Введение
В предыдущих статьях данного цикла я рассказал о назначении и планировании WSUS-серверов в организации. Разумеется, вы имеете представление о назначении данной серверной роли и понимаете, насколько важны серверы обновлений в вашей организации. В этой статье мы с вами поговорим о начальном развертывании серверов обновлений, а именно об этапе подготовке сервера к установке данной роли, а также о самой установке первого WSUS-сервера в организации. Если быть точнее, то вы узнаете о минимальных требованиях на серверах, которые будут выполнять роль серверов обновлений, о первоначальной настройке брандмауэров, настройке веб-серверов IIS, а также о самом процессе установки и первоначальной настройке серверов обновлений Windows Server Update Services. У большинства читателей данной статьи может возникнуть вопрос: а что же, собственно, нового представляет собой роль WSUS в сервере Windows Sever 2008 R2? Ответ прост. К основным возможностям Windows Server Update Services можно отнести полную поддержку обновлений для операционных систем Windows 7 и Windows Server 2008 R2, поддержку BranchCache, который впервые появился в Windows Server 2008 R2, новые отчеты о состоянии компьютеров и обновлений, позволяющие выполнять гибкую фильтрацию обновлений, которые вы одобряете для установки, а также устранен ряд ошибок, которые были присущи в предшествующих версиях данной роли.
Как открыть PowerShell 7
После завершения установки вы можете открыть PowerShell 7 несколькими способами.
Если вы выбрали параметры «Add PowerShell to Path Environment Variable» и «Add ‘Open here’ Context Menus to Explorer», вы можете ввести в командной строке
pwsh
или щёлкнуть правой кнопкой мыши любую папку и выбрать PowerShell 7 → Open here.
Однако одним из самых простых способов является ввод в строку поиска «pwsh». После этого нажмите Enter или кликните на иконке PowerShell мышкой. Здесь же вы можете запустить PowerShell 7 с правами Администратора.
Чтобы убедиться, что вы используете PowerShell 7, посмотрите на заголовок окна:
Для обновления справки выполните команду:
Update-Help
Если предыдущая команда завершилась ошибкой, то попробуйте обновить справку так:
Update-Help -UICulture en-US
Перенос базы WSUS на другой диск
Оказывается это достаточно простая задача:
- Создаем папку WSUS там, куда вы хотите перенести файлы обновлений. Например я создал папку на диске F: — F:\Wsus\
- Запускаем командную строку под правами администратора
- Переходим в папку с утилитой wsusutil командой:
cd C:\Program Files\Update Services\Tools
Запускаем команду, которая начнет перенос файлов обновлений:
wsusutil.exe movecontent F:\WSUS F:\WSUS\wsus.log
Если Вы не хотите чтобы перемещались сами файлы обновлений (не хотите ждать пока они скопируются) тогда добавляем -skipcopy:
wsusutil.exe movecontent F:\WSUS F:\WSUS\wsus.log -skipcopy
Где «F:\WSUS\wsus.log» — расположение лог-файла процесса переноса. Когда перенос закончится удаляем по старому адресу папки WSUS (кроме UpdateServicesDbFiles). У меня файлы обновлений WSUS хранились по адресу D:\WSUS. В этой папке есть три подпапки:
- UpdateServicesDbFiles — эту папку НЕ удаляем, она не переносится вышеописанной командой. В ней хранятся файлы баз данных которые содержат информацию о компьютерах, обновлениях, их статусах и настройках WSUS-сервера. Как раз то, что нужно включать в резервную копию
- WsusContent — удаляем, она переносится. Именно эта папка самая большая, в ней хранятся все скачанные обновления вашим WSUS-сервером. Эту папку не обязательно включать в бекап. В случае утери папки нужно выполнить команду «wsusutil.exe reset», это запустит процес проверки соответствия обновлений в базе данных обновлениям на жестком диске. В случае, если обновления повреждены, WSUS скачивает их повторно.
- UpdateServicesPackages — тоже удаляем. В ней хранятся опубликованные Вами пакеты, если вы ничего не публиковали она будет пустая.
3 ответа
Теперь можно найти ответ, просто разместив это в интересах любого, кто может столкнуться с этой проблемой.
Кажется, что удаление WSUS и WID Database фактически не удаляет базу данных WID.
БД WID можно удалить, удалив функцию Windows Internal Database .
Вам также потребуется вручную удалить файл C:\windows\WID\Data\susdb.mdf перед повторной установкой всего.
Чтобы повторно установить WSUS с чистой базой данных, то есть предыдущей конфигурации:
Запустите Windows Powershell в качестве администратора и используйте следующие команды:
- Uninstall-WindowsFeature -Name UpdateServices,Windows-Internal-Database -Restart
Запустите перезагрузку, удалите ВСЕ в папке C:\Windows\WID\ (для Win 2012 r2).
Затем выполните следующую команду для повторной установки WSUS:
Это работает только на PowerShell 3 или выше. Подробнее здесь: Microsoft TechNet: Удаление ролей и функций сервера
Подключаем WSUS сервер через GPO
Прочитано: 3 776
Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.
После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.
Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).
Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins
Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:
Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS
Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:
Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».
Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows
- Указать размещение службы обновления Майкрософт в интрасети: Включено
- Укажите службу обновлений в интрасети для поиска обновлений: https://srv-wsus.polygon.local:8530
- Укажите сервер статистики в интрасети: https://srv-wsus.polygon.local:8530
и нажимаю Применить и OK.
- Настройка автоматического обновления: Включено
- Настройка автоматического обновления: 4 — авт. Загрузка и устан. По расписанию
Установка по расписанию — день: 0 — ежедневно
Установка по расписанию — время: 20.00
и нажимаю Применить и OK.
- Разрешить клиенту присоединение к целевой группе: Включено
- Имя целевой группы для данного компьютера: office2010
и нажимаю Применить и OK.
- Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
- Включить рекомендуемые обновления через автоматическое обновление: Включено
- Разрешить немедленную установку автоматических обновлений: Включено
- Частота поиска автоматических обновлений: Включено (6часов)
На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.
После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html
Итог политики:
- Связи: Размещение: OU=WSUS
- Фильтры безопасности: Имя компьютера в домене
- Фильтр WMI: опционально.
Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force, а после отправить систему в перезагрузку (shutdown /r /t 3) или дождаться покуда рабочая станция перезагрузится.
На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv
На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:\Windows\WindowsUpdate.txt дабы разъяснить данную ситуацию.
Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.
На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.
У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.
Использование высокой пропускной способности в клиенте Windows через Центр обновления Windows
Пользователи могут увидеть, что Windows использует всю пропускную способность в разных офисах в контексте локального компьютера. Это поведение реализовано намеренно. Компоненты, которые могут использовать пропускную способность, выходят за рамки компонентов Центра обновления Windows.
Следующие групповые политики могут помочь смягчить эту ситуацию:
- Блокировка доступа к серверам Центра обновления Windows: (включено)
- Поиск драйверов: (установите «Не искать в Центре обновления Windows»)
- Автоматическое обновление Магазина Windows: (включено)
Другие компоненты, подключающиеся к Интернету:
Установка компонентов с Enable-WindowsOptionalFeature
Список компонентов, с которыми можно работать команда группы ‘WindowsOptionalFeature’ аналогичны следующем окну:
Учитывая, что это окно уже является наследием более старых систем (до Windows 10), вы можете не найти все компоненты. Например RSAT, который раньше можно было найти в этом окне, теперь доступен через интерфейс ‘Приложения и возможности’ Windows 10. Команды в этих случаях тоже отличаются.
Для получения всех компонентов нужно выполнить следующую команду:
Параметр ‘-Online’ говорит, что пакеты будут искаться на этом же компьютере. Можно поставить ‘-Path’, с указанием пути до образа Windows, что бы увидеть какие компоненты доступны там.
Несколько вариантов выполнения команды:
Учитывая, что команды относятся к модулю ‘DISM’, мы можем работать с образами используя параметры ‘PackagePath’ и ‘Path’. Такая возможность есть во всех командах ‘WindowsOptionalFeature’.
Для того, что бы включить компонент нужно выполнить следующую команду:
В следующей команде указано, что нам нужно собрать все логи (а не только ошибки) и сохранить их по указанному пути:
Отключение приложения выполняется следующим образом:
WindowsOptionalFeature так же используется для подготовки Nano сервера т.к. там нет WindowsFeature и пакеты с ролями сначала импортируются, а затем включаются.
Поведение очистки WSUS начиная с версии 1806
Начиная с версии 1806, параметр очистки WSUS возникает после каждой синхронизации и делает следующие элементы очистки:
- Параметр «Просроченные обновления»
Серверы WSUS для вторичных сайтов не запускают очистку WSUS для просроченных обновлений.
для серверов WSUS на cas и основных сайтах.
- Диспетчер конфигурации создает список перенаправленных обновлений из своей базы данных. Список основан на свойстве компонентов точки обновления программного обеспечения.
- Срок действия элементов конфигурации обновлений, которые соответствуют критериям поведения supersedence, истекает в консоли Configuration Manager.
- Обновления в WSUS для CAS и основных сайтов отклонимы, но не для вторичных сайтов.
- Очистка элементов конфигурации программного обеспечения в базе данных Configuration Manager происходит каждые семь дней и удаляет нежелательные обновления с консоли.
Примечание
«Месяцы ожидания перед истечении срока действия перенастройки» основан на дате создания нового обновления. Например, если для этого параметра используется 2 месяца, обновления, которые были замечены, будут отклонимы в WSUS и истекают в Configuration Manager, когда срок действия обновления для суперсериалов составляет 2 месяца.
Все техническое обслуживание WSUS необходимо запускать вручную на дополнительных базах данных WSUS сайта. Следующие параметры мастера очистки WSUS Server не запускаться на cas и основных сайтах:
-
Неиспользованые обновления и изменения обновлений
-
Компьютеры, не связывающиеся с сервером
-
Нежелательные файлы обновления
Дополнительные сведения и инструкции см. в полном руководстве по блогам технического обслуживания Microsoft WSUS и Configuration Manager SUP.
Диагностика WSUS
Ошибка 80244022 при обновлении windows
Причина ошибки 80244022 — в том, что не запущен сервис обновлений, точнее служба обновлений при подключении к ней выдает ошибку. При попытке открытия сайта (wsus = имя сервера WSUS):
http://wsus:8530/
Выдается сообщение:
Service Unavailable HTTP Error 503. The service is unavailable.
При этом не удается запустить консоль управления WSUS. Перезагрузка службы «WSUS service» не помогает, помогает только перезагрузка IIS и/или всего сервера (это помогает ненадолго).
Причиной зависания службы являются события в логах на сервере WSUS:
Event ID: 5117
Level: Information
Source: Microsoft-Windows-WAS
Description: A worker process serving application pool ‘WsusPool’ has requested a recycle because it reached its private bytes memory limit.
Event ID: 5002
Level: Error
Source: Microsoft-Windows-WAS
Description: Application pool ‘WsusPool’ is being automatically disabled due to a series of failures in the process(es) serving that application pool.
Более подробно — см. по этим ошибкам (event ID) — см. ниже по тексту.
Здесь приводятся неверные решения данной проблемы:
http://www.geek.giriblog.com/windows-error-80244022-solved.htmlhttps://social.technet.microsoft.com/Forums/ru-RU/b30ebfc1-0fb1-48f0-b54c-b372a3aabc10/wsus-80244022-help?forum=wsusru
Правильное решение описано здесь:
Ошибка 80244023 при обновлении windows
Эта проблема связана прежде всего со следующей проблемой: не открывается (или открывается через раз) сайт (wsus = имя сервера WSUS):
http://wsus:8530/
Если при открытии главной web-страницы WSUS отображается ошибка 403:
- зайдите на сервер WSUS
- откройте IIS => Application pools => WSuspool
- проверьте, что версия .NET указана 4.0:
wsuspool => basic settings => .NET CLR version = 4.0.xxxx
Service Unavailable
При попытке открытия сайта (wsus = имя сервера WSUS):
http://wsus:8530/
Выдается сообщение:
Service Unavailable HTTP Error 503. The service is unavailable.
При этом на клиентах при попытке обновления Windows появляются следующие сообщения об ошибках:
ошибка обновления 80244021
ошибка обновления 80244022.
И при попытке открытия консоли WSUS выдается ошибка с предложением «Reset server node».
Причиной являются следующие сообщения в логах Windows на WSUS сервере:
Event ID: 5117
Level: Information
Source: Microsoft-Windows-WAS
Description: A worker process serving application pool ‘WsusPool’ has requested a recycle because it reached its private bytes memory limit.
Event ID: 5002
Level: Error
Source: Microsoft-Windows-WAS
Description: Application pool ‘WsusPool’ is being automatically disabled due to a series of failures in the process(es) serving that application pool.
Решение этой проблемы описано в статье «Windows Server 2012 R2 WSUS Issue: Clients cause the WSUS App Pool to become unresponsive with HTTP 503». Для решения проблем, отображаемых в данных сообщениях об ошибках, необходимо произвести изменение (оптимизацию) настроек IIS, в т.ч. таких параметров как private memory, Queue Length, Maximum Failures, Maximum Failures и «Service Unavailable» Response Type. Оптимальные значения этих настроек см. в разделе «настройка Internet Information Services».
Если не открывается консоль WSUS
Если не открывается консоль WSUS, предлагает сделать reset server node — сначала можно сделать этот reset node, после чего:
- почистить настройки консоли: удалить файл в папке %appdata%\Microsoft\MMC\
- перезагрузить службу WSUS Service
- перезагрузить IIS
- перезагрузить SQL
Перенос базы данных с помощью утилиты wsusutil.exe
Перенос состоит из двух частей:
Перенос базы данных
- 1. Поднять новый сервер
- 2. Экспортировать БД на «старом»:
C:\Program Files\Update Services\Tools\wsusutil.exe export export.cab export.log
- 3. Перенести на «новый» директорию с обновлениями
- 4. Импортировать БД на «новом»
C:\Program Files\Update Services\Tools\wsusutil.exe import export.cab export.log
Перенос файлов обновлений
- 1. Скопировать файлы из директории WSUS\WsusContent старого сервера в одноименную директорию нового
- 2. Если имена дисков и папок на старом и новом сервере совпадают, то делать больше ничего не нужно.
- 3. Если нет, то изменяем место хранения файлов обновлений WSUS (может и не нужно, но хуже не будет.):
C:\Program Files\Update Services\Tools\wsusutil.exe movecontent g:\WSUS move.log -skipcopy
- Где g:\WSUS путь до WSUS на новом сервере.
- 4. Изменить GPO или скрипт для клиентов в целях перенаправления их на новый сервер
Одобрение обновлений
После переноса базы и файлов нужно настроить WSUS.
Для этого надо создать группы компьютеров для обновлений и одобрить все обновления (после переноса базы через wsusutil.exe, все обновления на новом сервере не одобрены)
Недостатки метода
У меня после переноса базы таким способом, некоторые обновления почему то отметились, как не выкачанные, а тк качать было уже неоткуда, то они устанавливаться не будут.
Установка WSUS
До того, как производить оптимизацию WSUS, рекомендуем еще в процессе установки принять решение о некоторых параметрах установки. Итак, наши рекомендации:
MS SQL база данных вместо Windows Internal Database
Определитесь, в какой базе данных будет храниться WSUS. Рекомендации таковы:
- Устанавливаем MS SQL Server. Мало того, что эта СУБД рассчитана на большие объемы данных (чего здесь не требуется), так она еще позволяет легко и удобно обслуживать базу данных (что требуется регулярно).
- Установить MS SQL базу данных можно также на отдельном сервере (типа SQL сервера для IT служб), что в случае использования виртуальных машин позволяет сэкономить ресурсы, в первую очередь оперативную память: SQL нужен для WSUS, Kaspersky Security Center, службы мониторинга сети и т.д.
Обновите PowerShell до последней версии
Ручной метод
Microsoft позволяет нам установить эту новую версию PowerShell как другую программу с ее установщиком. И, будучи проектом с открытым исходным кодом, мы можем найти все версии новой программы на Следующая ссылка .
Здесь мы найдем две разные версии. «Релиз» версия , которая соответствует последней стабильной версии программы, и «Предварительный просмотр» версия , более продвинутый, но нестабильный. Мы можем установить тот, который мы хотим, любой.
После того, как установщик загружен, мы запускаем его, и нам придется следовать за его помощником, как и любой другой программой. Разумеется, установка новой PowerShell абсолютно безопасна и не содержит никаких рекламных и нежелательных программ.
По завершении установки на ПК будет установлена последняя версия PowerShell.
Автоматический метод
Если мы не хотим загружать и устанавливать новую версию вручную, мы также можем обновить PowerShell из самой программы. Для этого нам нужно открыть окно PS с правами администратора и выполнить в нем следующую команду:
Это автоматически начнет загрузку последней стабильной версии с серверов Microsoft. Когда он будет загружен, установщик запустится, и нам придется завершить работу мастера самостоятельно, как и в предыдущем шаге.
Когда установщик завершит работу, у нас уже будет последняя версия PowerShell установлен в нашей операционной системе.
Синхронизация с сервера Microsoft
Если у Вас это первый сервер WSUS, то сначала надо загрузить для него файлы с сервера Microsoft.
Для этого:
Идем в Параметры и запускаем Мастер настройки сервера Wsus и с помощью его настраиваем наш сервер для получения обновлений с сервера Microsoft.
Я остановлюсь только на ключевых моментах данной настройки.
- Во вкладке Выбор вышестоящего сервера выбираем Синхронизировать с Microsoft Update.
- Если не используется прокси сервер, то следующую вкладку можно пропустить.
- В следующей вкладке пробуем подключиться к серверу.
- После подключения, в следующей вкладке, выбираем языки обновлений. Обычно Английский и Русский. Я для себя выбрал только Русский, и объем выкачанный апдейтов составил около 20Гб.
- Далее выбираем Программные продукты, которые поддерживаются Microsoft и на которые можно получать обновления.
Вобщем настраиваем все по порядку — вроде ничего сложного нет и все понятно.
После настройки в назначенное Вами время произойдет синхронизация с сервером Microsoft и будут выкачаны все обновления для тех продуктов и языков, которые Вы указали.
WordPress Database Reset
WordPress Database Reset позволяет вам сбросить базу данных вашего веб-сайта WordPress к исходным настройкам без переустановки WordPress. К примеру, плагин предлагает простой процесс, которые может сбросить данные целой базы данных или отдельных таблиц.
Как использовать WordPress Database Reset
База данных вашего веб-сайта хранит всю информацию о вашем веб-сайте, включая все сделанные вами настройки. И если вы используете WordPress Database Reset, то весь ваш сайт очистится. Это значит, что ваш веб-сайт будет выглядеть, как будто его только что установили.
Обратите внимание на новый пункт в меню консоли в Инструменты, он называется Database Reset
Сброс базы данных
Зайдите в Инструменты → Database Reset и решите, какую таблицу базы данных удалить.
Если вы хотите вернуться к начальным настройкам вашего веб-сайта, то нажмите Select All. Должно появиться всплывающее окно, где нужно выбрать, хотите ли вы восстановить текущую тему и плагины на обновлённом веб-сайте. Если хотите, то поставьте галочку в чекбоксе.
С другой стороны, если вы не хотите сбрасывать все настройки, то просто выберите таблицы, которые нужно удалить, из выпадающего списка. Остальная часть веб-сайта останется нетронутой. В эти таблицы входят комментарии, записи, страницы и даже пользователи.
Далее введите защитный код в поле и выберите сброс таблиц. У вас спросят ещё раз, хотите ли вы продолжить, вдруг вы передумали. Нажмите «да» и подождите завершения процесса сброса. После успешного его выполнения вернитесь в консоль WordPress, и вы увидите выбранные таблицы в исходном состоянии.
Использовать WordPress Database Reset необычайно просто, и это позволяет вам выбирать, какую информацию удалять. Мы рекомендуем этот плагин тем, кто часто сбрасывает все настройки для тестирования.
Поддержка WSUS при поддержке конфигурации Manager текущей версии филиала 1906 и более поздних версий
Если вы используете конфигурацию Manager текущей версии филиала 1906 или более поздних версий, рекомендуется включить параметры обслуживания WSUS в конфигурации точеки обновления программного обеспечения на сайте верхнего уровня, чтобы автоматизировать процедуры очистки после каждой синхронизации. Она будет эффективно обрабатывать все операции очистки, описанные в этой статье, за исключением резервного копирования и реиндексации базы данных WSUS. По-прежнему следует автоматизировать резервное копирование базы данных WSUS вместе с переиндексированием базы данных WSUS по расписанию.
Дополнительные сведения об обслуживании обновлений программного обеспечения в Configuration Manager см. в дополнительных сведениях об обслуживании обновлений программного обеспечения.
Как полностью стереть WSUS и начать заново
Кто-нибудь знает способ полностью стереть WSUS обновлений и начать заново?
Кажется, что в списке есть куча языковых пакетов и всякого мусора, который нам не нужен. После удаления всех нежелательных продуктов, классификаций и языков я хотел бы полностью очистить базу данных WSUS и начать заново. Кажется, что удаление переустановки роли WSUS не помогает, они все еще там. Также попробовал мастер очистки сервера, который, по-видимому, в основном пустая трата времени, он не очистил ни одно из обновлений, которые, как я надеялся, удалят.
Я еще не установил ни одного из них на компьютеры, так что если бы я только мог понять, как я могу полностью стереть все перечисленные обновления и начать снова, но в соответствии с моим новым сокращенным списком продуктов.
Чтобы переустановить WSUS с чистой базой данных, т.е. без предыдущей конфигурации:
Запустите Windows Powershell от имени администратора и используйте следующие команды:
Uninstall-WindowsFeature -Name UpdateServices,Windows-Internal-Database -Restart
Перезапустите пост, удалите ВСЕ в C:\Windows\WID\ папке (для Win 2012 r2).
Затем выполните следующую команду, чтобы переустановить WSUS:
Это работает только на PowerShell 3 или выше. Дополнительная информация здесь: Microsoft TechNet. Удаление ролей и функций сервера
Ответ теперь найден, просто разместите его в интересах любого, кто может столкнуться с этой проблемой.
Кажется, что удаление WSUS и WID Database опция на самом деле не удаляет базу данных WID.
База данных WID может быть удалена путем удаления этой Windows Internal Database функции.
Вам также нужно будет вручную удалить файл C:\windows\WID\Data\susdb.mdf перед повторной установкой.
Как скачать PowerShell 7 в командной строке
Разработчики PowerShell также создали скрипт, который можно вызывать непосредственно из PowerShell. Это однострочный командлет, который автоматически загружает и запускает мастер установки. Всё, что вам нужно сделать, это вставить фрагмент кода и нажать клавишу Enter.
Запустите PowerShell и скопируйте/вставьте в окно следующий командлет:
iex "& { $(irm https://aka.ms/install-powershell.ps1) } -UseMSI"
Нажмите клавишу Enter, и PowerShell запустит команду и начнёт загрузку.
Если вам любопытно, что именно делает указанная команда, то следующая запись может помочь вам разобраться:
Invoke-Expression "& { $(Invoke-RestMethod https://aka.ms/install-powershell.ps1) } -UseMSI"
То есть на первом этапе команда скачивает файл https://aka.ms/install-powershell.ps1, а затем запускает его.
Выпуск 2. Сбой ручного импорта после отключения TLS 1.1 или TLS 1.0
TLS 1.1 и TLS 1.0 постепенно отламывются, так как считаются небезопасными. После отключения этих протоколов вы больше не сможете импортировать обновления. Однако синхронизация продолжает работать.
Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.
Устранение неполадок 2
Журналы WSUS, в которых включены версии SSL/TLS при его старте. Чтобы определить версии SSL/TLS, выполните следующие действия:
-
Перезапустите службу WSUS.
-
Запустите по повышенной командной подсказке, чтобы заставить WSUS пройти последовательность запуска.
-
Откройте консоль WSUS и подключите ее к серверу.
-
Откройте, и посмотрите записи, которые начинаются в протоколе SCHANNEL. Вы должны видеть записи, похожие на следующий пример:
Эти записи показывают, что отключены TLS 1.1 и TLS 1.0 и включен TLS 1.2.
Если процесс импорта не удается, softwareDistribution.log регистрирует следующую запись ошибки:
На следующем скриншоте показан сетевой захват попытки подключения.
В захвате сети на кадрах 1518-1520 покажите трехначерное рукопожатие (SYN, SYN ACK, ACK) между клиентом и сервером. Frame 1536 — это пакет ACK FIN с сервера WSUS.
WSUS закрывает подключение, так как все протоколы, которые он знает, как использовать для импорта (SSL3, TLS 1.0, TLS 1.1), отключены и не могут использовать TLS 1.2.
Проблемы, связанные с HTTP/прокси-сервером
Центр обновления Windows использует WinHttp с запросами частичного диапазона (RFC 7233) для загрузки обновлений и приложений с серверов Центра обновления Windows или локальных серверов WSUS. Поэтому прокси-серверы в сети должны поддерживать запросы HTTP RANGE. Если прокси-сервер был настроен в Internet Explorer (на уровне пользователя), но не в WinHTTP (на уровне системы), подключение к Центру обновления Windows не будет выполнено.
Чтобы устранить эту проблему, настройте прокси-сервер в WinHTTP с помощью следующей команды netsh:
Примечание
Также можно импортировать параметры прокси-сервера из Internet Explorer с помощью следующей команды: netsh winhttp import proxy source=ie
Если при загрузке через прокси-сервер произошла ошибка 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH или вы заметили высокую загрузку процессора во время загрузки обновлений, проверьте конфигурацию прокси-сервера, чтобы разрешить выполнение запросов HTTP RANGE.
Вы можете применить правило, разрешающее запросы HTTP RANGE для следующих URL-адресов:
Если вы не можете разрешить запросы RANGE, вы будете загружать больше содержимого, чем необходимо в обновлениях (так как delta patching не будет работать).
Успешное подключение
На следующих скриншотах покажите успешное подключение, Windows Server 2016 WSUS-сервер синхронизирует обновления.
В сетевом захвате кадр 191 — это пакет Client Hello, использующий TLS 1.2. В кадре подробно показано, какие шифры были отправлены клиентом. Frame 195 — это пакет Server Hello с конечной точки. TLSCipherSuite, выбранный wu, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Сертификат сервера также отправляется в пакете Server Hello.
Дополнительная настройка подключения происходит в кадрах 196-203. Затем в кадре 207 начинается передача данных приложением (WSUS) и конечной https://sws.update.microsoft.com точкой.
Известная проблема
Рассмотрим следующий сценарий.
- Вы используете версию Configuration Manager 1906 или более поздней версии
- У вас есть точки удаленного обновления программного обеспечения с помощью внутренняя база данных Windows
- В свойствах компонентов точки обновления программного обеспечения вы можете выбрать любой из следующих вариантов в вкладке технического обслуживания WSUS:
- Добавление не кластерных индексов в базу данных WSUS
- Удаление устаревших обновлений из базы данных WSUS
В этом сценарии диспетчер конфигурации не может выполнять вышеуказанные задачи по обслуживанию WSUS для удаленных точек обновления программного обеспечения с помощью внутренняя база данных Windows. Эта проблема возникает, внутренняя база данных Windows не разрешает удаленные подключения. Вы увидите следующие ошибки на сервере сайта:
Чтобы решить проблему, можно автоматизировать обслуживание WSUS для точек удаленного обновления программного обеспечения с помощью внутренняя база данных Windows. Дополнительные сведения и подробные действия см. в полном руководстве по техническому обслуживанию Microsoft WSUS и Configuration Manager SUP.
Синхронизация с сервера WSUS
Можно новый сервер синхронизировать с другого сервера WSUS.
Для этого:
- Во вкладке Выбор вышестоящего сервера выбираем Синхронизировать с другим сервером Windows Server Update Services и указываем имя и порт сервера, с которого мы будем брать обновления и жмем далее.
- Пропускаем вкладку по настройке прокси сервера.
- В следующей вкладке жмем Начать подключение и когда станет активной кнопка Далее, жмем ее.
- Жмем Далее до Настройка рассписания синхронизации и выбираем Синхронизировать вручную (Вообще тут Вы можете установить, что хотите. Синхронизация с помощью данного режима хоть и самая простая, но занимает намного больше времени).
Вот и все с этим режимом.
Установка роли
Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:
В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:
На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):
На следующей странице оставляем переключатель в положении Установка ролей или компонентов:
Далее выбираем сервер из списка, на который будем ставить WSUS:
В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:
Среди компонентов оставляем все по умолчанию и нажимаем Далее:
Мастер запустит предварительную настройку служб обновления — нажимаем Далее:
Среди ролей службы можно оставить галочки, выставленные по умолчанию:
Прописываем путь, где WSUS будет хранить файлы обновлений:
* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.
Запустится настройка роли IIS — просто нажимаем Далее:
Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:
В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:
Процесс установки занимаем несколько минут. После завершения можно закрыть окно:
Установка роли WSUS завершена.
Установка на сервер роли WSUS
После того как вы убедитесь, что ваши аппаратные требования сервера удовлетворяют требованиям для установки, а также на данном сервере установлено все требуемое программное обеспечение, вы можете начать установку WSUS. На текущем сервере вам следует выполнить вход под учетной записью администратора, так как установку роли серверов обновлений могут выполнять лишь члены данной группы. Для окончательной установки роли WSUS, нам нужно сначала установить SQL сервер, затем установить саму роль Windows Server Update Services, а потом, используя мастер настройки WSUS отконфигурировать данный сервер.
Установка SQL сервера
Так как SQL сервер не входит в состав операционных систем Windows Server, прежде чем устанавливать SQL сервер на компьютер, который будет выполнять роль сервера обновлений, загрузите SQL Server из Центра загрузки Microsoft. Установка SQL сервера довольно простая. В данном случае устанавливается Microsoft SQL Server 2008. Для того чтобы установить его, выполните следующие действия:
Установка Windows Management Framework and PowerShell 5.1.14409.20180811 через репозиторий choco
Есть такой офигенный репозиторий choco, который позволяет одной командой всегда иметь самые последние официальные версии продуктов и утилит, и PowerShell тут не исключение. Как подключать в Windows репозиторий choco я рассказывал, можете посмотреть. Когда он у вас есть вы открываете командную строку cmd , обязательно от имени администратора и вводите команду:
choco install powershell
Вот так вот просто. В итоге запуститься удаленный скрипт из репозитория, вам покажут какая версия PowerShell самая последняя и спросят, хотите ли вы ее установить, нажимаете Y и тут начинается магия автоматической установки со всеми зависимостями и пакетами KB обновлений.
Осталось перезагрузить вашу систему и проверить новую, установленную версию PowerShell.