Шаг 7: Одобрение и развертывание обновлений в WSUS 3.0

Пошаговое руководство по работе со
службами Microsoft Windows Server
Update Services 3.0
Корпорация Майкрософт (Microsoft Corporation)
Автор: Сьюзан Норвуд (Susan Norwood)
Редактор: Крейг Либендорфер (Craig Liebendorfer)
Аннотация
В данном документе содержатся пошаговые инструкции по началу работы с
Microsoft® Windows Server™ Update Services (WSUS) 3.0. В частности, в нем
приводятся указания по внедрению WSUS 3.0 в корпоративной сети, включая
установку WSUS 3.0, настройку WSUS 3.0 для получения обновлений, настройку
клиентских компьютеров для установки обновлений через WSUS 3.0, а также
одобрение обновлений, их распространение и управление ими. Службы WSUS 3.0
представляют собой многофункциональное решение для управления
обновлениями, но в данном руководстве описывается только один способ
выполнения каждой задачи.
Сведения, содержащиеся в данном документе, представляют позицию
корпорации Майкрософт по обсуждаемым вопросам на момент публикации.
Поскольку корпорация Майкрософт должна реагировать на изменение
конъюнктуры рынка, эти сведения не должны интерпретироваться как
обязательства со стороны корпорации Майкрософт, и корпорация Майкрософт
не может гарантировать точность любой представленной информации после
даты публикации.
Данный документ распространяется только с информационной целью.
КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАТИЙ, НИ
ЯВНЫХ, НИ ПОДРАЗУМЕВАЕМЫХ, В ОТНОШЕНИИ СВЕДЕНИЙ,
СОДЕРЖАЩИХСЯ В ДАННОМ ДОКУМЕНТЕ.
На пользователе лежит ответственность за соблюдение всех применимых в
данном случае законов об авторском праве. В рамках, предусмотренных
законами об авторских правах, никакая часть настоящего документа не может
быть воспроизведена, сохранена или представлена в какой-либо системе
хранения данных или передана в какой бы то ни было форме, какими бы то ни
было средствами (электронными, механическими, фотокопировальными,
записывающими или другими) и в каких бы то ни было целях без специального
письменного разрешения корпорации Майкрософт.
Корпорация Майкрософт может являться правообладателем патентов и
заявок, поданных на получение патента, товарных знаков и прочих объектов
авторского права, которые могут иметь отношение к содержанию данного
документа. Предоставление вам данного документа не означает передачи
какой-либо лицензии на использование данных патентов, товарных знаков и
объектов авторского права, за исключением использования, явно оговоренного в
лицензионном соглашении корпорации Майкрософт.
Если не оговорено обратное, названия организаций и изделий, доменные имена,
адреса электронной почты, эмблемы, а также имена, места и события,
используемые в качестве примеров, являются вымышленными и не имеют
никакого отношения к реально существующим организациям, изделиям,
доменным именам, адресам электронной почты, эмблемам, именам, местам и
событиям, а все возможные совпадения являются случайными.
© Корпорация Майкрософт (Microsoft Corp.), 2007. Все права защищены.
Microsoft, SQL Server, Windows и Windows Server являются охраняемыми
товарными знаками корпорации Майкрософт в США и других странах.
Содержание
Поэтапное знакомство со службами Microsoft Windows Server Update Services 3.0 ... 7
Шаг 1: Проверка выполнения требований для установки WSUS 3.0 ........................... 7
Требования и рекомендации по дисковому пространству ......................................... 8
Требования службы автоматического обновления .................................................... 8
Права доступа ................................................................................................................ 8
Шаг 2: Установка WSUS 3.0 на сервере .......................................................................... 9
Шаг 3: Настройка сетевого подключения для WSUS 3.0 ............................................. 13
Шаг 4: Выбор обновлений и настройка синхронизации ............................................... 17
Шаг 5: Настройка автоматического обновления .......................................................... 22
Шаг 6: Создание группы компьютеров для обновления .............................................. 25
Шаг 7: Одобрение и развертывание обновлений в WSUS 3.0.................................... 27
7
Поэтапное знакомство со службами
Microsoft Windows Server Update
Services 3.0
Службы Microsoft Windows Server Update Services (WSUS) 3.0 предлагают
всеобъемлющее решение для управления обновлениями в сети. Данный документ
содержит инструкции по проведению основных операций для развертывания WSUS
3.0 в сети. С помощью этого руководства вы сможете выполнить следующие
задачи:

Установка WSUS 3.0.

Настройка службы WSUS 3.0 для получения обновлений с сервера
Майкрософт.

Настройка клиентских компьютеров для установки обновлений из WSUS 3.0.

Одобрение, управление и распространение обновлений.
Службы WSUS 3.0 представляют собой решение для управления обновлениями,
обладающее богатыми функциональными возможностями, однако в данном
руководстве рассматривается только один способ выполнения каждой задачи. В
случаях, когда задачу можно решить различными путями, такие альтернативные
подходы отмечаются в обсуждении.
Примечание
Копию этого документа можно загрузить по адресу
http://go.microsoft.com/fwlink/?LinkId=71190.
Шаг 1: Проверка выполнения
требований для установки WSUS 3.0
В данном пособии разъясняется способ установки WSUS 3.0. Сведения о
требованиях к программному обеспечению и поддерживаемых платформах для
WSUS 3.0 см. в документе (http://go.microsoft.com/fwlink/?LinkId=71220) (возможно,
на английском языке).
8
Требования и рекомендации по дисковому
пространству
Для установки WSUS файловая система сервера должна соответствовать
следующим требованиям:

Системный раздел и раздел, предназначенный для установки WSUS 3.0,
должны быть отформатированы в файловой системе NTFS.

Для системного раздела требуется не менее 1 ГБ свободного места.

Необходимо не менее 20 ГБ свободного места на томе, где хранятся данные
WSUS; рекомендуется 30 ГБ.

Необходимо не менее 2 ГБ свободного места на томе, на который программа
установки WSUS устанавливает Внутренняя база данных Windows®.
Требования службы автоматического
обновления
Служба автоматического обновления представляет собой клиентский компонент
WSUS 3.0. Эта служба не имеет аппаратных требований, кроме необходимости
подключения к сети. Использование службы автоматического обновления с WSUS
3.0 возможно на любом компьютере, работающем под управлением следующих
операционных систем:

Windows Vista™.

Windows Server® Longhorn.

Microsoft Windows® Server 2003, все версии и пакеты обновления.

Microsoft Windows XP Professional с пакетами обновления SP1 и SP2 или без
них.

Microsoft Windows 2000 Professional Service Pack 4, Windows 2000 Server Service
Pack 4 или Windows 2000 Advanced Server Service Pack 4.
Права доступа
Следующие права доступа к дискам необходимо предоставить указанным
пользователям для конкретных каталогов:
9
1. Встроенная группа «Пользователи» или учетная запись NT Authority\Network
Service (для Windows Server 2003) должны иметь права на чтение для
корневого каталога диска, где размещается папка для хранения содержимого
WSUS. При отсутствии такого права загрузки с помощью службы BITS будут
невозможны.
2. Учетная запись NT Authority\Network Service должна иметь права на "Полный
доступ" к папке содержимого WSUS (обычно
<SystemDriver>:WSUS\WsusContent). Программа установки сервера WSUS
задает такие права при создании этой папки, однако их могут сбрасывать
некоторые пакеты обеспечения безопасности. При отсутствии такого права
загрузки с помощью службы BITS будут невозможны.
3. Для правильного отображения оснастки управления WSUS учетная запись NT
Authority\Network Service должна иметь права на "Полный доступ" к следующим
папкам:

%windir%\Microsoft .NET\Framework\v2.0.50727\Temporary ASP.NET Files

%windir%\Temp
Дополнительные сведения об установке разрешений см. в статье «Выполнение
команды DCPROMO приводит к сбросу разрешений для некоторых папок IIS» по
адресу http://go.microsoft.com/fwlink/?LinkID=76332.
Шаг 2: Установка WSUS 3.0 на сервере
Убедившись, что сервер удовлетворяет всем требованиям для установки, мы
готовы начать установку WSUS 3.0. На сервере, где планируется установить WSUS
3.0, необходимо войти в систему по учетной записи, входящей в локальную группу
администраторов. Установку WSUS 3.0 могут выполнять только члены этой группы.
В описанной ниже процедуре используются параметры установки WSUS, заданные
по умолчанию, включая установку Внутренняя база данных Windows в качестве
программы управления базами данных WSUS 3.0, локальное хранение обновлений
и использование веб-узла IIS по умолчанию на порту 80.
Чтобы установить WSUS 3.0
1. Дважды щелкните установочный файл WSUSSetup.exe.
2. На первой странице мастера установки нажмите кнопку Далее.
3. На странице Выбор режима установки щелкните вариант Полная установка
10
сервера, включая консоль администрирования, если вы хотите установить
сервер на данный компьютер, или вариант Только консоль
администрирования, если вам нужна только эта консоль.
4. На странице Лицензионное соглашение внимательно прочитайте условия
соглашения, выберите вариант Я принимаю условия лицензионного
соглашения и нажмите кнопку Далее.
5. На странице Выбор источника обновления можно указать источник
обновлений для клиентов. Если выбрать вариант Хранить обновления
локально, то обновления будут сохраняться на сервере WSUS 3.0, и в
файловой системе нужно указать папку для них. Если не хранить обновления
локально, то для получения утвержденных обновлений клиентские компьютеры
будут подключаться к веб-узлу Microsoft Update. Оставьте параметры, заданные
по умолчанию, и нажмите кнопку Далее.
11
6. На странице Параметры базы данных выберите программное обеспечение
для управления базой данных WSUS 3.0. По умолчанию программа установки
WSUS предлагает установить Внутренняя база данных Windows, если
программное обеспечение устанавливается на компьютер под
Windows Server 2003.
7. Если использование Внутренняя база данных Windows нежелательно,
необходимо указать экземпляр сервера SQL Server, который будет
использовать служба WSUS, выбрав пункт Существующий сервер баз
данных на этом компьютере и введя имя экземпляра в соответствующее
поле. Имя экземпляра необходимо указывать в следующем виде:
<serverName>\<instanceName>, где serverName — имя сервера, а instanceName
— имя экземпляра SQL. Сделайте свой выбор и нажмите кнопку Далее.
8. На странице Подключение к SQL-серверу WSUS попытается подключиться к
заданному экземпляру SQL Server. Когда подключение будет выполнено
успешно, нажмите кнопку Далее для продолжения.
12
9. На странице Выбор веб-узла можно указать веб-узел для использования
WSUS 3.0. Чтобы использовать веб-узел IIS по умолчанию на порту 80,
выберите первый вариант. Если на порту 80 уже работает другой веб-узел,
выберите второй вариант, чтобы создать альтернативный узел на порту 8530.
Оставьте параметры, заданные по умолчанию, и нажмите кнопку Далее.
10. На странице Все готово для установки Microsoft Windows Server Update
Services 3.0 просмотрите выбранные параметры и нажмите кнопку Далее.
11. Заключительная страница мастера установки сообщает, была ли установка
WSUS 3.0 завершена успешно. После нажатия кнопки Готово будет запущен
мастер настройки.
13
Шаг 3: Настройка сетевого
подключения для WSUS 3.0
После установки WSUS 3.0 автоматически запускается мастер настройки. Его также
можно запустить позже через страницу Параметры консоли WSUS 3.0.
Приступая к процессу настройки, необходимо ответить на следующие вопросы:
1. Разрешают ли настройки брандмауэра на сервере подключение клиентов к
нему?
2. Может ли данный компьютер подключаться к вышестоящему серверу (например,
Microsoft Update)?
3. Знаете ли вы имя прокси-сервера и учетные данные пользователя для доступа к
нему (если они необходимы)?
По умолчанию WSUS получает обновления с веб-узла Microsoft Update. Если в сети
используется прокси-сервер, WSUS необходимо настроить на работу через него.
Если сервер WSUS установлен за корпоративным брандмауэром, возможно,
понадобится настроить брандмауэр, чтобы сервер WSUS мог получать обновления.
Примечание
Хотя для загрузки обновлений с веб-узла Microsoft Update требуется
подключение к Интернету, WSUS позволяет импортировать обновления в
сети, не имеющие такого подключения.
Шаг 3 включает следующие действия:

Настройка брандмауэра.

Выбор источника обновлений для данного сервера (веб-узел Microsoft Update
или другой сервер WSUS).

Настройка параметров прокси-сервера для загрузки обновлений сервером
WSUS.
Чтобы настроить брандмауэр

Если сервер WSUS установлен за корпоративным брандмауэром,
возможно, понадобится настроить брандмауэр, чтобы сервер мог получать
обновления. При получении обновлений с веб-узла Microsoft Update сервер
WSUS использует порт 80 для подключения по протоколу HTTP и порт 443
для подключения по протоколу HTTPS. Эти параметры не настраиваются.
14

Если в организации не разрешен открытый доступ к этим портам для всех
адресов, можно ограничить доступ следующими доменами, чтобы сервер
WSUS и служба автоматического обновления могли подключаться к вебузлу Microsoft Update.

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com
Примечание
Описанные выше процедуры настройки брандмауэра относятся к
корпоративному брандмауэру, расположенному между сервером WSUS и
Интернетом. Поскольку WSUS всегда является инициатором передачи
данных по сети, настраивать брандмауэр Windows на сервере WSUS нет
необходимости.
Хотя для соединения между веб-узлом Microsoft Update и сервером WSUS
необходимо, чтобы порты 80 и 443 были открыты, несколько серверов WSUS
можно настроить на синхронизацию через произвольные порты.
Следующие две процедуры рассчитаны на использование мастера настройки.
Позднее вы узнаете, как запустить консоль администрирования WSUS и настроить
сервер с помощью страницы Параметры.
Чтобы выбрать источник обновлений для сервера
1. После присоединения к программе совершенствования Майкрософт
нажмите кнопку Далее, чтобы выбрать вышестоящий сервер.
2. Если выбрана синхронизация с узлом Microsoft Update, другие настройки на
этой странице не требуются. Нажмите кнопку Далее или выберите на
15
панели слева пункт Настройка прокси-сервера.
3. Если для синхронизации выбран другой сервер WSUS, укажите имя этого
сервера и порт, который данный сервер будет использовать для
взаимодействия с вышестоящим сервером.
4. Если необходимо использовать SSL, установите флажок Использовать
SSL при синхронизации данных об обновлениях. В этом случае серверы
будут использовать для синхронизации порт 443. (Необходимо убедиться в
том, что и этот сервер, и вышестоящий сервер поддерживают SSL.)
5. Если этот сервер является репликой, установите флажок Данный сервер
является репликой вышестоящего сервера.
6. На этом настройка параметров вышестоящего сервера закончена. Нажмите
кнопку Далее или выберите в левой панели страницу Настройка проксисервера.
Чтобы настроить параметры прокси-сервера
1. На странице Настройка прокси-сервера мастера настройки установите
флажок Использовать прокси-сервер при синхронизации и введите в
соответствующие поля имя прокси-сервера и номер порта (по умолчанию
порт 80).
2. Если необходимо подключаться к прокси-серверу с учетными данными
определенного пользователя, установите флажок Использовать учетные
данные пользователя для подключения к прокси-серверу и введите в
соответствующие поля имя пользователя, домен и пароль пользователя.
Если нужно включить обычную проверку подлинности пользователя при
подключении к прокси-серверу, установите флажок Обычная проверка
подлинности (пароль открытым текстом).
3. На этом настройка параметров прокси-сервера закончена. Нажмите кнопку
Далее для перехода к следующей странице, где задаются параметры
синхронизации.
Следующие две процедуры настройки рассчитаны на использование консоли
администрирования WSUS. Они показывают, как запустить консоль
администрирования WSUS и настроить сервер с помощью страницы Параметры.
Чтобы запустить консоль администрирования WSUS

Для запуска консоли администрирования WSUS нажмите кнопку Пуск и
выберите команды Программы, Администрирование, Microsoft Windows
16
Server Update Services 3.0.
Примечание
Чтобы получить полный доступ ко всем возможностям консоли WSUS,
пользователь должен входить в группу безопасности «Администраторы
WSUS» или в локальную группу безопасности «Администраторы» на
сервере WSUS. Тем не менее члены группы безопасности «Создатели
отчетов WSUS» могут получить доступ к консоли администрирования
только для просмотра данных.
Указание источника обновлений и прокси-сервера
1. В консоли WSUS щелкните пункт Параметры в левой панели под именем
данного сервера, а затем выберите Источник обновления и проксисервер в средней панели.
2. На экране появится диалоговое окно с вкладками Источник обновления и
Прокси-сервер.
3. На вкладке Источник обновления укажите, откуда сервер должен
получать обновления. Если выбрана синхронизация с узлом Microsoft
Update, другие настройки на этой странице не требуются.
4. Если выбрана синхронизация с другим сервером WSUS, необходимо
указать порт для связи между серверами (по умолчанию порт 80). Задавая
другой порт, следует убедиться, что его смогут использовать оба сервера.
5. Можно также указать, нужно ли использовать протокол SSL при
синхронизации с вышестоящим сервером WSUS. В этом случае для
синхронизации будет использоваться порт 443.
6. Если данный сервер должен работать как реплика второго сервера WSUS,
установите флажок Данный сервер является репликой вышестоящего.
В этом случае одобрение обновлений производится только на
вышестоящем сервере WSUS.
7. На вкладке Прокси-сервер установите флажок Использовать проксисервер при синхронизации и введите в соответствующие поля имя
прокси-сервера и номер порта (по умолчанию порт 80).
8. Если необходимо подключаться к прокси-серверу с учетными данными
определенного пользователя, установите флажок Использовать учетные
данные пользователя для подключения к прокси-серверу и введите в
соответствующие поля имя пользователя, домен и пароль пользователя.
Если требуется включить обычную проверку подлинности пользователя при
17
подключении к прокси-серверу, установите флажок Обычная проверка
подлинности (пароль открытым текстом).
9. Нажмите кнопку ОК, чтобы сохранить настройки.
Шаг 4: Выбор обновлений и настройка
синхронизации
Перед загрузкой обновлений необходимо определить, какие обновления следует
загружать. Данный раздел посвящен настройке набора обновлений для загрузки.
Шаг 4 включает следующие действия:

Сохранение и загрузка информации о вышестоящем сервере и прокси-сервере.

Выбор нужных языков обновлений.

Выбор продуктов, для которых необходимо получать обновления.

Выбор нужных классов обновлений.

Задание расписания синхронизации для сервера.
Следующие пять процедур демонстрируют настройку параметров обновлений с
помощью мастера настройки. Затем рассматривается выполнение такой настройки
путем задания конкретных параметров в консоли администрирования WSUS.
Сохранение и загрузка информации о вышестоящем сервере и проксисервере
1. Вы уже закончили настройку параметров вышестоящего сервера и проксисервера с помощью мастера настройки, так что сейчас должна быть
открыта страница Подключение к вышестоящему серверу.
2. Нажмите кнопку Начать подключение, чтобы сохранить и отправить
заданные параметры, а также получить информацию о доступных
обновлениях.
3. Во время подключения будет доступна кнопка Остановить подключение.
Если в ходе подключения возникнут проблемы, нажмите кнопку
Остановить подключение, исправьте ошибку и снова запустите
подключение.
18
4. После успешного завершения загрузки нажмите кнопку Далее, чтобы
перейти к странице Выбор языков, или выберите другу страницу в левой
панели.
Выбор языков обновления
1. Страница Выбор языков позволяет выбрать получение обновлений для
всех языков или только для определенного их подмножества. Выбор части
языков позволит сэкономить пространство на диске, однако важно, чтобы
были выбраны все языки, которые необходимы клиентам данного сервера
WSUS.
2. Если вы хотите получать обновления только для отдельных языков,
выберите вариант Загружать только обновления для следующих
языков и укажите нужные языки обновлений. Нажмите кнопку Далее для
перехода к странице Выбор продуктов или выберите другую страницу в
левой панели.
Выбор продуктов для обновления
1. Страница Выбор продуктов позволяет указать продукты, для которых
следует получать обновления.
2. Вы можете устанавливать флажки для нужных категорий продуктов
(например, Windows) или конкретных продуктов (например, Windows
Server 2003). При выборе категории автоматически выбираются все
входящие в нее продукты. Нажмите кнопку Далее для перехода к странице
Выбор классов или выберите другую страницу в левой панели.
Выбор классов обновлений
1. Страница Выбор классов позволяет указать классы обновлений, которые
необходимо получать. Вы можете выбрать все классы или определенное их
подмножество.
2. Нажмите кнопку Далее для перехода к странице Настройка расписания
синхронизации или выберите другую страницу в левой панели.
Настройка расписания синхронизации
1. Страница Настройка расписания синхронизации позволяет выбрать
проведение синхронизации вручную или автоматически.
2. Если для данного сервера задана синхронизация вручную, то
19
администратор каждый раз должен будет запускать процесс синхронизации
из консоли администрирования WSUS.
3. Когда задана автоматическая синхронизация, сервер WSUS будет сам
выполнять ее через определенные интервалы времени. В этом режиме
необходимо установить время первой синхронизации и общее число
операций синхронизации, которые сервер должен выполнять за день.
Например, если указать, что синхронизация должна выполняться четыре
раза в день, начиная с 3:00, синхронизация будет производиться в 3:00,
9:00, 15:00 и 21:00.
Закончив все рассмотренные шаги настройки, выберите в мастере настройки
страницу Завершено. Чтобы открыть консоль администрирования WSUS, оставьте
установленным флажок Запустить оснастку "Администрирование Windows
Server Update Services"; для выполнения первой синхронизации оставьте флажок
Начать первоначальную синхронизацию.
Примечание
Если внести изменения в конфигурацию, когда сервер выполняет
синхронизацию, то сохранить эти изменения будет невозможно. Чтобы
изменить какие-либо настройки, дождитесь окончания синхронизации.
20
Ниже объясняется, как можно выполнить рассмотренные операции настройки с
помощью страницы Параметры консоли администрирования WSUS:

Выбор продуктов и классов обновлений

Файлы и языки обновлений
Выбор продуктов и классов обновлений
1. Запуск консоли администрирования WSUS. Нажмите кнопку Пуск и
выберите Все программы, Администрирование, а затем Microsoft
Windows Server Update Services.
2. Выберите на левой панели узел Параметры для сервера WSUS.
3. На средней панели выберите Продукты и классы.
21
4. На экране появится диалоговое окно с двумя вкладками — Продукты и
Классы.
5. На вкладке Продукты отметьте категории продуктов или конкретные
продукты, для которых сервер должен получать обновления, либо выберите
вариант Все продукты.
6. На вкладке Классы выберите нужные классы обновлений либо вариант
Все классы.
7. Нажмите кнопку ОК, чтобы сохранить настройки.
Файлы и языки обновлений
1. На странице Параметры щелкните пункт Файлы и языки обновлений.
2. На экране появится диалоговое окно с двумя вкладками — Файлы
обновлений и Языки обновлений.
3. На вкладке Файлы обновлений можно указать, следует ли хранить файлы
обновлений на локальной системе или все клиентские компьютеры при
установке будут получать их с веб-узла Microsoft Update. Если выбрано
хранение файлов обновлений на данном сервере, можно задать, следует
ли загружать только уже одобренные обновления и нужно ли загружать
файлы экспресс-установки.
4. На вкладке Языки обновлений можно выбрать получение обновлений для
всех языков (по умолчанию) или только для заданного набора языков. Если
у данного сервера WSUS есть подчиненные серверы, они будут получать
обновления только для языков, заданных на вышестоящем сервере.
5. Нажмите кнопку ОК, чтобы сохранить настройки.
Когда настройка сетевого подключения закончена, можно загрузить обновления,
запустив синхронизацию сервера WSUS.
Синхронизация включает подключение сервера WSUS к веб-узлу Microsoft Update.
После подключения WSUS определяет, появились ли с момента последней
синхронизации новые обновления. Поскольку это первая синхронизация сервера
WSUS, все обновления доступны и готовы для одобрения установки. Для
первоначальной синхронизации может потребоваться довольно длительное время.
Примечание
В данном документе описывается синхронизация с использованием
параметров по умолчанию, но в WSUS предусмотрены параметры,
позволяющие сократить трафик во время синхронизации.
22
Чтобы синхронизировать сервер WSUS
1. В консоли администрирования WSUS выберите ветвь Синхронизация.
2. Щелкните элементы дерева или обратитесь к панели Действия в правой
части экрана, а затем выберите Синхронизировать сейчас.
Примечание
Если в правой части консоли нет панели Действия, необходимо нажать
кнопку Вид на панели инструментов консоли, выбрать Настроить и
убедиться, что флажок для панели Action установлен.
По окончании синхронизации на панели инструментов консоли WSUS выберите
Обновления, чтобы просмотреть список обновлений.
Шаг 5: Настройка автоматического
обновления
Для клиентских компьютеров со службами WSUS требуется совместимая версия
службы автоматического обновления. Программа установки WSUS автоматически
настраивает IIS на распространение новейшей версии службы автоматического
обновления для каждого клиентского компьютера, который соединяется с сервером
WSUS.
Оптимальный способ настройки службы автоматического обновления зависит от
сетевой среды. В среде Active Directory можно использовать объекты групповой
политики (GPO) для домена. Если служба каталогов Active Directory не развернута,
применяются объекты локальной групповой политики. Независимо от того,
используются ли объекты локальной групповой политики или объекты групповой
политики для домена, необходимо указать клиентскому компьютеру сервер WSUS,
а затем настроить службу автоматического обновления.
В дальнейших инструкциях предполагается, что в сети работает служба каталогов
Active Directory. Кроме того, предполагается, что администратор хорошо знаком с
групповыми политиками и применяет их для управления сетью. Необходимо
создать новый объект групповой политики (GPO) для параметров WSUS и связать
его с доменом.
Дополнительные сведения о групповых политиках см. на странице Tech Center
(http://go.microsoft.com/fwlink/?LinkID=47375) (возможно, на английском языке).
Шаг 5 включает следующие действия:
23

Загрузка административного шаблона WSUS.

Настройка автоматических обновлений.

Задание сервера WSUS для клиентских компьютеров.

Запуск обнаружения на сервере WSUS вручную
Первые три операции мы выполним с объектом групповой политики для домена.
Вам нужно создать новый объект групповой политики или модифицировать
существующий. Если вы используете для работы с такими объектами консоль
управления групповой политикой (GPMC), выберите в ней подходящий объект
групповой политики и нажмите кнопку Изменить.
Чтобы параметры политики для управления WSUS были доступны, необходимо
убедиться, что файл административного шаблона WSUS (wuau.adm) добавлен в
редактор объектов групповой политики. Этот файл по умолчанию устанавливается
с операционной системой и уже должен присутствовать в редакторе.
Чтобы добавить административный шаблон WSUS
1. В редакторе объектов групповой политики выберите любой из узлов
Административные шаблоны.
2. В меню Действие выберите команду Добавление и удаление шаблонов,
а затем нажмите кнопку Добавить.
3. В диалоговом окне Шаблоны политики щелкните файл wuau.adm и
выберите Открыть.
4. В диалоговом окне Добавление и удаление шаблонов нажмите кнопку
Закрыть.
Чтобы настроить автоматические обновления
1. В редакторе объектов групповой политики разверните узлы Конфигурация
компьютера, Административные шаблоны, Компоненты Windows и
выберите Windows Update.
2. В области сведений дважды щелкните компонент Настройка
автоматического обновления.
3. Установите режим Включено и выберите один из следующих вариантов:

Уведомлять перед загрузкой обновлений и уведомлять повторно
перед их установкой. Перед загрузкой и перед установкой обновлений
вошедшему в систему пользователю с правами администратора
24
выдается уведомление.

Загружать автоматически и уведомлять перед установкой. Загрузка
обновлений начинается автоматически, а перед их установкой
вошедшему в систему пользователю с правами администратора
выдается уведомление.

Загружать автоматически и устанавливать по заданному
расписанию. Если автоматическое обновление настроено на установку
по расписанию, необходимо также указать день и время для повторения
установки.

Разрешить локальному администратору выбирать режим. В этом
случае локальные администраторы могут выбирать необходимые
параметры в окне автоматического обновления на панели управления.
Например, они могут выбрать свое расписание для установки.
Локальным администраторам не разрешается отключать службу
автоматического обновления.
4. Нажмите кнопку ОК.
Примечание
Вариант Разрешить локальному администратору выбирать режим
появляется только в том случае, если служба автоматического
обновления сама была обновлена для обеспечения ее совместимости с
WSUS.
Чтобы задать сервер WSUS для клиентских компьютеров
1. В редакторе объектов групповой политики разверните узлы Конфигурация
компьютера, Административные шаблоны, Компоненты Windows и
выберите Windows Update.
2. В области сведений дважды щелкните значок Указать размещение
службы обновлений Майкрософт в интрасети.
3. Установите режим Включено и введите URL-адрес сервера WSUS в оба
поля Укажите службу обновлений в интрасети для поиска обновлений
и Укажите сервер статистики в интрасети. Например, введите в оба
текстовых поля http://имя_сервера и нажмите кнопку ОК.
Примечание
Если сервер WSUS для компьютера задан с помощью объекта локальной
групповой политики, то этот параметр немедленно вступит в силу, а сам
25
компьютер вскоре появится в административной консоли WSUS. Можно
ускорить процесс, запустив цикл обнаружения вручную.
Через несколько минут после настройки клиентского компьютера он появится на
странице Компьютеры в консоли WSUS. Если для настройки клиентских
компьютеров используются объекты групповой политики для доменов, то на это
потребуется около 20 минут с момента обновления службы групповой политики (то
есть вступления силу новых параметров на клиентском компьютере). По
умолчанию групповая политика обновляется в фоновом режиме через каждые 90
минут со случайным смещением от 0 до 30 минут. Если необходимо обновить
групповую политику быстрее, можно ввести в командной строке на клиентском
компьютере команду: gpupdate /force.
На клиентских компьютерах, настроенных с помощью локальных объектов
групповой политики, новые параметры политики вступают в силу немедленно, а
обновление занимает около 20 минут.
После применения групповой политики можно вручную запустить обнаружение. В
этом случае не нужно будет 20 минут ждать, чтобы клиентский компьютер
подключился к серверу WSUS.
Чтобы вручную запустить обнаружение сервером WSUS
1. На клиентском компьютере нажмите кнопку Пуск и выберите команду
Выполнить.
2. В поле Открыть введите cmd и нажмите кнопку ОК.
3. В командной строке введите wuauclt.exe /detectnow. Эта команда
заставляет службу автоматического обновления немедленно соединиться с
сервером WSUS.
Шаг 6: Создание группы компьютеров
для обновления
Группы компьютеров играют важную роль в среде WSUS даже при самых простых
вариантах развертывания. Такие группы позволяют направлять обновления на
конкретные компьютеры. По умолчанию заданы две группы компьютеров: «Все
компьютеры» и «Неназначенные компьютеры». При первом подключении каждого
26
клиентского компьютера к серверу WSUS он по умолчанию включается в обе эти
группы.
Администратор может создавать произвольные группы компьютеров. Одно из
преимуществ создания групп компьютеров заключается в том, что обновления
можно протестировать до их широкого развертывания. Если такое тестирование
прошло успешно, можно развернуть обновления в группе «Все компьютеры». Число
создаваемых групп компьютеров не ограничено.
Чтобы создать группу компьютеров
1. Необходимо указать, каким образом компьютеры будут назначаться в
группы. Есть два варианта: назначение со стороны сервера и назначение со
стороны клиента. При назначении со стороны сервера каждый из
компьютеров включается в нужные группы вручную с помощью консоли
администрирования WSUS. При назначении со стороны клиента происходит
автоматическое добавление клиентов на основе групповой политики или
параметров реестра.
2. Создание группы компьютеров на сервере WSUS.
3. Перемещение компьютеров в нужные группы с помощью способа,
выбранного на шаге 1.
В данном разделе объясняется, как использовать назначение со стороны сервера,
вручную перемещая компьютеры в группы с помощью консоли администрирования
WSUS. Если необходимо назначить в группы большое количество клиентских
компьютеров, можно использовать назначение со стороны клиента, что позволит
автоматизировать процесс перемещения компьютеров в группы компьютеров.
На шаге 6 можно создать тестовую группу, содержащую по крайней мере один
тестовый компьютер.
Шаг 6 включает следующие действия:

Создание новой группы компьютеров.

Добавление компьютера в группу компьютеров.
Чтобы создать новую группу компьютеров
1. В консоли администрирования WSUS раскройте ветвь Компьютеры и
выберите Все компьютеры.
2. Щелкните пункт Все компьютеры правой кнопкой мыши или обратитесь к
панели Действия и нажмите кнопку Добавить группу компьютеров.
27
3. Появится диалоговое окно Добавление группы компьютеров. Задайте
имя для новой группы.
Следующая процедура позволяет назначить клиентский компьютер в тестовую
группу. Для тестирования можно использовать любой компьютер с аппаратной и
программной конфигурацией, типичной для большинства компьютеров в сети, за
исключением компьютеров, выполняющих критические для организации функции.
Таким образом можно определить, насколько хорошо аналогичные компьютеры
будут работать с одобренными обновлениями.
Чтобы добавить компьютер в группу компьютеров
1. В консоли администрирования WSUS выберите ветвь Компьютеры.
2. Выберите группу компьютеров, содержащую компьютер, который
необходимо переместить.
3. В списке компьютеров выберите компьютер, который необходимо
переместить.
4. Щелкните компьютер правой кнопкой мыши и выберите Изменить
членство.
5. Откроется диалоговое окно Настройка членства в группах компьютеров
со списком групп.
6. Установите флажок для группы, в которую нужно переместить компьютер, и
нажмите кнопку ОК.
Шаг 7: Одобрение и развертывание
обновлений в WSUS 3.0
На этом этапе мы одобрим обновление для всех тестовых клиентских компьютеров,
входящих в группу «Тест». Эти компьютеры установят связь с сервером WSUS в
течение следующих 24 часов. По истечении этого срока можно будет проверить
отчеты WSUS, чтобы определить, были ли обновления развернуты на
компьютерах. Если тестирование пройдет успешно, эти обновления можно будет
одобрить для остальных компьютеров организации.
Шаг 7 включает следующие действия:
28

Одобрение и развертывание обновления.

Проверка состояния обновлений.
Чтобы одобрить и развернуть обновление
1. В консоли администрирования WSUS выберите ветвь Обновления. При
этом будет показана сводная информация об обновлениях для заданных по
умолчанию режимов просмотра (Все обновления, Критические
обновления, Обновления безопасности и Обновления WSUS). В данной
процедуре мы используем режим Все обновления.
2. В списке обновлений выберите обновления, установку которых необходимо
одобрить. Сведения о выбранном обновлении выводятся в самой нижней
части панели Обновления. Чтобы выбрать несколько обновлений подряд,
при щелчке в списке удерживайте нажатой клавишу SHIFT; чтобы выбрать
несколько обновлений в произвольном порядке, удерживайте нажатой
клавишу CTRL.
3. Щелкните выделенные обновления правой кнопкой мыши и выберите
Одобрить. Появится диалоговое окно Одобрение обновлений.
4. Выберите одну из групп(например, Тест) и щелкните значок стрелки слева
от нее. На экране появится контекстное меню с такими функциями, как
Одобрено для установки, Одобрено для удаления, Не одобрено,
Предельный срок, Как для родительской и Применить к дочерним.
Выберите вариант Одобрено для установки и нажмите кнопку ОК.
5. Откроется новое окно Ход одобрения, в котором отражается ход
выполнения различных операций, связанных с одобрением обновлений.
Когда процесс одобрения будет завершен, нажмите кнопку Закрыть, чтобы
закрыть это окно.
Примечание
С одобрением обновлений связано множество опций, например задание
предельного срока установки и удаление обновлений.
Через 24 часа можно будет с помощью отчетов WSUS определить, были ли
обновления развернуты на компьютерах.
Чтобы проверить состояние обновления
1. В консоли администрирования WSUS выберите узел Отчеты в левой
панели.
29
2. На странице Отчеты представлен ряд стандартных отчетов. Выберите
вариант Сводный отчет о состоянии обновлений. Появится окно Отчет
об обновлениях.
3. Если необходимо провести фильтрацию списка обновлений, задайте
необходимые критерии (например, Учитывать обновления в следующих
классах), а затем нажмите кнопку Выполнить отчет на панели
инструментов окна.
4. Откроется окно Отчет об обновлениях. Чтобы проверить состояние
отдельного обновления, выберите его в левой части панели. В последней
секции панели отчета отображается сводная информация о состоянии
обновления.
5. Этот отчет можно сохранить или распечатать, нажимая соответствующие
кнопки на панели инсттрументов.
Если обновления были успешно развернуты в группе «Тест», их можно одобрить
для остальных компьютеров в организации.