Как управлять сервером wsus и синхронизировать его с обновлениями microsoft?

Wsus: от установки, через оптимизацию - к чистке и диагностике

Параметры баз данных веб-сервера

В принципе, сам установщик по умолчанию предлагает установить внутренние базы данных, но для упрощения процесса можно использовать и имеющийся сервер баз данных.

В данном случае нужно будет самостоятельно прописать его сетевое имя, соответствующее идентификатору терминала в сети. Первые два варианта можно использовать либо для получения апдейтов с сервера Microsoft, либо с внутреннего сервера. Правда, есть еще и третий вариант — установка баз данных на удаленном терминале. Но такая схема применяется в основном только в тех случаях, когда нужно распределять апдейты по удаленным филиалам с дополнительного сервера обновлений.

Интеграция WSUS Offline Updater с MDT 2013

После того, как все обновления будут скачаны на локальный диск, закройте окно WSUS Offline Updater и скопируйте содержимое папки Client
на ваш север MDT. Я поместил ее в папку C:\DeploymentShare\Scripts.

Осталось добавить в задание установки Windows 10 задачу запуска установки обновлений.

Откройте консоль Deployment Workbench
(MDT), и в разделе Task Sequences
найдите нужное задание, в которое вы хотите добавить этап установки обновлений. В нашем примере это Deploy Win 10 x64 Pro
. Откройте его свойства и перейдите на вкладку Task Sequence
.

Создадим новое задание MDT, которое монтирует сетевую папку с обновлениями (Client
) в отдельный диск (файл update.cmd не работает с UNC путями) и запустит файл update.cmd для старта установки обновлений.

В группе заданий State Restore
-> Custom Task
после создадим два новых задания6

  1. Монтирует сетевой диск с каталогом Client по UNC пути
  2. Запускает скрипт update.cmd.

Создадим новое задание (Add->General->Run Command Line) с именем Mount Network Folder

В строке Command line
укажем следующую команду:

cscript.exe «%SCRIPTROOT%\ZTIConnect.wsf» /uncpath:\\10.10.0.70\DeploymentShare\Scripts\client

Совет
. Скрипт ZTIConnect монтирует сетевой каталог в диск с буквой Y:.

Второе задание с именем Install Windows Updates Offline
должно содержать следующую строку запуска:

Cmd.exe /c “Y:\DeploymentShare\Scripts\client\update.bat”

Осталось обновлять каталог распространения, щелкнув ПКМ по корню MDT шары и выбрав пункт «Update Deployment Share».

Удаляем обновления Windows 10 через «Восстановление системы»

Этот метод более радикальный, но подойдет тем, кому трудно самостоятельно выявить обновление, которое создает проблемы в работе Windows 10. Здесь логичнее будет воспользоваться опцией «Восстановления системы» и откатиться до точки сохранения, в которой обновления еще не были установлены. Для этого пройдите по пути «Пуск | Параметры | Обновления и безопасность» и выберите в открывшемся меню пункт «Восстановление».

Здесь вы увидите надпись «Вернуть компьютер в исходное состояние». Жмите кнопку «Начать» и кликайте на опцию «Сохранить мои файлы». В этом случае система очистит неверные настройки приложений и обновлений, сбросив себя к заводским настройкам, но все ваши данные и программы сохранятся на компьютере, не требуя их переустановки. Во избежании необратимого, не забудьте сделать резервную копию системы, перед тем, как сбросить ее до заводских настроек.

Установка WSUS

До того, как производить оптимизацию WSUS, рекомендуем еще в процессе установки принять решение о некоторых параметрах установки. Итак, наши рекомендации:

MS SQL база данных вместо Windows Internal Database

Определитесь, в какой базе данных будет храниться WSUS. Рекомендации таковы:

  1. Устанавливаем MS SQL Server. Мало того, что эта СУБД рассчитана на большие объемы данных (чего здесь не требуется), так она еще позволяет легко и удобно обслуживать базу данных (что требуется регулярно).
  2. Установить MS SQL базу данных можно также на отдельном сервере (типа SQL сервера для IT служб), что в случае использования виртуальных машин позволяет сэкономить ресурсы, в первую очередь оперативную память: SQL нужен для WSUS, Kaspersky Security Center, службы мониторинга сети и т.д.

Удаление обновлений на компьютерах домена с помощью политик GPO

Если вам нужно удалить определенное обновление на множестве компьютеров в домене Active Directory, в котором не используется WSUS, можно воспользоваться функционалом Startup/Shutdown скриптом групповых политик (GPO).

Для этого создайте новый объект GPO, нацеленный на нужную OU / сайт (пример таргетирования групповых политик на сайты AD описан здесь)/ или группу компьютеров. А затем в разделе Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown) создайте новый скрипт с командой wusa из предыдущего раздела.

Также вы можете использовать PowerShell логон скрипты для удаления обновлений.

Удаление обновлений на всех компьютерах домена через WSUS

Если в вашей комании для установки обновлений на компьютеры домена используется корпоративный сервер WSUS, вы моежет удалить установленные одобренные обновления из консоли управления службы обновлений Update Services. Для этого щелкните ПКМ по ветке Updates и в меню выберите Search.

Укажите номер KB или бюллетеня безопасности, который требуется найти и нажмите Find Now. В списке, содержащем найденные обновления для разных версий Windows, выделите обновления, которые требуется удалить и выберите в меню пункт Approve.

Затем выберите группу компьютеров, которая вас интересует и в выпадающем списке выберите пункт Approved for Removal.

В нашем примере мы хотим удалить обновления на группе компьютеров, с именем Servers.

После процедуры обновления Windows на стороне клиентов WSUS (которая происходит по расписанию в соответствии с политикам WSUS и частотой синхронизации, которая задается параметром Automatic Update detection frequency, либо вы можете запустить цикл синхронизации вручную, набрав wuauclt /detectnow) в панели Windows Update соответствующее обновление появится с префиксом (Uninstall в названии.

После удаления обновления в журнале Windows Update History появится запись об этом событии.

Установка WSUS 3.1

Серер может устанавливаться только на сервера W2003 или выше.

  1. Устанавливаем службу IIS с дистрибутива Windows. Для W2008 добавляем роль Microsoft Internet Information Services (IIS) 7.0 и добавляем следующие компоненты данной роли:
    1. Windows Authentication
    2. ASP.NET
    3. 6.0 Management Compatibility
    4. IIS Metabase Compatibility
  2. Обновляем сервер до SP2 (иначе консоль не запустится).
  3. Устанавливаем его. При установке, если у Вас на данном сервере уже работает IIS, то при установке надо бырать порт IIS, отличный от 80 и потом клиентам указывать сервер с учетом этого порта. Если нет и не планируется, то можно использовать порт по умолчанию — 80.
  4. После установки пропускаем процедуру настройки.
Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: