next.

WSUS2

Klikamy Next.

WSUS3

Zostawiamy domyślne ustawienia. Klikamy Next.

WSUS4

Zaznaczamy opcję Store updates in the following location.

Podajemy ścieżkę na dysku na którym będą trzymane aktualizacje. Można też pobierać aktualizacje (przez komputery klienckie) bezpośrednio za każdym razem z Internetu. Ale zajmie to długo czasu no chyba że mamy bardzo szybkie łącza internetowe.

WSUS6

Klikamy Install. Po instalacji przechodzimy do konfiguracji. Przechodzimy do Tools i wybieramy narzędzie

Windows Server Update Services.

WSUS7

Narzędzie Windows Server Update Services znajduje się w  :

WSUS8

Powinien otworzyć się kreator :

WSUS9

Klikamy Next.

WSUS11

Ja w tym przykładzie przedstawiam łączenie się z Microsoft Update.

WSUS12

Jeżeli nie używamy serwera proxy to klikamy Next.

WSUS13

Klikamy na Start Connecting.

WSUS14

WSUS15

Ściągamy aktualizacje dla systemów w języku polskim. Jeżeli posiadamy systemy operacyjne (klienckie) w innym języku, należy zaznaczyć do instalacji odpowiedni język.

Klikamy Next.

WSUS16

Wybieramy produkty jakie będziemy chcieli aktualizować.

WSUS17

Możemy określić typ aktualizacji. Klikamy Next.

WSUS18

Określamy w jaki sposób mają być ściągane aktualizacje na serwer (ręcznie czy automatycznie).

WSUS19

Klikamy Finish.

Otwieramy narzędzie Windows Server Update Services :

WSUS20

 

Tak wygląda główne okno usługi WSUS:

WSUS21

Jeżeli nie wykonaliśmy synchronizacji lub synchronizacja została przerwana to możemy wykonać ją ponownie, przechodząc do zakładki Synchronizations oraz klikając na Synchronize Now. Synchronizację możemy również ustawić tak aby wykonywała się automatycznie.

WSUS22

Postęp synchronizacji możemy śledzić tutaj :

WSUS25

Wyniki synchronizacji :

WSUS26

Widzimy że mamy dostępnych 407 aktualizacji :

WSUS27

 

WSUS28

Zakładka Updates podzielona została na grupy aktualizacji. Grupy aktualizacji jakie mają się wyświetlać zostały skonfigurowane podczas konfiguracji WSUS:

W All Updates wyświetlone zostają wszystkie aktualizacje.

W Critical Updates wyświetlone są tylko krytyczne aktualizacje.

W Security Updates wyświetlone są aktualizacje, które poprawiają bezpieczeństwo.

WSUS Updates zawiera aktualizacje dla WSUS-a.

WSUS29

WSUS umożliwia tworzenie grup komputerów :

wsus_1

Możemy utworzyć przykładowo grupę Testowe oraz Produkcyjne. Do grupy Testowe możemy „wrzucić” wszystkie komputery na których możemy spokojnie przetestować aktualizacje. Natomiast do grupy Produkcyjne możemy wrzucić komputery na których będą instalowane aktualizacje „zaufane” przez nas.

Zatwierdzanie aktualizacji  :

Klikamy na daną aktualizację i wybieramy Approve.

wsus_2

Następnie wybieramy grupę komputerów na których aktualizacja będzie instalowana. Najlepiej wybrać grupę testową (jeżeli aktualizacja nie jest znana):

wsus_3

Po wybraniu klikamy OK.

wsus_4

Jednocześnie do zatwierdzenia można zaznaczyć kilka aktualizacji :

wsus_7

Zatwierdzone aktualizacje pobiorą się na dysk twardy.

Jak dodajemy komputery do grup :

wsus_5

Zalecam najpierw dodać jakiś komputer do grupy testowej. W tej grupie będą testowane aktualizacje.

wsus_6

Nowe komputery, które połączą się z serwerem WSUS automatycznie trafią do domyślnej grupy : Unassigned Computers. Jest możliwość ustawienia aby komputery trafiały automatycznie do odpowiednich grup.

 

Konfigurowanie klientów. Przykład oparty na systemie Windows 7:

Dla celów napisania tego artykułu stworzyłem dwa systemy wirtualne oparte na systemie Windows 7.

Systemy podpiąłem pod domenę.

Windows 7 domyślnie pobiera aktualizacje z Internetu. Musimy to zmienić. Postawiliśmy serwer WSUS aby klienci pobierali aktualizacje z tego serwera. Trzeba klientów odpowiednio skonfigurować.

Wszelkie zmiany na komputerach najlepiej jest wykonywać z wykorzystaniem Group Policy Management.

Uruchamiamy narzędzie Group Policy Management :

GPO_1

Uruchamia nam się edytor. Tworzymy nową politykę o nazwie np. Aktualizacje_WSUS :

GPOO_1

Edytujemy następnie nową politykę :

GPOO_2

Jeżeli chcemy skonfigurować automatyczne aktualizacje na komputerach klienckich, przechodzimy do :

Computer Configuration – Policies – Administrative Templates – Windows Update

GPOO_3

Konfigurujemy :

Configure Automatic Updates

GPOO_4

Ustawiamy status na Enabled.

Dostępne opcje :

GPOO_10

GPOO_8

GPOO_9Specify intranet Microsoft update service location :

Musimy nadać klientowi serwer aktualizacji WSUS.

Należy podać adres w formacie :

http://nazwa_serwera:port_usługi

GPOO_5

Automatic Updates detection frequency :

Ustawiamy częstotliwość sprawdzania nowych aktualizacji do zainstalowania :

GPOO_6

No auto-restart with logged on users for scheduled automatic – możemy ustawić na Enabled

Klient zostanie poinformowany że należy zrobić restart komputera.

Re-prompt for restart with scheduled installations :

Możemy ustawić czas powiadamiania klienta o potrzebie restartu.

GPOO_7

Aby zobaczyć informację o wprowadzaniu nowej polityki GPO na komputerach klienckich, należy włączyć wyświetlanie informacji podczas logowania :

GPO_4

Sprawdzenie wykonania aktualizacji na komputerach :

Załóżmy że zatwierdziliśmy na serwerze WSUS aktualizacje, które mają być zainstalowane na komputerach klienckich.

Jedną z nich jest aktualizacja np. :

KB2690533

Sprawdzamy na komputerze klienckim czy dana aktualizacja jest dostępna.

Mamy monit że jest dostępna 1 ważna aktualizacja:

update2

Sprawdzamy :

update3

Widzimy że jest to aktualizacja zabezpieczeń : KB2690533.

Po pierwszej instalacji aktualizacji i po restarcie komputera pozostałe aktualizacje również będą do pobrania :

update5

Aktualizacje zatwierdzone na serwerze WSUS :

wsus_8

Jak widzimy wszystko działa 🙂

Jeśli widzimy :

update1

Nie ma dla nas dostępnych nowych aktualizacji 🙂

Przydatne polecenia :

Ręczne zainicjowanie wykrywania przez serwer WSUS :

W wierszu poleceń należy wpisać polecenie wuauclt.exe /detectnow

Aktualizowanie ręcznie polityk GPO :

W wierszu poleceń należy wpisać  gpupdate /force

markos
Specjalizuję się w systemach komputerowych Windows oraz Linux. Oprócz wykonywanej pracy w zawodzie, informatyka jest moją pasją.
0 0 vote
Article Rating
Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments