Сервер обновлений (WSUS)

Что такое WSUS и для чего он нужен

Windows Server Update Services (WSUS ) – программный продукт компании Microsoft предназначенный для управляемого распространения обновлений программного обеспечения в локальных (корпоративных) сетях.

Процесс установки обновлений в большой сети может вызвать ряд проблем:

• Как правило, компьютеры в корпоративной сети находятся за сетевым экраном (брандмауэром, фаерволом), который защищает сеть от вмешательства извне. Фаервол может также препятствовать автоматической загрузке обновлений на компьютеры локальной сети из Интернета.
• Когда десятки или даже сотни компьютеров в локальной сети устанавливают обновления, они создают значительную нагрузку на канал, по которому локальная сеть подключена к Интернету: каждое обновление будет скачано столько раз, сколько компьютеров в сети.
• Пользователь вынужден сам заботится об установке обновлений на своем компьютере. Всегда найдутся пользователи, которые не будут ставить обновления по тем или иным причинам.
• После установки обновления может потребоваться внесение дополнительных настроек для обеспечения нормальной работы приложений, что может оказаться не по силам обычным пользователям.
• Неуправляемая установка обновлений в локальной сети может привести к хаусу: невозможно будет понять, почему на одних компьютерах приложение работает, а на других нет.

Сервер WSUS помогает администраторам эффективно решать задачу обновления программного обеспечения компьютеров в локальной сети. Обновления скачиваются на сервер WSUS только один раз, а уже с него автоматически загружаются компьютерами локальной сети. Весь процесс контролируется администраторами локальной сети: они сами определяют, на какие компьютеры какие обновления устанавливать и в какое время.

Зачем нужны обновления

Операционная система Windows и пакет Office содержат миллионы строк программного кода, написанного тысячами программистов. И как бы тщательно ни был написал и не протестирован этот код, ошибки неизбежны.

После выпуска продукта на рынок компания Microsoft непрерывно собирает сведения от своих клиентов и партнеров о том, какие проблемы  возникают у них во время эксплуатации того или иного продукта. Эти сведения обобщаются, классифицируются, а затем определяется важность каждой ошибки или проблемы – им выставляется приоритет: если ошибка важная (нарушение безопасности), то обновление будет выпущено немедленно, если совсем незначительная (грамматическая ошибка в документации), то обновление может появиться через год или вообще не появиться, т.к. не нарушает нормальную работу.

Еще одна причина выпуска  обновлений в том, что злоумышленники постоянно ищут возможности для взлома компьютеров и сетей, распространения спама, кражи информации и денег. Невозможно заранее предугадать, какую лазейку они используют. И как только такую лазейку обнаруживают, компания Microsoft незамедлительно выпускает обновление безопасности, закрывающее эту уязвимость.

Поэтому надо внимательно следить за выходом новых обновлений и регулярно их устанавливать.

Очень часто дилетанты утверждают, что обновления устанавливать ненужно, т.к. они только нарушают работу компьютера. Все как раз наоборот. Представьте, что вы пьете чай с молоком, все хорошо день ото дня, но однажды вы наливаете молоко, и оно сворачивается – чай испорчен. Почему? Молоко плохое? Нет, в чай положили лимон! Точно так же с компьютером: либо вы что-то изменили в настройках, либо установили какое-то ПО, которое модифицировало систему так, что стало «лимоном» и причиной отказа.

Виды обновлений

Как уже было сказано, обновления предназначены не только для определенных программных продуктов, но имеют разное назначение и разную важность.

Критические обновления – устраняют ошибки, которые делают невозможной работу системы в определенной ситуации. Это самые высокоприоритетные обновления. За ними надо тщательно следить и обязательно устанавливать.

Обновления безопасности – устраняют не ошибки как таковые, а возможности для злоумышленников взломать систему, похитить информацию. Это высокоприоритетные обновления. В некоторых случаях установка такого обновления может нарушить нормальную работу приложений, поэтому рекомендуется протестировать установку обновления безопасности на тестовых компьютерах, прежде чем устанавливать его на большое количество компьютеров.

Прочие обновления – устраняют ошибки в разных компонентах операционной системы или прикладных программах. Устанавливать подобные обновления следует, если они исправляют функции, которые используются или могут потребоваться в будущем. Например, в Excel в определенной ситуации не работает какая-то функция, вы ее не используете, но когда-нибудь она вам может потребоваться, поэтому обновление следует установить заранее. Но если вы вообще не используете Excel, то нет необходимости тратить время на установку обновлений для него. Установка такого вида обновления может изменить поведение приложения: протестируйте его  на тестовых компьютерах прежде, чем ставить на все компьютеры в вашей сети.

Существуют обновления, которые ничего не исправляют, а добавляют новые возможности. Например, когда появился Powershell, было выпущено обновление, которое его устанавливало на операционные системы Windows XP и Windows Vista.

Источники обновлений

Существует несколько способов получения обновлений. Каждый из них предназначен для разных групп пользователей и рассчитан на разные сценарии установки обновлений.

Во-первых, обновления можно установить через Web, используя функцию Windows Update. Это можно сделать, зайдя на сайт (Начиная с версии Windows 7, будет выполнен переход в Панель управления, но сути это не меняет: источник будет тем же самым.)

Во-вторых, можно настроить функцию Автоматического обновления через Панель  Управления. Клиент скачивает обновления с сайтов Microsoft из Интернета. Администратор локальной сети может указать в качестве источника обновлений локальный WSUS сервер, который становится посредником между клиентами и сервером Microsoft в Интернет.

В-третьих, можно найти и загрузить обновление через Центр загрузок.

Обновления с одним и тем же номером, полученные из разных источников, могут различаться, потому что включают в себя не только код обновления, но и код установки обновления, который зависит от способа получения обновления (источника). Скачав обновление из разных источников, вы можете обнаружить, например, что размеры файлов разные.

Как работает WSUS

WSUS сервер скачивает из Интернета с серверов Microsoft базу данных с описанием всех доступных обновлений (ее размер около 1.5 Гб). Администратор просматривает список обновлений и утверждает установку нужных обновлений для разных групп компьютеров. После этого утвержденные обновления скачиваются сервером WSUS на его  локальный диск и готовы для передачи на компьютеры локальной сети. Каждый клиентский компьютер настраивается таким образом, чтобы забирать обновления не через Интернет (настройка по умолчанию функции Автоматического обновления в Панели управления), а с сервера WSUS. При этом клиентские компьютеры объединяются в группы. Администратор одобряет установку обновления для нужных групп. Это обновление устанавливается только на компьютеры входящие в такие группы и не устанавливается на другие компьютеры.

Установка WSUS

Сервер WSUS использует для распространения обновлений сервер IIS и очень чувствителен к изменению его настроек. Например, установка Sharepoint может привести к проблемам в работе WSUS. Поэтому рекомендуется устанавливать сервер WSUS на отдельную машину, на которой нет иных приложений.

В качестве базовой операционной системы можно использовать Windows Server 2008 R2 или Windows Server 2008.

Надо отметить, что сервер WSUS прекрасный кандидат на виртуализацию.

Перед установкой WSUS нужно предварительно установить:

• IIS
• Microsoft .NET Framework 2.0 или выше
• Microsoft Report Viewer Redistributable 2008 (для просмотра отчетов)

По умолчанию база данных и хранилище  обновлений располагаются на системном диске C: и занимают, как показывает практика, от 15 до 100 Гб при оптимальной настройке. (Если вы выберете много языков, продуктов и типов обновлений, то объем загружаемой информации может достигнуть нескольких терабайт!). Поэтому в случае виртуальной машины удобнее всего использовать динамически расширяемый диск с начальным размером 40 Гб и максимальным размером 120 Гб.

Для обслуживания локальной сети из нескольких десятков компьютеров WSUS серверу достаточно 2 Гб оперативной памяти.

В качестве базы данных WSUS по умолчанию использует локальный MS Express SQL сервер. Его производительности вполне достаточно для обслуживания нескольких сотен компьютеров. Поэтому в небольших и средних локальных сетях нет необходимости усложнять конфигурацию и использовать выделенный SQL сервер.

Для установки WSUS сервера можно использовать Server Manager в случае Windows Server 2008 R2, либо загрузить файл установки с сайта Microsoft вручную.

После запуска установки появляется мастер установки. Следуйте его указаниям. Параметры настройки по умолчанию подходят в большинстве случаев и не требуют изменений. Если вы не имеете опыта установки WSUS и работы с ним, то оставьте все параметры по умолчанию: позже сервер можно переконфигурировать, опираясь на документацию.

Для дополнительной информации воспользуйтесь «Пошаговым руководством по установке сервера WSUS».

Первоначальная настройка WSUS

После установки сервера WSUS запускается мастер первоначальной настройки.

Сначала надо указать, что загрузка обновлений будет выполняться через Интернет с сервера Microsoft.

Если компьютер не имеет прямого выхода в Интернет, то нужно задать параметры прокси-сервера. Если прокси-сервер требует аутентификации, укажите пользователя и его пароль. Учтите, что WSUS сервер поддерживает только Windows аутентификацию или Basic.

Далее нужно указать языки загружаемых обновлений. Надо указать русский и, возможно, английский, если используются английские версии продуктов. Ни в коем случае не отмечайте лишние языки! – это значительно увеличивает объем загружаемой информации.

Выберите продукты, для которых нужно загружать обновления. Ни в коем случае не отмечайте лишние продукты! – это значительно увеличивает объем загружаемой информации. Например, выберите Windows 7 и Office 2010.

Выберите виды загружаемых обновлений. Отметьте для начала только критические обновления и обновления безопасности. Ни в коем случае не отмечайте лишние виды обновлений! – это значительно увеличивает объем загружаемой информации. Например, не следует выбирать Драйверы, Сервис паки.

Наконец, укажите время синхронизации (загрузки обновлений с сайта Microsoft). Лучше выбрать ночное время, освободив канал днем для пользователей.

Настройка клиентов

Настройка клиентов выполняется через системный реестр или через групповые политики как описано в пошаговом руководстве.

После перезапуска клиента он должен появиться в списке компьютеров оснастки управления WSUS спустя некоторое время (минут 20-30). Если этого не произошло, надо проверить настройки и провести устранение неисправностей, как описано в следующем разделе.

Проверить применилась ли политика к компьютеру можно командой:

gpresult /r                          -  для Vista/Windows 7

gpresult                              - для XP/Windows Server 2003

Запустить процесс обновления политик на клиентском компьютере можно командой:

gpupdate

Инициализация поиска и загрузки обновлений на клиентском компьютере:

wuauclt /detectnow

Устранение неисправностей

Для диагностики сервера WSUS следует смотреть файл журнала %ProgramFiles%\Update Services\LogFiles\SoftwareDistribution.log на сервере WSUS, а для диагностики клиентов файл   %windir%\Windowsupdate.log  на клиентских компьютерах.

Статья Базы знаний по диагностике клиентов KB902093  How to read the Windowsupdate.log file

В библиотеке Technet в разделе документации по WSUS есть подробные разделы по устранению неисправностей на сервере WSUS и на клиентах.

Также вы всегда можете задать вопрос на форумах Technet-RU в разделе по WSUS. https://social.technet.microsoft.com/Forums/ru-RU/wsusru/threads

Обслуживание WSUS

Сервер WSUS  после правильной настройки не требует к себе пристального внимания и может автономно  работать без вмешательства администратора.

Тем не менее, периодически (один раз в месяц достаточно) надо просматривать список обновлений и выполнять отклонение устаревших и просроченных обновлений. Такие обновления помечены специальными значками.

После этого следует запустить визард очистки для удаления мусора из базы данных и из локального хранилища обновлений на диске.

Результаты автоматической синхронизации сервера WSUS с Интернетом можно посмотреть в соответствующем разделе оснастки управления WSUS. Этот отчет можно пересылать на электронную почту администратора, чтобы следить за возможными сбоями синхронизации (недоступен Интернет, переполнен локальный диск и т.п.).

Операции по обслуживанию WSUS можно автоматизировать с помощью скриптов:

Скрипт 1.Запуск мастера очистки

Скрипт 2.Переиндесация базы данных (Требует установки дополнительных компонент)

Если не выполнять эти две операции регулярно, то со временем WSUS сервер становится медленным и неповоротливым.

Иерархия WSUS

Один сервер WSUS способен обслуживать сотни компьютеров. Но что делать, если их тысячи? В этом случае для распределения нагрузки устанавливают несколько серверов WSUS с общей базой данных на выделенном SQL сервере.

Другая ситуация. Не всегда компьютеры размещаются на одной территории: у компании может быть несколько офисов в разных частях города или даже в разных городах, а  обслуживать компьютеры на разных площадках могут разные администраторы.

Для таких сценариев WSUS поддерживает иерархическое подключение серверов WSUS в виде дерева: к головному серверу WSUS находящемуся в центральном офисе можно подключить нижестоящий WSUS сервер филиала. Таким образом, можно распределить нагрузку между несколькими серверами WSUS и можно управлять установкой обновлений независимо в каждом филиале.

Полезные ссылки

• Домашняя страница
• Документация Technet Library
• Форум Technet WSUS
• Блог команды разаботчиков WSUS
• Большой Интернет сайт посвященный WSUS 

Автор статьи:  Илья Сазонов.