Jak nainstalovat a nakonfigurovat službu WSUS v systému Windows Server 2016

18. prosince 2021 3819 Pohledy WSUS

Procházet témata příspěvků

Co je WSUS Windows Server 2016?

WSUS Windows Server 2016 je role Microsoft Server, která umožňuje stahování a instalaci aktualizací operačního systému do počítačů v místní síti.

Správci systému používají službu WSUS (Windows Server Update Service) k vytváření skupin počítačů pro usnadnění správy oprav. Kromě toho může server Windows Server Update Service také generovat zprávy o shodě a určit počítače, které potřebují konkrétní aktualizace.

V tomto tutoriálu se naučíte, jak:

  • Nainstalujte a nakonfigurujte roli WSUS Windows Server 2016 Server
  • Konfigurace zásad skupiny pro aktualizace WSUS Windows Server 2016
  • Nastavte cílení na straně klienta pro WSUS Windows Server 2016

Pokud budete postupovat podle nastavení v tomto kurzu, měli byste být schopni nastavit fungující infrastrukturu serveru WSUS.

Abyste si mohli projít instalace a konfigurace popsané v tomto kurzu, potřebujete řadič domény, 2 servery WSUS (jeden jako upstream, druhý jako downstream server) a klientský počítač Windows 10. Všechny počítače musí být členy domény AD.

Kroky k instalaci a konfiguraci WSUS role serveru Windows Server 2016

Zde jsou kroky k instalaci a nastavení služby Windows Server Update Service v systému Windows Server 2016

Nastavení serverů, které splňují požadavky na instalaci služby WSUS

Před instalací role WSUS Windows Server 2016 musíte potvrdit, že váš server splňuje požadavky. Níže jsou uvedeny požadavky.

Systémové požadavky pro instalaci role WSUS

  • Procesor: 1,4 gigahertz (GHz) x64 procesor (doporučeno 2 GHz nebo rychlejší)
  • Paměť: Server WSUS vyžaduje dalších 1,5 GB paměti RAM – nad rámec toho, co vyžaduje systém Windows Server 2016.
  • Dostupné místo na disku: 10 GB (doporučeno: 40 GB nebo více)
  • Síťový adaptér: 100 megabitů za sekundu (Mbps) nebo vyšší

Další požadavky na instalaci role WSUS Windows Server 2016

  • Pokud existuje nevyřízený požadavek na restartování, restartujte server před povolením role serveru Windows Server Update Service.
  • Kromě toho musí být na serveru nainstalován Microsoft .NET Framework 4.5.
  • The Úřad NTSíť Servis účet musí mít oprávnění Úplné řízení pro následující složky:

%windir%Microsoft.NETFrameworkv4.0.30319Temporary ASP.NET Files a %windir%Temp složky. Tato cesta nemusí existovat před instalací Internetové informační služby (IIS).

  • Nakonec musí být instalační účet členem skupiny Local Administrators

Požadavky na databázi WSUS Windows Server 2016

Je vyžadována alespoň jedna z těchto databází:

  • Interní databáze Windows (WID)
  • Microsoft SQL Server 2017
  • MS SQL Server 2016
  • Microsoft SQL Server 2014
  • MS SQL Server 2012
  • Microsoft SQL Server 2008 R2

Další požadavky na instalaci

Kromě výše uvedených požadavků jsou zde další úvahy a požadavky:

  • Roli serveru WSUS a databázový server můžete nainstalovat na samostatné počítače. Nicméně,
  • Databázový server nemůže být řadičem domény.
  • Server WSUS také nemůže spustit službu Vzdálená plocha
  • Databázový server a server WSUS musí být ve stejné doméně AD. Pokud jsou v různých doménách, domény musí mít vztah důvěryhodnosti.
  • Nakonec musí být oba servery ve stejném časovém pásmu nebo musí být synchronizovány se stejným zdrojem času GMT.

Proveďte předinstalační úlohy služby WSUS (Windows Server Update Service).

Před instalací role Windows Server Update Service proveďte následující úkoly:

  • Přidat Správce domény účtu jako člen Místní správci skupina na serveru, do kterého chcete nainstalovat roli WSUS: Otevřít Správce serveru a poté klikněte Nástroje a vyberte Počítačoví manažeři t. Na Počítačový management , klikněte Místní uživatelé a skupiny . Poklepejte na Skupiny a potom poklepejte na skupinu Administrators. Nakonec potvrďte, že instalační účet je členem místní skupiny správců.
WSUS (Windows Server Update Service) – Přidejte účet Domain Admin jako člena skupiny Local Administrators na serveru, na který chcete nainstalovat roli WSUS
  • Ujistěte se, že je nainstalováno rozhraní Microsoft .NET Framework 4.5 (4.6 v systému Windows Server 2016). Pokud ne, nainstalujte jej: Otevřít Správce serveru . Pak klikněte Přidat role nebo funkce . Na první stránce klikněte na Další. Poté vyberte Instalace založená na rolích nebo funkcích . Klikněte na Další, dokud se nedostanete na Funkce .
Úlohy předinstalace služby WSUS – Potvrďte, že je nainstalováno rozhraní Microsoft .NET Framework 4.5
  • Dále potvrďte, že Síť Servis účet má oprávnění Úplné řízení k: %windir%Microsoft.NETFramework64. Klikněte pravým tlačítkem myši Rámec64 a vyberte Vlastnosti a poté klepněte na Bezpečnostní tab.
Důležitá rada
Aby bylo možné upravit oprávnění Rámec64 možná budete muset převzít vlastnictví složky. Možná budete také muset přidat svůj účet do místní skupiny správců.
  • Potvrďte, že server, na který chcete nainstalovat roli WSUS, splňuje následující požadavky: Paměť je 1,5 GB RAM – nad rámec požadavků systému Windows Server 2016. Dostupné místo na disku: 10 GB (doporučuje se 40 GB nebo více). Nakonec se ujistěte, že váš síťový adaptér má rychlost 100 megabitů za sekundu (Mbps) nebo vyšší.
Poznámka
Pro Windows Server 2016 hardwarové požadavky si přečtěte Windows Server 2016: cheat sheet

Nainstalujte WSUS Windows Server 2016 Server Role

Nainstalujte WSUS Windows Server 2016 Server Role

Nyní jste připraveni nainstalovat službu WSUS. Postupujte podle následujících kroků:

  • Přihlaste se k serveru a otevřete Správce serveru (ve výchozím nastavení by se měl normálně otevřít).
  • Ve Správci serveru (pravý horní roh) klikněte na Spravovat pak vyberte Přidat role a funkce .
Nainstalujte službu WSUS (Windows Server Update Service) – přidejte role a funkce
  • Na stránce Než začnete klepněte na tlačítko Další.
  • V části Vyberte typ instalace vyberte Instalace na základě rolí nebo funkcí a klepněte na tlačítko Další.
Windows Server Update Service
  • Dále na stránce Vybrat cílový server vyberte server, na který chcete nainstalovat roli WSUS (Windows Server Update Service), a klikněte na další .
  • Další stránka nabízí možnost výběru rolí, které chcete nainstalovat. Zaškrtněte políčka vedle Windows Server Update Service . Načte se stránka s výzvou k potvrzení dalších funkcí k instalaci. Klikněte Přidat funkce . Potom klepněte na tlačítko Další.
  • Načte se stránka Vybrat funkce. Chcete-li pokračovat, klepněte na tlačítko Další.
  • Poznamenejte si informace na stránce Windows Server Update Services. Poté pokračujte kliknutím na tlačítko Další.
  • Zkontrolujte funkce zaškrtnuté níže. Potom klepněte na tlačítko Další.
  • Zadejte místní nebo vzdálenou cestu k ukládání aktualizací.
  • Na stránce s informacemi o roli webového serveru (IIS) si přečtěte informace a pokračujte kliknutím na tlačítko Další.
  • Poté zkontrolujte role a funkce serveru, které jste vybrali. Klepněte na tlačítko Další.
  • Nakonec na potvrzovací stránce zkontrolujte svůj výběr. Zaškrtněte políčko V případě potřeby automaticky restartujte cílový server a klikněte Nainstalujte .
WSUS (Windows Server Update Service) – stránka potvrzení instalace rolí

Roli WSUS lze také nainstalovat spuštěním příkazu PowerShell níže:

|_+_|

Nakonfigurujte službu WSUS Windows Server 2016 pomocí Průvodce konfigurací služby WSUS

Nakonfigurujte službu WSUS Windows Server 2016 pomocí Průvodce konfigurací služby WSUS

Po instalaci WSUS Windows Server 2016 je dalším krokem konfigurace. Postup konfigurace role:

  • Otevřete Správce serveru a klikněte na žlutý oranžový trojúhelník. Poté vyberte Spusťte úlohy po instalaci . Počkejte na dokončení úlohy po instalaci. Poté pokračujte dalším krokem.
  • Stále ve Správci serveru klikněte na Nástroje pak vyberte Windows Server Update Services .
  • Přečtěte si informace na stránce Než začnete a pokračujte kliknutím na Další.
WSUS (Windows Server Update Service) – konfigurace
  • Dále se rozhodněte, zda se chcete zapojit do programu vylepšení Microsoft Update nebo ne. Klepněte na tlačítko Další.
  • Další fáze je velmi kritická, protože zde rozhodujete o serveru WSUS, který se připojí k serveru Microsoft Updates Server. Vybrat Synchronizujte z webu Microsoft Update . Poté pokračujte kliknutím na tlačítko Další.
  • Pokud pro připojení k internetu požadujete proxy server, nakonfigurujte jej zde.
  • Přečtěte si příslušné informace na Připojte se k upstream serveru stránku a poté klikněte Začněte se připojovat .
WSUS (Windows Server Update Service) – připojte se k serveru Microsoft Update Důležitá rada
Dokončení předchozího kroku může chvíli trvat v závislosti na vašem internetovém připojení.
  • Po dokončení úlohy připojení klepněte na tlačítko Další.
  • Vyberte jazyky ke stažení a klikněte na Další. Stahuji pouze angličtinu.
  • Vyberte produkty, pro které chcete stáhnout aktualizace. Pokud jste v produkčním prostředí, stáhněte si aktualizace pro všechny produkty ve vašem prostředí.
  • Rozhodněte se o klasifikaci aktualizací, které chcete stáhnout. Ve většině případů jsou výchozí hodnoty v pořádku.
WSUS (Windows Server Update Service) – rozhodněte se, zda chcete aktualizace stáhnout
  • Rozhodněte se, jak chcete synchronizovat server WSUS se serverem Microsoft Updates. V produkčním prostředí to má mnoho důsledků. Zvažte počet aktualizací ke stažení a šířku pásma internetu.
  • Na Dokončit stránku, zkontrolujte Spusťte počáteční synchronizaci a klepněte na tlačítko Další. Poté klikněte na Dokončit.
WSUS (Windows Server Update Service) – Zahajte počáteční synchronizaci

Konfigurace downstreamových serverů pro WSUS Windows Server 2016

V produkčním prostředí s počítači na různých místech může být vyžadován následný server. Podřízený server stáhne aktualizace z vašeho nadřazeného serveru a distribuuje aktualizace do počítačů ve své místní síti. Tímto způsobem se vyhnete instalaci aktualizací přes připojení WAN.

Níže uvedené kroky vás provedou konfigurací navazujícího serveru WSUS Windows Server 2016.

Důležitá rada
Chcete-li provést tento úkol, měli byste nainstalovat roli Windows Server Update Service na navazující server. Kromě toho byste měli také provést úlohu po instalaci.
  • Přihlaste se k druhému serveru WSUS. Ve Správci serveru klepněte na Nástroje potom Vybrat Windows Server Update Services .
  • Na Než začnete klikněte na Další.
  • Rozhodněte se, zda se zapojíte do programu vylepšení služby Microsoft Update či nikoli. Pokračujte kliknutím na Další.
  • Na Vyberte Upstream Server zadejte název vašeho upstream serveru WSUS. Poté zaškrtněte políčka Při synchronizaci aktualizačních informací použijte SSL a Toto je replika nadřazeného serveru . Chcete-li pokračovat, klepněte na tlačítko Další.
WSUS (Windows Server Update Service) Důležitá rada
V závislosti na vašem prostředí se můžete rozhodnout nenakonfigurovat downstream server jako repliku upstream serveru. Důrazně se však doporučuje používat SSL.
  • Na Zadejte proxy server klikněte na Další.
  • Nakonec pro synchronizaci s nadřazeným serverem WSUS klikněte na Zahájit připojení.
WSUS (Windows Server Update Service) Důležitá rada
Pokud se zobrazí chyba HTTP, zkontrolujte, zda je váš upstream server nakonfigurován tak, aby akceptoval připojení SSL. Případně se můžete vrátit a zrušit zaškrtnutí Při synchronizaci aktualizačních informací použijte SSL n.

Pokračujte v konfiguraci downstream serveru

V posledním úkolu, když kliknete Začněte se připojovat , může chvíli trvat, než průvodce zpracuje váš požadavek.

  • Když další zpřístupní tlačítko, pokračujte kliknutím na něj.
WSUS (Windows Server Update Service)
  • Ve srovnání se stejnou obrazovkou, když jsme konfigurovali upstream server, je jediným dostupným jazykem angličtina. Pokračujte kliknutím na Další.
WSUS (Windows Server Update Service) -
  • Dříve v tutoriálu jsme nakonfigurovali plán synchronizace pro upstream server. Udělejte totéž níže. Pokud pracujete v produkčním prostředí, ujistěte se, že jste níže nastavili čas po synchronizaci nadřazeného serveru.
  • Nakonec zkontrolujte Spusťte počáteční synchronizaci klepněte na tlačítko Dokončit.

Konfigurace zásad skupiny pro aktualizace WSUS Windows Server 2016

Dalším krokem je použití nastavení zásad skupiny k automatické konfiguraci služby WSUS.

Důležitá rada
Ve složitém produkčním prostředí můžete vytvořit různé objekty zásad skupiny (GPO) a propojit je s různými organizačními jednotkami (OU). Pro tento tutoriál propojím jeden GPO s horní částí domény.
  • Chcete-li začít, přihlaste se k řadiči domény. Otevřete Správce serveru, klepněte na Nástroje pak vyberte Správa zásad skupiny .
Důležitá rada
Chcete-li se dostat do domény, možná budete muset rozbalit kontejner Forest a poté rozbalit kontejner Domain.
  • Dále vytvořte kopii souboru Výchozí zásady domény GPO. Chcete-li to provést, rozbalte Objekty zásad skupiny kontejner. Poté přetáhněte Výchozí zásady domény GPO do Objekty zásad skupiny kontejner.
  • Poté na Kopírovat GPO dialogovém okně přijměte výchozí oprávnění a klepněte na OK . GPO bude zkopírován. Klikněte OK v dialogovém okně kopírování.
  • nový GPO, Kopie výchozích zásad domény je vytvořen.
  • Je vhodné přejmenovat zkopírovaný GPO na zapamatovatelnější název. Zavolal jsem své WSUS GPO. Chcete-li objekt GPO přejmenovat, klepněte na něj pravým tlačítkem a vyberte Přejmenovat . V dalším kroku upravíte GPO a nakonfigurujete nastavení WSUS
WSUS (Windows Server Update Service) – přejděte na Windows Update GPO

Nakonfigurujte GPO pro WSUS Windows Server 2016

Nyní, když jste vytvořili GPO pro WSUS Windows Server 2016, je dalším krokem konfigurace nastavení GPO.

  • Chcete-li začít, klepněte pravým tlačítkem na nový objekt GPO a vyberte Upravit . The Editor správy zásad skupiny otevře.
WSUS (Windows Server Update Service)
  • Pod Konfigurace počítače kontejner, rozšířit Opatření . Poté přejděte na Šablony pro správuSoučásti systému Windows . Klikněte Windows Update . Nakonec pod oknem vyberte Standard tab.
  • V podokně podrobností poklepejte Konfigurace automatických aktualizací . V nastavení GPO vyberte Povoleno a poté nakonfigurujte nastavení automatických aktualizací. Přečtěte si stránku nápovědy (vpravo), která vám pomůže s výběrem, který splní vaše požadavky. Až skončíte, klikněte OK pro uložení změn.
WSUS (Windows Server Update Service)
  • Zpět k Editor správy zásad skupiny dvakrát klikněte na Zadejte umístění intranetové služby Microsoft Update politika.
  • Klikněte na Umožnit volba. Poté na Nastavte službu aktualizace intranetu pro detekci aktualizací a Nastavte intranetový statistický server do polí zadejte název serveru WSUS, který chcete použít. Zadejte v zobrazeném formátu. Nakonec klikněte OK aplikujte změny.
Důležitá rada
Pokud jste použili jiné číslo portu, nezapomeňte ho sem uvést. Stejně důležitá je také možnost SSL. Pokud je váš server nakonfigurován pro SSL, použijte https, jinak použijte http.
  • Než zavřete Editor správy zásad skupiny potvrďte, že dvě nastavení zásad (níže zvýrazněná červeně) jsou Povoleno . Poté editor zavřete a přejděte k dalšímu kroku.

Propojte WSUS Windows Server 2016 GPO s kontejnerem

Jak jsem řekl dříve, svůj GPO WSUS můžete propojit s organizačními jednotkami nebo přímo v doméně. Nejlepším postupem je propojit GPO s organizačními jednotkami obsahujícími vaše počítače. Pro tento tutoriál však propojím GPO s doménou.

  • Chcete-li propojit objekt WSUS GPO s kontejnerem, přetáhněte jej do kontejneru. Můj je propojený s doménou. Budete vyzváni k potvrzení odkazu. Klikněte Ano .
  • GPO je nyní propojen s doménou!

Závěrečné poznámky týkající se WSUS (Windows Server Update Service) GPO

Očekává se, že počítače v kontejneru přijmou konfiguraci v objektu GPO. Když počítač aktualizuje GPO, měl by se objevit v konzole WSUS (Windows Server Update Services).

Počítačům může trvat až 30 minut, než se zobrazí v konzole WSUS. Chcete-li vynutit aktualizaci GPO na počítači, spusťte z počítače následující příkaz:

|_+_|

Chcete-li vynutit okamžitou detekci počítače serverem WSUS, proveďte následující příkaz:

|_+_|

Konfigurace cílení na straně klienta pro WSUS Windows Server 2016

Cílení na straně klienta nakonfigurované prostřednictvím zásad skupiny se používá k přidávání počítačů do skupin WSUS. Skupina WSUS, do které počítač patří, určuje aktualizace, které na něj budou použity.

Když je povoleno cílení na straně klienta, klientské počítače identifikují skupiny počítačů WSUS, do kterých by měly být přidány. Informace jsou odeslány na server, když klient komunikuje se serverem. Server WSUS pak použije informace získané od klienta k určení, které aktualizace jsou nasazeny do klientského počítače.

Níže uvedené kroky vás provedou aktivací cílení na straně klienta prostřednictvím zásad skupiny.

  • Přihlaste se k řadiči domény a otevřete Správa zásad skupiny (prostřednictvím Správce serveru).
  • Dále klikněte pravým tlačítkem na objekt GPO, který jste vytvořili dříve, a vyberte Upravit. Editor správy zásad skupiny otevře. Navigovat do Šablony pro správuSoučásti systému Windows . Klikněte Windows Update
  • V podokně podrobností poklepejte Povolit cílení na straně klienta Politika.
WSUS (Windows Server Update Service)
  • Povolit zásadu. Poté do pole Název cílové skupiny pro tento počítač zadejte název skupiny WSUS. Klepnutím na tlačítko OK uložte změny.
Důležitá rada
Název skupiny zadaný výše musí být vytvořen pod Všechny počítače kontejner ve službě WSUS.

Tady to máte – instalace a konfigurace WSUS! Doufám, že vám tato zóna S pomohla.

Máte-li jakékoli dotazy nebo připomínky, použijte prosím níže uvedený formulář Zanechat odpověď.

Další užitečné příručky

  • Koncepce a správa služby Active Directory
  • Active Directory Domain Services: Instalace a konfigurace
  • Co je to Active Directory (50 nejčastějších zodpovězených otázek k reklamám)

Další zdroje a reference