Поделиться через

Шаг 2. Настройка служб WSUS

После установки на сервере роли сервера Windows Server Update Services (WSUS) ее нужно правильно настроить. Кроме того, нужно настроить клиентские компьютеры, чтобы они получали обновления с сервера WSUS.

2.1. Настройка сетевых подключений

До начала процесса настройки убедитесь в том, что вы знаете ответы на следующие вопросы.

  • Разрешают ли настройки брандмауэра на сервере доступ клиентов к серверу?

  • Может ли этот компьютер подключиться к вышестоящему серверу (серверу, который предназначен для скачивания обновлений из Центра обновления Майкрософт)?

  • Располагаете ли вы именем и адресом прокси-сервера, а также учетными данными пользователя для данного прокси-сервера, если они вам требуются?

Затем можно приступить к настройке следующих сетевых параметров WSUS:

  • Обновления. Укажите способ получения обновлений на этом сервере (от Центра обновления Майкрософт или от другого сервера WSUS).

  • Прокси: если вы определяете, что служба WSUS должна использовать прокси-сервер для доступа к Интернету, настройте параметры прокси-сервера на сервере WSUS.

  • Брандмауэр. Если вы определяете, что WSUS находится за корпоративным брандмауэром, выполните дополнительные действия на пограничном устройстве, чтобы разрешить трафик WSUS.

Внимание

Если у вас есть только один сервер WSUS, он должен иметь доступ к Интернету, так как он должен скачать обновления от Майкрософт. Если у вас несколько серверов WSUS, доступ к Интернету необходим только одному из них. Другим серверам нужен только сетевой доступ к серверу WSUS, который подключен к Интернету. Клиентские компьютеры не нуждаются в доступе к Интернету. Им нужен только сетевой доступ к серверу WSUS.

Совет

Если ваша сеть изолирована — и у нее нет доступа к Интернету вообще, — вы по-прежнему можете использовать WSUS для предоставления обновлений клиентским компьютерам в сети. Для этого вам потребуются два сервера WSUS. Первый сервер WSUS с доступом к Интернету получает обновления от Майкрософт. Второй сервер WSUS в защищенной сети выполняет обновления клиентских компьютеров. Обновления экспортируются с первого сервера на съемный носитель, переносятся через разрыв воздуха и импортируются на второй сервер. Эта конфигурация расширена и выходит за рамки этой статьи.

2.1.1. Настройка брандмауэра: подключение первого сервера WSUS к доменам Майкрософт в Интернете

Если между сервером WSUS и сетью Интернет располагается корпоративный брандмауэр, возможно, вам потребуется настроить брандмауэр, чтобы сервер WSUS мог получать обновления. Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порты 80 и 443 для протоколов HTTP и HTTPS. Большинство корпоративных брандмауэров разрешают этот тип трафика, но в некоторых организациях доступ к Интернету с таких серверов ограничен в соответствии с политиками безопасности. Если ваша компания ограничивает доступ, необходимо настроить брандмауэр, чтобы разрешить серверу WSUS доступ к доменам Майкрософт.

У первого сервера WSUS должен быть исходящий доступ к портам 80 и 443 в следующих доменах:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Если вы управляете обновлениями Microsoft 365, для которых требуется Microsoft Configuration Manager, см. статью "Управление обновлениями приложений Microsoft 365" с помощью Microsoft Configuration Manager , чтобы получить дополнительные сведения о доменах, которые необходимо разрешить.

Внимание

Вам нужно настроить брандмауэр, чтобы разрешить первому серверу WSUS получать доступ к любому URL-адресу в этих доменах. IP-адреса этих доменов постоянно меняются, поэтому не пытайтесь использовать диапазоны IP-адресов вместо URL-адресов.

2.1.2. Настройка брандмауэра: подключение других серверов WSUS к первому серверу

Если у вас несколько серверов WSUS, необходимо настроить другие серверы WSUS для доступа к первому (самому верхнему) серверу. Затем другие серверы WSUS получают все сведения об обновлении с самого верхнего сервера. Такая конфигурация позволяет управлять всей сетью с помощью консоли администрирования WSUS на верхнем сервере.

У других серверов WSUS должен быть исходящий доступ к верхнему серверу через два порта. По умолчанию эти порты — 8530 и 8531. Эти порты можно изменить, как описано в статье "Настройка веб-сервера IIS сервера WSUS для использования TLS для некоторых подключений далее в этой статье".

Примечание.

Если сетевое подключение между серверами WSUS работает медленно или оно затратное, можно настроить один или несколько других серверов WSUS на получение полезных данных обновлений непосредственно от Майкрософт. В этом случае на самый верхний сервер отправляется только небольшое количество данных с этих серверов WSUS. Обратите внимание, что в этой конфигурации другие серверы WSUS должны иметь доступ к тем же доменам Интернета, что и верхний сервер.

Примечание.

Если у вас большая организация, вы можете использовать цепочки подключенных серверов WSUS вместо подключения всех остальных серверов WSUS напрямую к верхнему серверу. Например, у вас может быть второй сервер WSUS, который подключается к верхнему серверу, а другие серверы WSUS подключаются ко второму серверу WSUS.

2.1.3 Настройка серверов WSUS для использования прокси-сервера (при необходимости)

Если корпоративная сеть использует прокси-серверы, прокси-серверы должны поддерживать протоколы HTTP и HTTPS. Они также должны использовать обычную проверку подлинности или проверку подлинности Windows. Эти требования можно выполнить с помощью одной из следующих конфигураций:

  • Один прокси-сервер, поддерживающий два канала протоколов. В этом случае настройте для одного канала использование протокола HTTP, а для другого канала использование протокола HTTPS.

    Примечание.

    Можно настроить один прокси-сервер, обрабатывающий оба протокола для WSUS, во время установки программного обеспечения сервера WSUS.

  • Два прокси-сервера, каждый из которых поддерживает один протокол. В этом случае настройте один прокси-сервер для использования HTTP и другого прокси-сервера для использования HTTPS.

Настройка служб WSUS для использования двух прокси-серверов

  1. Войдите на компьютер, который планируется использовать в качестве сервера WSUS, с помощью учетной записи, являющейся членом группы локальных администраторов.

  2. Установите роль сервера WSUS. При использовании мастера конфигурации WSUS, как описано в разделе "Настройка WSUS" с помощью мастера конфигурации WSUS, не указывайте прокси-сервер.

  3. Откройте командную строку (Cmd.exe) в качестве администратора:

    1. В меню "Пуск " найдите командную строку.
    2. Щелкните правой кнопкой мыши командную строку и выберите команду "Запуск от имени администратора".
    3. Если появится диалоговое окно "Контроль учетных записей пользователей ", введите соответствующие учетные данные (при запросе), убедитесь, что отображается действие, которое требуется, и нажмите кнопку "Продолжить".

  4. В командной строке перейдите в папку C:\Program Files\Update Services\Tools . Введите следующую команду:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    В этой команде:

    • proxy_server — это имя прокси-сервера, поддерживающего ПРОТОКОЛ HTTPS.

    • proxy_port номер порта прокси-сервера.

  5. Закройте командную строку.

Добавление прокси-сервера в конфигурацию WSUS

  1. Откройте консоль администрирования WSUS.

  2. В разделе "Службы обновления" разверните имя сервера и выберите "Параметры".

  3. На панели "Параметры " выберите "Источник обновления" и "Прокси-сервер" и перейдите на вкладку "Прокси-сервер ".

  4. При синхронизации выберите "Использовать прокси-сервер", а затем введите имя и номер порта прокси-сервера в соответствующих полях. Номер порта по умолчанию: 80.

  5. Если прокси-сервер требует использования определенной учетной записи пользователя, выберите "Использовать учетные данные пользователя для подключения к прокси-серверу". Введите необходимое имя пользователя, домен и пароль в соответствующие поля.

  6. Если прокси-сервер поддерживает обычную проверку подлинности, выберите "Разрешить обычную проверку подлинности" (пароль отправляется в виде ясного текста).

  7. Нажмите кнопку "ОК".

Удаление прокси-сервера из конфигурации WSUS

  1. В консоли администрирования WSUS в разделе "Службы обновления" разверните имя сервера и выберите "Параметры".

  2. На панели "Параметры " выберите "Источник обновления" и "Прокси-сервер" и перейдите на вкладку "Прокси-сервер ".

  3. Снимите флажок "Использовать прокси-сервер" при синхронизации .

  4. Нажмите кнопку "ОК".

2.1.4. Настройка брандмауэра для разрешения доступа клиентских компьютеров к серверу WSUS

Клиентские компьютеры должны подключаться к одному из серверов WSUS. Каждый клиентский компьютер должен иметь исходящий доступ к двум портам на сервере WSUS. По умолчанию эти порты — 8530 и 8531.

2.2. Настройка служб WSUS с помощью мастера настройки WSUS

Процедуры, описанные в следующих разделах, используют мастер настройки WSUS для настройки параметров WSUS. Мастер настройки WSUS отображается при первом запуске консоли управления WSUS. Вы также можете использовать панель параметров в консоли администрирования WSUS для настройки параметров WSUS. Дополнительные сведения об использовании области параметров см. в следующих разделах этой статьи:

Запуск мастера и настройка начальных параметров

  1. На панели мониторинга диспетчера серверов выберите "Сервис>Windows Server Update Services".

    Примечание.

    Если появится диалоговое окно "Полная установка WSUS ", нажмите кнопку "Выполнить". В диалоговом окне "Завершение установки WSUS" нажмите кнопку "Закрыть ", когда установка завершится успешно.

    Откроется окно мастера настройки WSUS.

  2. На странице "Перед началом работы " просмотрите сведения и нажмите кнопку "Далее".

  3. На странице "Присоединение к программе улучшения обновления Майкрософт " ознакомьтесь с инструкциями. Оставьте установленный флажок, если хотите участвовать в программе, или снимите его, если не хотите участвовать. Затем нажмите кнопку "Далее".

Настройка параметров вышестоящего и прокси-сервера

  1. На странице выбора вышестоящего сервера выберите один из следующих вариантов:

    • Синхронизация из Центра обновления Майкрософт

    • Синхронизация с другого сервера служб Центра обновления Windows Server

    Если вы решили синхронизировать с другого сервера WSUS, выполните следующие действия.

    1. Укажите имя сервера и порт, на котором этот сервер должен взаимодействовать с вышестоящим сервером.

    2. Чтобы использовать TLS, выберите "Использовать SSL" при синхронизации сведений об обновлении. Серверы используют порт 443 для синхронизации. (Убедитесь, что этот сервер и вышестоящий сервер поддерживают TLS.)

    3. Если этот сервер является сервером-репликой, выберите "Это реплика" вышестоящего сервера.

  2. После выбора параметров развертывания нажмите кнопку "Далее".

  3. Если служба WSUS требует прокси-сервера для доступа к Интернету, настройте следующие параметры прокси-сервера. В противном случае пропустите этот шаг.

    1. На странице "Указание прокси-сервера " выберите "Использовать прокси-сервер" при синхронизации. Затем введите имя прокси-сервера и номер порта (по умолчанию — порт 80) в соответствующих полях.

    2. Если вы хотите подключиться к прокси-серверу с помощью определенных учетных данных пользователя, выберите "Использовать учетные данные пользователя для подключения к прокси-серверу". Затем введите имя пользователя, домен и пароль пользователя в соответствующих полях.

      Если вы хотите включить базовую проверку подлинности для пользователя, подключающегося к прокси-серверу, выберите разрешить обычную проверку подлинности (пароль отправляется в виде ясного текста).

  4. Нажмите кнопку "Далее".

  5. На странице "Подключение к вышестоящему серверу" нажмите кнопку "Начать подключение".

  6. При подключении WSUS к серверу нажмите кнопку "Далее".

Выбор языков, продуктов и классификаций

  1. На странице "Выбор языков " можно выбрать языки, из которых службы WSUS получают обновления: все языки или подмножество языков. Выбор подмножества языков экономит место на диске, но важно выбрать все языки, необходимые всем клиентам этого сервера WSUS.

    Если вы решили получать обновления только для определенных языков, выберите "Скачать обновления только на этих языках", а затем выберите нужные языки. В противном случае оставьте уже выбранное значение.

    Предупреждение

    Если выбрать параметр "Скачать обновления только на этих языках ", а на этом сервере есть подчиненный сервер WSUS, подключенный к нему, этот параметр заставляет подчиненный сервер также использовать только выбранные языки.

  2. Нажмите кнопку "Далее".

  3. На странице "Выбор продуктов" укажите продукты, для которых требуется обновить. Выберите категории продуктов, такие как Windows или определенные продукты, например Windows Server 2019. Выбор категории продукта подразумевает выбор всех продуктов в данной категории.

  4. Нажмите кнопку "Далее".

  5. На странице «Выбор классификаций» выберите классификации обновлений, которые вы хотите получить. Выберите все классификации или подмножество из них, а затем нажмите кнопку "Далее".

Настройка расписания синхронизации

  1. На странице "Задать расписание синхронизации " выберите, следует ли выполнять синхронизацию вручную или автоматически.

    • Если выбрать синхронизацию вручную, необходимо запустить процесс синхронизации из консоли администрирования WSUS.

    • При автоматической синхронизации сервер WSUS синхронизируется с заданными интервалами.

      Для первой синхронизации задайте время, а затем укажите количество синхронизаций в день, которое требуется выполнить на этом сервере. Например, если указать четыре синхронизации в день, начиная с 3:00 утра, синхронизация происходит в 3:00 утра, 9:00 утра, 3:00 дня и 9:00 вечера.

  2. Нажмите кнопку "Далее".

Завершите работу мастера

  1. На странице "Готово ", если вы хотите сразу начать синхронизацию, нажмите кнопку "Начать начальную синхронизацию". Если этот флажок не установить, вам нужно будет запустить начальную синхронизацию через консоль управления служб WSUS.

  2. Если вы хотите узнать больше о других параметрах, нажмите кнопку "Далее". В противном случае нажмите кнопку "Готово ", чтобы завершить работу мастера и завершить начальную настройку WSUS.

После нажатия кнопки "Готово" появится консоль администрирования WSUS. Эта консоль используется для управления сетью WSUS, как описано в последующих разделах этой статьи.

2.3. Защита СЛУЖБ WSUS с помощью протокола TLS

Протокол TLS следует использовать для защиты сети WSUS. СЛУЖБЫ WSUS могут использовать TLS для проверки подлинности подключений и шифрования и защиты сведений об обновлении.

Предупреждение

Защита WSUS с помощью протокола TLS важна для безопасности сети. Если сервер WSUS неправильно использует TLS для защиты своих подключений, злоумышленник может изменить важные сведения об обновлении при отправке с одного сервера WSUS на другой или с сервера WSUS на клиентские компьютеры. В этом случае злоумышленник может установить вредоносное программное обеспечение на клиентских компьютерах.

Внимание

Клиенты и подчиненные серверы, настроенные для использования TLS или HTTPS, также должны быть настроены для использования полного доменного имени (FQDN) для их вышестоящего сервера WSUS.

2.3.1. Включение TLS/HTTPS в службе IIS сервера WSUS для использования TLS/HTTPS

Чтобы начать процесс использования TLS/HTTPS, необходимо включить поддержку TLS на службе IIS сервера WSUS. Эти усилия включают создание сертификата ПРОТОКОЛА TLS/Secure Sockets Layer (SSL) для сервера.

Действия, необходимые для получения СЕРТИФИКАТА TLS/SSL для сервера, выходят за рамки этой статьи и зависят от конфигурации сети. Дополнительные сведения и инструкции по установке сертификатов и настройке этой среды см. в документации по службам сертификатов Active Directory.

2.3.2. Настройка веб-сервера IIS сервера WSUS для использования TLS для некоторых подключений

WSUS требует наличия двух портов для подключения к другим серверам WSUS и клиентским компьютерам. Один порт использует TLS/HTTPS для отправки метаданных об обновлениях (существенная информация об обновлениях). По умолчанию порт 8531 используется для этой цели. Второй порт использует протокол HTTP для отправки обновляющих данных. По умолчанию порт 8530 используется для этой цели.

Внимание

Для всего веб-сайта WSUS невозможно настроить протокол TLS. Задача WSUS — только шифрование метаданных обновления. Центр обновления Windows распространяет обновления таким же образом.

Чтобы предотвратить вмешательство злоумышленника в пакеты обновлений, все пакеты обновлений подписываются через специфический набор доверенных сертификатов для подписи. Кроме того, криптографический хэш вычисляется для каждой полезной нагрузки обновления. Этот хэш передается на клиентский компьютер через безопасное HTTPS-подключение для метаданных вместе с другими метаданными обновления. Когда обновление загружается, клиентское программное обеспечение проверяет цифровую подпись и хэш данных. Если обновление было изменено, оно не устанавливается.

Вы должны требовать TLS только для следующих виртуальных корней IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Для следующих виртуальных корней не требуется протокол TLS:

  • Содержание

  • Инвентарь

  • ReportingWebService

  • Самообновление

Сертификат центра сертификации (ЦС) должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера каждого сервера WSUS или хранилище доверенных корневых ЦС WSUS, если оно существует.

Дополнительные сведения об использовании TLS/SSL-сертификатов в IIS см. в статье "Настройка SSL" в IIS 7 или более поздней версии.

Внимание

Необходимо использовать хранилище сертификатов локального компьютера. Хранилище сертификатов пользователя использовать нельзя.

Как правило, в службах IIS для HTTPS-подключений следует настроить порт 8531, а для HTTP-подключений — порт 8530. При изменении этих портов необходимо использовать два соседних номера портов. Номер порта для HTTP-подключений должен быть ровно на единицу меньше, чем номер порта для HTTPS-подключений.

Необходимо повторно инициализировать ClientServicingProxy прокси-сервер, если имя сервера, конфигурация TLS или номер порта изменяется.

2.3.3. Настройка WSUS для использования сертификата подписи TLS/SSL для подключений клиента

  1. Войдите на сервер WSUS с помощью учетной записи, которая входит в группу администраторов WSUS или группу локальных администраторов.

  2. В меню "Пуск " введите CMD, щелкните правой кнопкой мыши командную строку и выберите команду "Запуск от имени администратора".

  3. Перейдите в папку C:\Program Files\Update Services\Tools .

  4. В командной строке введите следующую команду:

    wsusutil configuressl <certificate-name>

    В этой команде имя сертификата — это dns-имя системы доменных имен сервера WSUS.

2.3.4. Защита подключения SQL Server (при необходимости)

Если вы используете WSUS с удаленной базой данных SQL Server, подключение между сервером WSUS и сервером базы данных не защищено через TLS. Эта ситуация создает потенциальный вектор атаки. Чтобы защитить это подключение, примите во внимание следующие рекомендации:

  • Переместите базу данных WSUS на сервер WSUS.

  • Переместите удаленный сервер базы данных и сервер WSUS в частную сеть.

  • Выполните развертывание протокола IPsec, чтобы обеспечить защиту сетевого трафика. Дополнительные сведения об IPsec см. в статье "Создание и использование политик IPsec".

2.3.5. Создание сертификата для подписи кода для локальной публикации (при необходимости)

Помимо распространения обновлений, которые корпорация Майкрософт предоставляет, WSUS поддерживает локальную публикацию. Вы можете использовать локальный выпуск для создания и распространения обновлений, которые вы разрабатываете сами, с собственными полезными нагрузками и поведением.

Включение и настройка локальной публикации выходят за рамки этой статьи. Полные сведения см. в разделе "Локальная публикация".

Внимание

Локальная публикация — сложный процесс, и зачастую она не требуется. Перед тем как включить локальную публикацию, необходимо тщательно просмотреть документацию и подумать о том, следует ли использовать эту функцию и как ее использовать.

2.4. Настройка групп компьютеров WSUS

Группы компьютеров являются важной частью эффективного использования WSUS. Группы компьютеров можно использовать для тестирования и целевых обновлений для определенных компьютеров. По умолчанию имеются две группы компьютеров: "Все компьютеры" и "Неназначенные компьютеры". По умолчанию каждый клиентский компьютер прежде всего контактирует с сервером WSUS, а сервер добавляет клиентский компьютер в обе указанные группы.

Вы можете создать любое количество групп пользовательских компьютеров, необходимое для управления обновлениями в вашей организации. Наилучшей методикой является создание не менее одной группы компьютеров для проверки обновлений до их развертывания на других компьютерах вашей организации.

2.4.1. Выбор способа назначения клиентских компьютеров группам компьютеров

Есть два подхода к назначению клиентских компьютеров группам компьютеров. Правильный подход для вашей организации зависит от того, как обычно вы управляете клиентскими компьютерами.

  • Назначение на стороне сервера: по умолчанию используется этот подход. В этом случае вы назначаете клиентские компьютеры группам компьютеров с помощью консоли администрирования WSUS.

    Такой подход позволяет быстро перемещать клиентские компьютеры из одной группы в другую по мере изменения обстоятельств. Но в результате необходимо вручную переместить новые клиентские компьютеры из группы неназначенных компьютеров в соответствующую группу компьютеров.

  • Назначение на стороне клиента. В этом подходе каждый клиентский компьютер назначается группам компьютеров с помощью параметров политики, заданных на самом клиентском компьютере.

    Такой подход упрощает назначение новых клиентских компьютеров соответствующим группам, так как процедура выполняется на этапе настройки клиентского компьютера для получения обновлений с сервера WSUS. Но в результате нельзя назначать клиентские компьютеры группам компьютеров или перемещать их из одной группы компьютеров в другую с помощью консоли администрирования WSUS. Вместо этого необходимо изменить политики клиентских компьютеров.

2.4.2. Включение нацеливания на стороне клиента (при необходимости)

Внимание

Пропустите действия, описанные в этом разделе, если планируется использовать серверную целевую ориентацию.

  1. В консоли администрирования WSUS в разделе "Службы обновления" разверните сервер WSUS и выберите пункт "Параметры".

  2. На панели "Параметры " выберите "Компьютеры". Перейдите на вкладку "Общие " и выберите " Использовать параметры групповой политики или реестра" на компьютерах.

2.4.3. Создание нужных групп компьютеров

Примечание.

Группы компьютеров, в которые будут добавляться клиентские компьютеры, необходимо создавать с помощью консоли администрирования WSUS, независимо от того, какой подход вы используете: нацеливание на стороне сервера или на стороне клиента.

  1. В консоли администрирования WSUS в разделе "Службы обновления" разверните сервер WSUS, разверните узел "Компьютеры", щелкните правой кнопкой мыши все компьютеры и выберите пункт "Добавить группу компьютеров".

  2. В диалоговом окне "Добавление группы компьютеров " в поле "Имя" укажите имя новой группы. Затем нажмите кнопку "Добавить".

2.5. Настройка клиентских компьютеров для установления подключений TLS с сервером WSUS

Если вы настроите сервер WSUS для защиты подключений клиентских компьютеров с помощью TLS, необходимо настроить клиентские компьютеры для доверия к этим подключениям TLS.

Сертификат TLS/SSL сервера WSUS должен быть импортирован в хранилище доверенных корневых ЦС клиентских компьютеров или в хранилище доверенных корневых ЦС клиентских компьютеров, если он существует.

Внимание

Необходимо использовать хранилище сертификатов локального компьютера. Хранилище сертификатов пользователя использовать нельзя.

Клиентские компьютеры должны доверять сертификату, привязанному к серверу WSUS. В зависимости от типа используемого сертификата вам, возможно, потребуется настроить службу, которая позволит клиентским компьютерам доверять сертификату, привязанному к серверу WSUS.

Если вы используете функцию локальной публикации, вам следует настроить клиентские компьютеры таким образом, чтобы они также доверяли сертификату сервера WSUS для подписи кода. Инструкции см. в разделе "Локальная публикация".

2.6. Настройка клиентских компьютеров для получения обновлений с сервера WSUS

По умолчанию клиентские компьютеры получают обновления из Центра обновления Windows. Вместо этого они должны быть настроены для получения обновлений с сервера WSUS.

Внимание

В этой статье описывается настройка клиентских компьютеров с использованием групповой политики. Эти действия подходят во многих ситуациях. Но есть множество других вариантов настройки процесса обновления на клиентских компьютерах, включая использование программного обеспечения для управления мобильными устройствами (MDM). Документация по этим параметрам см. в разделе "Управление дополнительными параметрами Центра обновления Windows".

2.6.1. Выбор правильного набора политик для изменения

Если Active Directory настроена в сети, можно настроить один или несколько компьютеров одновременно, включив их в объект групповой политики (GPO), а затем настроив этот объект групповой политики с параметрами WSUS.

Рекомендуется создать новый объект групповой политики, содержащий исключительно параметры WSUS. Свяжите этот объект (далее — объект WSUS) с контейнером Active Directory, который подходит для вашей среды.

В простой среде вы можете привязать один объект групповой политики WSUS к домену. В более сложных средах вы можете связать несколько объектов групповой политики WSUS с несколькими организационными единицами (ОУ). При связывании объектов групповой политики с организационными единицами можно применять параметры политики WSUS к разным типам компьютеров.

Если в сети не используется Active Directory, необходимо настроить каждый компьютер с помощью редактора локальной групповой политики.

2.6.2. Изменение политик для настройки клиентских компьютеров

Выполните действия, описанные в следующих разделах, чтобы настроить клиентские компьютеры с помощью параметров политики.

Примечание.

В этих инструкциях предполагается, что вы используете одну из последних версий средств для редактирования политик. В более старых версиях эти политики могут упорядочиваться иначе.

Откройте редактор политики и перейдите к элементу Центра обновления Windows

  1. Откройте соответствующий объект политики.

    • Если вы используете Active Directory, откройте консоль управления групповыми политиками, перейдите к объекту групповой политики, на котором нужно настроить WSUS, и нажмите кнопку "Изменить". Затем разверните узел "Конфигурация компьютера" и разверните политики.
    • Если вы не используете Active Directory, откройте редактор локальных групповых политик. Откроется политика локального компьютера. Разверните конфигурацию компьютера.

  2. В объекте, развернутом на предыдущем шаге, разверните Административные шаблоны>Компоненты Windows>Центр обновления Windows. Если ваша операционная система — Windows 10 или Windows 11, также выберите "Управление взаимодействием с пользователем".

Изменение параметра для автоматических обновлений

  1. В области сведений дважды щелкните "Настройка автоматических обновлений". Откроется параметр Настройка автоматических обновлений.

  2. Выберите "Включено", а затем выберите нужный параметр в разделе "Настройка автоматического обновления " для управления тем, как компонент автоматического обновления должен скачивать и устанавливать утвержденные обновления.

    Рекомендуется использовать параметр автоматического скачивания и планирования установки . Это гарантирует, что обновления, утвержденные в WSUS, загружаются и устанавливаются своевременно без необходимости вмешательства пользователя.

  3. При желании измените другие части политики. Дополнительные сведения см. в разделе "Управление дополнительными параметрами центра обновления Windows".

    Примечание.

    Установка обновлений из других продуктов Майкрософт не влияет на клиентские компьютеры, получающие обновления от WSUS. Клиентские компьютеры получают все обновления, утвержденные для них на сервере WSUS.

  4. Нажмите кнопку "ОК ", чтобы закрыть политику автоматического обновления .

Изменение параметра для указания сервера интрасети для размещения обновлений

  1. На панели сведений дважды щелкните «Указать расположение службы обновления Майкрософт в интрасети». Если ваша операционная система — Windows 10 или Windows 11, сначала вернитесь к узлу центра обновления Windows дерева, а затем выберите "Управление обновлениями" из службы центра обновления Windows Server.

    Откроется политика указания местоположения службы обновления Microsoft в интрасети.

  2. Выберите «Включено», а затем введите URL-адрес сервера WSUS как в поле Настройка службы обновления интрасети для обнаружения обновлений, так и в поле Настройка сервера статистики интрасети.

    Предупреждение

    Убедитесь, что в URL-адресе указан правильный порт. Если вы настроите сервер для использования TLS, как рекомендуется, следует указать порт, настроенный для HTTPS. Например, если вы решили использовать порт 8531 для HTTPS, и доменное имя сервера wsus.contoso.com, требуется ввести https://wsus.contoso.com:8531 в оба поля.

  3. Выберите ОК, чтобы закрыть политику указания расположения службы обновлений Microsoft в интрасети.

Настройка нацеливания на стороне клиента (при необходимости)

Если вы решили использовать таргетинг на стороне клиента, выполните действия, описанные в этом разделе, чтобы указать соответствующую группу для клиентских компьютеров, которые настраиваются.

Примечание.

В этих шагах предполагается, что вы только что выполнили действия по редактированию политик для настройки клиентских компьютеров.

  1. В редакторе политик перейдите к элементу Центра обновления Windows . Если ваша операционная система — Windows 10 или Windows 11, также выберите "Управление обновлениями", предлагаемыми службой центра обновления Windows Server.

  2. В области сведений дважды щелкните "Включить назначение на стороне клиента". Откроется политика включения целевого назначения на стороне клиента .

  3. Выберите "Включено". В разделе "Имя целевой группы" для этого компьютера введите имя группы компьютеров WSUS, в которую необходимо добавить клиентские компьютеры.

    При использовании текущей версии WSUS клиентские компьютеры можно добавить в несколько групп компьютеров, указав несколько имен групп компьютеров, разделенных точкой с запятой. Например, можно ввести Бухгалтерия; Исполнительный, чтобы добавить клиентские компьютеры в компьютерные группы "Бухгалтерия" и "Исполнительный".

  4. Нажмите кнопку "ОК ", чтобы закрыть политику включения целевой политики на стороне клиента .

2.6.3. Настройка клиентского компьютера для подключения к серверу WSUS

Клиентские компьютеры не отображаются в консоли администрирования WSUS, пока они не подключаются к серверу WSUS в первый раз.

  1. Дождитесь, пока изменения политики вступят в силу на клиентском компьютере.

    Если вы используете объект групповой политики Active Directory для настройки клиентских компьютеров, механизм обновления групповой политики требует некоторого времени на доставку изменений клиентскому компьютеру. Если вы хотите ускорить этот процесс, откройте командную строку с повышенными привилегиями, а затем введите команду gpupdate /force.

    Если вы используете редактор локальной групповой политики для настройки отдельного клиентского компьютера, изменения вступили в силу немедленно.

  2. Перезапустите компьютер клиента. Это гарантирует, что Центр обновления Windows на компьютере определит изменения в политике.

  3. Разрешите клиентскому компьютеру проверять наличие обновлений. Эта проверка обычно занимает некоторое время.

    Ускорить процесс можно с помощью одного из следующих вариантов:

    • В Windows 10 или 11 используйте приложение "Параметры" страницу Центра обновления Windows, чтобы вручную проверить наличие обновлений.
    • В версиях Windows до Windows 10 используйте значок Центра обновления Windows на панели управления, чтобы вручную проверить наличие обновлений.
    • В версиях Windows до Windows 10 откройте командную строку с повышенными привилегиями и введите команду wuauclt /detectnow.

2.6.4 Проверка успешного подключения клиентского компьютера к серверу WSUS

При успешном выполнении всех предыдущих шагов вы увидите следующие результаты:

  • На клиентском компьютере успешно выполняется проверка обновлений. (При этом подходящие обновления для скачивания и установки могут быть и не найдены.)

  • В течение 20 минут клиентский компьютер появится в списке компьютеров, которые можно увидеть в консоли администрирования WSUS (зависит от типа нацеливания):

    • Если вы используете нацеливание на стороне сервера, клиентский компьютер появится в группах компьютеров "Все компьютеры" и "Неназначенные компьютеры".

    • Если вы используете клиентскую ориентацию, клиентский компьютер отображается в группе компьютеров "Все компьютеры" и в выбранной группе компьютеров при настройке клиентского компьютера.

2.6.5. Настройка нацеливания на стороне сервера для клиентского компьютера (при необходимости)

Если вы используете нацеливание на стороне сервера, теперь вам нужно добавить новый клиентский компьютер в соответствующие группы компьютеров.

  1. В консоли администрирования WSUS найдите новый клиентский компьютер. На сервере WSUS он должен отображаться в списке компьютеров в группах "Все компьютеры" и "Неназначенные компьютеры".

  2. Щелкните правой кнопкой мыши клиентский компьютер и выберите "Изменить членство".

  3. В диалоговом окне выберите соответствующие группы компьютеров и нажмите кнопку "ОК".

Следующий шаг

Шаг 3. Утверждение и развертывание обновлений