Plánování nasazení služby WSUS

Prvním krokem při nasazení služby Windows Server Update Services (WSUS) je učinit důležitá rozhodnutí, jako je například rozhodování o scénáři nasazení služby WSUS, volba síťové topologie a pochopení požadavků na systém.

1.1. Přehled úvah a požadavků na systém

Požadavky na systém

Požadavky na hardware a databázový software se řídí počtem klientských počítačů, které se aktualizují ve vaší organizaci. Před povolením role serveru WSUS ověřte, že server splňuje požadavky na systém, a ověřte, že máte potřebná oprávnění k dokončení instalace, a to dodržováním následujících pokynů:

• Požadavky na hardware serveru pro povolení role WSUS jsou vázané na hardwarové požadavky. Minimální požadavky na hardware pro službu WSUS jsou:

  • Procesor: procesor 1,4 gigahertz (GHz) x64 (doporučuje se 2 Ghz nebo rychlejší)
  • Paměť: Služba WSUS vyžaduje další 2 GB paměti RAM kromě toho, co vyžaduje server a všechny ostatní služby nebo software.
  • Doporučuje se volné místo na disku: 40 GB nebo vyšší.
    • Místní správa aktualizací s platformou Unified Update Platform (UUP) vyžaduje dalších 10 GB místa pro každou verzi Windows a architekturu procesoru pro každou verzi. Další informace najdete v části Důležité informace o UUP .
  • Síťový adaptér: 100 megabitů za sekundu (Mb/s) nebo vyšší (doporučuje se 1 GB)

  Poznámka:

  Tyto pokyny předpokládají, že se klienti WSUS synchronizují se serverem každých osm hodin s celkem 30 000 klienty. Pokud se synchronizují častěji, bude v zatížení serveru odpovídající přírůstek.

• Požadované aktualizace softwaru:

  • Windows Server 2016, 2019 a 2022: kumulativní aktualizace 2023-02 nebo novější kumulativní aktualizace
  • Windows Server 2012 a 2012 R2: 2023-03 Kumulativní aktualizace nebo novější kumulativní aktualizace
  • Pokud tyto aktualizace nemůžete nainstalovat, můžete ručně přidat požadované typy MIME pro UUP na server WSUS.

• Požadavky na software:

  • Pro zobrazení sestav vyžaduje služba WSUS Redistribuovatelný modul Microsoft Report Viewer 2008. Na Windows Serveru 2016 vyžaduje služba WSUS Microsoft Report Viewer Runtime 2012.

• Pokud instalujete role nebo aktualizace softwaru, které vyžadují restartování serveru po dokončení instalace, restartujte server před povolením role serveru WSUS.

• Microsoft .NET Framework 4.0 musí být nainstalován na serveru, kde bude nainstalována role serveru WSUS.

• Ověřte, že účet, který chcete použít k instalaci služby WSUS, je členem skupiny Local Administrators.

• Účet NT Authority\Network Service musí mít oprávnění pro úplné řízení pro následující složky, aby se správně zobrazil modul snap-in pro správu WSUS.

  • %windir%\Temp

  • %windir%\Microsoft.NET\Framework\v4.0.30319\Dočasné soubory ASP.NET

    Poznámka:

    Tato cesta nemusí existovat před instalací role webového serveru, která obsahuje internetovou informační službu (IIS).

Důležité informace o instalaci

Během procesu instalace služba WSUS ve výchozím nastavení nainstaluje následující položky:

• Rutiny rozhraní .NET API a Windows PowerShellu
• Interní databáze Windows (WID), která je používána službou WSUS
• Služby používané službou WSUS, které jsou:
  • Aktualizační služba
  • Webová služba generování sestav
  • Webová služba klienta
  • Webová služba jednoduchého ověřování webu
  • Synchronizační služba serveru
  • Webová služba ověřování DSS

Důležité informace o UUP

Od 28. března 2023 budou místní zařízení s Windows 11 verze 22H2 dostávat aktualizace kvality prostřednictvím sjednocené aktualizační platformy (UUP). Místní UUP spolupracuje se službou WSUS a Nástrojem Microsoft Configuration Manager. Aktualizace funkcí Windows 11 verze 22H2 se aktualizuje měsíčně, abyste mohli snadno nasadit nejnovější build do klientů. Aktualizace pro zvýšení kvality UUP jsou i nadále kumulativní a zahrnují všechny vydané opravy kvality a zabezpečení Windows. Aktualizace UUP sice nejde odebrat prostřednictvím služby WSUS, ale klienti, kteří se aktualizují pomocí místního UUP, získají následující možnosti:

• Možnost, aby koncoví uživatelé získali funkce na vyžádání a jazykové sady v prostředích WSUS nebo Configuration Manageru
• Automatická oprava poškození
• Minimalizované velikosti aktualizací kvality klienta

Pokud se chcete připravit na místní aktualizace UUP, ujistěte se, že jsou splněny následující požadavky:

• Při místním ukládání obsahu pro službu WSUS server WSUS stáhne přibližně 10 GB obsahu na verzi Systému Windows a architekturu procesoru pro každou verzi. Například další 20 GB obsahu se stáhne pro x64 i arm64 pro Windows 11 verze 22H2.

• Nainstalujte na servery WSUS jednu z následujících aktualizací nebo ručně přidejte požadované typy MIME pro UUP na server WSUS:

  • Windows Server 2016, 2019 a 2022: kumulativní aktualizace 2023-02 nebo novější kumulativní aktualizace
  • Windows Server 2012 a 2012 R2: 2023-03 Kumulativní aktualizace nebo novější kumulativní aktualizace

  Návod

  Pokud dojde k chybě, podívejte se na Cannot add duplicate collection entry of type 'mimeMap' WSUS.

Ruční přidání požadovaných typů MIME pro UUP

Pro místní správu aktualizací s UUP se vyžadují dva typy souborů. Je potřeba přidat .msu a .wim typy MIME na servery WSUS, aby bylo možné podporovat UUP na místě. Pokud nemůžete aktualizovat servery WSUS, můžete pomocí těchto kroků přidat požadované typy souborů ručně:

1. Otevřete Správce internetových informačních služeb (IIS).
2. V podokně Připojení vyberte název serveru WSUS. Pokud název serveru WSUS nevidíte, v nabídce Soubor vyberte Připojit k serveru a zadejte název serveru.
3. V zobrazení Funkce vyberte typy MIME a v podokně Akce vyberte funkci Otevřít.

   Důležité

   Ujistěte se, že jste při přidávání typů MIME vybrali server a ne web. Stránka správy služby WSUS vyžaduje, aby byla položka typu MIME spíše zděděná než místní.

4. V podokně Akce vyberte možnost Přidat pro typy MIME.
5. Do okna Přidat typ MIME zadejte následující informace:
   • Přípona názvu souboru: .wim
   • Typ MIME: application/x-ms-wim
6. Až budete hotovi, vyberte OK a přidejte typ MIME.
7. Přidejte další typ MIME tak, že znovu vyberete Přidat a pak zadáte následující informace:
   • Přípona názvu souboru: .msu
   • Typ MIME: application/octet-stream
8. Po přidání typu MIME vyberte OK .

Aspekty funkcí na vyžádání

Mějte na paměti, že konfigurace klientských počítačů (včetně serverů) pro aktualizaci pomocí služby WSUS bude mít za následek následující omezení:

1. Serverové role, které měly odebrané datové části pomocí funkce Na vyžádání, se nedají nainstalovat na vyžádání ze služby Microsoft Update. Musíte buď zadat zdroj instalace v době, kdy se pokusíte nainstalovat takové role serveru, nebo nakonfigurovat zdroj pro funkce na vyžádání v zásadách skupiny.

2. Klientské edice Windows nebudou moct nainstalovat .NET 3.5 na vyžádání z webu. Stejné aspekty jako role serveru platí pro .NET 3.5.

   Poznámka:

   Konfigurace zdroje instalace funkcí na vyžádání nezahrnuje službu WSUS. Informace o konfiguraci funkcí najdete v tématu Konfigurace funkcí na vyžádání ve Windows Serveru.

3. Podniková zařízení s Windows 10 verze 1709 nebo verze 1803 nemůžou instalovat žádné funkce na vyžádání přímo ze služby WSUS. Pokud chcete nainstalovat funkce na vyžádání, vytvořte soubor funkcí (souběžné úložiště) nebo získejte balíček Funkce na vyžádání z některého z následujících zdrojů:

   • Volume Licensing Service Center (VLSC) – Vyžaduje se přístup VL.

   • Portál OEM – Je vyžadován přístup k OEM.

   • Stažení MSDN – Vyžaduje se předplatné MSDN.

     Jednotlivé balíčky funkcí na vyžádání lze nainstalovat pomocí možností příkazového řádku DISM.

Požadavky na databázi WSUS

Služba WSUS vyžaduje jednu z následujících databází:

• Interní databáze Windows (WID)
• Všechny podporované verze Microsoft SQL Serveru. Pro další informace přejděte prosím na zásady životního cyklu Microsoft.

Služba WSUS podporuje následující edice SQL Serveru:

• Standardní
• Podnik
• Expres

Poznámka:

SQL Server Express 2008 R2 má omezení velikosti databáze 10 GB. Tato velikost databáze bude pravděpodobně dostatečná pro službu WSUS, i když není patrný žádný výrazný přínos použití této databáze místo WID. Databáze WID má minimální požadavek paměti RAM 2 GB nad rámec standardních požadavků na systém Windows Server.

Roli WSUS můžete nainstalovat do počítače, který je oddělený od počítače databázového serveru. V tomto případě platí následující další kritéria:

1. Databázový server nejde nakonfigurovat jako řadič domény.

2. Server WSUS nemůže spustit službu Vzdálená plocha.

3. Databázový server musí být ve stejné doméně služby Active Directory jako server WSUS nebo musí mít vztah důvěryhodnosti s doménou služby Active Directory serveru WSUS.

4. Server WSUS a databázový server musí být ve stejném časovém pásmu nebo musí být synchronizovány do stejného zdroje koordinovaného univerzálního času (Greenwich Mean time).

1.2. Volba scénáře nasazení služby WSUS

Tato část popisuje základní funkce všech nasazení služby WSUS. V této části se seznámíte s jednoduchým nasazením s jedním serverem WSUS, kromě složitějších scénářů, jako je hierarchie serveru WSUS nebo server WSUS v izolovaném síťovém segmentu.

Jednoduché nasazení služby WSUS

Nejzásadnější nasazení služby WSUS se skládá ze serveru uvnitř podnikové brány firewall, který obsluhuje klientské počítače v privátním intranetu. Server WSUS se připojí ke službě Microsoft Update a stáhne aktualizace. To se označuje jako synchronizace. Během synchronizace služba WSUS zjišťuje, jestli se od doby poslední synchronizace zpřístupnily nějaké nové aktualizace. Pokud se jedná o první synchronizaci služby WSUS, budou všechny aktualizace zpřístupněny ke stažení.

Poznámka:

Počáteční synchronizace může trvat déle než hodinu. Všechny následné synchronizace by měly být výrazně rychlejší.

Ve výchozím nastavení server WSUS používá port 80 pro protokol HTTP a port 443 pro protokol HTTPS k získání aktualizací od Microsoftu. Pokud mezi vaší sítí a internetem existuje podniková brána firewall, budete muset tyto porty otevřít na serveru, který komunikuje přímo se službou Microsoft Update. Pokud plánujete pro tuto komunikaci používat vlastní porty, musíte místo toho tyto porty otevřít. Můžete nakonfigurovat více serverů WSUS pro synchronizaci s nadřazeným serverem WSUS. Ve výchozím nastavení server WSUS používá port 8530 pro protokol HTTP a port 8531 pro protokol HTTPS k poskytování aktualizací klientských pracovních stanic.

Několik serverů WSUS

Správci mohou nasadit několik serverů se službou WSUS, které synchronizují veškerý obsah v intranetu organizace. Můžete vystavit pouze jeden server na internetu, což by byl jediný server, který stahuje aktualizace ze služby Microsoft Update. Tento server je nastavený jako nadřazený server, do kterého se synchronizují podřízené servery. Pokud je to možné, mohou být servery umístěny v celé geograficky rozptýlené síti, aby poskytovaly nejlepší připojení ke všem klientským počítačům.

Odpojený server WSUS

Pokud firemní zásady nebo jiné podmínky omezují přístup počítače k internetu, můžou správci nastavit interní server pro spuštění služby WSUS. Příkladem je server, který je připojený k intranetu, ale je izolovaný od internetu. Po stažení, testování a schválení aktualizací na tomto serveru by správce exportoval metadata aktualizací a obsah na DISK DVD. Metadata a obsah aktualizace se naimportují z disku DVD na servery se službou WSUS v rámci intranetu.

Hierarchie serverů WSUS

Můžete vytvářet složité hierarchie serverů WSUS. Vzhledem k tomu, že jeden server WSUS můžete synchronizovat s jiným serverem WSUS místo se službou Microsoft Update, musíte mít pouze jeden server WSUS, který je připojený ke službě Microsoft Update. Když propojíte servery WSUS dohromady, existuje nadřazený server WSUS a podřízený server WSUS. Nasazení hierarchie serveru WSUS nabízí následující výhody:

• Aktualizace si můžete stáhnout jednou z internetu a pak je distribuovat do klientských počítačů pomocí podřízených serverů. Tato metoda šetří šířku pásma u podnikového připojení k internetu.

• Aktualizace můžete stáhnout na server WSUS, který je fyzicky blíže klientským počítačům, například ve firemních pobočkách.

• Můžete nastavit samostatné servery WSUS pro obsluhu klientských počítačů, které používají různé jazyky produktů Microsoftu.

• Službu WSUS můžete škálovat pro velkou organizaci, která má více klientských počítačů než jeden server WSUS, který dokáže efektivně spravovat.

Poznámka:

Doporučujeme nevytvořovat hierarchii serveru WSUS, která je více než tři úrovně hluboko. Každá úroveň přidává čas k šíření aktualizací na všech připojených serverech. I když neexistuje žádné teoretické omezení hierarchie, Microsoft testoval pouze nasazení s hierarchií pěti úrovní.

Podřízené servery musí mít také stejnou verzi nebo starší verzi služby WSUS jako nadřazený zdroj synchronizace serverů.

Servery WSUS můžete připojit v autonomním režimu (pro zajištění distribuované správy) nebo v režimu repliky (pro zajištění centralizované správy). Nemusíte nasazovat hierarchii serverů, která používá jenom jeden režim: můžete nasadit řešení WSUS, které používá autonomní servery i servery WSUS repliky.

Autonomní režim

Autonomní režim, označovaný také jako distribuovaná správa, je výchozí možností instalace služby WSUS. V autonomním režimu sdílí nadřazený server WSUS během synchronizace aktualizace s podřízenými servery. Podřízené servery WSUS se spravují samostatně a z nadřazeného serveru nedostávají informace o stavu schválení aktualizací ani o skupině počítačů. Pomocí modelu distribuované správy vybere každý správce serveru WSUS jazyky aktualizací, vytvoří skupiny počítačů, přiřadí počítače ke skupinám, testům a schválí aktualizace a zajistí, aby byly nainstalovány správné aktualizace do příslušných skupin počítačů.

Režim replikování

Režim repliky, označovaný také jako centralizovaná správa, funguje tak, že má nadřazený server WSUS, který sdílí aktualizace, stav schválení a skupiny počítačů s podřízenými servery. Replica servery dědí schválení aktualizací a nejsou spravovány odděleně od nadřazeného upstream serveru WSUS.

Poznámka:

Pokud nastavíte několik serverů replik pro připojení k jednomu nadřazeného serveru WSUS, neplánujte synchronizaci na každém serveru repliky současně. Tento postup zabrání náhlému nárůstu využití šířky pásma.

Firemní pobočky

K optimalizaci nasazení služby WSUS můžete využít funkci Pobočka ve Windows. Tento typ nasazení nabízí následující výhody:

1. Pomáhá snížit využití propojení WAN a zlepšit odezvu aplikace. Chcete-li povolit akceleraci obsahu služby BranchCache obsluhované serverem WSUS, nainstalujte na server a klienty funkci BranchCache a ujistěte se, že byla spuštěna služba BranchCache. Nejsou potřeba žádné další kroky.

2. Ve firemních pobočkách, které mají připojení s malou šířkou pásma k centrální pobočce, ale připojení s velkou šířkou pásma k internetu, je možné použít také funkci Pobočka. V takovém případě můžete chtít nakonfigurovat podřízené servery WSUS, abyste získali informace o tom, které aktualizace se mají nainstalovat z centrálního serveru WSUS, ale stáhnout aktualizace ze služby Microsoft Update.

Vyrovnávání zatížení sítě

Vyrovnávání zatížení sítě (NLB) zvyšuje spolehlivost a výkon vaší sítě WSUS. Můžete nastavit více serverů WSUS, které sdílejí jeden cluster s podporou převzetí služeb při selhání se systémem SQL Server. V této konfiguraci musíte použít úplnou instalaci SYSTÉMU SQL Server, nikoli instalaci interní databáze systému Windows, kterou poskytuje služba WSUS, a role databáze musí být nainstalovaná na všech front-endových serverech SLUŽBY WSUS. Můžete mít také všechny servery WSUS, které používají distribuovaný systém souborů (DFS) k ukládání jejich obsahu.

Nastavení služby WSUS pro vyrovnávání zatížení sítě: ve srovnání s instalací služby WSUS 3.2 pro vyrovnávání zatížení sítě se už nevyžaduje speciální volání a parametry nastavení pro službu NLB. Potřebujete nastavit jenom každý server WSUS, přičemž mějte na paměti následující aspekty.

• Služba WSUS musí být nastavená pomocí možnosti databáze SQL místo WID.
• Pokud ukládáte aktualizace místně, musí se stejná složka obsahu sdílet mezi servery WSUS, které sdílejí stejnou databázi SQL.
• Instalace služby WSUS musí být provedena v sériovém portu. Úlohy postinstall nelze spustit na více než jednom serveru současně při sdílení stejné databáze SQL.
• Každý front-endový server WSUS musí používat stejnou verzi operačního systému, včetně stejné kumulativní aktualizace.

Nasazení služby WSUS s roamingovými klientskými počítači

Pokud síť zahrnuje mobilní uživatele, kteří se k síti přihlašují z různých umístění, můžete službu WSUS nakonfigurovat tak, aby mohli roamingoví uživatelé aktualizovat své klientské počítače ze serveru WSUS, který je k nim geograficky nejblíže. Můžete například nasadit jeden server WSUS pro každou oblast a pro každou oblast použít jinou podsíť DNS. Všechny klientské počítače mohou být směrovány k témuž WSUS serveru, který se v každé podsíti překládá na nejbližší fyzický WSUS server.

1.3. Volba strategie úložiště WSUS

Služba WSUS (Windows Server Update Services) používá dva typy systémů úložiště: databázi k ukládání konfigurace služby WSUS a metadat aktualizace a volitelného místního systému souborů pro ukládání souborů aktualizací. Před instalací služby WSUS byste se měli rozhodnout, jak chcete implementovat úložiště.

Aktualizace se skládají ze dvou částí: metadata, která popisují aktualizaci, a soubory potřebné k instalaci aktualizace. Metadata aktualizací jsou obvykle mnohem menší než skutečná aktualizace a jsou uložená v databázi WSUS. Soubory aktualizací se ukládají na místním serveru WSUS nebo na webovém serveru služby Microsoft Update.

Databáze WSUS

Služba WSUS vyžaduje databázi pro každý server WSUS. Služba WSUS podporuje použití databáze, která se nachází na jiném počítači než na serveru WSUS, s určitými omezeními. Seznam podporovaných databází a omezení vzdálené databáze najdete v části 1.1 Kontrola počátečních aspektů a systémových požadavků v této příručce.

Databáze WSUS ukládá následující informace:

• Informace o konfiguraci serveru WSUS
• Metadata, která popisují jednotlivé aktualizace
• Informace o klientských počítačích, aktualizacích a interakcích

Pokud instalujete více serverů WSUS, musíte udržovat samostatnou databázi pro každý server WSUS, ať už jde o autonomní server nebo server repliky. Do jedné instance SQL Serveru nemůžete ukládat více databází WSUS, s výjimkou clusterů služby Vyrovnávání zatížení sítě (NLB), které používají převzetí služeb při selhání SQL Serveru.

Sql Server, SQL Server Express a Interní databáze systému Windows poskytují stejné charakteristiky výkonu pro konfiguraci s jedním serverem, kde se databáze a služba WSUS nacházejí ve stejném počítači. Konfigurace s jedním serverem může podporovat několik tisíc klientských počítačů WSUS.

Poznámka:

Nepokoušejte se spravovat službu WSUS přímým přístupem k databázi. Přímá manipulace s databází může způsobit poškození databáze. Poškození nemusí být okamžitě zřejmé, ale může zabránit upgradům na další verzi produktu. Službu WSUS můžete spravovat pomocí konzoly SLUŽBY WSUS nebo aplikačních programovacích rozhraní SLUŽBY WSUS (API).

SLUŽBA WSUS s interní databází Windows

Ve výchozím nastavení průvodce instalací vytvoří a použije interní databázi systému Windows s názvem SUSDB.mdf. Tato databáze se nachází ve složce %windir%\wid\data\, kde %windir% je místní jednotka, na které je nainstalován software serveru WSUS.

Poznámka:

Interní databáze Systému Windows (WID) byla zavedena v systému Windows Server 2008.

Služba WSUS podporuje ověřování systému Windows pouze pro databázi. Nemůžete použít ověřování SQL Serveru s WSUS. Pokud pro databázi WSUS používáte interní databázi systému Windows, instalační program služby WSUS vytvoří instanci systému SQL Server s názvem server\Microsoft##WID, kde server je název počítače. S některou z možností databáze vytvoří instalační program WSUS databázi s názvem SUSDB. Název této databáze není konfigurovatelný.

Interní databázi Windows doporučujeme používat v následujících případech:

• Organizace zatím nezakoupila a nevyžaduje produkt SQL Server pro žádnou jinou aplikaci.
• Organizace nevyžaduje řešení WSUS služby NLB.
• Máte v úmyslu nasadit několik serverů WSUS (například na pobočkách). V takovém případě byste měli zvážit použití interní databáze Windows na sekundárních serverech, i když pro kořenový server WSUS použijete SQL Server. Vzhledem k tomu, že každý server WSUS vyžaduje samostatnou instanci SQL Serveru, budete mít rychle problémy s výkonem databáze, pokud více serverů WSUS zpracovává jenom jedna instance SQL Serveru.

Interní databáze Windows neposkytuje uživatelské rozhraní ani žádné nástroje pro správu databází. Pokud vyberete tuto databázi pro službu WSUS, musíte ke správě databáze použít externí nástroje. Další informace najdete tady:

• Zálohování a obnovení dat wsus a zálohování serveru

• Opětovná indexace databáze WSUS

WSUS s SQL Serverem

Sql Server doporučujeme používat se službou WSUS v následujících případech:

1. Potřebujete řešení WSUS pro NLB.
2. Už máte nainstalovanou aspoň jednu instanci SQL Serveru.
3. Službu SQL Serveru nemůžete spustit v místním nesystémovém účtu ani pomocí ověřování SQL Serveru. Služba WSUS podporuje pouze ověřování systému Windows.

Úložiště aktualizací služby WSUS

Když se aktualizace synchronizují se serverem WSUS, metadata a aktualizační soubory se ukládají ve dvou samostatných umístěních. Metadata jsou uložena v databázi WSUS. Soubory aktualizací se dají ukládat na server WSUS nebo na serverech služby Microsoft Update v závislosti na tom, jak jste nakonfigurovali možnosti synchronizace. Pokud se rozhodnete ukládat soubory aktualizací na server WSUS, klientské počítače stáhnou schválené aktualizace z místního serveru WSUS. Pokud ne, klientské počítače stáhne schválené aktualizace přímo ze služby Microsoft Update. Možnost, která dává vaší organizaci největší smysl, bude záviset na šířce pásma sítě na internet, šířce pásma sítě v intranetu a dostupnosti místního úložiště.

Pro každý server WSUS, který nasadíte, můžete vybrat jiné řešení úložiště aktualizací.

Místní úložiště serveru WSUS

Při instalaci a konfiguraci služby WSUS je místní úložiště aktualizačních souborů výchozí možností. Tato možnost může ušetřit šířku pásma podnikového připojení k internetu, protože klientské počítače stahuje aktualizace přímo z místního serveru WSUS.

Tato možnost vyžaduje, aby server mít dostatek místa na disku pro uložení všech potřebných aktualizací. Služba WSUS vyžaduje minimálně 20 GB pro místní ukládání aktualizací; Doporučujeme však alespoň 40 GB. Další informace o promítání požadovaného místa na disku najdete v požadavcích na systém a požadavcích na UUP.

Důležité

Zvolte zabezpečenou složku, ke které mají přístup jenom správci pro místní úložiště aktualizací.

Vzdálené úložiště na serverech služby Microsoft Update

Aktualizace můžete ukládat vzdáleně na serverech služby Microsoft Update. Tato možnost je užitečná, pokud se většina klientských počítačů připojí k serveru WSUS přes pomalé připojení WAN, ale připojí se k internetu přes připojení s velkou šířkou pásma.

V tomto případě se kořenový server WSUS synchronizuje se službou Microsoft Update a přijímá metadata aktualizace. Po schválení aktualizací klientské počítače stáhnou schválené aktualizace ze serverů Microsoft Update.

1.4. Volba jazyků aktualizací služby WSUS

Když nasadíte hierarchii serveru WSUS, měli byste určit, které jazykové aktualizace se vyžadují v celé organizaci. Kořenový server WSUS byste měli nakonfigurovat tak, aby stahovali aktualizace ve všech jazycích, které se používají v celé organizaci.

Například hlavní pobočka může vyžadovat aktualizace anglického a francouzského jazyka, ale jedna pobočka vyžaduje aktualizace angličtiny, francouzštiny a němčiny a jiná pobočka vyžaduje aktualizace pro angličtinu a španělštinu. V této situaci byste nakonfigurovali kořenový server WSUS tak, aby stahoval aktualizace v angličtině, francouzštině, němčině a španělštině. Potom byste nakonfigurovali první server WSUS pobočky tak, aby stahoval aktualizace pouze v angličtině, francouzštině a němčině, a nakonfigurovali druhou pobočku tak, aby stahovala aktualizace pouze v angličtině a španělštině.

Stránka Zvolit jazyky v Průvodci konfigurací služby WSUS umožňuje získávat aktualizace ze všech jazyků nebo z podmnožina jazyků. Výběrem podmnožina jazyků ušetříte místo na disku, ale je důležité zvolit všechny jazyky, které vyžadují všechny podřízené servery a klientské počítače serveru WSUS.

Následuje několik důležitých poznámek k aktualizačnímu jazyku, které byste měli mít před konfigurací této možnosti na paměti:

• Vždy zahrňte angličtinu kromě všech dalších jazyků, které jsou vyžadovány v celé organizaci. Všechny aktualizace jsou založené na jazykových sadách pro angličtinu.
• Podřízené servery a klientské počítače nebudou dostávat všechny potřebné aktualizace, pokud jste pro nadřazený server nevybrali všechny potřebné jazyky. Ujistěte se, že jste vybrali všechny jazyky, které budou potřebovat všechny klientské počítače přidružené ke všem podřízeným serverům.
• Obecně byste měli stahovat aktualizace ve všech jazycích na kořenovém serveru WSUS, který se synchronizuje se službou Microsoft Update. Tento výběr zaručuje, že všechny podřízené servery a klientské počítače budou dostávat aktualizace v jazycích, které vyžadují.

Pokud ukládáte aktualizace místně a máte nastavený server WSUS pro stahování aktualizací v omezeném počtu jazyků, můžete si všimnout, že existují aktualizace v jiných jazycích než ty, které jste zadali. Mnoho aktualizačních souborů jsou sady několika různých jazyků, které zahrnují alespoň jeden z jazyků zadaných na serveru.

Výchozí servery

Poznámka:

Nakonfigurujte nadřazené servery tak, aby synchronizovaly aktualizace ve všech jazycích, které servery podřízených replik vyžadují. V nesynchronizovaných jazycích nebudete upozorněni na potřebné aktualizace.

Aktualizace se zobrazí jako Nepoužitelné na klientských počítačích, které vyžadují jazyk. Abyste tomu předešli, ujistěte se, že všechny jazyky operačního systému jsou součástí možností synchronizace serveru WSUS. Všechny jazyky operačního systému můžete zobrazit tak, že přejdete do zobrazení konzoly pro správu služby WSUS a seřadíte počítače podle jazyka operačního systému. Můžete však chtít zahrnout více jazyků, pokud existují aplikace Microsoftu ve více než jednom jazyce (například pokud je na některých počítačích, které používají anglickou verzi Systému Windows, nainstalovaná francouzská verze aplikace Microsoft Word.)

Volba jazyků pro nadřazený server není stejná jako volba jazyků pro podřízený server. Následující postupy vysvětlují rozdíly.

Volba jazyků aktualizací pro server synchronizovaný ze služby Microsoft Update

1. V Průvodci konfigurací služby WSUS:

   • Pokud chcete získat aktualizace ve všech jazycích, vyberte Stáhnout aktualizace ve všech jazycích, včetně nových jazyků.
   • Pokud chcete získat aktualizace jenom pro konkrétní jazyky, vyberte Stáhnout aktualizace jenom v těchto jazycích a pak vyberte jazyky, pro které chcete aktualizace použít.

Volba jazyků aktualizací pro podřízený server

1. Pokud je nadřazený server nakonfigurovaný tak, aby stahoval aktualizační soubory v podmnožině jazyků: V Průvodci konfigurací služby WSUS vyberte Stáhnout aktualizace pouze v těchto jazycích (nadřazený server podporuje pouze jazyky označené hvězdičkou) a pak vyberte jazyky, pro které chcete aktualizace použít.

   Poznámka:

   Měli byste to udělat, i když chcete, aby podřízený server stáhl stejné jazyky jako nadřazený server.

2. Pokud je nadřazený server nakonfigurovaný tak, aby stahoval aktualizační soubory ve všech jazycích: V Průvodci konfigurací služby WSUS vyberte Stáhnout aktualizace ve všech jazycích podporovaných nadřazeným serverem.

   Poznámka:

   Měli byste to udělat, i když chcete, aby podřízený server stáhl stejné jazyky jako nadřazený server. Toto nastavení způsobí, že nadřazený server stáhne aktualizace ve všech jazycích, včetně jazyků, které nebyly původně nakonfigurovány pro nadřazený server. Pokud na nadřazený server přidáte jazyky, měli byste nové aktualizace zkopírovat na servery repliky.

   Změna jazykových možností samotného nadřazeného serveru může způsobit neshodu mezi počtem aktualizací schválených na centrálním serveru a počtem aktualizací schválených na serverech repliky.

1.5. Plánujte skupiny počítačů WSUS

Služba WSUS umožňuje cílit aktualizace na skupiny klientských počítačů, abyste měli jistotu, že konkrétní počítače vždy získají správné aktualizace za nejpohodlnější dobu. Pokud mají například všechny počítače v jednom oddělení (například účetní tým) určitou konfiguraci, můžete pro tento tým nastavit skupinu, rozhodnout, které aktualizace potřebují a jaký čas mají být nainstalovány, a pak pomocí sestav WSUS vyhodnotit aktualizace týmu.

Poznámka:

Pokud je server WSUS spuštěný v režimu repliky, skupiny počítačů se na tomto serveru nedají vytvořit. Všechny skupiny počítačů potřebné pro klientské počítače serveru repliky musí být vytvořeny na serveru WSUS, který je kořenem hierarchie serveru WSUS. Další informace o režimu repliky naleznete v tématu Spuštění režimu repliky služby WSUS.

Počítače jsou vždy přiřazeny ke skupině Všechny počítače a zůstanou přiřazené ke skupině Nepřiřazené počítače , dokud je nepřiřadíte k jiné skupině. Počítače můžou patřit do více než jedné skupiny.

Skupiny počítačů lze nastavit v hierarchiích (například skupina Mzdy a skupina Závazky k úhradě pod skupinou Účetnictví). Kromě vyšší skupiny se automaticky nasadí aktualizace schválené pro vyšší skupinu i do nižších skupin. Pokud v tomto příkladu schválíte aktualizaci Update1 pro skupinu Účetnictví, bude aktualizace nasazena na všechny počítače ve skupině Účetnictví, všechny počítače ve skupině Mzdy a všechny počítače ve skupině Závazky k úhradě.

Vzhledem k tomu, že počítače je možné přiřadit k více skupinám, je možné, aby jedna aktualizace byla schválena více než jednou pro stejný počítač. Aktualizace se ale nasadí jenom jednou a všechny konflikty budou vyřešeny serverem WSUS. Abychom pokračovali v předchozím příkladu, pokud je počítač A přiřazen ke skupině Mzdy a skupině Závazky a aktualizace Update1 je schválena pro obě skupiny, bude nasazeno pouze jednou.

Počítače můžete přiřadit ke skupinám počítačů pomocí jedné ze dvou metod, cílení na straně serveru nebo cílení na straně klienta. Následují definice pro každou metodu:

• Cílení na straně serveru: Ručně přiřadíte jeden nebo více klientských počítačů více skupinám současně.
• Cílení na straně klienta: Pomocí zásad skupiny nebo úpravou nastavení registru na klientských počítačích povolíte, aby se tyto počítače automaticky přidaly do dříve vytvořených skupin počítačů.

Řešení konfliktů

Server použije následující pravidla pro řešení konfliktů a určení výsledné akce na klientech:

1. Priorita

2. Instalace nebo odinstalace

3. Konečný termín

Priorita

Akce přidružené ke skupině s nejvyšší prioritou přepíší akce ostatních skupin. Čím hlouběji se skupina nachází v hierarchii skupin, tím vyšší je její priorita. Priorita je přiřazena pouze na základě hloubky; všechny větve mají stejnou prioritu. Například skupina dvě úrovně pod větví Desktops má vyšší prioritu než skupina jedna úroveň pod větví Server.

V následujícím textovém příkladu podokna hierarchie konzoly služby Update Services byly pro server WSUS s názvem WSUS-01 přidány skupiny počítačů s názvem Stolní počítače a Server do výchozí skupiny Všechny počítače . Stolní počítače i skupiny serverů jsou na stejné hierarchické úrovni.

• Update Services
  • WSUS-01
    • Aktualizace
    • Počítače
      • Všechny počítače
        • Nepřiřazené počítače
        • Stolní počítače
          • Desktopy-L1
            • Desktopy-L2
        • Servery
          • Servery-L1
    • Podřízené servery
    • Synchronizace
    • Zprávy
    • Možnosti

V tomto příkladu má skupina dvě úrovně pod větví Stolní počítače (Stolní počítače L2) vyšší prioritu než skupina jedna úroveň pod větví Server (Servery L1). V případě počítače, který má členství v Desktops-L2 i ve skupinách Servers-L1, mají všechny akce pro skupinu Desktops-L2 prioritu oproti akcím zadaným pro skupinu Servers-L1.

Priorita instalace a odinstalace

Akce instalace přepíší akce odinstalace. Požadované instalace přepíší volitelné instalace (volitelné instalace jsou dostupné pouze prostřednictvím rozhraní API a změna schválení aktualizace pomocí konzoly pro správu služby WSUS vymaže všechna volitelná schválení.)

Priorita konečných termínů

Akce, které mají konečný termín, přepíšou ty, které nemají konečný termín. Akce s dřívějšími termíny přepíší ty s pozdějšími termíny.

1.6. Plánování aspektů výkonu služby WSUS

Před nasazením služby WSUS byste měli pečlivě naplánovat některé oblasti, abyste mohli optimalizovat výkon. Klíčové oblasti jsou:

• Nastavení sítě
• Odložené stahování
• Filtry
• Instalace
• Nasazení velkých aktualizací
• Služba inteligentního přenosu na pozadí (BITS)

Nastavení sítě

Pokud chcete optimalizovat výkon v sítích WSUS, zvažte následující návrhy:

1. Nastavte sítě WSUS v topologii typu hub-and-spoke místo v hierarchické topologii.

2. Pro roamingové klientské počítače používejte řazení netmask DNS a nakonfigurujte klientské počítače pro roaming, aby získály aktualizace z místního serveru WSUS.

Odložené stahování

Před stažením souborů aktualizací můžete schválit aktualizace a stáhnout metadata aktualizací. Tato metoda se nazývá odložené stahování. Když odložíte stahování, aktualizace se stáhne až po schválení. Doporučujeme odložit stahování, protože optimalizuje šířku pásma sítě a místo na disku.

V hierarchii serverů WSUS služba WSUS automaticky nastaví všechny podřízené servery tak, aby používaly nastavení odloženého stahování kořenového serveru WSUS. Toto výchozí nastavení můžete změnit. Můžete například nakonfigurovat nadřazený server tak, aby prováděl úplné, okamžité synchronizace a potom na podřízený server odložil stahování.

Pokud nasadíte hierarchii připojených serverů WSUS, doporučujeme, abyste servery nevnorovali příliš hluboko. Pokud povolíte odložené stahování a podřízený server požádá o aktualizaci, která není schválena na nadřazeném serveru, žádost podřízeného serveru vynutí stahování na nadřazeném serveru. Podřízený server pak stáhne aktualizaci při následné synchronizaci. V hluboké hierarchii serverů WSUS může docházet ke zpožděním, protože se vyžadují aktualizace, stáhnou a pak předávají prostřednictvím hierarchie serveru. Při místním ukládání aktualizací jsou ve výchozím nastavení povolené odložené stahování. Tuto možnost můžete změnit ručně.

Filtry

Služba WSUS umožňuje filtrovat synchronizace aktualizací podle jazyka, produktu a klasifikace. V hierarchii serverů WSUS služba WSUS automaticky nastaví všechny podřízené servery tak, aby používaly možnosti filtrování aktualizací vybrané na kořenovém serveru WSUS. Servery pro stahování můžete překonfigurovat tak, aby přijímaly pouze podmnožinu jazyků.

Ve výchozím nastavení jsou produkty, které se mají aktualizovat, Windows a Office a výchozí klasifikace jsou důležité aktualizace, aktualizace zabezpečení a aktualizace definic. Pokud chcete ušetřit šířku pásma a místo na disku, doporučujeme omezit jazyky na jazyky, které skutečně používáte.

Instalace

Aktualizace se obvykle skládají z nových verzí souborů, které již existují v počítači, který se aktualizuje. Na binární úrovni se tyto existující soubory nemusí od aktualizovaných verzí moc lišit. Funkce expresních instalačních souborů identifikuje přesné bajty mezi verzemi, vytvoří a distribuuje aktualizace pouze těchto rozdílů a pak sloučí existující soubor společně s aktualizovanými bajty.

Někdy se tato funkce nazývá deltové doručování, protože stáhne pouze rozdíl mezi dvěma verzemi souboru. Soubory expresní instalace jsou větší než aktualizace distribuované do klientských počítačů, protože soubor expresní instalace obsahuje všechny možné verze každého souboru, který se má aktualizovat.

Soubory expresní instalace můžete použít k omezení šířky pásma spotřebované v místní síti, protože služba WSUS přenáší pouze rozdíl použitelný pro konkrétní verzi aktualizované komponenty. To ale stojí za další šířku pásma mezi serverem WSUS, všemi nadřazené servery WSUS a službou Microsoft Update a vyžaduje další místo na místním disku. Služba WSUS ve výchozím nastavení nepoužívá expresní instalační soubory.

Ne všechny aktualizace jsou vhodnými kandidáty pro distribuci pomocí expresních instalačních souborů. Pokud vyberete tuto možnost, získáte expresní instalační soubory pro všechny aktualizace. Pokud aktualizace neukládáte místně, agent služby Windows Update se rozhodne, jestli chcete stáhnout soubory expresní instalace nebo úplné distribuce aktualizací souborů.

Nasazení velkých aktualizací

Při nasazování velkých aktualizací (například aktualizací Service Pack) se můžete vyhnout nasycení sítě pomocí následujících postupů:

1. Používejte omezování služby inteligentního přenosu na pozadí (BITS). Omezení šířky pásma služby BITS se dají řídit podle času dne, ale platí pro všechny aplikace, které používají službu BITS. Informace o tom, jak řídit omezování služby BITS, najdete v tématu Zásady skupiny.

2. Pomocí omezování internetové informační služby (IIS) omezte omezování na jednu nebo více webových služeb.

3. K řízení zavedení použijte skupiny počítačů. Klientský počítač se při odesílání informací na server WSUS identifikuje jako člen konkrétní skupiny počítačů. Server WSUS používá tyto informace k určení, které aktualizace mají být nasazeny do tohoto počítače. Můžete nastavit více skupin počítačů a postupně schvalovat stahování velkých aktualizací Service Pack pro podmnožinu těchto skupin.

Služba inteligentního přenosu na pozadí

Služba WSUS používá protokol BITS (Background Intelligent Transfer Service) pro všechny úlohy přenosu souborů. To zahrnuje stahování do klientských počítačů a synchronizací serverů. BitS umožňuje programům stahovat soubory pomocí volné šířky pásma. Služba BITS udržuje přenosy souborů prostřednictvím odpojení sítě a restartování počítače. Další informace najdete v tématu: Služba inteligentního přenosu na pozadí.

1.7. Plánování nastavení automatických aktualizací

Můžete zadat konečný termín ke schválení aktualizací na serveru WSUS. Konečný termín způsobí, že klientské počítače nainstalují aktualizaci v konkrétní době, ale v závislosti na tom, jestli vypršela platnost konečného termínu, jestli jsou ve frontě další aktualizace pro instalaci počítače a jestli aktualizace (nebo jiná aktualizace ve frontě) vyžaduje restartování.

Ve výchozím nastavení Automatická aktualizace dotazuje server WSUS na schválené aktualizace každých 22 hodin minus náhodný posun. Pokud je potřeba nainstalovat nové aktualizace, stáhnou se. Čas mezi jednotlivými cykly detekce lze manipulovat od 1 do 22 hodin.

Možnosti oznámení můžete manipulovat následujícím způsobem:

1. Pokud jsou automatické aktualizace nakonfigurované tak, aby upozorňují uživatele na aktualizace, které jsou připravené k instalaci, odešle se oznámení do systémového protokolu a do oznamovací oblasti klientského počítače.

2. Když uživatel s příslušnými přihlašovacími údaji vybere ikonu oznamovací oblasti, zobrazí se v automatických aktualizacích dostupné aktualizace, které se mají nainstalovat. Aby se instalace spustila, musí uživatel vybrat nainstalovat . Zobrazí se zpráva, pokud aktualizace vyžaduje restartování počítače, aby se aktualizace dokončila. Pokud se vyžaduje restartování, automatické aktualizace nemůžou detekovat další aktualizace, dokud se počítač nerestartuje.

Pokud jsou automatické aktualizace nakonfigurované tak, aby instalovaly aktualizace podle nastaveného plánu, příslušné aktualizace se stáhnou a označí jako připravené k instalaci. Automatické aktualizace upozorní uživatele, kteří mají příslušné přihlašovací údaje, pomocí ikony oznamovací oblasti a událost se zaprotokoluje do systémového protokolu.

V naplánovaném dni a čase nainstaluje automatická aktualizace aktualizaci a restartuje počítač (v případě potřeby), i když není přihlášený žádný místní správce. Pokud je místní správce přihlášený a počítač vyžaduje restartování, zobrazí automatické aktualizace upozornění a odpočítávání restartování. V opačném případě se instalace provádí na pozadí.

Pokud se počítač musí restartovat a každý uživatel je přihlášený, zobrazí se podobné dialogové okno odpočítávání, které uživatele upozorní na blížící se restartování. Pomocí zásad skupiny můžete manipulovat restartováním počítače.

Po stažení nových aktualizací se automatické aktualizace dotazují na server WSUS na seznam schválených balíčků, aby potvrdily, že stažené balíčky jsou stále platné a schválené. To znamená, že pokud správce služby WSUS odebere aktualizace ze seznamu schválených aktualizací, zatímco automatické aktualizace stahují aktualizace, nainstalují se ve skutečnosti jenom aktualizace, které jsou stále schválené.

Další krok

Krok 1: Instalace role serveru WSUS