Развертывание обновлений Windows 10 с помощью служб Windows Server Update Services (WSUS)

Область применения

  • Windows 10

Ищете информацию для потребителей? См. статью Центр обновления Windows: вопросы и ответы

Важно!

Из-за изменений наименованиястарые условия, такие как CB и КББ, могут по-прежнему отображаться в некоторых наших продуктах, например в групповой политике или в реестре. Если вы столкнулись с этими условиями, "CB" обозначает Полукруговый канал (targeted), который больше не используется, а "КББ" — это Полукруговый канал.

WSUS– это роль Windows Server, доступная в операционной системе Windows Server. Это единый центр обновлений Windows в организации. Службы WSUS позволяют компаниям не только откладывать обновления, но и выборочно утверждать их, выбирать время доставки и определять, какие устройства или группы устройств получат эти обновления. Службы WSUS предоставляют дополнительный контроль над Центром обновления Windows для бизнеса, но не предоставляют все возможности планирования и гибкость развертывания, что и System Center Configuration Manager.

Если WSUS выбраны в качестве источника обновлений Windows, вы указываете серверу WSUS на клиентские устройства Windows10, требующие обновления, с помощью групповой политики. Отсюда обновления периодически загружаются на сервер WSUS, где с помощью консоли администрирования или групповой политики осуществляется утверждение, развертывание и управление ими, тем самым оптимизируя управление обновлениями в организации. Если вы в настоящее время используете WSUS для управления обновлениями Windows в своей среде, можно продолжить это и в Windows10.

Требования для обслуживания Windows10 с помощью служб WSUS

Чтобы иметь возможность использовать WSUS для управления обновлениями компонентов Windows 10, необходимо использовать поддерживаемую версию WSUS:

  • WSUS 10.0.14393 (роль в Windows Server 2016)
  • WSUS 10.0.17763 (роль в Windows Server 2019)
  • WSUS 6,2 и 6,3 (роль в Windows Server 2012 и Windows Server 2012 R2)
  • В WSUS 6,2 и 6,3 должны быть установлены обновления KB 3095113 и KB 3159706 (или аналогичное обновление).

Важно!

Статьи kb 3095113 и KB 3159706 включены в накопительный пакет обновления для системы безопасности , начиная с июля 2017. Это означает, что вы не увидите KB 3095113 и KB 3159706 как установленные обновления, так как они были установлены вместе с пакетом. Тем не менее, если вам нужно какое-либо из этих обновлений, мы рекомендуем установить накопительный пакет обновления для системы безопасности , выпущенный после выпуска 2017 октября , так как он содержит дополнительное обновление WSUS, которое позволяет уменьшить использование памяти на клиентвебсервице WSUS. Если вы синхронизируете одно из этих обновлений до выпуска ежемесячного сводного показателя для системы безопасности, могут возникнуть проблемы. Чтобы вернуться к обновлению, ознакомьтесь со сведениями об удалении обновлений в WSUS.

Масштабируемость WSUS

Чтобы использовать WSUS для управления всеми обновлениями Windows, некоторым организациям потребуется доступ к WSUS из сети периметра, либо придется реализовать какой-нибудь другой сложный сценарий. WSUS— это решение с широкими возможностями масштабирования и настройки для организаций любого масштаба, с любой структурой сайтов. Подробные сведения о масштабировании WSUS, включая конфигурацию восходящих и нисходящих серверов, офисы филиалов, балансировку нагрузки WSUS и другие сложные сценарии, см. в разделе Выбор типа развертывания WSUS.

Настройка автоматических обновлений и обновление расположения службы

При использовании WSUS для управления обновлениями на клиентских устройствах Windows начните с настройки параметров групповых политик Настройка автоматических обновлений и Размещение службы обновлений Майкрософт в интрасети в своей среде. Это заставляет затронутые клиенты обращаться к серверу WSUS, чтобы он мог осуществлять управление ими. Следующий процесс описывает, как задать эти параметры и развернуть их на всех устройствах домена.

Настройка параметров групповых политик "Настройка автоматических обновлений" и "Размещение службы обновлений Майкрософт в интрасети" в вашей среде

  1. Откройте консоль управления групповыми политиками (GPMC. msc).

  2. Разверните узел Форест\домаинс\Your_Domain * *.

  3. Щелкните правой кнопкой мыши Your_Domainи выберите команду создать объект групповой политики в этом домене и свяжите его.

    Пример пользовательского интерфейса

    Примечание

    В этом примере параметры групповых политик Настройка автоматического обновления и Размещение службы обновлений Майкрософт в интрасети указаны для всего домена. Это не является обязательным; эти параметры можно применить к любой группе безопасности, воспользовавшись фильтрами безопасности или указав конкретное подразделение.

  4. В диалоговом окне Создание объекта групповой политики присвойте новому объекту групповой политики имя WSUS— автоматические обновления и размещение службы обновлений Майкрософт в интрасети.

  5. Щелкните правой кнопкой мыши объект групповой политики WSUS— автоматические обновления и размещение службы обновлений Майкрософт в интрасети и выберите Изменить.

  6. В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows.

  7. Щелкните правой кнопкой мыши параметр Настройка автоматического обновления и выберите Изменить.

    Пример пользовательского интерфейса

  8. В диалоговом окне Настройка автоматических обновлений выберите Включить.

  9. В разделе Параметры в списке Настройка автоматических обновлений выберите 3 — авт. загрузка и уведом. об устан. и нажмите кнопку ОК.

    Пример пользовательского интерфейса

    Примечание

    Вы уже используете три других параметра для загрузки и обновления автоматических обновлений, а затем даты и времени установки. В данном случае этот параметр используется исключительно для примера. Другие примеры контроля автоматических обновлений и других связанных политик см. в разделе Настройка автоматических обновлений с использованием групповой политики.

  10. Щелкните правой кнопкой мыши параметр расположение службы центра обновления Майкрософт в интрасети, а затем выберите команду изменить.

  11. В диалоговом окне Указать размещение службы обновлений Майкрософт в интрасети выберите Включить.

  12. В разделе Параметрыв службе установка обновлений в интрасети, чтобы найти обновления и задать параметры сервера статистики в интрасети , http://Your_WSUS_Server_FQDN:PortNumber введите и нажмите кнопку ОК.

    Примечание

    URL-адрес http://CONTOSO-WSUS1.contoso.com:8530 на следующем рисунке приведен в качестве примера. В своей среде обязательно укажите имя сервера и номер порта для соответствующего экземпляра WSUS.

    Пример пользовательского интерфейса

    Примечание

    HTTP-порт по умолчанию для WSUS— 8530, а HTTPS-порт по умолчанию— 8531. (Другие варианты — 80 и 443; другие порты не поддерживаются.)

По мере того как клиенты Windows обновляют политики на своих компьютерах (по умолчанию групповая политика обновляется каждые 90 минут и при перезапуске), компьютеры начинают отображаться в WSUS. Теперь когда клиенты взаимодействуют с сервером WSUS, создайте группы компьютеров, соответствующие вашим кругам развертывания.

Создание групп компьютеров на консоли администрирования WSUS

Примечание

В следующих процедурах используются группы из таблицы 1 раздела Создание кругов развертывания для обновлений Windows10 в качестве примеров.

Группы компьютеров можно использовать, чтобы применить ту или иную политику к подмножеству устройств с определенными исправлениями и обновлениями компонентов. Эти группы представляют ваши круги развертывания, контролируемые WSUS. Эти группы можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Независимо от выбранного метода сначала нужно создать группы на консоли администрирования WSUS.

Создание групп компьютеров на консоли администрирования WSUS

  1. Откройте консоль администрирования WSUS.

  2. Перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры, а затем щелкните Добавить группу компьютеров.

    Пример пользовательского интерфейса

  3. Введите имя Круг 2— пилотная группа бизнес-пользователей и нажмите кнопку Добавить.

  4. Повторите эти действия для групп Круг 3— широкая группа ИТ-пользователей и Круг 4— широкая группа бизнес-пользователей. После этого в системе должно быть три группы кругов развертывания.

Создав группы, добавьте компьютеры в группы компьютеров, соответствующие нужным кругам развертывания. Для этого можно воспользоваться групповой политикой или выполнить это вручную с помощью консоли администрирования WSUS.

Использование консоли администрирования WSUS для заполнения кругов развертывания

Добавить компьютеры в группы компьютеров на консоли администрирования WSUS очень просто, но это может занять намного больше времени, чем при использовании групповой политики, особенно если нужно добавить много компьютеров. Добавление компьютеров в группы компьютеров на консоли администрирования WSUS называется указание на стороне сервера.

В этом примере компьютеры добавляются в группы компьютеров двумя способами: назначая неназначенные компьютеры вручную и выполняя поиск нескольких компьютеров.

Назначение неназначенных компьютеров группам вручную

Когда новые компьютеры обмениваются данными с WSUS, они отображаются в группе Неназначенные компьютеры. Для добавления компьютеров в нужные группы на этом этапе можно использовать следующую процедуру. В этих примерах для добавления компьютеров в группы компьютеров используются два ПК Windows10 (WIN10-PC1 и WIN10-PC2).

Назначение компьютеров вручную

  1. На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры\Неназначенные компьютеры.

    Здесь отображаются новые компьютеры, которые получили созданный в предыдущем разделе объект групповой политики и начали обмен данными с WSUS. В этом примере только два компьютера; в зависимости от масштабов развертывания политики компьютеров может быть намного больше.

  2. Выберите оба компьютера, щелкните выделение правой кнопкой мыши и выберите Изменить членство.

    Пример пользовательского интерфейса

  3. В диалоговом окне Настройка членства в группах компьютеров выберите круг развертывания Круг 2— пилотная группа бизнес-пользователей, а затем нажмите кнопку ОК.

    Так как они были назначены группе, эти компьютеры больше не относятся к группе Неназначенные компьютеры. Если выбрать группу компьютеров Круг 2— пилотная группа бизнес-пользователей, здесь отобразятся оба компьютера.

Поиск нескольких компьютеров для добавления в группы

Кроме того, чтобы добавить несколько компьютеров в круг развертывания на консоли администрирования WSUS, можно воспользоваться функцией поиска.

Поиск нескольких компьютеров

  1. На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры, щелкните правой кнопкой мыши Все компьютеры и нажмите Поиск.

  2. В поле поиска введите WIN10.

  3. В результатах поиска выберите компьютеры, щелкните выделение правой кнопкой мыши и выберите команду Изменить членство.

    Пример пользовательского интерфейса

  4. Выберите круг развертывания Круг 3— широкая группа ИТ-пользователей и нажмите кнопку ОК.

Теперь эти компьютеры отображаются в группе компьютеров Круг 3— широкая группа ИТ-пользователей.

Использование групповой политики для заполнения кругов развертывания

Консоль администрирования WSUS предоставляет удобный интерфейс для управления исправлениями и обновлениями компонентов Windows10. Если требуется добавить в соответствующий круг развертывания WSUS достаточно много компьютеров, выполнение этой операции вручную с использованием консоли администрирования WSUS может занять много времени. В таких случаях целесообразно использовать для выбора нужных компьютеров групповую политику, которая автоматически добавит их в нужный круг развертывания WSUS в зависимости от их группы безопасности Active Directory. Эта процедура называется указание на стороне клиента. Прежде чем включать в групповой политике указание на стороне клиента необходимо настроить принятие назначений компьютеров в WSUS с помощью групповой политики

Настройка WSUS для указания на стороне клиента с использованием групповой политики

  1. Откройте консоль администрирования WSUS и перейдите в раздел Имя_сервера\Параметры, а затем щелкните Компьютеры.

    Пример пользовательского интерфейса

  2. В диалоговом окне Компьютеры выберите Использовать групповую политику или параметры реестра на компьютерах, а затем нажмите кнопку ОК.

    Примечание

    Этот параметр можно задать только по принципу «или— или». Если вы включаете в WSUS использование групповой политики для назначения групп, вы больше не сможете вручную добавлять компьютеры на консоли администрирования WSUS до тех пор, пока не вернете первоначальные настройки.

Подготовив WSUS к указанию на стороне клиента, выполните следующие шаги, чтобы использовать групповую политику для настройки указания на стороне клиента.

Настройка указания на стороне клиента

Совет

При использовании указания на стороне клиента целесообразно присвоить группам безопасности те же имена, что и кругам развертывания. Это упрощает процесс создания политики и позволяет избежать ошибок при добавлении компьютеров в круги.

  1. Откройте консоль управления групповыми политиками (GPMC. msc).

  2. Разверните узел Лес\Домены\ваш_домен.

  3. Щелкните правой кнопкой мыши Ваш домен и выберите Создать объект групповой политики в этом домене и связать его.

  4. В диалоговом окне Новый объект групповой политики введите WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей (имя нового объекта групповой политики).

  5. Щелкните правой кнопкой мыши объект групповой политики WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей и нажмите Изменить.

    Пример пользовательского интерфейса

  6. В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows.

  7. Щелкните правой кнопкой мыши Включить указание на стороне клиента и выберите Изменить.

  8. В диалоговом окне Включение указания на стороне клиента выберите Включить.

  9. В поле Имя целевой группы для данного компьютера введите Круг 4— широкая группа бизнес-пользователей. Это имя круга развертывания в WSUS, в который будут добавлены эти компьютеры.

    Пример пользовательского интерфейса

Предупреждение

Имя целевой группы должно совпадать с именем группы компьютера.

  1. Закройте редактор управления групповыми политиками.

Теперь все готово для развертывания этого объекта групповой политики в соответствующей группе безопасности компьютера для круга развертывания Круг 4— широкая группа бизнес-пользователей.

Указание группы в качестве области действия объекта групповой политики

  1. На консоли управления групповыми политиками выберите политику WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей.

  2. Перейдите на вкладку Область.

  3. В разделе Фильтры безопасности удалите группу безопасности по умолчанию ПРОШЕДШИЕ ПРОВЕРКУ, а затем добавьте группу Круг 4— широкая группа бизнес-пользователей.

    Пример пользовательского интерфейса

В следующий раз когда клиенты в группе безопасности Круг 4— широкая группа бизнес-пользователей получат свою политику компьютера и обратятся в WSUS, они будут добавлены в круг развертывания Круг 4— широкая группа бизнес-пользователей.

Автоматическое утверждение и развертывание обновлений компонентов

Если для каких-либо клиентов необходимо утверждать обновления компонентов, как только они становятся доступны, в WSUS можно настроить правила автоматического утверждения.

Примечание

WSUS учитывает филиал обслуживания клиентского устройства. Если обновление компонентов утверждено в одной ветви, например в предварительной версии программы предварительной оценки, WSUS установит обновление только на устройствах, которые находятся в этой служебной ветви. Если корпорация Майкрософт выпускает сборку на полугодовой канал, она будет установлена на устройствах, находясь на этом канале. Параметры ветви Windows Update для бизнеса не применяются к обновлениям компонентов в WSUS.

Настройка правила автоматического утверждения для обновлений компонентов Windows10 и утверждение их для круга развертывания "Круг 3— широкая группа ИТ-пользователей"

  1. На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Параметры и выберите Автоматические утверждения.

  2. На вкладке Правила обновления щелкните Создать правило.

  3. В диалоговом окне Добавление правила установите флажки Когда обновление затрагивает конкретный класс, Когда обновление затрагивает конкретный продукт и Установить крайний срок для утверждения.

    Пример пользовательского интерфейса

  4. В области Изменить свойства щелкните любая классификация. Снимите все флажки, кроме Обновления, и нажмите кнопку ОК.

  5. В области Изменить свойства щелкните ссылку любой продукт. Снимите все флажки, кроме Windows10, а затем нажмите кнопку ОК.

    Windows10 находится в разделе Все продукты\Microsoft\Windows.

  6. В области Изменить свойства щелкните ссылку Все компьютеры. Снимите все флажки для этой группы компьютеров, кроме Круг 3— широкая группа ИТ-пользователейи нажмите кнопку ОК.

  7. Оставьте заданный срок: 7 дней после утверждения в 3:00.

  8. В поле Шаг 3. Укажите имя введите Автоматическое утверждение обновлений Windows10 для Круга 3— широкая группа ИТ-пользователей и нажмите кнопку ОК.

    Пример пользовательского интерфейса

  9. В диалоговом окне Автоматические утверждения нажмите кнопку ОК.

    Примечание

    В WSUS не учитывается ни один из существующих параметровденежных периодов/недель/дней. То есть если вы используете Центр обновления Windows для бизнеса на компьютере, обновления для которого контролируются WSUS, то когда WSUS утверждают обновление, оно будет установлено на компьютере независимо от настроенной с помощью групповой политики задержки.

Всякий раз когда обновления компонентов Windows10 публикуются в WSUS, они автоматически утверждаются для круга развертывания Круг 3— широкая группа ИТ-пользователей со сроком установки 1 неделя.

Предупреждение

Правило автоматического утверждения выполняется после синхронизации. Это означает, что следующее обновление для каждой версии Windows 10 будет утверждено. Если выбрать команду выполнить, все возможные обновления, удовлетворяющие критерию, будут утверждены, потенциально включая старые обновления, которые вам не нужны. это может стать проблемой, если размер загружаемых данных слишком велик.

Утверждение и развертывание обновлений компонентов вручную

Можно вручную утвердить обновления и установить сроки для установки на консоли администрирования WSUS. Возможно, вам будет лучше утвердить правила обновления вручную после того, как вы обновите пилотное развертывание.

Чтобы упростить процедуру утверждения вручную, для начала создайте представление обновлений программного обеспечения, которое содержит только обновления Windows 10.

Утверждение и развертывание обновлений компонентов вручную

  1. На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Обновления. В области Действие выберите Новый режим просмотра обновлений.

  2. В диалоговом окне Добавление режима просмотра обновлений выберите Обновления принадлежат конкретному классу и Обновления предназначены для конкретного продукта.

  3. В разделе Шаг 2. Измените свойства щелкните любая классификация. Снимите все флажки, кроме Обновления, а затем нажмите кнопку ОК.

  4. В разделе Шаг 2. Измените свойства щелкните любой продукт. Снимите все флажки, кроме Windows10, а затем нажмите кнопку ОК.

    Windows10 находится в разделе Все продукты\Microsoft\Windows.

  5. В поле Шаг 3. Укажите имя введите Все обновления Windows10 и нажмите кнопку ОК.

    Пример пользовательского интерфейса

Теперь, когда у вас есть все обновления для Windows 10 , выполните описанные ниже действия, чтобы вручную утвердить обновление для многозадачного круга пользователей с большим объемом звонков.

  1. На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Обновления\Все обновления Windows10.

  2. Щелкните правой кнопкой мыши обновление компонента, которое требуется развернуть, и нажмите Утвердить.

    Пример пользовательского интерфейса

  3. В диалоговом окне Утверждение обновлений в списке Круг 4— широкая группа бизнес-пользователей выберите Утверждено для установки.

    Пример пользовательского интерфейса

  4. В диалоговом окне Утверждение обновлений в списке Круг 4— широкая группа бизнес-пользователей выберите Срок, щелкните Неделя и нажмите кнопку ОК.

    Пример пользовательского интерфейса

  5. Если откроется диалоговое окно Лицензионное соглашение на использование программного обеспечения корпорации Майкрософт нажмите кнопку Принять.

    Если развертывание завершено успешно, вы получите отчет об успешном выполнении операции.

    Пример пользовательского интерфейса

  6. В диалоговом окне Ход утверждения щелкните Закрыть.


Действия по управлению обновлениями для Windows 10

сделано Знакомство с типами обновлений и каналов обслуживания
сделано Подготовка стратегии обслуживания для обновлений Windows 10
завершено Построение кругов развертывания для обновлений Windows 10
сделано Назначение устройств каналам обслуживания для обновлений Windows 10
сделано Оптимизация доставки для обновлений Windows 10
сделано Развертывание обновлений с помощью Центра обновления Windows для бизнеса
или Развертывание обновлений Windows 10 с помощью служб Windows Server Update Services (в этой статье)
или Развертывание обновлений Windows 10 с помощью System Center Configuration Manager

Еще по теме