Planowanie wdrożenia programu WSUS

Pierwszym krokiem wdrażania usług Windows Server Update Services (WSUS) jest podjęcie ważnych decyzji, takich jak podjęcie decyzji dotyczących scenariusza wdrażania programu WSUS, wybór topologii sieci i zrozumienie wymagań systemowych.

1.1. Przegląd zagadnień i wymagań systemowych

Wymagania systemowe

Wymagania dotyczące sprzętu i oprogramowania bazy danych są oparte na liczbie komputerów klienckich aktualizowanych w organizacji. Przed włączeniem roli serwera WSUS upewnij się, że serwer spełnia wymagania systemowe i upewnij się, że masz uprawnienia niezbędne do ukończenia instalacji, przestrzegając następujących wytycznych:

• Wymagania sprzętowe serwera umożliwiające włączenie roli programu WSUS są powiązane z wymaganiami sprzętowymi. Minimalne wymagania sprzętowe dla usług WSUS to:

  • Procesor: procesor 1,4 gigahertz (GHz) x64 procesor (zalecany jest 2 GHz lub szybszy)
  • Pamięć: Program WSUS wymaga dodatkowego 2 GB pamięci RAM oprócz tego, co jest wymagane przez serwer i wszystkie inne usługi lub oprogramowanie.
  • Dostępne miejsce na dysku: zalecane jest użycie 40 GB lub większej.
    • Lokalne zarządzanie aktualizacjami za pomocą ujednoliconej platformy aktualizacji (UUP) wymaga dodatkowych 10 GB miejsca na wersję systemu Windows i architekturę procesora dla każdej wersji. Aby uzyskać więcej informacji, zobacz sekcję Zagadnienia dotyczące UUP .
  • Karta sieciowa: 100 megabitów na sekundę (Mb/s) lub większe (zalecane jest 1 GB)

  Note

  W tych wytycznych przyjęto założenie, że klienci programu WSUS synchronizują się z serwerem co osiem godzin, przy łącznej liczbie 30 000 klientów. Jeśli są one synchronizowane częściej, wystąpi odpowiedni przyrost obciążenia serwera.

• Wymagane aktualizacje oprogramowania:

  • Windows Server 2016, 2019 i 2022: aktualizacja zbiorcza 2023-02 lub nowsza aktualizacja zbiorcza
  • Windows Server 2012 i 2012 R2: aktualizacja zbiorcza 2023-03 lub nowsza aktualizacja zbiorcza
  • Jeśli nie możesz zainstalować tych aktualizacji, możesz ręcznie dodać wymagane typy MIME dla UUP do serwera WSUS.

• Wymagania dotyczące oprogramowania:

  • Do wyświetlania raportów program WSUS wymaga pakietu redystrybucyjnego Przeglądarki raportów firmy Microsoft 2008. W systemie Windows Server 2016 program WSUS wymaga programu Microsoft Report Viewer Runtime 2012

• Jeśli instalujesz role lub aktualizacje oprogramowania, które wymagają ponownego uruchomienia serwera po zakończeniu instalacji, uruchom ponownie serwer przed włączeniem roli serwera WSUS.

• Program Microsoft .NET Framework 4.0 musi być zainstalowany na serwerze, na którym zostanie zainstalowana rola serwera WSUS.

• Upewnij się, że konto, którego planujesz użyć do zainstalowania programu WSUS, jest członkiem grupy Administratorzy lokalni.

• Konto NT Authority\Network Service musi mieć uprawnienia pełnej kontroli dla następujących folderów, aby przystawka Administracyjna programu WSUS wyświetlała się poprawnie.

  • %windir%\Temp

  • %windir%\Microsoft.NET\Framework\v4.0.30319\Tymczasowe pliki ASP.NET

    Note

    Ta ścieżka może nie istnieć, dopóki nie zostanie zainstalowana rola serwera sieci Web, która obejmuje Internet Information Services (IIS).

Zagadnienia dotyczące instalacji

Podczas procesu instalacji program WSUS zainstaluje domyślnie następujące elementy:

• Polecenia cmdlet interfejsu API platformy .NET i programu Windows PowerShell
• Wewnętrzna baza danych systemu Windows (WID), która jest używana przez program WSUS
• Usługi używane przez program WSUS, które są następujące:
  • Usługa aktualizacji
  • Usługa raportowania sieci Web
  • Usługa sieci Web klienta
  • Prosta usługa uwierzytelniania w sieci Web
  • Usługa synchronizacji serwera
  • Usługa sieci Web uwierzytelniania DSS

Zagadnienia dotyczące UUP

Od 28 marca 2023 r. lokalne urządzenia z systemem Windows 11 w wersji 22H2 otrzymają aktualizacje dotyczące jakości za pośrednictwem ujednoliconej platformy aktualizacji (UUP). Lokalne UUP współdziała z usługami WSUS i Microsoft Configuration Manager. Aktualizacja funkcji systemu Windows 11 w wersji 22H2 zostanie zaktualizowana co miesiąc, dzięki czemu będzie można łatwo wdrożyć najnowszą kompilację na klientach. Aktualizacje jakości UUP nadal są zbiorcze i obejmują wszystkie wydane poprawki dotyczące jakości i zabezpieczeń systemu Windows. Chociaż aktualizacje UUP nie mogą być usuwane za pośrednictwem programu WSUS, klienci aktualizujący przy użyciu lokalnego interfejsu UUP uzyskują następujące możliwości:

• Możliwość uzyskiwania funkcji na żądanie i pakietów językowych przez użytkowników końcowych w środowiskach WSUS lub Configuration Manager.
• Automatyczna naprawa uszkodzenia
• Zminimalizowano rozmiar pobierania klienta do aktualizacji jakości

Aby przygotować się do lokalnych aktualizacji UUP, upewnij się, że spełnione są następujące wymagania:

• Podczas przechowywania zawartości lokalnie dla programu WSUS serwer WSUS pobiera około 10 GB zawartości na wersję systemu Windows i architekturę procesora dla każdej wersji. Na przykład dodatkowe 20 GB zawartości jest pobierane zarówno dla wersji x64, jak i arm64 dla systemu Windows 11 w wersji 22H2.

• Zainstaluj jedną z następujących aktualizacji na serwerach WSUS lub ręcznie dodaj wymagane typy MIME dla UUP na serwerze WSUS:

  • Windows Server 2016, 2019 i 2022: aktualizacja zbiorcza 2023-02 lub nowsza aktualizacja zbiorcza
  • Windows Server 2012 i 2012 R2: aktualizacja zbiorcza 2023-03 lub nowsza aktualizacja zbiorcza

  Tip

  Jeśli wystąpi Cannot add duplicate collection entry of type 'mimeMap' błąd, zobacz Porady dotyczące rozwiązywania problemów z usługą WSUS.

Ręczne dodawanie wymaganych typów MIME dla protokołu UUP

Do lokalnego zarządzania aktualizacjami przy użyciu protokołu UUP są wymagane dwa typy plików. Typy .msu I .wim MIME należy dodać do serwerów WSUS w celu obsługi lokalnego protokołu UUP. Jeśli nie możesz zaktualizować serwerów WSUS, możesz użyć tych kroków, aby ręcznie dodać wymagane typy plików:

1. Otwórz Menedżera usług Internet Information Services (IIS).
2. Wybierz nazwę serwera WSUS w okienku Połączenia . Jeśli nazwa serwera WSUS nie jest widoczna, wybierz pozycję Połącz z serwerem z menu Plik , a następnie wprowadź nazwę serwera.
3. W widoku Funkcje wybierz pozycję Typy MIME, a następnie pozycję Otwórz funkcję w okienku Akcje .

   Important

   Upewnij się, że wybrano serwer, a nie lokację podczas dodawania typów MIME. Lokacja administracyjna programu WSUS wymaga, aby wpis typu MIME był dziedziczony, a nie lokalny.

4. Wybierz pozycję Dodaj w okienku Akcje dla typów MIME.
5. Wprowadź następujące informacje w oknie Dodawanie typu MIME :
   • Rozszerzenie nazwy pliku: .wim
   • Typ MIME: application/x-ms-wim
6. Wybierz przycisk OK po zakończeniu, aby dodać typ MIME.
7. Dodaj inny typ MIME, ponownie wybierając pozycję Dodaj , a następnie wprowadź następujące informacje:
   • Rozszerzenie nazwy pliku: .msu
   • Typ MIME: application/octet-stream
8. Po zakończeniu dodawania typu MIME wybierz przycisk OK .

Zagadnienia dotyczące funkcji na żądanie

Należy pamiętać, że skonfigurowanie komputerów klienckich (w tym serwerów) do aktualizacji przy użyciu programu WSUS spowoduje następujące ograniczenia:

1. Role serwera, które miały swoje ładunki usunięte przy użyciu funkcji na żądanie, nie można zainstalować na żądanie z usługi Microsoft Update. Należy podać źródło instalacji podczas próby zainstalowania ról serwera lub skonfigurować źródło funkcji na żądanie w Zasadach grupy.

2. Wersje klienta systemu Windows nie będą mogły instalować platformy .NET 3.5 na żądanie z internetu. Te same zagadnienia co role serwera mają zastosowanie do platformy .NET 3.5.

   Note

   Konfigurowanie źródła instalacji funkcji na żądanie nie obejmuje programu WSUS. Aby uzyskać informacje na temat konfigurowania funkcji, zobacz Konfigurowanie funkcji na żądanie w systemie Windows Server.

3. Urządzenia enterprise z systemem Windows 10 w wersji 1709 lub 1803 nie mogą instalować żadnych funkcji na żądanie bezpośrednio z programu WSUS. Aby zainstalować funkcje na żądanie, utwórz plik funkcji (sklep równoległy) lub uzyskaj pakiet Funkcji na żądanie z jednego z następujących źródeł:

   • Volume Licensing Service Center (VLSC) — wymagany jest dostęp do VL

   • Portal producenta OEM — wymagany jest dostęp producenta OEM

   • Pobieranie msdn — wymagana jest subskrypcja MSDN

     Pakiety funkcji na żądanie, które zostały indywidualnie pobrane, można zainstalować przy użyciu opcji wiersza polecenia DISM.

Wymagania dotyczące bazy danych programu WSUS

Program WSUS wymaga jednej z następujących baz danych:

• Wewnętrzna baza danych systemu Windows (WID)
• Dowolna obsługiwana wersja programu Microsoft SQL Server. Aby uzyskać więcej informacji, zobacz artykuł pt. zasady cyklu życia firmy Microsoft.

Program WSUS obsługuje następujące wersje programu SQL Server:

• Standard
• Enterprise
• Ekspresowy

Rolę programu WSUS można zainstalować na komputerze, który jest oddzielony od komputera serwera bazy danych. W tym przypadku mają zastosowanie następujące dodatkowe kryteria:

1. Nie można skonfigurować serwera bazy danych jako kontrolera domeny.

2. Serwer WSUS nie może uruchomić usług pulpitu zdalnego.

3. Serwer bazy danych musi znajdować się w tej samej domenie usługi Active Directory co serwer WSUS lub musi mieć relację zaufania z domeną usługi Active Directory serwera programu WSUS.

4. Serwer programu WSUS i serwer bazy danych muszą znajdować się w tej samej strefie czasowej lub być zsynchronizowane z tym samym źródłem uniwersalnego czasu koordynowanego (czas średni Greenwich).

1.2. Wybieranie scenariusza wdrażania programu WSUS

W tej sekcji opisano podstawowe funkcje wszystkich wdrożeń programu WSUS. Ta sekcja służy do zapoznania się z prostym wdrożeniem z pojedynczym serwerem WSUS, oprócz bardziej złożonych scenariuszy, takich jak hierarchia serwera WSUS lub serwer WSUS w izolowanym segmencie sieci.

Proste wdrożenie programu WSUS

Najbardziej podstawowe wdrożenie programu WSUS składa się z serwera wewnątrz zapory firmowej, który obsługuje komputery klienckie w prywatnym intranecie. Serwer WSUS łączy się z usługą Microsoft Update w celu pobrania aktualizacji. Jest to nazywane synchronizacją. Podczas synchronizacji program WSUS określa, czy od czasu ostatniej synchronizacji zostały udostępnione jakiekolwiek nowe aktualizacje. Jeśli po raz pierwszy synchronizuje się z usługą WSUS, wszystkie aktualizacje zostaną udostępnione do pobrania.

Domyślnie serwer WSUS używa portu 80 dla protokołu HTTP i portu 443 dla protokołu HTTPS w celu uzyskania aktualizacji od firmy Microsoft. Jeśli istnieje zapora firmowa między siecią a Internetem, musisz otworzyć te porty na serwerze, który komunikuje się bezpośrednio z usługą Microsoft Update. Jeśli planujesz używać portów niestandardowych dla tej komunikacji, musisz otworzyć te porty. Można skonfigurować wiele serwerów WSUS do synchronizacji z nadrzędnym serwerem WSUS. Domyślnie serwer WSUS używa portu 8530 dla protokołu HTTP i portu 8531 dla protokołu HTTPS w celu udostępnienia aktualizacji stacji roboczych klienta.

Wiele serwerów WSUS

Administratorzy mogą wdrożyć wiele serwerów z uruchomionym programem WSUS, które synchronizują całą zawartość w intranecie organizacji. Możesz uwidocznić tylko jeden serwer w Internecie, który będzie jedynym serwerem, który pobiera aktualizacje z usługi Microsoft Update. Ten serwer jest skonfigurowany jako nadrzędny serwer źródłowy, z którym są synchronizowane serwery podrzędne. Jeśli ma to zastosowanie, serwery mogą znajdować się w całej sieci rozproszonej geograficznie, aby zapewnić najlepszą łączność ze wszystkimi komputerami klienckimi.

Odłączony serwer WSUS

Jeśli zasady firmowe lub inne warunki ograniczają dostęp komputera do Internetu, administratorzy mogą skonfigurować wewnętrzny serwer do uruchamiania programu WSUS. Przykładem jest serwer, który jest połączony z intranetem, ale jest odizolowany od Internetu. Po pobraniu, przetestowaniu i zatwierdzeniu aktualizacji na tym serwerze administrator wyeksportuje metadane aktualizacji i zawartość na dysk DVD. Metadane aktualizacji i zawartość są importowane z dysku DVD do serwerów z uruchomionym programem WSUS w intranecie.

Hierarchie serwerów WSUS

Można tworzyć złożone hierarchie serwerów WSUS. Ponieważ można zsynchronizować jeden serwer WSUS z innym serwerem WSUS zamiast z usługą Microsoft Update, musisz mieć tylko jeden serwer WSUS połączony z usługą Microsoft Update. Po połączeniu serwerów WSUS istnieje nadrzędny serwer WSUS i podrzędny serwer WSUS. Wdrożenie hierarchii serwerów WSUS oferuje następujące korzyści:

• Aktualizacje można pobierać pojedynczo z Internetu, a następnie rozpowszechniać aktualizacje na komputerach klienckich przy użyciu serwerów podrzędnych. Ta metoda pozwala zaoszczędzić przepustowość na firmowym połączeniu internetowym.

• Aktualizacje można pobrać na serwer WSUS, który jest fizycznie bliżej komputerów klienckich, na przykład w oddziałach.

• Można skonfigurować oddzielne serwery WSUS do obsługi komputerów klienckich korzystających z różnych języków produktów firmy Microsoft.

• Można skalować WSUS dla dużej organizacji, która ma więcej komputerów klienckich, niż może skutecznie zarządzać jeden serwer WSUS.

Serwery WSUS można połączyć w trybie autonomicznym (w celu osiągnięcia administracji rozproszonej) lub w trybie repliki (w celu uzyskania scentralizowanej administracji). Nie trzeba wdrażać hierarchii serwerów, która korzysta tylko z jednego trybu: możesz wdrożyć rozwiązanie WSUS korzystające zarówno z autonomicznych, jak i replik serwerów WSUS.

Tryb autonomiczny

Tryb autonomiczny, nazywany również administracją rozproszoną, jest domyślną opcją instalacji programu WSUS. W trybie autonomicznym nadrzędny serwer WSUS udostępnia aktualizacje serwerom podrzędnym podczas synchronizacji. Serwery podrzędne programu WSUS są administrowane oddzielnie i nie otrzymują informacji o stanie zatwierdzenia aktualizacji ani o grupie komputerów z serwera nadrzędnego. Korzystając z modelu zarządzania rozproszonego, każdy administrator serwera WSUS wybiera języki aktualizacji, tworzy grupy komputerów, przypisuje komputery do grup, testuje i zatwierdza aktualizacje i upewnia się, że odpowiednie aktualizacje są zainstalowane w odpowiednich grupach komputerów.

Tryb repliki

Tryb repliki, nazywany również scentralizowaną administracją, działa przez posiadanie nadrzędnego serwera WSUS, który udostępnia aktualizacje, stan zatwierdzenia i grupy komputerów z serwerami podrzędnymi. Serwery repliki dziedziczą zatwierdzenia aktualizacji i nie są administrowane oddzielnie od nadrzędnego serwera WSUS.

Oddziałów

Możesz użyć funkcji Branch Office w systemie Windows, aby zoptymalizować wdrożenie programu WSUS. Ten typ wdrożenia oferuje następujące korzyści:

1. Pomaga zmniejszyć wykorzystanie linków sieci WAN i poprawić czas odpowiedzi aplikacji. Aby włączyć przyspieszanie usługi BranchCache zawartości obsługiwanej przez serwer WSUS, zainstaluj funkcję BranchCache na serwerze i klientach i upewnij się, że usługa BranchCache została uruchomiona. Nie są wymagane żadne inne kroki.

2. W oddziałach, które mają połączenia o niskiej przepustowości z biurem centralnym, ale połączenia o dużej przepustowości z Internetem, można również użyć funkcji Biura Oddziału. W takim przypadku można skonfigurować podrzędne serwery WSUS, aby uzyskać informacje o aktualizacjach do zainstalowania z centralnego serwera WSUS, ale pobrać aktualizacje z usługi Microsoft Update.

Równoważenie obciążenia sieciowego

Równoważenie obciążenia sieciowego zwiększa niezawodność i wydajność sieci WSUS. Można skonfigurować wiele serwerów WSUS, które współużytkuje jeden klaster trybu failover z uruchomionym programem SQL Server. W tej konfiguracji należy użyć pełnej instalacji programu SQL Server, a nie instalacji wewnętrznej bazy danych systemu Windows dostarczonej przez program WSUS, a rola bazy danych musi być zainstalowana na wszystkich serwerach frontonu programu WSUS. Możesz także sprawić, aby wszystkie serwery WSUS używały rozproszonego systemu plików (DFS) do przechowywania ich zawartości.

Konfiguracja programu WSUS dla równoważenia obciążenia sieciowego: w porównaniu z konfiguracją programu WSUS 3.2 dla równoważenia obciążenia sieciowego, specjalne wywołanie konfiguracji i parametry nie są już wymagane do skonfigurowania usług WSUS na potrzeby równoważenia obciążenia sieciowego. Należy skonfigurować tylko każdy serwer WSUS, mając na uwadze następujące zagadnienia.

• Program WSUS musi być skonfigurowany przy użyciu opcji bazy danych SQL zamiast WID.
• Jeśli aktualizacje są przechowywane lokalnie, ten sam folder zawartości musi być współużytkowany między serwerami programu WSUS, które współużytkują tę samą bazę danych SQL.
• Konfiguracja programu WSUS musi być wykonywana w wersji szeregowej. Nie można uruchamiać zadań postinstalacji na więcej niż jednym serwerze jednocześnie podczas udostępniania tej samej bazy danych SQL.
• Każdy serwer frontonu WSUS musi uruchomić tę samą wersję systemu operacyjnego, w tym ten sam skumulowany poziom aktualizacji.

Wdrażanie programu WSUS z komputerami klienckimi w trybie roamingu

Jeśli sieć obejmuje użytkowników mobilnych, którzy logują się do sieci z różnych lokalizacji, możesz skonfigurować program WSUS, aby umożliwić użytkownikom roamingu aktualizowanie komputerów klienckich z serwera WSUS znajdującego się najbliżej nich geograficznie. Można na przykład wdrożyć jeden serwer WSUS w każdym regionie i użyć innej podsieci DNS dla każdego regionu. Wszystkie komputery klienckie mogą być kierowane do tego samego serwera WSUS, który jest rozpoznawany w każdej podsieci do najbliższego fizycznego serwera WSUS.

1.3. Wybierz strategię przechowywania dla programu WSUS

Usługi Windows Server Update Services (WSUS) używają dwóch typów systemów magazynowania: bazy danych do przechowywania metadanych konfiguracji i aktualizacji programu WSUS oraz opcjonalnego lokalnego systemu plików do przechowywania plików aktualizacji. Przed zainstalowaniem programu WSUS należy zdecydować, jak chcesz zaimplementować magazyn.

Aktualizacje składają się z dwóch części: metadanych opisujących aktualizację oraz plików wymaganych do zainstalowania aktualizacji. Metadane aktualizacji są zwykle znacznie mniejsze niż rzeczywista aktualizacja i są przechowywane w bazie danych programu WSUS. Pliki aktualizacji są przechowywane na lokalnym serwerze WSUS lub na serwerze sieci Web usługi Microsoft Update.

Baza danych programu WSUS

Program WSUS wymaga bazy danych dla każdego serwera WSUS. Program WSUS obsługuje korzystanie z bazy danych znajdującej się na innym komputerze niż serwer WSUS z pewnymi ograniczeniami. Aby zapoznać się z listą obsługiwanych baz danych i ograniczeń zdalnej bazy danych, zobacz sekcję 1.1 Zapoznaj się z wstępnymi zagadnieniami i wymaganiami systemowymi w tym przewodniku.

Baza danych programu WSUS przechowuje następujące informacje:

• Informacje o konfiguracji serwera WSUS
• Metadane opisujące każdą aktualizację
• Informacje o komputerach klienckich, aktualizacjach i interakcjach

W przypadku instalowania wielu serwerów programu WSUS należy zachować oddzielną bazę danych dla każdego serwera programu WSUS, niezależnie od tego, czy jest to serwer autonomiczny, czy serwer repliki. Nie można przechowywać wielu baz danych programu WSUS w jednym wystąpieniu programu SQL Server, z wyjątkiem klastrów równoważenia obciążenia sieciowego (NLB) korzystających z trybu failover programu SQL Server.

Program SQL Server, program SQL Server Express i wewnętrzna baza danych systemu Windows zapewniają taką samą charakterystykę wydajności dla konfiguracji pojedynczego serwera, w której baza danych i usługa WSUS znajdują się na tym samym komputerze. Konfiguracja pojedynczego serwera może obsługiwać kilka tysięcy komputerów klienckich programu WSUS.

Program WSUS z wewnętrzną bazą danych systemu Windows

Domyślnie kreator instalacji tworzy wewnętrzną bazę danych systemu Windows o nazwie SUSDB.mdf. Ta baza danych znajduje się w folderze %windir%\wid\data\, gdzie %windir% jest dyskiem lokalnym, na którym zainstalowano oprogramowanie serwera WSUS.

Program WSUS obsługuje uwierzytelnianie systemu Windows tylko dla bazy danych. Nie można używać uwierzytelniania programu SQL Server w programie WSUS. Jeśli używasz wewnętrznej bazy danych systemu Windows dla bazy danych programu WSUS, instalator programu WSUS tworzy wystąpienie programu SQL Server o nazwie server\Microsoft##WID, gdzie serwer jest nazwą komputera. W przypadku każdej opcji bazy danych instalator programu WSUS tworzy bazę danych o nazwie SUSDB. Nazwa tej bazy danych nie jest konfigurowalna.

Zalecamy używanie wewnętrznej bazy danych systemu Windows w następujących przypadkach:

• Organizacja jeszcze nie zakupiła i nie wymaga produktu SQL Server dla żadnej innej aplikacji.
• Organizacja nie wymaga rozwiązania NLB WSUS.
• Zamierzasz wdrożyć wiele serwerów WSUS (na przykład w oddziałach). W takim przypadku należy rozważyć użycie wewnętrznej bazy danych systemu Windows na serwerach pomocniczych, nawet jeśli użyjesz programu SQL Server dla głównego serwera WSUS. Ponieważ każdy serwer WSUS wymaga oddzielnego wystąpienia programu SQL Server, szybko wystąpią problemy z wydajnością bazy danych, jeśli tylko jedno wystąpienie programu SQL Server obsługuje wiele serwerów WSUS.

Wewnętrzna baza danych systemu Windows nie udostępnia interfejsu użytkownika ani żadnych narzędzi do zarządzania bazami danych. Jeśli wybierzesz tę bazę danych dla programu WSUS, musisz użyć narzędzi zewnętrznych do zarządzania bazą danych. Aby uzyskać więcej informacji, zobacz:

• Tworzenie kopii zapasowej i przywracanie danych programu WSUS oraz tworzenie kopii zapasowej serwera

• Ponowne indeksowanie bazy danych programu WSUS

Program WSUS z programem SQL Server

Zalecamy używanie programu SQL Server z usługą WSUS w następujących przypadkach:

1. Potrzebujesz rozwiązania WSUS NLB.
2. Masz już zainstalowane co najmniej jedno wystąpienie programu SQL Server.
3. Nie można uruchomić usługi PROGRAMU SQL Server na lokalnym koncie niesystemowym lub przy użyciu uwierzytelniania programu SQL Server. Program WSUS obsługuje tylko uwierzytelnianie systemu Windows.

Magazyn aktualizacji WSUS

Gdy aktualizacje są synchronizowane z serwerem programu WSUS, metadane i pliki aktualizacji są przechowywane w dwóch oddzielnych lokalizacjach. Metadane są przechowywane w bazie danych programu WSUS. Pliki aktualizacji mogą być przechowywane na serwerze WSUS lub na serwerach Microsoft Update, w zależności od sposobu konfigurowania opcji synchronizacji. Jeśli zdecydujesz się przechowywać pliki aktualizacji na serwerze programu WSUS, komputery klienckie będą pobierać zatwierdzone aktualizacje z lokalnego serwera programu WSUS. W przeciwnym razie komputery klienckie będą pobierać zatwierdzone aktualizacje bezpośrednio z usługi Microsoft Update. Opcja, która ma największe znaczenie dla organizacji, zależy od przepustowości sieci do Internetu, przepustowości sieci w intranecie i dostępności magazynu lokalnego.

Możesz wybrać inne rozwiązanie magazynu aktualizacji dla każdego wdrożonego serwera WSUS.

Miejsce przechowywania lokalnego serwera WSUS

Magazyn lokalny plików aktualizacji jest opcją domyślną podczas instalowania i konfigurowania programu WSUS. Ta opcja może zaoszczędzić przepustowość połączenia firmowego z Internetem, ponieważ komputery klienckie pobierają aktualizacje bezpośrednio z lokalnego serwera programu WSUS.

Ta opcja wymaga, aby serwer miał wystarczającą ilość miejsca na dysku do przechowywania wszystkich wymaganych aktualizacji. Co najmniej program WSUS wymaga 20 GB do przechowywania aktualizacji lokalnie; zalecamy jednak co najmniej 40 GB. Aby uzyskać więcej informacji na temat projektowania wymaganej ilości miejsca na dysku, zobacz wymagania systemowe i zagadnienia dotyczące UUP.

Zdalny magazyn na serwerach usługi Microsoft Update

Aktualizacje można przechowywać zdalnie na serwerach Microsoft Update. Ta opcja jest przydatna, jeśli większość komputerów klienckich łączy się z serwerem WSUS za pośrednictwem powolnego połączenia sieci WAN, ale łączą się z Internetem za pośrednictwem połączenia o wysokiej przepustowości.

W takim przypadku główny serwer WSUS synchronizuje się z usługą Microsoft Update i odbiera metadane aktualizacji. Po zatwierdzeniu aktualizacji komputery klienckie pobierają zatwierdzone aktualizacje z serwerów usługi Microsoft Update.

1.4. Wybieranie języków aktualizacji programu WSUS

Podczas wdrażania hierarchii serwera WSUS należy określić, które aktualizacje języka są wymagane w całej organizacji. Należy skonfigurować główny serwer WSUS do pobierania aktualizacji we wszystkich językach używanych w całej organizacji.

Na przykład główne biuro może wymagać aktualizacji języka angielskiego i francuskiego, ale jeden oddział wymaga aktualizacji języka angielskiego, francuskiego i niemieckiego, a inny oddział wymaga aktualizacji języka angielskiego i hiszpańskiego. W takiej sytuacji należy skonfigurować główny serwer WSUS do pobierania aktualizacji w języku angielskim, francuskim, niemieckim i hiszpańskim. Następnie należy skonfigurować pierwszy serwer oddziałów WSUS do pobierania aktualizacji tylko w języku angielskim, francuskim i niemieckim oraz skonfigurować drugi oddział do pobierania aktualizacji tylko w języku angielskim i hiszpańskim.

Strona Wybieranie języków Kreatora konfiguracji programu WSUS umożliwia pobieranie aktualizacji ze wszystkich języków lub z podzbioru języków. wybranie podzestawu języków pozwala zaoszczędzić miejsce na dysku, ale ważne jest, aby wybrać wszystkie języki wymagane przez wszystkie serwery podrzędne i komputery klienckie serwera WSUS.

Poniżej przedstawiono kilka ważnych uwag dotyczących języka aktualizacji, o którym należy pamiętać przed skonfigurowaniem tej opcji:

• Zawsze dołączaj język angielski oprócz innych języków, które są wymagane w całej organizacji. Wszystkie aktualizacje są oparte na pakietach językowych w języku angielskim.
• Serwery podrzędne i komputery klienckie nie będą otrzymywać wszystkich potrzebnych aktualizacji, jeśli nie wybrano wszystkich niezbędnych języków dla serwera nadrzędnego. Upewnij się, że wybrano wszystkie języki, które będą potrzebne przez wszystkie komputery klienckie skojarzone ze wszystkimi serwerami podrzędnymi.
• Zazwyczaj należy pobierać aktualizacje we wszystkich językach na głównym serwerze WSUS, który synchronizuje się z usługą Microsoft Update. Ten wybór gwarantuje, że wszystkie serwery podrzędne i komputery klienckie będą otrzymywać aktualizacje w językach, których wymagają.

Jeśli przechowujesz aktualizacje lokalnie i skonfigurowano serwer WSUS do pobierania aktualizacji w ograniczonej liczbie języków, możesz zauważyć, że istnieją aktualizacje w językach innych niż określone przez Ciebie. Wiele plików aktualizacji to pakiety kilku różnych języków, które obejmują co najmniej jeden z języków określonych na serwerze.

Serwery nadrzędne

Aktualizacje będą wyświetlane jako Nie dotyczy na komputerach klienckich, które wymagają języka. Aby tego uniknąć, upewnij się, że wszystkie języki systemu operacyjnego są uwzględnione w opcjach synchronizacji serwera WSUS. Wszystkie języki systemu operacyjnego można wyświetlić, przechodząc do widoku komputerów konsoli administracyjnej programu WSUS i sortowania komputerów według języka systemu operacyjnego. Można jednak uwzględnić więcej języków, jeśli istnieją aplikacje firmy Microsoft w więcej niż jednym języku (na przykład jeśli francuska wersja programu Microsoft Word jest zainstalowana na niektórych komputerach korzystających z angielskiej wersji systemu Windows).

Wybieranie języków dla nadrzędnego serwera nie jest takie samo jak wybieranie języków dla serwera podrzędnego. Poniższe procedury wyjaśniają różnice.

Aby wybrać języki aktualizacji dla serwera synchronizowanego z usługi Microsoft Update

1. W Kreatorze konfiguracji programu WSUS:

   • Aby pobrać aktualizacje we wszystkich językach, wybierz pozycję Pobierz aktualizacje we wszystkich językach, w tym w nowych językach.
   • Aby pobrać aktualizacje tylko dla określonych języków, wybierz pozycję Pobierz aktualizacje tylko w tych językach, a następnie wybierz języki, dla których chcesz zaktualizować.

Aby wybrać języki aktualizacji dla serwera podrzędnego

1. Jeśli serwer nadrzędny został skonfigurowany do pobierania plików aktualizacji w podzestawie języków: W Kreatorze konfiguracji programu WSUS wybierz pozycję Pobierz aktualizacje tylko w tych językach (tylko języki oznaczone gwiazdką są obsługiwane przez serwer nadrzędny), a następnie wybierz języki, dla których chcesz zaktualizować.

   Note

   Należy to zrobić, mimo że chcesz, aby serwer podrzędny pobierał te same języki co serwer nadrzędny.

2. Jeśli serwer nadrzędny został skonfigurowany do pobierania plików aktualizacji we wszystkich językach: w Kreatorze konfiguracji programu WSUS wybierz pozycję Pobierz aktualizacje we wszystkich językach obsługiwanych przez serwer nadrzędny.

   Note

   Należy to zrobić, mimo że chcesz, aby serwer podrzędny pobierał te same języki co serwer nadrzędny. To ustawienie powoduje, że nadrzędny serwer pobiera aktualizacje we wszystkich językach, w tym języki, które nie zostały pierwotnie skonfigurowane dla nadrzędnego serwera. W przypadku dodawania języków do nadrzędnego serwera należy skopiować nowe aktualizacje na serwery repliki.

   Zmiana opcji języka na serwerze nadrzędnym może spowodować niezgodność między liczbą aktualizacji zatwierdzonych na serwerze centralnym a liczbą aktualizacji zatwierdzonych na serwerach repliki.

1.5. Planowanie grup komputerów programu WSUS

Program WSUS umożliwia kierowanie aktualizacji do grup komputerów klienckich, dzięki czemu można zagwarantować, że określone komputery będą zawsze otrzymywać odpowiednie aktualizacje w najbardziej wygodnych momentach. Jeśli na przykład wszystkie komputery w jednym dziale (na przykład zespół księgowy) mają określoną konfigurację, możesz skonfigurować grupę dla tego zespołu, zdecydować, które aktualizacje ich komputerów potrzebują i o której godzinie należy zainstalować, a następnie użyć raportów programu WSUS do oceny aktualizacji dla zespołu.

Komputery są zawsze przypisywane do grupy Wszystkie komputery i pozostają przypisane do grupy Nieprzypisane komputery do momentu przypisania ich do innej grupy. Komputery mogą należeć do więcej niż jednej grupy.

Grupy komputerów można skonfigurować w hierarchiach (na przykład grupa Płac i grupa Konta płatne poniżej grupy Księgowość). Aktualizacje zatwierdzone dla wyższej grupy zostaną automatycznie wdrożone w niższych grupach oprócz wyższej grupy. W tym przykładzie jeśli zatwierdzisz aktualizację Update1 dla grupy Księgowość, aktualizacja zostanie wdrożona na wszystkich komputerach w grupie Księgowość, wszystkich komputerów w grupie Płac i wszystkich komputerów w grupie Płatne konta.

Ponieważ komputery można przypisać do wielu grup, można zatwierdzić pojedynczą aktualizację więcej niż raz dla tego samego komputera. Jednak aktualizacja zostanie wdrożona tylko raz, a wszystkie konflikty zostaną rozwiązane przez serwer WSUS. Aby kontynuować w poprzednim przykładzie, jeśli komputer A jest przypisany do grupy Listy płac i do grupy Rozrachunki z dostawcami, a Update1 zostanie zatwierdzony dla obu grup, zostanie wdrożony tylko raz.

Komputery można przypisywać do grup komputerów przy użyciu jednej z dwóch metod określania wartości docelowej po stronie serwera lub określania wartości docelowej po stronie klienta. Poniżej przedstawiono definicje dla każdej metody:

• Określanie wartości docelowej po stronie serwera: należy ręcznie przypisać jeden lub więcej komputerów klienckich do wielu grup jednocześnie.
• Określanie wartości docelowej po stronie klienta: należy użyć zasad grupy lub edytować ustawienia rejestru na komputerach klienckich, aby umożliwić tym komputerom automatyczne dodawanie się do wcześniej utworzonych grup komputerów.

Konfliktów

Serwer stosuje następujące reguły do rozwiązywania konfliktów i określania wynikowej akcji na klientach:

1. Priority

2. Install/Uninstall

3. Deadline

Priority

Akcje skojarzone z grupą najwyższego priorytetu zastępują akcje innych grup. Im głębsza grupa pojawia się w hierarchii grup, tym wyższy priorytet. Priorytet jest przypisywany tylko na podstawie głębokości; wszystkie gałęzie mają równy priorytet. Na przykład grupa znajdująca się dwa poziomy poniżej gałęzi Pulpity ma wyższy priorytet niż grupa znajdująca się jeden poziom poniżej gałęzi Serwer.

W poniższym przykładzie tekstowym okienka hierarchii konsoli usług Aktualizacji dla serwera WSUS o nazwie WSUS-01 grupy komputerów o nazwie Komputery stacjonarne i Serwer zostały dodane do domyślnej grupy Wszystkie komputery . Zarówno komputery stacjonarne, jak i grupy serwerów są na tym samym poziomie hierarchicznym.

• Update Services
  • WSUS-01
    • Updates
    • Computers
      • Wszystkie komputery
        • Nieprzypisane komputery
        • Komputery stacjonarne
          • Desktops-L1
            • Desktops-L2
        • Servers
          • Servers-L1
    • Serwery podrzędne
    • Synchronizations
    • Reports
    • Options

W tym przykładzie grupa dwa poziomy poniżej gałęzi Komputery stacjonarne (Desktopy L2) ma wyższy priorytet niż grupa jeden poziom poniżej gałęzi Serwer (Serwery L1). W związku z tym w przypadku komputera, który ma członkostwo zarówno w grupach Desktops-L2, jak i Servers-L1, wszystkie akcje grupy Desktops-L2 mają priorytet nad akcjami określonymi dla grupy Servers-L1.

Priorytet instalacji i odinstalowywania

Akcje instalacji zastępują akcje odinstalowywania. Wymagane instalacje zastępują opcjonalne instalacje (opcjonalne instalacje są dostępne tylko za pośrednictwem interfejsu API i zmiana zatwierdzenia aktualizacji przy użyciu konsoli administracyjnej programu WSUS spowoduje wyczyszczenie wszystkich opcjonalnych zatwierdzeń).

Priorytet terminów ostatecznych

Akcje, które mają termin, zastępują te bez terminu ostatecznego. Akcje z wcześniejszymi terminami zastępują te z późniejszymi terminami.

1.6. Planowanie zagadnień dotyczących wydajności programu WSUS

Istnieje kilka obszarów, które należy dokładnie zaplanować przed wdrożeniem programu WSUS, aby można było zoptymalizować wydajność. Najważniejsze obszary to:

• Konfiguracja sieci
• Pobieranie odroczone
• Filters
• Installation
• Wdrożenia dużych aktualizacji
• Usługa inteligentnego transferu w tle (BITS)

Konfiguracja sieci

Aby zoptymalizować wydajność w sieciach WSUS, rozważ następujące sugestie:

1. Skonfiguruj sieci WSUS w topologii piasty i szprych, a nie w topologii hierarchicznej.

2. Użyj kolejności maski podsieci DNS dla komputerów klienckich w roamingu. Skonfiguruj komputery klienckie w roamingu, aby pobierały aktualizacje z lokalnego serwera WSUS.

Pobieranie odroczone

Aktualizacje można zatwierdzać i pobierać metadane aktualizacji przed pobraniem plików aktualizacji. Ta metoda jest nazywana odroczonymi pobraniami. W przypadku odroczenia pobierania aktualizacja jest pobierana dopiero po jego zatwierdzeniu. Zalecamy odroczenie pobierania, ponieważ optymalizuje przepustowość sieci i miejsce na dysku.

W hierarchii serwerów WSUS program WSUS automatycznie ustawia wszystkie serwery podrzędne w celu użycia odroczonego ustawienia pobierania głównego serwera WSUS. To ustawienie domyślne można zmienić. Na przykład można skonfigurować nadrzędny serwer do wykonywania pełnych, natychmiastowych synchronizacji, a następnie skonfigurować serwer podrzędny w celu odroczenia pobierania.

Jeśli wdrażasz hierarchię połączonych serwerów WSUS, zalecamy, aby nie zagnieżdżaj serwerów zbyt głęboko. Jeśli włączono pobieranie odroczone, a serwer podrzędny żąda aktualizacji, która nie jest zatwierdzona na serwerze nadrzędnym, żądanie serwera podrzędnego wymusza pobranie na serwerze nadrzędnym. Następnie serwer podrzędny pobiera aktualizację podczas kolejnej synchronizacji. W głębokiej hierarchii serwerów WSUS mogą wystąpić opóźnienia podczas żądania, pobierania i przekazywania aktualizacji wzdłuż hierarchii serwera. Domyślnie pobieranie odroczone jest włączane podczas przechowywania aktualizacji lokalnie. Tę opcję można zmienić ręcznie.

Filters

Program WSUS umożliwia filtrowanie synchronizacji aktualizacji według języka, produktu i klasyfikacji. W hierarchii serwerów WSUS program WSUS automatycznie ustawia wszystkie serwery podrzędne w celu używania opcji filtrowania aktualizacji wybranych na głównym serwerze WSUS. Można ponownie skonfigurować serwery pobierania, aby otrzymywać tylko podzbiór języków.

Domyślnie produkty do zaktualizowania to Windows i Office, a domyślne klasyfikacje to aktualizacje krytyczne, aktualizacje zabezpieczeń i aktualizacje definicji. Aby zaoszczędzić przepustowość i miejsce na dysku, zalecamy ograniczenie języków do tych, których faktycznie używasz.

Installation

Aktualizacje zwykle składają się z nowych wersji plików, które już istnieją na komputerze, który jest aktualizowany. Na poziomie binarnym te istniejące pliki mogą nie różnić się bardzo od zaktualizowanych wersji. Funkcja plików instalacji ekspresowej identyfikuje dokładne bajty między wersjami, tworzy i dystrybuuje aktualizacje tylko tych różnic, a następnie scala istniejący plik wraz ze zaktualizowanymi bajtami.

Czasami ta funkcja jest nazywana dostarczaniem delta, ponieważ pobiera tylko różnicę między dwiema wersjami pliku. Pliki instalacji ekspresowej są większe niż aktualizacje dystrybuowane do komputerów klienckich, ponieważ plik instalacji ekspresowej zawiera wszystkie możliwe wersje każdego pliku, który ma zostać zaktualizowany.

Możesz użyć plików instalacji ekspresowej, aby ograniczyć przepustowość używaną w sieci lokalnej, ponieważ program WSUS przesyła tylko różnicę, która ma zastosowanie do określonej wersji zaktualizowanego składnika. Jednak wiąże się to z kosztem dodatkowej przepustowości między serwerem WSUS, wszystkimi nadrzędnymi serwerami programu WSUS i usługą Microsoft Update oraz wymaga dodatkowego miejsca na dysku lokalnym. Domyślnie program WSUS nie używa plików instalacji ekspresowej.

Nie wszystkie aktualizacje są dobrymi kandydatami do dystrybucji przy użyciu plików instalacji ekspresowej. Jeśli wybierzesz tę opcję, uzyskasz pliki instalacji ekspresowej dla wszystkich aktualizacji. Jeśli aktualizacje nie są przechowywane lokalnie, agent usługi Windows Update zdecyduje, czy pobrać pliki instalacji ekspresowej, czy dystrybucje aktualizacji pełnego pliku.

Wdrażanie dużych aktualizacji

Podczas wdrażania dużych aktualizacji (takich jak dodatki Service Pack) można uniknąć saturowania sieci przy użyciu następujących rozwiązań:

1. Użyj funkcji BITS dla ograniczania przepustowości inteligentnego transferu w tle. Ograniczenia przepustowości usługi BITS mogą być kontrolowane przez czas dnia, ale mają zastosowanie do wszystkich aplikacji korzystających z usługi BITS. Aby dowiedzieć się, jak kontrolować ograniczanie przepustowości usługi BITS, zobacz Zasady grupy.

2. Ograniczanie przepustowości usług Internet Information Services (IIS) umożliwia ograniczenie przepustowości do co najmniej jednej usługi sieci Web.

3. Używanie grup komputerów do kontrolowania wdrożenia. Komputer kliencki identyfikuje się jako członek określonej grupy komputerów podczas wysyłania informacji do serwera WSUS. Serwer WSUS używa tych informacji do określenia, które aktualizacje mają być wdrażane na tym komputerze. Można skonfigurować wiele grup komputerów i sekwencyjnie zatwierdzać pobrania dużych pakietów serwisowych dla podgrupy tych grup.

Usługa inteligentnego transferu danych w tle

WSUS używa protokołu usługi inteligentnego transferu w tle (BITS) dla wszystkich zadań transferu plików. Obejmuje to pobieranie do komputerów klienckich i synchronizacji serwerów. Usługa BITS umożliwia programom pobieranie plików przy użyciu wolnej przepustowości. Usługa BITS obsługuje transfery plików za pośrednictwem rozłączeń sieci i ponownego uruchamiania komputera. Aby uzyskać więcej informacji, zobacz: Usługa inteligentnego transferu w tle.

1.7. Planowanie ustawień aktualizacji automatycznych

Możesz określić termin zatwierdzenia aktualizacji na serwerze programu WSUS. Termin ostateczny powoduje, że komputery klienckie instalują aktualizację w określonym czasie, ale istnieje wiele różnych sytuacji, w zależności od tego, czy termin wygasł, czy w kolejce istnieją inne aktualizacje w kolejce, czy aktualizacja (lub inna aktualizacja w kolejce) wymaga ponownego uruchomienia.

Domyślnie aktualizacje automatyczne sprawdzają serwer WSUS w poszukiwaniu zatwierdzonych aktualizacji co 22 godziny, pomniejszone o losowe przesunięcie. Jeśli należy zainstalować nowe aktualizacje, zostaną pobrane. Czas między poszczególnymi cyklami wykrywania można manipulować z zakresu od 1 do 22 godzin.

Opcje powiadomień można manipulować w następujący sposób:

1. Jeśli aktualizacje automatyczne są skonfigurowane do powiadamiania użytkownika o aktualizacjach, które są gotowe do zainstalowania, powiadomienie jest wysyłane do dziennika systemu i do obszaru powiadomień komputera klienckiego.

2. Gdy użytkownik z odpowiednimi poświadczeniami wybierze ikonę obszaru powiadomień, aktualizacje automatyczne wyświetla dostępne aktualizacje do zainstalowania. Użytkownik musi wybrać pozycję Zainstaluj , aby rozpocząć instalację. Zostanie wyświetlony komunikat, jeśli aktualizacja wymaga ponownego uruchomienia komputera w celu ukończenia aktualizacji. Jeśli zażądano ponownego uruchomienia, aktualizacje automatyczne nie będą mogły wykryć dodatkowych aktualizacji do momentu ponownego uruchomienia komputera.

Jeśli aktualizacje automatyczne są skonfigurowane do instalowania aktualizacji zgodnie z ustalonym harmonogramem, odpowiednie aktualizacje są pobierane i oznaczone jako gotowe do zainstalowania. Aktualizacje automatyczne powiadamia użytkowników, którzy mają odpowiednie poświadczenia przy użyciu ikony obszaru powiadomień, a zdarzenie jest rejestrowane w dzienniku systemu.

W zaplanowanym dniu i o godzinie aktualizacje automatyczne instalują aktualizację i ponownie uruchamiają komputer (w razie potrzeby), nawet jeśli żaden administrator lokalny nie jest zalogowany. Jeśli administrator lokalny jest zalogowany, a komputer wymaga ponownego uruchomienia, aktualizacje automatyczne wyświetla ostrzeżenie i odliczanie ponownego uruchomienia. W przeciwnym razie instalacja odbywa się w tle.

Jeśli komputer musi zostać uruchomiony ponownie, a każdy użytkownik jest zalogowany, zostanie wyświetlone podobne okno dialogowe odliczania, które ostrzega użytkownika o zbliżającym się ponownym uruchomieniu. Można manipulować ponownymi uruchomieniami komputera za pomocą zasad grupy.

Po pobraniu nowych aktualizacji aktualizacje automatyczne sondują serwer WSUS dla listy zatwierdzonych pakietów, aby potwierdzić, że pobrane pakiety są nadal prawidłowe i zatwierdzone. Oznacza to, że jeśli administrator programu WSUS usunie aktualizacje z listy zatwierdzonych aktualizacji podczas pobierania aktualizacji automatycznych, tylko aktualizacje, które są nadal zatwierdzone, są rzeczywiście instalowane.

Następny krok