Планирование развертывания WSUS

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Первым шагом в процессе развертывания службы Windows Server Update Services (WSUS) является принятие таких важных решений, как выбор сценария развертывания службы WSUS, топологии сети и осмысливание требований к системе. В следующем контрольном списке кратко описываются шаги по подготовке к процессу развертывания.

Задача Description
1.1. Анализ существующих факторов и требований к системе Проанализируйте список факторов, которые необходимо учесть, а также требования к системе, чтобы убедиться, что у вас есть все необходимое оборудование и программное обеспечение для развертывания службы WSUS.
1.2. Выбор сценария развертывания службы WSUS Выберите сценарий развертывания службы WSUS, который будет использован.
1.3. Выбор стратегии хранения данных для службы WSUS Выберите, какая из стратегий хранения данных для службы WSUS наиболее подходит для данного развертывания.
1.4. Выбор языков для обновления службы WSUS Выберите те языки обновления для службы WSUS, которые будут установлены.
1.5. Планирование относительно групп компьютеров службы WSUS Запланируйте подход группы компьютеров WSUS, который будет использоваться для развертывания.
1.6. Планирование рекомендаций по производительности WSUS: фоновая интеллектуальная служба передачи Разработайте модель службы WSUS, которая позволяла бы добиться оптимизированной производительности.
1.7. Планирование относительно параметров автоматического обновления Планирование настройки параметров автоматического обновления для вашего сценария.

1.1. Анализ существующих факторов и требований к системе

Требования к системе

Требования к оборудованию и программному обеспечению баз данных определяются числом клиентских компьютеров, обновляемых в организации. Перед активацией роли сервера службы WSUS подтвердите, что сервер соответствует требованиям к системе, а также что у вас есть необходимые разрешения для завершения установки, руководствуясь следующими указаниями.

  • Требования к оборудованию сервера для включения роли WSUS привязаны к требованиям к оборудованию. Минимальные аппаратные требования к WSUS

    • Процессор: 1,4 гигагерц (ГГц) x64 процессор (рекомендуется 2 ГГц или быстрее)
    • Память: служба WSUS требует дополнительного 2 ГБ ОЗУ, помимо того, что требуется серверу и всем другим службам или программному обеспечению.
    • Доступное место на диске: рекомендуется 40 ГБ или больше.
      • Для локального управления обновлениями с помощью единой платформы обновления (UUP) требуется дополнительное 10 ГБ места на каждую версию Windows и архитектуру процессора для каждой версии. Дополнительные сведения см. в разделе "Рекомендации по UUP".
    • Сетевой адаптер: 100 мегабит в секунду (Мбит/с) или больше (рекомендуется 1 ГБ)

    Примечание.

    В этих рекомендациях предполагается, что клиенты WSUS синхронизируются с сервером каждые восемь часов с 30 000 клиентами. Если они синхронизируются чаще, в нагрузке сервера будет соответствующее увеличение.

  • Обязательные обновления программного обеспечения:

    • Windows Server 2016, 2019 и 2022: накопительный пакет обновления 2023-02 или более поздней накопительной версии
    • Windows Server 2012 и 2012 R2: накопительный пакет обновления 2023-03 или более поздней накопительной версии
    • Если эти обновления не удается установить, можно вручную добавить необходимые типы MIME для UUP на сервер WSUS.

  • Требования к программному обеспечению:

  • Если вы устанавливаете роли или обновления программного обеспечения, которые требуют перезагрузки сервера по окончании установки, то перезагрузите сервер перед тем, как активировать роль сервера службы WSUS.

  • На сервере, где будет установлена роль сервера службы WSUS, должна быть установлена платформа Microsoft .NET Framework 4.0.

  • Подтвердите, что учетная запись, которую вы планируете использовать для установки службы WSUS, входит в группу локальных администраторов.

  • Чтобы оснастка администрирования WSUS отображалась корректно, учетная запись NT Authority\Network Service должна иметь разрешения на полный доступ к следующим папкам:

    • %windir%\Temp

    • %windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files

      Примечание.

      Данный путь может и не существовать до установки роли веб-сервера, которая содержит службы IIS.

Рекомендации по установке

Во время установки службы WSUS установят следующие элементы по умолчанию:

  • Командлеты .NET API и Windows PowerShell
  • Внутреннюю базу данных Windows (WID), которую использует служба WSUS
  • Службы, используемые службами WSUS, которые:
    • Обновление службы
    • Веб-служба отчетов
    • Веб-служба клиентов
    • Веб-служба простой веб-проверки подлинности
    • Служба синхронизации сервера
    • Веб-служба проверки подлинности DSS

Рекомендации по UUP

Начиная с 28 марта 2023 г. локальные устройства с Windows 11 версии 22H2 будут получать обновления качества с помощью единой платформы обновления (UUP). Локальная среда UUP взаимодействует с WSUS и Microsoft Configuration Manager. Обновление компонентов Windows 11 версии 22H2 будет обновляться ежемесячно, чтобы можно было легко развернуть последнюю сборку для клиентов. Обновления качества UUP по-прежнему являются накопительными и включают все выпущенные исправления качества и безопасности Windows. Хотя обновления UUP не могут быть удалены с помощью WSUS, клиенты, которые обновляются с помощью локальной службы UUP, получают следующие возможности:

  • Возможность конечным пользователям получать компоненты по запросу и языковые пакеты в средах WSUS или Configuration Manager.
  • Автоматическое восстановление повреждения
  • Свернутые размеры загрузки клиента обновления качества

Чтобы подготовиться к локальным обновлениям UUP, убедитесь, что выполнены следующие требования:

  • При локальном хранении содержимого для WSUS сервер WSUS загружает примерно 10 ГБ содержимого на каждую версию Windows и архитектуру процессора для каждой версии. Например, для x64 и arm64 для Windows 11 версии 22H2 скачиваются дополнительные 20 ГБ содержимого.

  • Установите одно из следующих обновлений на серверах WSUS или добавьте необходимые типы MIME для UUP на сервер WSUS:

    • Windows Server 2016, 2019 и 2022: накопительный пакет обновления 2023-02 или более поздней накопительной версии
    • Windows Server 2012 и 2012 R2: накопительный пакет обновления 2023-03 или более поздней накопительной версии

    Совет

    Если возникла Cannot add duplicate collection entry of type 'mimeMap' ошибка, ознакомьтесь с Советы устранения неполадок WSUS.

Вручную добавьте необходимые типы MIME для UUP

Для локального управления обновлениями с помощью UUP требуются два типа файлов. .msu.wim Типы MIME должны быть добавлены на серверы WSUS для поддержки локальной среды UUP. Если вы не можете обновить серверы WSUS, выполните следующие действия, чтобы вручную добавить необходимые типы файлов:

  1. Откройте Диспетчер Internet Information Services (IIS).
  2. Выберите имя сервера WSUS в области Подключение ions. Если имя сервера WSUS не отображается, выберите Подключение на сервер в меню "Файл", а затем введите имя сервера.
  3. В представлении "Функции" выберите типы MIME, а затем откройте функцию на панели "Действия".

    Внимание

    Убедитесь, что выбран сервер, а не сайт при добавлении типов MIME. Сайт WSUS Администратор istration должен наследовать запись типа MIME, а не локальную.

  4. Выберите " Добавить" в области "Действия " для типов MIME.
  5. Введите следующие сведения в окно типа Add MIME:
    • Расширение имени файла: .wim
    • Тип MIME: application/x-ms-wim
  6. Нажмите кнопку "ОК " после завершения добавления типа MIME.
  7. Добавьте другой тип MIME, нажав кнопку "Добавить еще раз", а затем введите следующие сведения:
    • Расширение имени файла: .msu
    • Тип MIME: application/octet-stream
  8. Нажмите кнопку "ОК ", когда вы завершите добавление типа MIME.

Рекомендации в отношении компонентов по требованию

Помните, что настройка клиентских компьютеров (включая серверы) для обновления с помощью служб WSUS приведет к следующим ограничениям.

  1. Роли сервера, у которых были удалены полезные данные с помощью компонентов по запросу, невозможно установить по запросу из Центра обновления Майкрософт. Потребуется указать источник установки во время установки таких ролей сервера или настроить источник для компонентов по требованию в групповой политике.

  2. Клиентские выпуски Windows не смогут устанавливать .NET 3.5 по запросу из Интернета. К .NET 3.5 применяются те же рекомендации, что и к ролям сервера.

    Примечание.

    Настройка источника установки компонентов по требованию не включает использование WSUS. Сведения о настройке компонентов см. в разделе Настройка компонентов по требованию в Windows Server.

  3. Корпоративные устройства под управлением Windows 10 версии 1709 или версии 1803 не могут устанавливать компоненты по запросу непосредственно из WSUS. Чтобы установить компоненты по требованию, создайте файл компонента (параллельное хранилище) или получите пакет такого компонента из одного из следующих источников:

    • Volume Licensing Service Center (VLSC), для доступа к которому требуется корпоративное лицензирование;

    • портал OEM, для доступа к которому требуются права OEM-поставщика;

    • Центр загрузки MSDN, для которого требуется действующая подписка MSDN.

      Полученные отдельно пакеты с компонентами по требованию можно установить с помощью параметров командной строки системы DISM.

Требования к базе данных службы WSUS

Для службы WSUS требуется одна из перечисленных ниже баз данных.

WSUS поддерживает следующие выпуски SQL Server:

  • Стандартные
  • Функции корпоративного уровня
  • Express

Примечание.

Размер базы данных SQL Server Express 2008 R2 ограничен десятью гигабайтами. Базы данных такого размера будет достаточно для служб WSUS, хотя значительного выигрыша при использовании этой базы вместо внутренней базы данных Windows нет. Внутренней базе данных Windows (WID) требуется не менее 2 ГБ ОЗУ помимо стандартных системных требований для Windows Server.

Вы можете установить роль службы WSUS на компьютере, отдельном от компьютера-сервера базы данных. В данном случае вступают в силу следующие дополнительные критерии.

  1. Сервер базы данных не может быть настроен как контроллер домена.

  2. Сервер WSUS не может запускать службы удаленных рабочих столов.

  3. Сервер базы данных должен находиться в том же домене Active Directory, что и сервер службы WSUS, либо должен иметь отношение доверия с доменом Active Directory сервера WSUS.

  4. Сервер службы WSUS и сервер базы данных должны находиться в одном и том же часовом поясе, либо быть синхронизированными с одним и тем же источником времени в формате UTC (время по Гринвичу).

1.2. Выбор сценария развертывания службы WSUS

Данный раздел описывает основные функции всех развертываний службы WSUS. Используйте данный раздел для ознакомления с простым процессом развертывания на примере одиночного сервера службы WSUS. Дополнительно описываются более сложные сценарии, такие как иерархия сервера WSUS или сервер WSUS в изолированном сегменте сети.

Простое развертывание службы WSUS

Базовый процесс развертывания службы WSUS включает развертывание сервера в пределах корпоративного брандмауэра, который обслуживает клиентские компьютеры в частной интрасети. Для загрузки обновлений сервер WSUS подключается к центру обновления Майкрософт. Это называется синхронизация. Во время синхронизации WSUS определяет, появились ли новые обновления с момента последней синхронизации. Если это первая синхронизация WSUS, то все обновления становятся доступными для загрузки.

Примечание.

Начальная синхронизация может занять более часа. Все последующие синхронизации должны происходить значительно быстрее.

Для получения обновлений от Майкрософт сервер WSUS по умолчанию использует порт 80 для протокола HTTP и порт 443 для протокола HTTPS. Если между сетью и Интернетом существует корпоративный брандмауэр, необходимо открыть эти порты на сервере, который взаимодействует непосредственно с Центром обновления Майкрософт. Если вы планируете использовать пользовательские порты для этого взаимодействия, необходимо вместо этого открыть эти порты. Вы можете настроить несколько серверов WSUS так, чтобы они синхронизировались с родительским WSUS-сервером. Для передачи обновлений на клиентские рабочие станции сервер WSUS по умолчанию использует порт 8530 для протокола HTTP и порт 8531 для протокола HTTPS.

Несколько серверов WSUS

Администраторы могут развернуть несколько серверов под управлением WSUS, которые синхронизируют все содержимое в интрасети организации. В Интернет можно предоставить только один сервер, который будет единственным скачивать обновления из Центра обновления Майкрософт. Этот сервер настраивается как вышестоящий сервер-источник, с которым синхронизируются подчиненные серверы. Там, где это возможно, серверы могут располагаться на всем протяжении территориально разнесенной сети, чтобы обеспечивать наилучшее качество подключения для всех клиентских компьютеров.

Отключенный WSUS-сервер

Если политика организации или другие условия ограничивают доступ компьютера в Интернет, администраторы могут настроить внутренний сервер, чтобы он запускал WSUS. Примером этого может служить сервер, подключенный к Интрасети, но изолированный от Интернета. После загрузки, тестирования и одобрения обновления на этом сервере администратор экспортирует метаданные и содержимое обновления на DVD-диск. Метаданные и содержимое обновления импортируются с DVD-диска на серверы, работающие с WSUS в Интрасети.

Иерархии серверов WSUS

Вы можете создавать сложные иерархии серверов WSUS. Вам необходимо иметь только один сервер WSUS, подключенный к Центру обновления Майкрософт, поскольку остальные серверы WSUS могут синхронизироваться между собой, а не с Центром обновления Майкрософт. При связывании серверов WSUS между собой есть серверы WSUS вышестоящий и подчиненный сервер WSUS. Развертывание иерархии сервера WSUS имеет следующие преимущества.

  • Вы можете загрузить обновления из Интернета один раз, а затем распространить их на клиентские компьютеры посредством подчиненных серверов. Данный метод сохраняет пропускную способность интернет-подключения в организации.

  • Обновления можно загружать на те серверы WSUS, которые физически находятся ближе к клиентским компьютерам, например в филиалах.

  • Можно настроить отдельные серверы WSUS для обслуживания клиентских компьютеров, использующих продукты корпорации Майкрософт на различных языках.

  • Можно развернуть WSUS в масштабе крупной организации, в которой клиентских компьютеров больше, чем то количество, которым может эффективно управлять один сервер WSUS.

Примечание.

Не рекомендуется создавать иерархию серверов WSUS глубиной более трех уровней. Каждый уровень увеличивает время распространения обновлений через подключенные серверы. Хотя теоретически иерархия не имеет границ, корпорация Майкрософт проводила тестирование развертывания лишь в иерархии глубиной в пять уровней.

Кроме того, подчиненные серверы должны иметь ту же или более раннюю версию WSUS, что и вышестоящий источник синхронизации.

Можно подключить серверы WSUS в автономном режиме (чтобы достичь распределенного администрирования) или в режиме репликации (чтобы достичь централизованного администрирования). Вам не нужно развертывать иерархию серверов, использующую только один режим: можно развернуть решение WSUS, использующее автономные и реплика серверы WSUS.

Автономный режим

Автономный режим, также называемый распределенным администрированием, является параметром установки по умолчанию для WSUS. В автономном режиме вышестоящий сервер WSUS делит обновления с подчиненными серверами при синхронизации. Подчиненные серверы WSUS администрируются отдельно, и они не получают сведения о состоянии утверждения обновления или группе компьютеров с сервера вышестоящий. С помощью модели распределенного управления администратор каждого сервера WSUS выбирает языки обновления, создает группы компьютеров, назначает компьютеры группам, тестирует и утверждает обновления, а также убеждается, что на соответствующие группы компьютеров установлены нужные обновления.

Режим реплики

Режим реплики, называемый также централизованным администрированием, предполагает, что вышестоящий сервер WSUS разделяет обновления, статус утверждения и группы компьютеров с подчиненными серверами. Серверы реплик наследуют утверждения обновлений и не администрируются отдельно от сервера WSUS вышестоящий.

Примечание.

Если вы настроили несколько серверов-реплик на подключение к одному вышестоящему серверу WSUS, то не назначайте запуск синхронизации на каждом из серверов-реплик в одно и то же время. Данная методика позволит избежать внезапных колебаний пропускной способности.

Филиалы

Для оптимизации развертывания службы WSUS можно использовать функцию "Филиал" в Windows. Данный тип развертывания предлагает следующие преимущества.

  1. Это помогает сократить использование канала глобальной сети и повысить скорость реагирования приложений. Чтобы активировать ускорение передачи содержимого BranchCache от сервера WSUS, установите компонент BranchCache на сервере и клиентах и убедитесь, что служба BranchCache запустилась. Другие действия не требуются.

  2. Функцию "Филиал" можно также использовать в филиалах, которые имеют подключение к центральному офису через канал с низкой пропускной способностью, а подключение к Интернету через канал с высокой пропускной способностью. В таком случае можно настроить подчиненные серверы WSUS так, чтобы они принимали информацию об обновлениях, которые надо установить, от центрального сервера WSUS, но загружали эти обновления из Центра обновления Майкрософт.

Балансировка сетевой нагрузки

Балансировка сетевой нагрузки (NLB) повышает надежность и производительность вашей сети на WSUS. Можно настроить несколько серверов WSUS, которые совместно используют один отказоустойчивый кластер под управлением SQL Server. При такой конфигурации необходимо использовать полную установку SQL Server , а не установку внутренней базы данных Windows, которая поставляется WSUS, при этом роль базы данных должна быть установлена на всех серверах WSUS переднего плана. Можно также сделать так, чтобы все серверы WSUS использовали распределенную файловую систему (DFS), чтобы хранить свое содержимое.

Настройка WSUS для балансировки сетевой нагрузки (NLB). По сравнению с настройкой WSUS 3.2 для NLB специальный вызов программы установки и параметры больше не требуются для настройки служб WSUS для NLB. Нужно лишь настроить каждый сервер WSUS, учитывая следующие рекомендации.

  • Службы WSUS необходимо настроить, используя базу данных SQL вместо WID.
  • Если обновления хранятся локально, к папке содержимого необходимо предоставить общий доступ для серверов WSUS, которые совместно используют одну базу данных SQL.
  • Установка служб WSUS должна выполняться последовательно. Задачи postinstall нельзя запускать на нескольких серверах одновременно при совместном использовании одной базы данных SQL.
  • Каждый внешний сервер WSUS должен запускать одну и ту же версию операционной системы, включая один и тот же накопительный уровень обновления.

Развертывание службы WSUS с роумингом клиентских компьютеров

Если в сети есть мобильные пользователи, которые выполняют вход в сеть из различных мест, можно настроить службы WSUS так, чтобы позволить пользователям в роуминге осуществлять обновление на своих клиентских компьютерах с ближайшего к ним географически сервера WSUS. Например, вы можете развернуть один сервер WSUS в каждом регионе и использовать разные подсети DNS для каждого региона. Все клиентские компьютеры можно направить на один сервер WSUS, который подключает каждую подсеть к ближайшему физически серверу WSUS.

1.3. Выбор стратегии хранения данных для службы WSUS

Службы Windows Server Update Services (WSUS) используют два типа систем хранения: базу данных для хранения настроек WSUS и метаданных обновлений, а также дополнительную локальную файловую систему, чтобы хранить файлы обновлений. Перед установкой WSUS необходимо решить, каким образом будет реализовано хранение данных.

Обновления состоят из двух частей: метаданные, которые описывают обновление, и файлы, которые необходимы для установки обновления. Метаданные обновления обычно гораздо меньше фактического обновления и хранятся в базе данных WSUS. Файлы обновлений хранятся на локальном сервере WSUS или на веб-сервере Центра обновления Майкрософт.

База данных службы WSUS

Для служб WSUS необходимо иметь по базе данных на каждом сервере WSUS. WSUS может поддерживать использование базы данных, которая находится не на сервере WSUS, а на другом компьютере, но при этом есть некоторые ограничения. Список поддерживаемых баз данных и ограничений для удаленных баз данных см. в разделе "1.1 Анализ исходных факторов и требований к системе" этого руководства.

База данных WSUS хранит следующую информацию.

  • Сведения о конфигурации сервера WSUS
  • Метаданные, описывающие обновление
  • Сведения о клиентских компьютерах, обновлениях и взаимодействиях

При установке нескольких серверов WSUS необходимо поддерживать отдельную базу данных для каждого сервера WSUS, будь то автономный или реплика сервер. Вы не можете хранить несколько баз данных WSUS в одном экземпляре SQL Server, за исключением кластеров балансировки нагрузки сети (NLB), использующих отработку отказа SQL Server.

SQL Server, SQL Server Express и внутренняя база данных Windows обеспечивают одинаковые характеристики производительности для конфигурации, в которой используется один сервер, а база данных и служба WSUS расположены на одном компьютере. Односерверная конфигурация может поддерживать несколько тысяч клиентских компьютеров, работающих с WSUS.

Примечание.

Не пытайтесь управлять службами WSUS через прямой доступ к базе данных. Прямые манипуляции в базе данных могут привести к ее повреждению. Такое повреждение может незаметно сразу, но помешает обновлению продукта до следующей версии. Управление WSUS можно осуществлять через консоль WSUS или программный интерфейс WSUS.

WSUS с внутренней базой данных Windows

По умолчанию мастер установки создает и использует внутреннюю базу данных Windows, которая называется SUSDB.mdf. Эта база данных находится в папке %windir%\wid\data\ , где %windir% — локальный диск, на котором установлено серверное программное обеспечение WSUS.

Примечание.

Внутренняя база данных Windows (WID) появилась в Windows Server 2008.

WSUS поддерживает проверку подлинности Windows только для базы данных. Невозможно использовать проверку подлинности SQL Server с WSUS. Если для базы данных WSUS используется внутренняя база данных Windows, то программа установки WSUS создает экземпляр SQL Server с названием server\Microsoft##WID, где server — это имя компьютера. С каждым параметром базы данных программа установки WSUS создает базу данных с названием SUSDB. Имя этой базы данных не настраивается.

Внутреннюю базу данных Windows рекомендуется использовать в следующих случаях.

  • Организация еще не приобрела и не требует продукта SQL Server для любого другого приложения.
  • Для организации не требуется решение NLB WSUS.
  • Предполагается развернуть несколько серверов WSUS (например, в филиалах). В этом случае следует использовать внутренняя база данных Windows на дополнительных серверах, даже если вы будете использовать SQL Server для корневого сервера WSUS. Так как для каждого сервера WSUS требуется отдельный экземпляр SQL Server, можно быстро столкнуться с проблемами производительности базы данных, если только один экземпляр SQL Server обрабатывает несколько серверов WSUS.

внутренняя база данных Windows не предоставляет пользовательский интерфейс или какие-либо средства управления базами данных. Если эта база данных будет выбрана для WSUS, то возникнет необходимость использования внешних инструментов управления базой данных. Дополнительные сведения см. в разделе:

Использование WSUS с SQL Server

Использование SQL Server совместно с WSUS рекомендуется в следующих случаях.

  1. Вам необходимо решение NLB WSUS.
  2. У вас уже установлен по крайней мере один экземпляр SQL Server.
  3. Вы не можете запустить службу SQL Server в локальной учетной записи, отличной от системы, или с помощью проверки подлинности SQL Server. Служба WSUS поддерживает только проверку подлинности Windows.

Хранение обновлений WSUS

Когда обновления синхронизируются на сервере WSUS, файлы метаданных и файлы обновлений хранятся в двух разных расположениях. Метаданные хранятся в базе данных WSUS. Файлы обновлений можно хранить на сервере WSUS или на серверах Центра обновления Майкрософт в зависимости от того, как вы настроили параметры синхронизации. Если вы решили хранить файлы обновлений на сервере WSUS, клиентские компьютеры будут загружать утвержденные обновления с локального сервера WSUS. В противном случае клиентские компьютеры будут загружать утвержденные обновления напрямую из Центра обновления Майкрософт. Наиболее оптимальный выбор для вашей организации будет зависеть от пропускной способности подключения к Интернету, пропускной способности интрасети, а также доступности локального хранилища.

Для каждого развернутого сервера WSUS можно выбрать различные решения для хранения обновлений.

Хранение данных на локальном сервере WSUS

Задание локального хранения файлов обновлений происходит по умолчанию при установке и настройке службы WSUS. Данный параметр позволяет экономить пропускную способность в корпоративном подключении к Интернету, поскольку клиентские компьютеры загружают обновления непосредственно с локального сервера WSUS.

Для этого параметра требуется, чтобы на сервере было достаточно места на диске для хранения всех необходимых обновлений. WSUS требуется как минимум 20 ГБ для локального хранения обновлений, но по результатам тестирования мы рекомендуем предоставить не менее 30 ГБ.

Удаленное хранение данных на серверах Центра обновления Майкрософт

Можно хранить обновления удаленно на серверах Центра обновления Майкрософт. Данная возможность полезна, поскольку большинство клиентских компьютеров подключаются к серверу WSUS через медленное WAN-подключение, а к Интернету они подключаются по каналам с высокой пропускной способностью.

В данном случае корневой сервер WSUS синхронизируется с Центром обновления Майкрософт и получает метаданные обновлений. После утверждения обновлений клиентские компьютеры загружают утвержденные обновления с серверов Центра обновления Майкрософт.

1.4. Выбор языков для обновления службы WSUS

При развертывании иерархии сервера WSUS следует определить, на каком языке необходимы обновления в организации. Необходимо настроить корневой сервер WSUS на загрузку обновлений на всех языках, которые используются в организации.

Например, главному офису необходимы обновления на английском и французском языках, в одном филиале необходимы обновления на английском, французском и немецком языках, а в другом — на английском и испанском. В данной ситуации необходимо настроить корневой сервер WSUS на загрузку обновлений на английском, французском, немецком и испанском языках. Затем надо настроить сервер WSUS первого филиала на загрузку обновлений только на английском, французском и немецком языках, а сервер второго филиала — на загрузку обновлений только на английском и испанском языках.

Страница Выбор языков мастера настройки WSUS позволяет получать обновления на всех языках или на какой-то определенной подгруппе языков. Выбор подмножества языков экономит место на диске, но важно выбрать все языки, необходимые для всех подчиненных серверов и клиентских компьютеров сервера WSUS.

Ниже приведены некоторые важные заметки о языке обновления, который следует учитывать перед настройкой этого параметра:

  • Всегда включайте английский язык в дополнение к другим языкам, используемым в вашей организации. Все обновления имеют в своей основе языковой пакет на английском языке.
  • Подчиненные серверы и клиентские компьютеры не получат все необходимые обновления, если вы не выбрали все необходимые языки для сервера вышестоящий. Убедитесь, что вы выбрали все языки, которые понадобятся на клиентских компьютерах, связанных со всеми подчиненными серверами.
  • Необходимо в основном загрузить обновления на всех языках на корневой сервер WSUS, который синхронизируется с Центром обновления Майкрософт. Данный выбор гарантирует, что все подчиненные серверы и клиентские компьютеры получат обновления на необходимых языках.

Если вы храните обновления локально, и вы настроили сервер WSUS для скачивания обновлений на ограниченном количестве языков, вы можете заметить, что обновления на языках, отличных от указанных вами. Многие файлы обновлений объединяются в пакет из нескольких различных языков, которые имеют в своем составе один из языков, указанных на сервере.

Вышестоящие серверы

Примечание.

Настройте вышестоящие серверы для синхронизации обновлений на всех языках, необходимых для подчиненных серверов-реплик. Пользователи не будут получать уведомления о необходимых обновлениях на несинхронизированных языках.

Обновления будут отображаться как неприменимые на клиентских компьютерах, требующих данный язык. Чтобы избежать этого, убедитесь, что все языки операционных систем включены в параметры синхронизации сервера WSUS. Чтобы просмотреть все языки операционных систем, перейдите в представление Компьютеры консоли администрирования WSUS и примените сортировку компьютеров по языку операционной системы. Однако может потребоваться включить несколько языков, если в нескольких языках есть приложения Майкрософт (например, если на некоторых компьютерах установлена французская версия Microsoft Word, использующую английскую версию Windows).)

Выбор языков для сервера вышестоящий не совпадает с выбором языков для нижнего сервера. Следующие процедуры поясняют различия.

Выбор языков обновлений для сервера, синхронизированного с Центром обновления Майкрософт

  1. В мастере настройки WSUS выполните следующие действия.

    • Чтобы получить обновления на всех языках, выберите "Скачать обновления" на всех языках, включая новые языки.
    • Чтобы получить обновления только для определенных языков, выберите "Скачать обновления только на этих языках", а затем выберите нужные языки.

Выбор языков обновлений для подчиненного сервера

  1. Если сервер вышестоящий настроен на скачивание файлов обновления в подмножестве языков: в мастере настройки WSUS выберите "Скачать обновления только на этих языках" (только языки, помеченные звездочкой, поддерживаются сервером вышестоящий), а затем выберите нужные языки.

    Примечание.

    Эту процедуру необходимо выполнить, даже если требуется загружать на подчиненном сервере те же языки, что и на вышестоящем сервере.

  2. Если сервер вышестоящий настроен для скачивания файлов обновлений на всех языках: в мастере настройки WSUS выберите "Скачать обновления на всех языках, поддерживаемых сервером вышестоящий".

    Примечание.

    Эту процедуру необходимо выполнить, даже если требуется загружать на подчиненном сервере те же языки, что и на вышестоящем сервере. Этот параметр задает загрузку вышестоящим сервером обновлений на всех языках, включая языки, которые первоначально не были настроены для вышестоящего сервера. При добавлении языков для вышестоящего сервера следует скопировать новые обновления на его серверы-реплики.

    Изменение параметров языка только на вышестоящем сервере может привести к несоответствию числа обновлений, утвержденных на центральном сервере, и числа обновлений, утвержденных на серверах-репликах.

1.5. Планирование относительно групп компьютеров службы WSUS

Служба WSUS позволяет направлять обновления на группы клиентских компьютеров, таким образом обеспечивается получение определенными компьютерами нужных обновлений в самое подходящее время. Например, если компьютеры в одном отделе (например, бухгалтерии) имеют особую конфигурацию, то можно настроить группу для данного отдела, определить, какие обновления нужны на их компьютерах и в какое время их нужно устанавливать, а затем использовать отчеты WSUS для оценки данных обновлений.

Примечание.

Если сервер WSUS работает в режиме реплика, группы компьютеров не могут быть созданы на этом сервере. Все группы компьютеров, которые необходимы для клиентских компьютеров сервера-реплики, должны быть созданы на корневом сервере WSUS иерархии серверов WSUS. Дополнительные сведения о режиме реплика см. в разделе "Запуск режима реплики WSUS".

Компьютеры всегда входят в группу Все компьютеры и остаются в группе Неназначенные компьютеры, пока вы не добавите их к другой группе. Компьютеры могут входить в несколько групп.

Можно создать иерархические группы компьютеров (например, создать группу "Зарплата" и группу "Расчеты с поставщиками" в группе "Бухгалтерия"). Обновления, одобренные для высшей группы, будут автоматически развернуты помимо высшей группы и в низшей группе. В данном примере после одобрения Обновление 1 для группы "Бухгалтерия" будет развернуто на всех компьютерах этой группы, всех компьютерах группы "Зарплата", а также на всех компьютерах группы "Расчеты с поставщиками".

Так как компьютеры могут быть назначены нескольким группам, для одного обновления можно утвердить несколько раз для одного компьютера. Тем не менее само обновление будет развернуто только один раз, а любые конфликты будут разрешены сервером WSUS. В продолжение предыдущего примера — если Компьютер А состоит в группах "Зарплата" и "Расчеты с поставщиками", а Обновление 1 одобрено для обеих групп, то оно будет развернуто только один раз.

Для добавления компьютеров в группы можно использовать один из двух методов: указание на стороне сервера и указание на стороне клиентов. Далее следуют определения для каждого из методов.

  • Указание на стороне сервера: один или несколько клиентских компьютеров добавляются вручную в несколько групп одновременно.
  • Указание на стороне клиента: для автоматического добавления клиентских компьютеров в ранее созданные группы используется групповая политика или изменяются настройки реестра клиентских компьютеров.

Разрешение конфликтов

Сервер применяет следующие правила для устранения конфликтов и определения результирующего действия на клиентах:

  1. Приоритет

  2. Установить/Удалить

  3. Крайний срок

Приоритет

Действия, связанные с группой наивысшего приоритета, переопределяют действия других групп. Чем глубже группа расположена в иерархии групп, тем выше ее приоритет. Приоритет назначается только на основании глубины. Все ветви обладают одинаковым приоритетом. Например, группа двумя уровнями ниже ветви "Настольные компьютеры" обладает более высоким приоритетом, чем группа, располагающаяся на один уровень ниже ветви "Сервер".

В следующем текстовом примере области иерархии консоли служб обновления для сервера WSUS с именем WSUS-01 в группу по умолчанию Все компьютеры были добавлены группы компьютеров с именами "Настольные компьютеры" и "Сервер". Группы "Настольные компьютеры" и "Сервер" находятся на одном и том же иерархическом уровне.

  • Службы обновления
    • WSUS-01
      • Обновления
      • Компьютеры
        • Все компьютеры
          • Неназначенные компьютеры
          • Настольные компьютеры
            • Настольные компьютеры-У1
              • Настольные компьютеры-У2
          • Серверы
            • Серверы-У1
      • Подчиненные серверы
      • Синхронизация
      • Отчеты
      • Параметры

В этом примере группа двумя уровнями ниже ветви "Настольные компьютеры" ("Настольные компьютеры-У2") обладает более высоким приоритетом, чем группа, располагающаяся на один уровень ниже ветви "Сервер" ("Серверы-У1"). Соответственно, для компьютера, являющегося членом сразу двух групп, "Настольные компьютеры-У2" и "Серверы-У1", все действия для группы "Настольные компьютеры-У2" обладают более высоким приоритетом по сравнению с действиями, определенными для группы "Серверы-У1".

Приоритет установки и удаления

Действия "Установить" переопределяют действия "Удалить". Обязательные установки переопределяют необязательные (последние доступны только через API; при изменении утверждения обновления через консоль администрирования WSUS все необязательные утверждения будут удалены.)

Приоритет крайних сроков

Действия, для которых установлен предельный срок, переопределяют действия без предельного срока. Действия с более ранним предельным сроком переопределяют действия с более поздним предельным сроком.

1.6. Рекомендации по планированию производительности службы WSUS

Перед тем как разворачивать WSUS, нужно тщательно продумать несколько моментов. Это поможет оптимизировать производительность. Ключевые моменты

  • Настройка сети
  • Отложенная загрузка
  • Фильтры
  • Установка
  • Развертывание крупных обновлений
  • Фоновая интеллектуальная служба передачи (BITS)

Настройка сети

Чтобы оптимизировать производительность в сетях WSUS, примите во внимание следующие советы.

  1. Для сетей WSUS предпочтительнее звездообразная топология, чем иерархическая.

  2. Используйте сетевую маску DNS, направленную на клиентские компьютеры в роуминге, настройте эти компьютеры так, чтобы они получали обновления с локального сервера WSUS.

Отложенная загрузка

Можно утверждать обновления и загружать метаданные обновлений перед загрузкой файлов обновлений. Данный метод называется отложенные загрузки. При отложении загрузки обновление загружается только после утверждения. Рекомендуется использовать отложенную загрузку, поскольку это оптимизирует пропускную способность сети и дисковое пространство.

В иерархии серверов WSUS служба WSUS автоматически настраивает подчиненные серверы использовать параметр отложенной загрузки корневого сервера WSUS. Данный параметр по умолчанию можно поменять. Например, можно настроить вышестоящий сервер на выполнение полной немедленной синхронизации, а затем настроить подчиненный сервер на отложенную загрузку.

При развертывании иерархии подключенных серверов WSUS рекомендуется не вложить серверы. Если включить отложенные загрузки и подчиненный сервер запрашивает обновление, которое не утверждено на сервере вышестоящий, запрос нижестоящего сервера принудительно загружается на сервере вышестоящий. Затем подчиненный сервер загружает обновление при последующей синхронизации. На глубоких уровнях иерархии серверов WSUS при запросе обновлений, их загрузке и прохождении через иерархию могут возникать задержки. По умолчанию отложенные загрузки активированы при локальном хранении обновлений. Данный параметр можно поменять вручную.

Фильтры

Служба WSUS позволяет фильтровать синхронизацию обновлений по таким признакам, как язык, продукт и класс. В иерархии серверов WSUS служба WSUS автоматически настраивает подчиненные серверы использовать параметры фильтрации обновлений, которые выбраны на корневом сервере WSUS. Серверы загрузок можно настроить на прием только подмножества языков.

По умолчанию продукты, которые должны обновляться — Windows и Office, а классами по умолчанию являются критические обновления, обновления группы безопасности и определений. Для сохранения пропускной способности и дискового пространства рекомендуется ограничить количество языков до действительно используемого.

Установка

Обновления обычно состоят из новых версий файлов, которые уже существуют на компьютере и обновление которых выполняется. На уровне двоичного кода эти существующие файлы могут и не сильно отличаться от обновленных версий. Функция экспресс-установки файлов определяет точное различие в байтах между версиями, создает и распространяет обновления, в которых учтены именно эти различия, а затем дополняет существующие файлы обновленными байтами.

Иногда эта функция называется разностной доставкой, так как она скачивает только те объекты, которые отличаются в двух версиях файлов. Файлы экспресс-установки имеют больший размер, чем обновления, которые распространяются на клиентские компьютеры, поскольку эти файлы содержат все возможные версии каждого обновляемого файла.

Файлы экспресс-установки можно использовать для ограничения пропускной способности, потребляемой в локальной сети, так как службы WSUS передают только изменившиеся данные, применимые к конкретной версии обновляемого компонента. Однако это достигается за счет дополнительной полосы пропускания между сервером WSUS, любыми вышестоящими серверами WSUS и Центром обновления Майкрософт и требует дополнительного дискового пространства. По умолчанию СЛУЖБЫ WSUS не используют файлы экспресс-установки.

Не все обновления подходят для распространения посредством файлов экспресс-установки. При выборе данного параметра вы получите файлы экспресс-установки для всех обновлений. Если вы не храните обновления локально, агент Обновл. Windows решит, следует ли скачать файлы экспресс-установки или дистрибутивы полнофайлового обновления.

Развертывание крупных обновлений

Чтобы избежать перегрузки сети при развертывании крупных обновлений (таких как пакеты обновлений), применяются следующие методики.

  1. Регулирование количества запросов фоновой интеллектуальной службы передачи (BITS). Ограничения пропускной способности BITS можно контролировать посредством истинного времени, но эти ограничения распространяются на все приложения, которые используют BITS. Сведения о том, как управлять регулированием BITS, см. в разделе Групповые политики.

  2. Регулирование количества запросов Internet Information Services (IIS) для ограничения количества запросов к одной или нескольким веб-службам.

  3. Использование групп компьютеров для контроля управления выгрузкой. Клиентский компьютер определяет себя членом отдельной группы компьютеров, когда отсылает сведения на сервер WSUS. Сервер WSUS использует данную информацию для определения тех обновлений, которые необходимо развернуть на этом компьютере. Можно настроить несколько групп компьютеров и последовательно утвердить загрузки крупных пакетов обновлений для подмножества этих групп.

Фоновая интеллектуальная служба передачи (BITS)

Для всех своих задач по передаче файлов служба WSUS использует протокол фоновой интеллектуальной службы передачи (BITS). Это включает в себя загрузки на клиентские компьютеры и синхронизацию серверов. BITS позволяет программам загружать файлы, используя запасную пропускную способность. BITS поддерживает передачу файлов во время отключения сети или перезагрузок компьютера. Дополнительные сведения см. в разделе Background Intelligent Transfer Service.

1.7. Планирование относительно параметров автоматического обновления

Можно задать предельный срок утверждения обновлений на сервере WSUS. Предельный срок побуждает клиентский компьютер устанавливать обновление в определенное время, но существует ряд различных ситуаций, зависящих от таких факторов как: истек ли предельный срок, есть ли другие обновления в очереди на установку, требует ли обновление (или другое обновление в очереди) перезагрузки компьютера.

По умолчанию автоматическое обновление опрашивает сервер WSUS на наличие утвержденных обновлений каждые 22 часа за вычетом случайной задержки. Если необходимо установить новые обновления, они скачиваются. Время между каждым циклом обнаружения можно менять от 1 до 22 часов.

С параметрами уведомлений можно производить следующие действия.

  1. Если автоматическое обновление настроено на уведомление пользователей об уже установленных обновлениях, то уведомление передается в журнал системы и область уведомлений клиентского компьютера.

  2. Когда пользователь с соответствующими учетными данными выбирает значок области уведомлений, автоматически Обновления отображает доступные обновления для установки. Пользователь должен выбрать "Установить" , чтобы начать установку. Если для окончания обновления требуется перезагрузить компьютер, то появляется сообщение. Если требуется перезагрузка, автоматическая Обновления не сможет обнаружить дополнительные обновления, пока компьютер не перезагрузится.

Если автоматическое обновление настроено устанавливать обновления по имеющемуся расписанию, то подходящие обновления загружаются и помечаются как готовые к установке. Автоматическое обновление уведомляет пользователей с соответствующими учетными данными с помощью значка области уведомлений, а событие заносится в журнал системы.

В назначенный день и время автоматическое обновление устанавливает обновление и перезагружает компьютер (по необходимости), даже если локальный администратор не вошел в систему. Если локальный администратор вошел в систему, а компьютеру требуется перезагрузка, автоматическое обновление выводит на экран предупреждение и обратный отсчет времени до перезагрузки. Иначе установка происходит в фоновом режиме.

Если компьютер необходимо перезагрузить, а в систему вошел какой-либо пользователь, то на экран выводится аналогичное диалоговое окно с обратным отсчетом времени, которое предупреждает пользователя о предстоящей перезагрузке. Управлять перезагрузками компьютера можно с помощью групповой политики.

После загрузки свежих обновлений автоматическое обновление запрашивает у сервера WSUS список утвержденных пакетов для подтверждения того, что срок действия пакетов, которые оно загрузило, не истек, а сами пакеты являются утвержденными. Это означает, что если администратор WSUS удалит обновления из списка утвержденных обновлений в ходе их загрузки автоматическим обновлением, то будут установлены лишь те обновления, которые до сих пор находятся в списке утвержденных.