Развертывание обновлений клиента windows с помощью служб windows server update services (wsus)

Как устранить неполадки служб windows server update services (wsus)

Возможные проблемы и способы их решения

Как и любая служба Windows, «Центр обновления» подвержен некоторым неполадкам и ошибкам. Возникать они могут как из-за человеческого фактора (изменение некоторых настроек, отключение служб для экономии оперативной памяти), так и по программным причинам (повреждение системных файлов вирусами, неполадки оборудования). Рассмотрим проблемы, которые можно устранить программными средствами.

Решение проблем с помощью службы «Устранение неполадок» в Windows 10

Начинать исправление ошибок с ЦО нужно со службы «Устранение неполадок». Это простой системный инструмент для решения небольших ошибок.

Ошибка Service Registration is Missing or Corrupt

Ошибка типа Service Registration is Missing or Corrupt означает неполадки в работе одной из служб, которые отвечают за обновление системы. Исправить неполадку можно несколькими способами, в зависимости от того, какого рода проблема вызвала аварийный код.

Ошибка Service Registration is Missing or Corrupt возникает при попытке обновить операционную систему

Первым делом необходимо проверить компьютер на наличие вирусов. Используем для этого не меньше двух программ от разных разработчиков. Это увеличит шанс обнаружения вредоносного кода и исправления ситуации.

Если вирусы будут обнаружены, придётся восстанавливать системные файлы. Для этого необходимо воспользоваться терминалом «Командной строки»:

  1. Нажимаем комбинацию клавиш Win + R, вводим CMD и кликаем «OK» или Enter.
  2. В открывшемся терминале вводим команду sfc /scannow и запускаем её в работу клавишей Enter.
  3. Ожидаем, пока утилита закончит свою работу. Затем перезагружаем компьютер.

Когда я сталкивался с этой ошибкой, причиной её возникновения была отключенная или условно отключенная служба обновления Windows. Очень часто виной отключения становились программы, обещающие сделать компьютер более производительным, или личная невнимательность при деактивации действительно лишних служб.

Далее проверяем тип запуска необходимых служб:

  1. Нажимаем комбинацию клавиш Win + R, вводим services.msc в соответствующее поле и нажимаем «OK».
  2. В открывшемся окне двойным щелчком кликаем по службе «Центр обновления Windows» (Windows Update, если установлена английская версия ОС).
  3. Откроется окно свойств, в нём меняем тип запуска на «Автоматически», затем подтверждаем изменение кнопкой «OK».
  4. Повторяем операцию для службы «Фоновая интеллектуальная служба передачи» (Background Intelligent Transfery System). Перезагружаем компьютер, чтобы изменения вступили в силу.

Видео: как проверить целостность системных файлов в Windows 10

Перезагрузка компьютера «Центром обновления» в Windows 10

Установка обновлений может стать целой проблемой для определённого кластера пользователей, работающих с компьютером до поздней ночи. Внезапная перезагрузка может привести к потере важных пользовательских данных.

Чтобы решить эту проблему, нужно изменить настройки ЦО:

  1. Открываем «Центр обновления» Windows. Как это сделать, описано выше. Нажимаем кнопку «Параметры перезапуска».
  2. Переводим тумблер в положение «Откл», после чего закрываем «Параметры» и перезагружаем компьютер.

Не все версии операционной системы «насильно» перезагружают компьютер ради установки обновлений. Используя Windows 10 LTSB уже три года, ни разу не сталкивался с подобной проблемой, хотя стабильно загружаю все апгрейды ОС. На Win10 Pro также не возникало никаких проблем, система просила перезагрузить компьютер, но никогда не делала этого сама. Потому лично мой совет: просто устанавливайте обновления по мере их скачивания. Потратив на это 10–15 минут, вы много времени не потеряете, зато компьютер всегда будет в актуальном состоянии и защищён от внешних угроз.

Проблема с кэшем и старыми обновлениями

Так называемая проблема с кэшем обновлений нередко сопровождает неполадки на винчестере или возникает в случае разрыва связи при скачивании обновлений, что нарушает целостность структуры загружаемых файлов. Решение простое: необходимо удалить повреждённые файлы и повторить загрузку обновлений «с чистого листа»:

  1. Любым файловым менеджером («Проводник», Total Commander и др.) переходим в папку C:\Windows\SoftwareDistribution\Download.
  2. Выделяем все файлы каталога и удаляем их.
  3. После перезагружаем компьютер и повторяем загрузку обновлений.

Обычно рекомендуется перед удалением кэша выключать службу обновления. Однако опыт показывает, что это лишние действия, так как файлы удаляются без проблем.

Виды

Все же перед тем, как отключить обновление Windows 7, подумайте, действительно ли это нужно. Помимо деактивации службы, её можно перевести в следующие режимы работы.

  1. Полностью автоматический – операции протекают без вмешательства пользователя, лишь уведомляя последнего о завершении установки пакетов.
  2. Поиск и загрузка свежих исправлений по расписанию, а инсталляцию пакетов осуществляет пользователь.
  3. Автоматическая проверка с уведомлением пользователя о наличии обновлений.
  4. Самообновление выключено. Всё осуществляется в ручном режиме.

Параметры выбираются в компоненте «Центр обновлений».

Установка роли WSUS на Windows Server 2012 R2 / 2016

Еще в Windows Server 2008 сервис WSUS был выделен в отдельную роль, которую можно было установить через консоль управления сервером. В Windows Server 2012 / R2 этот момент не поменялся. Откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).

Отметьте опцию WSUS Services, далее необходимо выбрать тип базы данных, которую будет использовать WSUS.

В Windows Server 2012 R2 поддерживаются следующие типы SQL баз данных для WSUS сервера:

Соответственно вы можете использовать встроенную базу данных Windows WID (Windows Internal database), которая является бесплатной и не требует дополнительного лицензирования. Либо вы можете использовать выделенную локальная или удаленную (на другом сервере) базу данных на SQL Server для хранения данных WSUS.

База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_name\Microsoft##WID. В базе данных WSUS хранятся настройки сервера обновлений, метаданные обновлений и сведения о клиентах сервера WSUS.

Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:

Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения \\.\pipe\MICROSOFT##WID\tsql\query.

Отметим, что в бесплатных редакциях SQL Server 2008/2012 Express имеет ограничение на максимальный размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2500 клиентов – около 3 Гб). Ограничение Windows Internal Database – 524 Гб.

В случае, установки роли WSUS и сервера БД на разных серверах, существует ряд ограничений:

Если вы планируете использовать встроенную базу данных (это вполне рекомендуемый и работоспособный вариант даже для больших инфраструктур), отметьте опцию WID Database.

Затем нужно указать каталог, в котором будут храниться файлы обновлений (рекомендуется, чтобы на выбранном диске было как минимум 10 Гб свободного места).

В том случае, если ранее было выбрано использование отдельной выделенной БД SQL, необходимо указать имя сервера СУБД, инстанса БД и проверить подключение.

Далее запустится установка роли WSUS и всех необходимых компонентов, после окончания которых запустите консоль управления WSUS в консоли Server Manager.

Вы также можете установить сервер WSUS со внутренней базой данных с помощью следующей команды PowerShell:

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy
.

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer
Configuration
-> Policies
-> Administrative
templates
-> Windows
Component
-> Windows
Update
(Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью ) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

Примечание
. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows
Update
и задать подходящие для вашей инфраструктуры и организации параметры.

Перенос базы WSUS на другой диск

Оказывается это достаточно простая задача:

  • Создаем папку WSUS там, куда вы хотите перенести файлы обновлений. Например я создал папку на диске F: — F:\Wsus\
  • Запускаем командную строку под правами администратора
  • Переходим в папку с утилитой wsusutil командой:
cd C:\Program Files\Update Services\Tools

Запускаем команду, которая начнет перенос файлов обновлений:

wsusutil.exe movecontent F:\WSUS F:\WSUS\wsus.log

Если Вы не хотите чтобы перемещались сами файлы обновлений (не хотите ждать пока они скопируются) тогда добавляем -skipcopy:

wsusutil.exe movecontent F:\WSUS F:\WSUS\wsus.log -skipcopy

Где «F:\WSUS\wsus.log» — расположение лог-файла процесса переноса. Когда перенос закончится удаляем по старому адресу папки WSUS (кроме UpdateServicesDbFiles). У меня файлы обновлений WSUS хранились по адресу D:\WSUS. В этой папке есть три подпапки:

  • UpdateServicesDbFiles — эту папку НЕ удаляем, она не переносится вышеописанной командой. В ней хранятся файлы баз данных которые содержат информацию о компьютерах, обновлениях, их статусах и настройках WSUS-сервера. Как раз то, что нужно включать в резервную копию
  • WsusContent — удаляем, она переносится. Именно эта папка самая большая, в ней хранятся все скачанные обновления вашим WSUS-сервером. Эту папку не обязательно включать в бекап. В случае утери папки нужно выполнить команду «wsusutil.exe reset», это запустит процес проверки соответствия обновлений в базе данных обновлениям на жестком диске. В случае, если обновления повреждены, WSUS скачивает их повторно.
  • UpdateServicesPackages — тоже удаляем. В ней хранятся опубликованные Вами пакеты, если вы ничего не публиковали она будет пустая.

Переиндексация базы данных WSUS

В дополнение к процедуре очистки WSUS необходимо также выполнять переиндексацию базы данных SUSDB, чтобы её эффективность не падала со временем. Переиндексация должна выполнятся также в момент наименьшей загрузки базы данных и ни в коем случае не совпадать с временем синхронизации WSUS. Для переиндексации существует замечательный скрипт Re-index the WSUS 3.0 Database, работает он и для Windows Server 2016. Процедура запуска сценария будет разной для разных вариантов установки SUSDB (Windows Internal Database или SQL Server). Для того, чтобы определить, где развёрнута база данных WSUS необходимо на сервере WSUS проверить значение реестра SQLServerName в разделе HKLMSoftwareMicrosoftUpdate ServicesServerSetup. Если в значении присутствуют ##SSEE или ##WID, то база данных развёрнута на WID, а если вы видите в этом значении имя хоста или имя_сервераэкземпляр, то база данных развёрнута на SQL Server:

Далее, в случае, если база данных развёрнута на WID нам необходимо использовать утилиту sqlcmd и планировщик задач Windows. Если SQL Server — можно запланировать выполнение сценария с помощью планов обслуживания (Maintenance Plans).

Windows Internal Database

Чтобы установить sqlcmd можно скачать и установить SQL Server Management Studio (SSMS) для версии вашей WID. Версию можно определить в лог-файле:

  • В Windows Server 2012 — C:WindowsWIDLog — открываем error.log, где в самом начале файла указана используемая версия SQL, для которой нам нужно скачать SSMS Express.
  • В Windows Server 2008 R2 и ниже — C:WindowsSYSMSISSEEMSSQL.2005MSSQLLOG — также открываем error.log и в самом начале файла смотрим версию.

Для детальной информации по билдам и версиям SQL рекомендую использовать официальную страницу How to determine the version, edition, and update level of SQL Server and its components

Выбираем только SQLManagementStudio_x64_ENU.exe:

После установки всего необходимого сохраняем сценарий в файл Re-Index-SUSDB.sql. Создаём базовую задачу в планировщике. К Server Core можно подключится удалённо оснасткой Computer Management:

Запуск планируем так, чтобы эта задача не пересекалась с синхронизацией WSUS и с задачей очистки WSUS:

Далее указываем параметры запуска сценария переиндексации. Для начала найдите расположение sqlcmd для вашей установки.

Параметр -i указывает путь к сценарию, который мы сохранили ранее. Параметр -o указывает путь до лог-файла:

Соглашаемся с определёнными параметрами:

Открываем свойства созданной задачи и указываем аккаунт от имени которого запускаем задачу:

Запускаем задачу вручную и проверяем лог файл.

SUSDB на SQL Server

В случае, когда SUSDB установлена на полноценном SQL сервере всё немного упрощается. Открываем SQL Server Management Studio и подключаемся к экземпляру, где находится база SUSDB. Разворачиваем раздел Management и создаём новый Maintenance Plan:

Вводим имя плана:

Выбираем Subplan1 и открываем Toolbox:

Перетаскиваем задачу Execute T-SQL Statement Task в наш план:

Правым щелчком открываем редактирование:

Вставляем сценарий переиндексации в окно редактора:

Создаём расписание запуска. Опять же планируем так, чтобы не пересекаться с заданиями синхронизации WSUS и очистки:

Сохраняем план Ctrl+S. В план обслуживания можно перед переиндексацией включить и резервное копирование базы данных, это будет хорошим дополнением.

Удаление обновлений на всех компьютерах домена через WSUS

Если в вашей комании для установки обновлений на компьютеры домена используется корпоративный сервер WSUS, вы моежет удалить установленные одобренные обновления из консоли управления службы обновлений Update Services. Для этого щелкните ПКМ по ветке Updates и в меню выберите Search.

Укажите номер KB или бюллетеня безопасности, который требуется найти и нажмите Find Now. В списке, содержащем найденные обновления для разных версий Windows, выделите обновления, которые требуется удалить и выберите в меню пункт Approve.

Затем выберите группу компьютеров, которая вас интересует и в выпадающем списке выберите пункт Approved for Removal.

В нашем примере мы хотим удалить обновления на группе компьютеров, с именем Servers.

После процедуры обновления Windows на стороне клиентов WSUS (которая происходит по расписанию в соответствии с политикам WSUS и частотой синхронизации, которая задается параметром Automatic Update detection frequency, либо вы можете запустить цикл синхронизации вручную, набрав wuauclt /detectnow) в панели Windows Update соответствующее обновление появится с префиксом (Uninstall в названии.

После удаления обновления в журнале Windows Update History появится запись об этом событии.

Требования к обслуживанию клиентов Windows с помощью WSUS

Чтобы иметь возможность использовать WSUS для управления обновлениями компонентов Windows и их развертывания, необходимо использовать поддерживаемую версию WSUS:

  • WSUS 10.0.14393 (роль в Windows Server 2016)
  • WSUS 10.0.17763 (роль в Windows Server 2019)
  • WSUS 6.2 и 6.3 (роль в Windows Server 2012 и Windows Server 2012 R2)
  • Kb 3095113 и KB 3159706 (или эквивалентное обновление) должны быть установлены в WSUS 6.2 и 6.3.

Важно. Как kb 3095113 , так и KB 3159706 включены в ежемесячный накопительный пакет исправлений безопасности , начиная с июля 2017 г

Это означает, что 3095113 базы знаний и 3159706 базы знаний могут не отображаться как установленные обновления, так как они могли быть установлены с накопительным пакетом. Однако если вам нужно одно из этих обновлений, рекомендуется установить ежемесячный накопительный пакет исправлений безопасности , выпущенный после октября 2017 г., так как он содержит дополнительное обновление WSUS для снижения использования памяти в clientwebservice WSUS.
Если вы синхронизировали одно из этих обновлений до ежемесячного накопительного пакета исправлений безопасности, вы можете столкнуться с проблемами. Чтобы восстановиться после этого, см. раздел Удаление обновлений в WSUS

Как kb 3095113 , так и KB 3159706 включены в ежемесячный накопительный пакет исправлений безопасности , начиная с июля 2017 г. Это означает, что 3095113 базы знаний и 3159706 базы знаний могут не отображаться как установленные обновления, так как они могли быть установлены с накопительным пакетом. Однако если вам нужно одно из этих обновлений, рекомендуется установить ежемесячный накопительный пакет исправлений безопасности , выпущенный после октября 2017 г., так как он содержит дополнительное обновление WSUS для снижения использования памяти в clientwebservice WSUS.
Если вы синхронизировали одно из этих обновлений до ежемесячного накопительного пакета исправлений безопасности, вы можете столкнуться с проблемами. Чтобы восстановиться после этого, см . раздел Удаление обновлений в WSUS.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy
.

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer
Configuration
-> Policies
-> Administrative
templates
-> Windows
Component
-> Windows
Update
(Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью ) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

Примечание
. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows
Update
и задать подходящие для вашей инфраструктуры и организации параметры.

Заключение

В этой статье вы узнали о том, как можно создавать и управлять группами компьютеров. Также были рассмотрены способы назначения клиентских компьютеров в группы компьютеров на стороне сервера, а именно средствами оснастки «Update Services»
и со стороны клиента, т.е. при помощи групповых политик. Помимо этого были подробно рассмотрены все параметры групповой политики, которые имеют отношение к центру обновлений Windows и службе автоматического обновления.

Владельцы компьютерных сетей сталкивались хоть раз с проблемой обновления программ. Делать это самостоятельно, без помощи специального софта, почти невозможно, так как занимает немыслимое количество времени. А время самый ценный ресурс. Если бы была служба, которая поможет решить эту проблему, автоматизируя процесс поиска, обновления и установки новых версий всех программ компании.

Такая система существует. Microsoft ещё в 2005 году выпустил службу Windows Server Update Services. Основное её предназначение — исправление и обновление продуктов Microsoft во всей компьютерной сети. Причём размер последней не играет никакой роли. Вы можете установить и настроить WSUS как для двух компьютеров, так и для пары сотен. Всё зависит исключительно от ваших требований. Новые версии выпускаются и поддерживаются и по сей день

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: