Merencanakan penyebaran WSUS Anda

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Langkah pertama dalam penyebaran Windows Server Update Services (WSUS) adalah membuat keputusan penting, seperti memutuskan skenario penyebaran WSUS, memilih topologi jaringan, dan memahami persyaratan sistem. Daftar periksa berikut ini meringkas langkah-langkah yang terlibat dalam mempersiapkan penyebaran Anda.

Tugas Deskripsi
1.1. Meninjau pertimbangan dan persyaratan sistem Tinjau daftar pertimbangan dan persyaratan sistem untuk memastikan bahwa Anda memiliki semua perangkat keras dan perangkat lunak yang diperlukan untuk menyebarkan WSUS.
1.2. Pilih skenario penyebaran WSUS Tentukan skenario penyebaran WSUS mana yang akan digunakan.
1.3. Memilih strategi penyimpanan WSUS Tentukan strategi penyimpanan WSUS mana yang paling sesuai dengan penyebaran Anda.
1.4. Pilih bahasa pembaruan WSUS Tentukan bahasa pembaruan WSUS mana yang akan diinstal.
1.5. Merencanakan grup komputer WSUS Rencanakan pendekatan grup komputer WSUS yang akan Anda gunakan untuk penyebaran Anda.
1.6. Merencanakan Pertimbangan Performa WSUS: Layanan Transfer Cerdas Latar Belakang Rencanakan desain WSUS untuk performa yang dioptimalkan.
1.7. Merencanakan pengaturan Pembaruan Otomatis Rencanakan bagaimana Anda akan mengonfigurasi pengaturan pembaruan otomatis untuk skenario Anda.

1.1. Meninjau pertimbangan dan persyaratan sistem

Persyaratan Sistem

Persyaratan perangkat lunak perangkat keras dan database didorong oleh jumlah komputer klien yang diperbarui di organisasi Anda. Sebelum Anda mengaktifkan peran server WSUS, konfirmasikan bahwa server memenuhi persyaratan sistem dan konfirmasikan bahwa Anda memiliki izin yang diperlukan untuk menyelesaikan penginstalan dengan mematuhi panduan berikut:

  • Persyaratan perangkat keras server untuk mengaktifkan peran WSUS terikat pada persyaratan perangkat keras. Persyaratan perangkat keras minimum untuk WSUS adalah:

    • Prosesor: 1,4 gigahertz (GHz) x64 prosesor (2 Ghz atau lebih cepat disarankan)
    • Memori: WSUS memerlukan TAMBAHAN 2 GB RAM selain dari apa yang diperlukan oleh server dan semua layanan atau perangkat lunak lainnya.
    • Ruang disk yang tersedia: 40 GB atau lebih besar disarankan.
      • Manajemen pembaruan lokal dengan Unified Update Platform (UUP) memerlukan ruang tambahan sebesar 10 GB per versi Windows dan arsitektur prosesor untuk setiap versi. Untuk informasi selengkapnya, lihat bagian pertimbangan UUP.
    • Adaptor jaringan: 100 megabit per detik (Mbps) atau lebih besar (1 GB disarankan)

    Catatan

    Panduan ini mengasumsikan bahwa klien WSUS disinkronkan dengan server setiap delapan jam dengan total 30.000 klien. Jika mereka menyinkronkan lebih sering, akan ada kenaikan yang sesuai dalam beban server.

  • Pembaruan perangkat lunak yang diperlukan:

    • Windows Server 2016, 2019, dan 2022: Pembaruan Kumulatif 2023-02, atau pembaruan kumulatif yang lebih baru
    • Windows Server 2012 dan 2012 R2: 2023-03 Pembaruan Kumulatif, atau pembaruan kumulatif yang lebih baru
    • Jika Anda tidak dapat menginstal pembaruan ini, Anda dapat menambahkan jenis MIME yang diperlukan secara manual untuk UUP ke server WSUS.

  • Persyaratan perangkat lunak:

  • Jika Anda menginstal peran atau pembaruan perangkat lunak yang mengharuskan Anda memulai ulang server saat penginstalan selesai, mulai ulang server sebelum Anda mengaktifkan peran server WSUS.

  • Microsoft .NET Framework 4.0 harus diinstal pada server tempat peran server WSUS akan diinstal.

  • Konfirmasikan bahwa akun yang Anda rencanakan untuk digunakan untuk menginstal WSUS adalah anggota grup Administrator Lokal.

  • Akun NT Authority\Network Service harus memiliki izin Kontrol Penuh untuk folder berikut sehingga snap-in Administrasi WSUS ditampilkan dengan benar:

    • %windir%\Temp

    • %windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files

      Catatan

      Jalur ini mungkin tidak ada sebelum menginstal Peran Server Web yang berisi Layanan Informasi Internet (IIS).

Pertimbangan Penginstalan

Selama proses penginstalan, WSUS akan menginstal item berikut secara default:

  • Cmdlet .NET API dan Windows PowerShell
  • Database Internal Windows (WID), yang digunakan oleh WSUS
  • Layanan yang digunakan oleh WSUS, yaitu:
    • Layanan Pembaruan
    • Layanan Web Pelaporan
    • Layanan Web Klien
    • Layanan Web Autentikasi Web Sederhana
    • Layanan Sinkronisasi Server
    • Layanan Web Autentikasi DSS

Pertimbangan UUP

Mulai 28 Maret 2023, perangkat Windows 11 lokal versi 22H2 akan menerima pembaruan kualitas melalui Platform Pembaruan Terpadu (UUP). UUP lokal berinterogasi dengan WSUS dan Microsoft Configuration Manager. Pembaruan fitur Windows 11 versi 22H2 akan diperbarui setiap bulan sehingga Anda dapat dengan mudah menyebarkan build terbaru ke klien Anda. Pembaruan kualitas UUP terus kumulatif dan mencakup semua perbaikan kualitas dan keamanan Windows yang dirilis. Meskipun pembaruan UUP tidak dapat dihapus melalui WSUS, klien yang memperbarui menggunakan UUP lokal mendapatkan kemampuan berikut:

  • Kemampuan bagi pengguna akhir untuk memperoleh Fitur sesuai Permintaan dan paket bahasa di lingkungan WSUS atau Configuration Manager.
  • Perbaikan kerusakan otomatis
  • Ukuran unduhan klien pembaruan kualitas yang diminimalkan

Untuk mempersiapkan pembaruan UUP lokal, pastikan persyaratan berikut terpenuhi:

  • Saat menyimpan konten secara lokal untuk WSUS, server WSUS mengunduh sekitar 10 GB konten per versi Windows dan arsitektur prosesor untuk setiap versi. Misalnya, konten tambahan 20 GB diunduh untuk x64 dan arm64 untuk Windows 11, versi 22H2.

  • Instal salah satu pembaruan berikut di server WSUS, atau tambahkan jenis MIME yang diperlukan secara manual untuk UUP ke server WSUS:

    • Windows Server 2016, 2019, dan 2022: Pembaruan Kumulatif 2023-02, atau pembaruan kumulatif yang lebih baru
    • Windows Server 2012 dan 2012 R2: 2023-03 Pembaruan Kumulatif, atau pembaruan kumulatif yang lebih baru

    Tip

    Jika Anda mengalami Cannot add duplicate collection entry of type 'mimeMap' kesalahan, lihat Tips Pemecahan Masalah WSUS.

Menambahkan jenis MIME yang diperlukan secara manual untuk UUP

Dua jenis file diperlukan untuk manajemen pembaruan lokal dengan UUP. Jenis .msu MIME dan .wim perlu ditambahkan ke server WSUS untuk mendukung UUP lokal. Jika Anda tidak dapat memperbarui server WSUS, Anda dapat menggunakan langkah-langkah ini untuk menambahkan jenis file yang diperlukan secara manual:

  1. Buka Manajer Layanan Informasi Internet (IIS).
  2. Pilih nama server WSUS dari panel Koneksi ions. Jika Anda tidak melihat nama server WSUS, pilih Koneksi ke server dari menu File, lalu masukkan nama server.
  3. Dalam tampilan Fitur, pilih jenis MIME, lalu Buka fitur dari panel Tindakan.

    Penting

    Pastikan Anda memilih server dan bukan situs saat menambahkan jenis MIME. Situs Administrasi WSUS memerlukan entri jenis MIME untuk diwariskan daripada lokal.

  4. Pilih Tambahkan dari panel Tindakan untuk jenis MIME.
  5. Masukkan informasi berikut ke dalam jendela Tambahkan jenis MIME:
    • Ekstensi nama file: .wim
    • Jenis MIME: application/x-ms-wim
  6. Pilih OK saat Anda selesai menambahkan jenis MIME.
  7. Tambahkan jenis MIME lain, dengan memilih Tambahkan lagi, lalu masukkan informasi berikut:
    • Ekstensi nama file: .msu
    • Jenis MIME: application/octet-stream
  8. Pilih OK saat Anda selesai menambahkan jenis MIME.

Fitur sesuai Permintaan Pertimbangan

Ketahuilah bahwa mengonfigurasi komputer klien (termasuk server) untuk diperbarui dengan menggunakan WSUS akan mengakibatkan batasan berikut:

  1. Peran server yang telah menghapus payload mereka menggunakan Fitur sesuai Permintaan tidak dapat diinstal sesuai permintaan dari Microsoft Update. Anda harus menyediakan sumber penginstalan pada saat Anda mencoba menginstal peran server tersebut, atau mengonfigurasi sumber untuk Fitur sesuai Permintaan dalam Kebijakan Grup.

  2. Edisi klien Windows tidak akan dapat menginstal .NET 3.5 sesuai permintaan dari web. Pertimbangan yang sama seperti peran server berlaku untuk .NET 3.5.

    Catatan

    Mengonfigurasi sumber penginstalan Fitur sesuai Permintaan tidak melibatkan WSUS. Untuk informasi tentang cara mengonfigurasi Fitur, lihat Mengonfigurasi Fitur sesuai Permintaan di Windows Server.

  3. Perangkat perusahaan yang menjalankan Windows 10, versi 1709 atau versi 1803, tidak dapat menginstal Fitur apa pun sesuai Permintaan langsung dari WSUS. Untuk menginstal Fitur sesuai Permintaan, buat file fitur (penyimpanan berdampingan) atau dapatkan paket Fitur sesuai Permintaan dari salah satu sumber berikut:

    • Pusat Layanan Lisensi Volume (VLSC) - Akses VL diperlukan

    • Portal OEM - Akses OEM diperlukan

    • Unduhan MSDN - Langganan MSDN diperlukan

      Paket Fitur sesuai Permintaan yang diperoleh secara individual dapat diinstal menggunakan opsi baris perintah DISM.

Persyaratan database WSUS

WSUS memerlukan salah satu database berikut:

WSUS mendukung edisi SQL Server berikut:

  • Standard
  • Perusahaan
  • Ekspres

Catatan

SQL Server Express 2008 R2 memiliki batasan ukuran database 10 GB. Ukuran database ini kemungkinan cukup untuk WSUS, meskipun tidak ada manfaat yang dapat diapresiasi untuk menggunakan database ini alih-alih WID. Database WID memiliki persyaratan memori RAM minimum 2 GB di luar persyaratan sistem Windows Server standar.

Anda dapat menginstal peran WSUS di komputer yang terpisah dari komputer server database. Dalam hal ini, kriteria tambahan berikut berlaku:

  1. Server database tidak dapat dikonfigurasi sebagai pengendali domain.

  2. Server WSUS tidak dapat menjalankan Layanan Desktop Jarak Jauh.

  3. Server database harus berada di domain direktori aktif yang sama dengan server WSUS, atau harus memiliki hubungan kepercayaan dengan domain direktori aktif server WSUS.

  4. Server WSUS dan server database harus berada di zona waktu yang sama atau disinkronkan ke sumber Waktu Universal Terkoordinasi (waktu Greenwich Mean) yang sama.

1.2. Pilih skenario penyebaran WSUS

Bagian ini menjelaskan fitur dasar semua penyebaran WSUS. Gunakan bagian ini untuk membiasakan diri dengan penyebaran sederhana dengan satu server WSUS, selain skenario yang lebih kompleks, seperti hierarki server WSUS atau server WSUS pada segmen jaringan yang terisolasi.

Penyebaran WSUS sederhana

Penyebaran WSUS yang paling mendasar terdiri dari server di dalam firewall perusahaan yang melayani komputer klien pada intranet privat. Server WSUS tersambung ke Pembaruan Microsoft untuk mengunduh pembaruan. Ini dikenal sebagai sinkronisasi. Selama sinkronisasi, WSUS menentukan apakah pembaruan baru telah tersedia sejak terakhir kali Anda menyinkronkan. Jika ini adalah pertama kalinya Anda menyinkronkan WSUS, semua pembaruan tersedia untuk diunduh.

Catatan

Sinkronisasi awal dapat memakan waktu lebih dari satu jam. Semua sinkronisasi setelah itu harus jauh lebih cepat.

Secara default, server WSUS menggunakan port 80 untuk protokol HTTP dan port 443 untuk protokol HTTPS untuk mendapatkan pembaruan dari Microsoft. Jika ada firewall perusahaan antara jaringan Anda dan Internet, Anda harus membuka port ini di server yang berkomunikasi langsung ke Microsoft Update. Jika Anda berencana menggunakan port kustom untuk komunikasi ini, Anda harus membuka port tersebut sebagai gantinya. Anda dapat mengonfigurasi beberapa server WSUS untuk disinkronkan dengan server WSUS induk. Secara default, server WSUS menggunakan port 8530 untuk protokol HTTP dan port 8531 untuk protokol HTTPS untuk menyediakan pembaruan ke stasiun kerja klien.

Beberapa server WSUS

Administrator dapat menyebarkan beberapa server yang menjalankan WSUS yang menyinkronkan semua konten dalam intranet organisasi mereka. Anda mungkin hanya mengekspos satu server ke Internet, yang akan menjadi satu-satunya server yang mengunduh pembaruan dari Microsoft Update. Server ini disiapkan sebagai server upstream tempat server hilir disinkronkan. Jika berlaku, server dapat ditemukan di seluruh jaringan yang tersebar secara geografis untuk memberikan konektivitas terbaik ke semua komputer klien.

Server WSUS terputus

Jika kebijakan perusahaan atau kondisi lain membatasi akses komputer ke Internet, administrator dapat menyiapkan server internal untuk menjalankan WSUS. Contohnya adalah server yang terhubung ke intranet tetapi terisolasi dari Internet. Setelah mengunduh, menguji, dan menyetujui pembaruan di server ini, administrator akan mengekspor metadata pembaruan dan konten ke DVD. Metadata pembaruan dan konten diimpor dari DVD ke server yang menjalankan WSUS dalam intranet.

Hierarki server WSUS

Anda dapat membuat hierarki kompleks server WSUS. Karena Anda dapat menyinkronkan satu server WSUS dengan server WSUS lain alih-alih dengan Microsoft Update, Anda hanya perlu memiliki satu server WSUS yang terhubung ke Microsoft Update. Ketika Anda menautkan server WSUS bersama-sama, ada server WSUS upstream dan server WSUS hilir. Penyebaran hierarki server WSUS menawarkan manfaat berikut:

  • Anda dapat mengunduh pembaruan satu kali dari Internet lalu mendistribusikan pembaruan ke komputer klien dengan menggunakan server hilir. Metode ini menghemat bandwidth pada koneksi Internet perusahaan.

  • Anda dapat mengunduh pembaruan ke server WSUS yang secara fisik lebih dekat dengan komputer klien, misalnya, di kantor cabang.

  • Anda dapat menyiapkan server WSUS terpisah untuk melayani komputer klien yang menggunakan berbagai bahasa produk Microsoft.

  • Anda dapat menskalakan WSUS untuk organisasi besar yang memiliki lebih banyak komputer klien daripada satu server WSUS dapat dikelola secara efektif.

Catatan

Kami menyarankan agar Anda tidak membuat hierarki server WSUS yang lebih dari tiga tingkat dalam. Setiap tingkat menambahkan waktu untuk menyebarkan pembaruan di seluruh server yang terhubung. Meskipun tidak ada batas teoritis untuk hierarki, hanya penyebaran yang memiliki hierarki lima tingkat dalam yang telah diuji oleh Microsoft.

Selain itu, server hilir harus berada pada versi yang sama atau versi WSUS yang lebih lama dengan sumber sinkronisasi server upstream.

Anda dapat menghubungkan server WSUS dalam mode Otonom (untuk mencapai administrasi terdistribusi) atau dalam mode Replika (untuk mencapai administrasi terpusat). Anda tidak perlu menyebarkan hierarki server yang hanya menggunakan satu mode: Anda dapat menyebarkan solusi WSUS yang menggunakan server WSUS otonom dan replika.

Mode otonom

Mode Otonom, juga disebut administrasi terdistribusi, adalah opsi penginstalan default untuk WSUS. Dalam mode Otonom, server WSUS hulu berbagi pembaruan dengan server hilir selama sinkronisasi. Server WSUS hilir dikelola secara terpisah, dan tidak menerima status persetujuan pembaruan atau informasi grup komputer dari server hulu. Dengan menggunakan model manajemen terdistribusi, setiap administrator server WSUS memilih bahasa pembaruan, membuat grup komputer, menetapkan komputer ke grup, menguji dan menyetujui pembaruan, dan memastikan bahwa pembaruan yang benar diinstal ke grup komputer yang sesuai.

Modus replika

Mode Replika, juga disebut administrasi terpusat, bekerja dengan memiliki server WSUS hulu yang berbagi pembaruan, status persetujuan, dan grup komputer dengan server hilir. Server replika mewarisi persetujuan pembaruan dan tidak dikelola secara terpisah dari server WSUS upstream.

Catatan

Jika Anda menyiapkan beberapa server replika untuk menyambungkan ke satu server WSUS upstream, jangan jadwalkan sinkronisasi untuk dijalankan secara bersamaan di setiap server replika. Praktik ini akan menghindari lonjakan penggunaan bandwidth yang tiba-tiba.

Kantor cabang

Anda dapat memanfaatkan fitur Office Cabang di Windows untuk mengoptimalkan penyebaran WSUS. Jenis penyebaran ini menawarkan keuntungan berikut:

  1. Ini membantu mengurangi pemanfaatan tautan WAN dan meningkatkan respons aplikasi. Untuk mengaktifkan akselerasi BranchCache konten yang dilayani oleh server WSUS, instal fitur BranchCache di server dan klien, dan pastikan bahwa layanan BranchCache telah dimulai. Tidak ada langkah lain yang diperlukan.

  2. Di kantor cabang yang memiliki koneksi bandwidth rendah ke kantor pusat tetapi koneksi bandwidth tinggi ke Internet, fitur Kantor Cabang juga dapat digunakan. Dalam hal ini Anda mungkin ingin mengonfigurasi server WSUS hilir untuk mendapatkan informasi tentang pembaruan mana yang akan diinstal dari server WSUS pusat, tetapi mengunduh pembaruan dari Pembaruan Microsoft.

Penyeimbangan Beban Jaringan

Network Load Balancing (NLB) meningkatkan keandalan dan performa jaringan WSUS Anda. Anda dapat menyiapkan beberapa server WSUS yang berbagi satu kluster failover yang menjalankan SQL Server. Dalam konfigurasi ini Anda harus menggunakan penginstalan SQL Server lengkap, bukan penginstalan Database Internal Windows yang disediakan oleh WSUS, dan peran database harus diinstal di semua server front-end WSUS. Anda juga dapat meminta semua server WSUS menggunakan sistem file terdistribusi (DFS) untuk menyimpan kontennya.

Penyiapan WSUS untuk NLB: dibandingkan dengan penyiapan WSUS 3.2 untuk NLB, panggilan dan parameter penyiapan khusus tidak lagi diperlukan untuk mengonfigurasi WSUS untuk NLB. Anda hanya perlu menyiapkan setiap server WSUS, mengingat pertimbangan berikut.

  • WSUS harus disiapkan menggunakan opsi database SQL alih-alih WID.
  • Jika menyimpan pembaruan secara lokal, folder Konten yang sama harus dibagikan antara server WSUS yang berbagi database SQL yang sama.
  • Penyiapan WSUS harus dilakukan secara serial. Tugas pascainstall tidak dapat dijalankan di lebih dari satu server secara bersamaan saat berbagi database SQL yang sama.
  • Setiap server WSUS front-end harus menjalankan versi sistem operasi yang sama termasuk tingkat pembaruan kumulatif yang sama.

Penyebaran WSUS dengan komputer klien roaming

Jika jaringan mencakup pengguna seluler yang masuk ke jaringan dari lokasi yang berbeda, Anda dapat mengonfigurasi WSUS untuk memungkinkan pengguna roaming memperbarui komputer klien mereka dari server WSUS yang paling dekat dengan mereka secara geografis. Misalnya, Anda dapat menyebarkan satu server WSUS setiap wilayah dan menggunakan subnet DNS yang berbeda untuk setiap wilayah. Semua komputer klien dapat diarahkan ke server WSUS yang sama, yang diselesaikan di setiap subnet ke server WSUS fisik terdekat.

1.3. Memilih strategi penyimpanan WSUS

Windows Server Update Services (WSUS) menggunakan dua jenis sistem penyimpanan: database untuk menyimpan konfigurasi WSUS dan memperbarui metadata, dan sistem file lokal opsional untuk menyimpan file pembaruan. Sebelum menginstal WSUS, Anda harus memutuskan bagaimana Anda ingin menerapkan penyimpanan.

Pembaruan terdiri dari dua bagian: metadata yang menjelaskan pembaruan, dan file yang diperlukan untuk menginstal pembaruan. Metadata pembaruan biasanya jauh lebih kecil daripada pembaruan aktual, dan disimpan dalam database WSUS. File pembaruan disimpan di server WSUS lokal atau di server Web Pembaruan Microsoft.

Database WSUS

WSUS memerlukan database untuk setiap server WSUS. WSUS mendukung penggunaan database yang berada di komputer yang berbeda dari server WSUS, dengan beberapa batasan. Untuk daftar database yang didukung dan batasan database jarak jauh, lihat bagian 1.1 Meninjau pertimbangan awal dan persyaratan sistem, dalam panduan ini.

Database WSUS menyimpan informasi berikut:

  • Informasi konfigurasi server WSUS
  • Metadata yang menjelaskan setiap pembaruan
  • Informasi tentang komputer klien, pembaruan, dan interaksi

Jika Anda menginstal beberapa server WSUS, Anda harus mempertahankan database terpisah untuk setiap server WSUS, baik itu server otonom atau replika. Anda tidak dapat menyimpan beberapa database WSUS pada satu instans SQL Server, kecuali di kluster Network Load Balancing (NLB) yang menggunakan failover SQL Server.

SQL Server, SQL Server Express, dan Database Internal Windows memberikan karakteristik performa yang sama untuk konfigurasi server tunggal, di mana database dan layanan WSUS terletak di komputer yang sama. Konfigurasi server tunggal dapat mendukung beberapa ribu komputer klien WSUS.

Catatan

Jangan mencoba mengelola WSUS dengan mengakses database secara langsung. secara langsung memanipulasi database dapat menyebabkan kerusakan database. Kerusakan mungkin tidak segera jelas, tetapi dapat mencegah peningkatan ke versi produk berikutnya. Anda dapat mengelola WSUS dengan menggunakan konsol WSUS atau antarmuka pemrograman aplikasi (API) WSUS.

WSUS dengan Database Internal Windows

Secara default, wizard penginstalan membuat dan menggunakan Database Internal Windows yang diberi nama SUSDB.mdf. Database ini terletak di folder %windir%\wid\data\, di mana %windir% adalah drive lokal tempat perangkat lunak server WSUS diinstal.

Catatan

Database Internal Windows (WID) diperkenalkan di Windows Server 2008 .

WSUS hanya mendukung autentikasi Windows untuk database. Anda tidak dapat menggunakan autentikasi SQL Server dengan WSUS. Jika Anda menggunakan Database Internal Windows untuk database WSUS, Penyiapan WSUS membuat instans SQL Server yang diberi nama server\Microsoft##WID, di mana server adalah nama komputer. Dengan salah satu opsi database, Penyiapan WSUS membuat database bernama SUSDB. Nama database ini tidak dapat dikonfigurasi.

Kami menyarankan agar Anda menggunakan Database Internal Windows dalam kasus berikut:

  • Organisasi belum membeli dan tidak memerlukan produk SQL Server untuk aplikasi lain.
  • Organisasi tidak memerlukan solusi WSUS NLB.
  • Anda berniat untuk menyebarkan beberapa server WSUS (misalnya, di kantor cabang). Dalam hal ini, Anda harus mempertimbangkan untuk menggunakan Database Internal Windows di server sekunder, bahkan jika Anda akan menggunakan SQL Server untuk server WSUS root. Karena setiap server WSUS memerlukan instans terpisah SQL Server, Anda akan dengan cepat mengalami masalah performa database jika hanya satu instans SQL Server yang menangani beberapa server WSUS.

Database Internal Windows tidak menyediakan antarmuka pengguna atau alat manajemen database apa pun. Jika Anda memilih database ini untuk WSUS, Anda harus menggunakan alat eksternal untuk mengelola database. Untuk informasi selengkapnya, lihat:

WSUS dengan SQL Server

Kami menyarankan agar Anda menggunakan SQL Server dengan WSUS dalam kasus berikut:

  1. Anda memerlukan solusi WSUS NLB.
  2. Anda sudah memiliki setidaknya satu instans SQL Server yang terinstal.
  3. Anda tidak dapat menjalankan layanan SQL Server di bawah akun non-sistem lokal atau dengan menggunakan autentikasi SQL Server. WSUS hanya mendukung autentikasi Windows.

Penyimpanan pembaruan WSUS

Saat pembaruan disinkronkan ke server WSUS Anda, metadata dan file pembaruan disimpan di dua lokasi terpisah. Metadata disimpan dalam database WSUS. File pembaruan dapat disimpan di server WSUS atau di server Microsoft Update, tergantung pada bagaimana Anda telah mengonfigurasi opsi sinkronisasi Anda. Jika Anda memilih untuk menyimpan file pembaruan di server WSUS Anda, komputer klien akan mengunduh pembaruan yang disetujui dari server WSUS lokal. Jika tidak, komputer klien akan mengunduh pembaruan yang disetujui langsung dari Microsoft Update. Opsi yang paling masuk akal bagi organisasi Anda akan bergantung pada bandwidth jaringan ke Internet, bandwidth jaringan pada intranet, dan ketersediaan penyimpanan lokal.

Anda dapat memilih solusi penyimpanan pembaruan yang berbeda untuk setiap server WSUS yang Anda sebarkan.

Penyimpanan server WSUS lokal

Penyimpanan lokal file pembaruan adalah opsi default saat Anda menginstal dan mengonfigurasi WSUS. Opsi ini dapat menyimpan bandwidth pada koneksi perusahaan ke Internet karena komputer klien mengunduh pembaruan langsung dari server WSUS lokal.

Opsi ini mengharuskan server memiliki ruang disk yang cukup untuk menyimpan semua pembaruan yang diperlukan. minimal, WSUS memerlukan 20 GB untuk menyimpan pembaruan secara lokal; namun, kami merekomendasikan 30 GB berdasarkan variabel yang diuji.

Penyimpanan jarak jauh di server Microsoft Update

Anda dapat menyimpan pembaruan dari jarak jauh di server Microsoft Update. Opsi ini berguna jika sebagian besar komputer klien terhubung ke server WSUS melalui koneksi WAN yang lambat, tetapi mereka terhubung ke Internet melalui koneksi bandwidth tinggi.

Dalam hal ini, server WSUS root disinkronkan dengan Microsoft Update dan menerima metadata pembaruan. Setelah Anda menyetujui pembaruan, komputer klien mengunduh pembaruan yang disetujui dari server Microsoft Update.

1.4. Pilih bahasa pembaruan WSUS

Saat Anda menyebarkan hierarki server WSUS, Anda harus menentukan pembaruan bahasa mana yang diperlukan di seluruh organisasi. Anda harus mengonfigurasi server WSUS root untuk mengunduh pembaruan dalam semua bahasa yang digunakan di seluruh organisasi.

Misalnya, kantor utama mungkin memerlukan pembaruan bahasa Inggris dan Prancis, tetapi satu kantor cabang memerlukan pembaruan bahasa Inggris, Prancis, dan Jerman, dan kantor cabang lain memerlukan pembaruan bahasa Inggris dan Spanyol. Dalam situasi ini, Anda akan mengonfigurasi server WSUS root untuk mengunduh pembaruan dalam bahasa Inggris, Prancis, Jerman, dan Spanyol. Anda kemudian akan mengonfigurasi server WSUS kantor cabang pertama untuk mengunduh pembaruan dalam bahasa Inggris, Prancis, dan Jerman saja, dan mengonfigurasi kantor cabang kedua untuk mengunduh pembaruan hanya dalam bahasa Inggris dan Spanyol.

Halaman Pilih Bahasa dari Panduan Konfigurasi WSUS memungkinkan Anda mendapatkan pembaruan dari semua bahasa atau dari subset bahasa. memilih subset bahasa menghemat ruang disk, tetapi PENTING untuk memilih semua bahasa yang diperlukan oleh semua server hilir dan komputer klien server WSUS.

Berikut adalah beberapa catatan PENTING tentang bahasa pembaruan yang harus Anda ingat sebelum mengonfigurasi opsi ini:

  • Selalu sertakan bahasa Inggris selain bahasa lain yang diperlukan di seluruh organisasi Anda. Semua pembaruan didasarkan pada paket bahasa Inggris.
  • Server hilir dan komputer klien tidak akan menerima semua pembaruan yang mereka butuhkan jika Anda belum memilih semua bahasa yang diperlukan untuk server upstream. Pastikan Anda memilih semua bahasa yang akan diperlukan oleh semua komputer klien yang terkait dengan semua server hilir.
  • Anda umumnya harus mengunduh pembaruan dalam semua bahasa di server WSUS akar yang disinkronkan ke Microsoft Update. Pilihan ini menjamin bahwa semua server hilir dan komputer klien akan menerima pembaruan dalam bahasa yang mereka butuhkan.

Jika Anda menyimpan pembaruan secara lokal, dan Anda telah menyiapkan server WSUS untuk mengunduh pembaruan dalam sejumlah bahasa terbatas, Anda mungkin melihat bahwa ada pembaruan dalam bahasa selain yang Anda tentukan. Banyak file pembaruan adalah bundel dari beberapa bahasa yang berbeda, yang mencakup setidaknya salah satu bahasa yang ditentukan di server.

Server upstram

Catatan

Konfigurasikan server upstream untuk menyinkronkan pembaruan dalam semua bahasa yang diperlukan oleh server replika hilir. Anda tidak akan diberi tahu tentang pembaruan yang diperlukan dalam bahasa yang tidak disinkronkan.

Pembaruan akan muncul sebagai Tidak Berlaku pada komputer klien yang memerlukan bahasa tersebut. Untuk menghindari hal ini, pastikan semua bahasa sistem operasi disertakan dalam opsi sinkronisasi server WSUS Anda. Anda dapat melihat semua bahasa sistem operasi dengan membuka tampilan komputer Konsol Administrasi WSUS dan mengurutkan komputer berdasarkan bahasa sistem operasi. Namun, Anda mungkin ingin menyertakan lebih banyak bahasa jika ada aplikasi Microsoft dalam lebih dari satu bahasa (misalnya, jika Versi Prancis Microsoft Word diinstal di beberapa komputer yang menggunakan Versi bahasa Inggris Windows.)

Memilih bahasa untuk server upstream tidak sama dengan memilih bahasa untuk server hilir. Prosedur berikut menjelaskan perbedaannya.

Untuk memilih bahasa pembaruan untuk server yang disinkronkan dari Microsoft Update

  1. Di Wizard Konfigurasi WSUS:

    • Untuk mendapatkan pembaruan dalam semua bahasa, pilih Unduh pembaruan dalam semua bahasa, termasuk bahasa baru.
    • Untuk mendapatkan pembaruan hanya untuk bahasa tertentu, pilih Unduh pembaruan hanya dalam bahasa ini, lalu pilih bahasa yang ingin Anda perbarui.

Untuk memilih bahasa pembaruan untuk server hilir

  1. Jika server upstream telah dikonfigurasi untuk mengunduh file pembaruan dalam subset bahasa: Di Wizard Konfigurasi WSUS, pilih Unduh pembaruan hanya dalam bahasa ini (hanya bahasa yang ditandai dengan tanda bintang yang didukung oleh server upstram), lalu pilih bahasa yang ingin Anda perbarui.

    Catatan

    Anda harus melakukan ini meskipun Anda ingin server hilir mengunduh bahasa yang sama dengan server upstream.

  2. Jika server upstream telah dikonfigurasi untuk mengunduh file pembaruan dalam semua bahasa: Di Wizard Konfigurasi WSUS, pilih Unduh pembaruan dalam semua bahasa yang didukung oleh server upstream.

    Catatan

    Anda harus melakukan ini meskipun Anda ingin server hilir mengunduh bahasa yang sama dengan server upstream. Pengaturan ini menyebabkan server upstream mengunduh pembaruan dalam semua bahasa, termasuk bahasa yang awalnya tidak dikonfigurasi untuk server upstream. Jika Anda menambahkan bahasa ke server upstream, Anda harus menyalin pembaruan baru ke server replikanya.

    Mengubah opsi bahasa pada server upstream saja dapat menyebabkan ketidakcocokan antara jumlah pembaruan yang disetujui di server pusat dan jumlah pembaruan yang disetujui di server replika.

1.5. Merencanakan grup komputer WSUS

WSUS memungkinkan Anda menargetkan pembaruan ke grup komputer klien, sehingga Anda dapat memastikan bahwa komputer tertentu selalu mendapatkan pembaruan yang tepat pada waktu yang paling nyaman. Misalnya, jika semua komputer dalam satu departemen (seperti tim Akuntansi) memiliki konfigurasi tertentu, Anda dapat menyiapkan grup untuk tim tersebut, memutuskan pembaruan mana yang dibutuhkan komputer mereka dan jam berapa mereka harus diinstal, lalu menggunakan laporan WSUS untuk mengevaluasi pembaruan untuk tim.

Catatan

Jika server WSUS berjalan dalam mode replika, grup komputer tidak dapat dibuat di server tersebut. Semua grup komputer yang diperlukan untuk komputer klien server replika harus dibuat di server WSUS yang merupakan akar hierarki server WSUS. Untuk informasi selengkapnya tentang mode replika, lihat Menjalankan mode Replika WSUS.

Komputer selalu ditetapkan ke grup Semua komputer , dan tetap ditetapkan ke grup Komputer yang tidak ditetapkan hingga Anda menetapkannya ke grup lain. Komputer bisa termasuk dalam lebih dari satu grup.

Grup komputer dapat disiapkan dalam hierarki (misalnya, grup Payroll dan grup Akun Yang Dapat Dibayar di bawah grup Akuntansi). Pembaruan yang disetujui untuk grup yang lebih tinggi akan secara otomatis disebarkan ke grup yang lebih rendah, selain grup yang lebih tinggi. Dalam contoh ini, jika Anda menyetujui Pembaruan1 untuk grup Akuntansi, pembaruan akan disebarkan ke semua komputer di grup Akuntansi, semua komputer dalam grup Penggajian, dan semua komputer dalam grup Akun Yang Dapat Dibayar.

Karena komputer dapat ditetapkan ke beberapa grup, ada kemungkinan satu pembaruan disetujui lebih dari sekali untuk komputer yang sama. Namun, pembaruan hanya akan disebarkan sekali, dan konflik apa pun akan diselesaikan oleh server WSUS. Untuk melanjutkan dengan contoh sebelumnya, jika computerA ditetapkan ke grup Payroll dan grup Akun Yang Dapat Dibayar, dan Update1 disetujui untuk kedua grup, itu akan disebarkan hanya sekali.

Anda dapat menetapkan komputer ke grup komputer dengan menggunakan salah satu dari dua metode, penargetan sisi server, atau penargetan sisi klien. Berikut adalah definisi untuk setiap metode:

  • Penargetan sisi server: Anda menetapkan satu atau beberapa komputer klien secara manual ke beberapa grup secara bersamaan.
  • Penargetan sisi klien: Anda menggunakan Kebijakan Grup atau mengedit pengaturan registri pada komputer klien untuk memungkinkan komputer tersebut menambahkan diri mereka secara otomatis ke dalam grup komputer yang dibuat sebelumnya.

Resolusi Konflik

Server menerapkan aturan berikut untuk mengatasi konflik dan menentukan tindakan yang dihasilkan pada klien:

  1. Prioritas

  2. Instal/Hapus instalan

  3. Tenggat waktu

Prioritas

Tindakan yang terkait dengan grup prioritas tertinggi mengambil alih tindakan grup lain. Semakin dalam grup muncul dalam hierarki grup, semakin tinggi prioritasnya. Prioritas ditetapkan hanya berdasarkan kedalaman; semua cabang memiliki prioritas yang sama. Misalnya, grup dua tingkat di bawah cabang Desktop memiliki prioritas yang lebih tinggi daripada grup satu tingkat di bawah cabang Server.

Dalam contoh teks berikut dari panel hierarki konsol Layanan Pembaruan, untuk server WSUS bernama WSUS-01, grup komputer bernama Komputer desktop dan Server telah ditambahkan ke grup Semua komputer default. Komputer desktop dan grup Server berada pada tingkat hierarkis yang sama.

  • Perbarui Layanan
    • WSUS-01
      • Pembaruan
      • Komputer
        • Semua komputer
          • Komputer yang tidak ditetapkan
          • Komputer desktop
            • Desktops-L1
              • Desktops-L2
          • Server
            • Server-L1
      • Server Hilir
      • Sinkronisasi
      • Laporan
      • Opsi

Dalam contoh ini, grup dua tingkat di bawah cabang Komputer desktop (Desktops L2) memiliki prioritas yang lebih tinggi daripada grup satu tingkat di bawah cabang Server (Server l1). Oleh karena itu, untuk komputer yang memiliki keanggotaan di desktop-L2 dan grup Servers-L1, semua tindakan untuk grup Desktops-L2 mengambil prioritas atas tindakan yang ditentukan untuk grup Servers-L1.

Prioritas Penginstalan dan Penghapusan Instalasi

Tindakan penginstalan mengesampingkan tindakan hapus instalan. Penginstalan yang diperlukan mengambil alih penginstalan opsional (penginstalan opsional hanya tersedia melalui API dan mengubah persetujuan untuk pembaruan menggunakan Konsol Administrasi WSUS akan menghapus semua persetujuan opsional.)

Prioritas Tenggat Waktu

Tindakan yang memiliki tenggat waktu mengesampingkan tindakan tanpa tenggat waktu. Tindakan dengan tenggat waktu sebelumnya mengambil alih tindakan dengan tenggat waktu berikutnya.

1.6. Merencanakan pertimbangan performa WSUS

Ada beberapa area yang harus Anda rencanakan dengan cermat sebelum menyebarkan WSUS sehingga Anda dapat mengoptimalkan performa. Area utamanya adalah:

  • Penyiapan jaringan
  • Unduhan yang ditangguhkan
  • Filter
  • Penginstalan
  • Penyebaran pembaruan besar
  • Background Intelligent Transfer Service (BITS)

Penyiapan jaringan

Untuk mengoptimalkan performa di jaringan WSUS, pertimbangkan saran berikut:

  1. Siapkan jaringan WSUS dalam topologi hub-and-spoke daripada dalam topologi hierarkis.

  2. Gunakan pemesanan dns netmask untuk menjelajah komputer klien, dan konfigurasikan komputer klien roaming untuk mendapatkan pembaruan dari server WSUS lokal.

Unduhan yang ditangguhkan

Anda dapat menyetujui pembaruan, dan mengunduh metadata pembaruan sebelum mengunduh file pembaruan, metode ini disebut unduhan yang ditangguhkan. Saat Anda menukar unduhan, pembaruan diunduh hanya setelah disetujui. Kami menyarankan agar Anda menungguhkan unduhan karena mengoptimalkan bandwidth jaringan dan ruang disk.

Dalam hierarki server WSUS, WSUS secara otomatis mengatur semua server hilir untuk menggunakan pengaturan unduhan yang ditangguhkan dari server WSUS akar. Anda dapat mengubah pengaturan default ini. Misalnya, Anda dapat mengonfigurasi server upstream untuk melakukan sinkronisasi penuh dan langsung, lalu mengonfigurasi server hilir untuk menumpuk unduhan.

Jika Anda menyebarkan hierarki server WSUS yang terhubung, kami sarankan Anda tidak menyarangkan server secara mendalam. Jika Anda mengaktifkan unduhan yang ditangguhkan dan server hilir meminta pembaruan yang tidak disetujui di server upstream, permintaan server hilir memaksa unduhan di server upstream. Server hilir kemudian mengunduh pembaruan pada sinkronisasi berikutnya. Dalam hierarki mendalam server WSUS, penundaan dapat terjadi karena pembaruan diminta, diunduh, dan kemudian melewati hierarki server. Secara default, unduhan yang ditangguhkan diaktifkan saat Anda menyimpan pembaruan secara lokal. Anda dapat mengubah opsi ini secara manual.

Filter

WSUS memungkinkan Anda memfilter sinkronisasi pembaruan berdasarkan bahasa, produk, dan klasifikasi. Dalam hierarki server WSUS, WSUS secara otomatis mengatur semua server hilir untuk menggunakan opsi pemfilteran pembaruan yang dipilih di server WSUS akar. Anda dapat mengonfigurasi ulang server unduhan untuk hanya menerima subset bahasa.

Secara default, produk yang akan diperbarui adalah Windows dan Office, dan klasifikasi defaultnya adalah Pembaruan penting, Pembaruan keamanan, dan Pembaruan definisi. Untuk menghemat bandwidth dan ruang disk, kami sarankan Anda membatasi bahasa yang benar-benar Anda gunakan.

Penginstalan

Pembaruan biasanya terdiri dari versi baru file yang sudah ada di komputer yang sedang diperbarui. Pada tingkat biner, file yang ada ini mungkin tidak sangat berbeda dari versi yang diperbarui. Fitur file penginstalan ekspres mengidentifikasi byte yang tepat antara versi, membuat dan mendistribusikan pembaruan hanya dari perbedaan tersebut, lalu menggabungkan file yang ada bersama dengan byte yang diperbarui.

Terkadang fitur ini disebut pengiriman delta karena hanya mengunduh delta (perbedaan) antara dua versi file. File penginstalan ekspres lebih besar dari pembaruan yang didistribusikan ke komputer klien karena file penginstalan ekspres berisi semua versi yang mungkin dari setiap file yang akan diperbarui.

Anda dapat menggunakan file penginstalan ekspres untuk membatasi bandwidth yang digunakan di jaringan lokal, karena WSUS hanya mengirimkan delta yang berlaku untuk versi tertentu dari komponen yang diperbarui. Namun, ini dikenakan biaya bandwidth tambahan antara server WSUS Anda, server WSUS upstram apa pun, dan Pembaruan Microsoft, dan memerlukan ruang disk lokal tambahan. Secara default, WSUS tidak menggunakan file penginstalan ekspres.

Tidak semua pembaruan adalah kandidat yang baik untuk distribusi dengan menggunakan file penginstalan ekspres. Jika Anda memilih opsi ini, Anda mendapatkan file penginstalan ekspres untuk semua pembaruan. Jika Anda tidak menyimpan pembaruan secara lokal, Agen Pembaruan Windows akan memutuskan apakah akan mengunduh file penginstalan ekspres atau distribusi pembaruan file lengkap.

Penyebaran pembaruan besar

Saat Anda menyebarkan pembaruan besar (seperti paket layanan), Anda dapat menghindari jenuhnya jaringan dengan menggunakan praktik berikut:

  1. Gunakan pembatasan Background Intelligent Transfer Service (BITS). Batasan bandwidth BITS dapat dikontrol oleh waktu dalam sehari, tetapi berlaku untuk semua aplikasi yang menggunakan BITS. Untuk mempelajari cara mengontrol pembatasan BITS, silakan lihat Kebijakan Grup.

  2. Gunakan pembatasan Layanan Informasi Internet (IIS) untuk membatasi pembatasan ke satu atau beberapa layanan web.

  3. Gunakan grup komputer untuk mengontrol peluncuran. Komputer klien mengidentifikasi dirinya sebagai anggota grup komputer tertentu ketika mengirim informasi ke server WSUS. Server WSUS menggunakan informasi ini untuk menentukan pembaruan mana yang harus disebarkan ke komputer ini. Anda dapat menyiapkan beberapa grup komputer dan secara berurutan menyetujui unduhan paket layanan besar untuk subset grup ini.

Background Intelligent Transfer Service

WSUS menggunakan protokol Background Intelligent Transfer Service (BITS) untuk semua tugas transfer filenya. Ini termasuk unduhan ke komputer klien dan sinkronisasi server. BITS memungkinkan program mengunduh file dengan menggunakan bandwidth cadangan. BITS mempertahankan transfer file melalui pemutusan jaringan dan mulai ulang komputer. Untuk informasi selengkapnya, lihat: Layanan Transfer Cerdas Latar Belakang.

1.7. Merencanakan pengaturan Pembaruan Otomatis

Anda dapat menentukan tenggat waktu untuk menyetujui pembaruan di server WSUS. Tenggat waktu menyebabkan komputer klien menginstal pembaruan pada waktu tertentu, tetapi ada sejumlah situasi yang berbeda, tergantung pada apakah tenggat waktu telah kedaluwarsa, apakah ada pembaruan lain dalam antrean untuk diinstal komputer, dan apakah pembaruan (atau pembaruan lain dalam antrean) memerlukan mulai ulang.

Secara default, Pembaruan Otomatis melakukan polling server WSUS untuk pembaruan yang disetujui setiap 22 jam dikurangi offset acak. Jika pembaruan baru perlu diinstal, pembaruan tersebut akan diunduh. Waktu antara setiap siklus deteksi dapat dimanipulasi dari 1 hingga 22 jam.

Anda dapat memanipulasi opsi pemberitahuan sebagai berikut:

  1. Jika Pembaruan Otomatis dikonfigurasi untuk memberi tahu pengguna tentang pembaruan yang siap diinstal, pemberitahuan dikirim ke log Sistem dan ke area pemberitahuan komputer klien.

  2. Saat pengguna dengan kredensial yang sesuai memilih ikon area pemberitahuan, Pembaruan Otomatis menampilkan pembaruan yang tersedia untuk diinstal. Pengguna harus memilih Instal untuk memulai penginstalan. Pesan muncul jika pembaruan mengharuskan komputer dimulai ulang untuk menyelesaikan pembaruan. Jika mulai ulang diminta, Pembaruan Otomatis tidak dapat mendeteksi pembaruan tambahan hingga komputer dimulai ulang.

Jika Pembaruan Otomatis dikonfigurasi untuk menginstal pembaruan pada jadwal yang ditetapkan, pembaruan yang berlaku diunduh dan ditandai sebagai siap untuk diinstal. Pembaruan Otomatis memberi tahu pengguna yang memiliki kredensial yang sesuai dengan menggunakan ikon area pemberitahuan, dan peristiwa dicatat di log Sistem.

Pada hari dan waktu yang dijadwalkan, Pembaruan Otomatis menginstal pembaruan dan memulai ulang komputer (jika perlu), bahkan jika tidak ada administrator lokal yang masuk. Jika administrator lokal masuk dan komputer memerlukan hidupkan ulang, Pembaruan Otomatis menampilkan peringatan dan hitung mundur untuk menghidupkan ulang. Jika tidak, penginstalan terjadi di latar belakang.

Jika komputer harus dimulai ulang, dan setiap pengguna masuk, kotak dialog hitung mundur serupa ditampilkan, yang memperingatkan pengguna tentang mulai ulang yang akan terjadi. Anda dapat memanipulasi mulai ulang komputer dengan Kebijakan Grup.

Setelah pembaruan baru diunduh, Pembaruan Otomatis melakukan polling server WSUS untuk daftar paket yang disetujui untuk mengonfirmasi bahwa paket yang diunduhnya masih valid dan disetujui. Ini berarti bahwa, jika administrator WSUS menghapus pembaruan dari daftar pembaruan yang disetujui saat Pembaruan Otomatis mengunduh pembaruan, hanya pembaruan yang masih disetujui yang benar-benar diinstal.