Case study IT systems and administration
Łukasz Kuźniewski | 2018-11-02

Zapanuj nad aktualizacjami Windows – WSUS

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

Omówienie usług WSUS

Usługi WSUS oferują następujące funkcjonalności:

  • pobranie aktualizacji z serwerów Microsoft, przechowywanie ich lokalnie
    i dystrybucję w obrębie lokalnej sieci – pozwala to na redukcję obciążenia łącza internetowego;
  • zatwierdzanie i odrzucanie aktualizacji – pozwala to na kontrolę nad tym, które aktualizację będą lub nie będą instalowane;
  • grupowa dystrybucja aktualizacji – pozwala na określenie, które komputery mają otrzymać aktualizację, a które nie;
  • monitorowanie dystrybucji aktualizacji i generowanie raportów – pozwala na monitorowanie postępów instalacji i statusu aktualizacji danego komputera.

Przykładowy scenariusz wdrożenia usług WSUS

W scenariuszu załóżmy, że firma ma 3 oddziały. Centrala ma 100 komputerów, oddział 2 ma 50 komputerów i 3 oddział, który jest obsługiwany przez lokalny dział IT, posiada 25 komputerów. Sytuację idealnie zobrazuje poniższy schemat:

🔍

Wdrożenie WSUS w centrali pozwoli na redukcję obciążenia łącza internetowego. Wyobraźmy sobie instalację aktualizacji zbiorczej do systemu Windows o rozmiarze 3 GB na każdym stanowisku osobno, pobranie tej aktualizacji dla 100 stacji roboczych będzie wymagało pobrania ok. 300 GB z serwerów Windows Update przez łącze internetowe. Po wdrożeniu WSUS aktualizacja będzie pobrana tylko raz z serwerów Microsoft, a wszystkie komputery pobiorą ją z serwera WSUS umieszczonego w tej lokalizacji.

            Wdrożenie serwera WSUS w oddziale 1 pozwoli na redukcję ilości przesyłanych danych pomiędzy oddziałami, 50 komputerów w tym oddziale nie będzie pobierać aktualizacji z centrali, tylko z lokalnego serwera. Dodatkowo opcja repliki pozwoli na centralne sterowanie z poziomu podstawowego serwera.

            Dodatkową funkcjonalnością WSUS jest możliwość przekazywania aktualizacji do następnego serwera WSUS. Tę możliwość wykorzystano przy wdrożeniu do oddziału 2. W tej konfiguracji serwer WSUS zainstalowany w tym oddziale pobiera aktualizację z serwera podstawowego w centrali, ale lokalny administrator może zatwierdzać aktualizację do instalacji. Raporty i statusy z instalacji aktualizacji będą widziane również z poziomu centralnego serwera WSUS.

Wymagania WSUS

Usługi WSUS,  jak każda inna rola w serwerach Windows, ma pewne wymagania sprzętowe i programowe, prezentują się one następująco:

  • System przynajmniej Microsoft Windows 2008 R2 – polecam użyć najnowszej dostępnej wersji systemu operacyjnego Windows 2016;
  • Działa również w dystrybucjach Foundation i Small Business lub Essentials
  • Partycja sformatowana w systemie NTFS i nie może być skompresowana;
  • Przynajmniej 2 GB pamięci RAM;
  • Przynajmniej 4 GB wolnej przestrzeni na partycji systemowej na potrzeby bazy danych WSUS i plików systemowych;
  • Przynajmniej 10 GB wolnej przestrzeni na magazyn aktualizacji – rekomenduję 300 GB – wykorzystanie miejsca zależy od tego, ile produktów i języków wybierzemy.

Przy instalacji usług WSUS na serwerze dodatkowo zostaną zainstalowane następujące role:

  • IIS – Internetowe usługi informacyjne – niezbędne do łączności
    z komputerami klienckimi;
  • Windows Internal Database – niezbędne do przechowywania konfiguracji, statusów i raportów usług WSUS, można go zastąpić zewnętrzną bazą MSSQL;
  • Opcjonalnie można zainstalować Microsoft Reports Viewer 2008 – pozwala na generowanie raportów z instalacji aktualiza.

Wdrożenie usług WSUS

Poniżej przedstawiony instruktaż jest podstawowym sposobem wdrożenia usług WSUS. Trzeba go dostosować do potrzeb i wymagań infrastruktury w danej firmie. Wdrożenie wykonamy na systemie Windows Server 2012 R2 Standard.

Usługi WSUS instalujemy jako rolę systemu Windows. Jeśli rola WSUS jest niewidoczna w menedżerze serwera, należy pobrać wszystkie aktualizacje z Windows Update.

  1. W menedżerze urządzeń wybrać „Zarządzaj” i następnie „Dodaj role i funkcje”
  2. Po zapoznaniu się z ekranem powitalnym kreatora należy wybrać „instalacja oparta na rolach lub oparta na funkcjach”.
  3. Następnie należy wybrać serwer, który będzie pełnić rolę serwera WSUS.
  4. Następnie z listy ról należy wybrać „Windows Server Update Services”.
  5. Kreator zapyta się czy zainstalować dodatkowe role na serwer (tutaj będzie między innymi IIS i Windows Internal Database), należy potwierdzić to klawiszem „Dodaj funkcje”.
🔍

Lista funkcji

Następnie w kreatorze przechodzimy przez listę „Funkcji” bez zmian i przechodzimy do ekranu powitalnego WSUS. Po ekranie powitalnym możemy zdecydować czy baza danych ma być umieszczona w Windows Internal Database, czy na zewnętrznym serwerze. My zostawimy wdrożenie z pomocą Windows Internal Database.

🔍

Przechowywanie aktualizacji

Następnie należy określić, gdzie mają być przechowywane aktualizacje. Rekomenduję wybranie lokalizacji, w której jest dużo wolnej przestrzeni dyskowej zgodnie z wcześniejszymi zaleceniami.

🔍

instalacji roli IIS

Następnie będą ekrany odnośnie instalacji roli IIS, na nich nie należy nic zmieniać, na ekranie podsumowania można jeszcze przejrzeć wybrane role i jak wszystko się zgadza, to naciskamy przycisk „Zainstaluj”.

Po tym procesie udało się wdrożyć rolę WSUS. Następnym etapem jest wstępna konfiguracja usług WSUS na serwerze.

  1. W Menedżerze Serwera wybrać rolę „WSUS” i następnie po naciśnięciu przycisku „Więcej” należy kliknąć „Uruchom zadania poinstalacyjne”.
  2. Po zakończeniu procesu poinstalacyjnego można przejść do konfiguracji usług, w tym celu należy wybrać w oknie Menedżera Serwera „Narzędzia” i następnie „Windows Software Update Services”.
  3. Na starcie pojawi się „Kreator konfiguracji”, który pozwoli na skonfigurowanie usług wedle naszych potrzeb. Po przejściu ekranu powitalnego i określeniu czy chcemy przesyłać dane diagnostyczne do Microsoft, przejdziemy do ekranu, gdzie wybieramy serwer nadrzędny.
  4. W tym kroku możemy zdecydować czy:
    • Serwerem nadrzędnym będą Serwery Windows Update – wtedy jest to serwer podstawowy w organizacji;
    • Serwerem nadrzędnym będzie inny serwer WSUS – wtedy to będzie serwer podrzędny (tzw. Autonomiczny);
    • Jeśli zaznaczymy opcję „To jest replika serwera nadrzędnego” – wtedy serwer stanie się repliką serwera nadrzędnego i wszystkie ustawienia będą przenoszone z nadrzędnego serwera.

My w tym kroku wybierzemy serwer nadrzędny na serwery Windows Update, gdyż będzie to podstawowy serwer WSUS.

🔍

5. Następnie należy określić czy w organizacji używamy serwera Proxy do połączenia z serwerem Windows Update, jeśli tak to trzeba podać dane niezbędne do połączenia.

6. Po wprowadzeniu ustawień proxy, trzeba pobrać ustawienia z serwera nadrzędnego, ten proces trochę może potrwać.

🔍

7. Po pobraniu ustawień zostaniemy przekierowani do ekranu, gdzie można wskazać języki aktualizacji. Zalecam wybrać tylko te, które są wykorzystywane w organizacji. Im więcej wybierzemy, tym więcej przestrzeni dyskowej zajmą pobrane aktualizacje.

8. Następnie należy wybrać produkty, do których mają być instalowane aktualizacje. Zalecam wybrać tylko te, które są w organizacji.

9. W następnym ekranie trzeba określić klasyfikacje aktualizacji do pobrania. Zalecam pozostawić te opcje bez zmian. Im więcej wybierzemy, tym dłużej będzie trwała synchronizacja z serwerem nadrzędnym.

🔍

10. W następnych krokach należy skonfigurować harmonogram synchronizacji i następnie określić, kiedy ma być wykonana pierwsza synchronizacja. Zalecam ustawienie automatycznej synchronizacji raz dziennie i wykonanie jej po zakończeniu kreatora.

Po tych krokach mamy wstępnie przygotowany serwer WSUS do pracy. Następnym krokiem jest opublikowanie go w organizacji i zatwierdzenie aktualizacji po zsynchronizowaniu z serwerem nadrzędnym.

Publikowanie serwera w organizacji polega na stworzeniu obiektu zasad grupowych (GPO) i ustawieniu go w domenie Active Directory. W tym celu na kontrolerze Active Directory tworzymy nowy obiekt zasad grupy i potem otwieramy go w edytorze zasad grupowych. Po otwarciu, trzeba wejść w: Computer Configuration > Polices> Administrative Settings > Windows Components > Windows Update. Następnie w tym folderze trzeba wybrać ustawienie „Specify intranet Microsoft update service location”.

W tym ustawieniu trzeba określić adres IP serwera, który wdrażamy, w tym przypadku to będzie: http://SRV-WSUS-01:8530

🔍

Dodatkowo rekomenduję skonfigurowanie przez GPO automatycznych aktualizacji i wyłączenie automatycznego restartu komputerów.

Po skonfigurowaniu zasad grupowych GPO należy przypisać tę zasadę do jednostki organizacyjnej w Active Directory – można to wykonać w konsoli „Group Policy Management” na kontrolerze domeny Active Directory.

Po skonfigurowaniu zasad GPO należy zatwierdzić aktualizację do instalacji.
W tym celu na serwerze WSUS należy wejść w konsolę zarządzania Windows Software Update Services i po wybraniu nazwy serwera w drzewie konsoli po lewej stronie można zobaczyć status synchronizacji z serwerami Windows Update. Należy pamiętać, że pierwsza synchronizacja długo trwa.

🔍

Jeśli wynik ostatniej synchronizacji to „Powodzenie”, tak jak na załączonym zdjęciu, to należy przejść w drzewie konsoli do sekcji „Aktualizacje”. Zatwierdzanie aktualizacji zalecam rozpocząć od widoku „aktualizacje krytyczne”. W tej sekcji polecam zaznaczenie wszystkich aktualizacji i wybranie opcji „Zatwierdź”.

🔍

Następnie można przejść do widoku „aktualizacje zabezpieczeń” i tam wybrać tylko te aktualizacje, które zgłosiły komputery klienckie jako „potrzebne”. W ten sposób zaoszczędzimy dużo miejsca na dyskach serwera WSUS i nie będziemy ich zaśmiecać zbędnymi aktualizacjami.

Postępy instalacji aktualizacji można obserwować po wybraniu opcji „Wszystkie komputery” w drzewie konsoli. W tym widoku widać, które aktualizacje zostały już zainstalowane na danym komputerze.

🔍

W ramach zadań administracyjnych, co pewien czas należy przeglądać aktualizacje potrzebne do zatwierdzenia i status synchronizacji z serwerami Microsoft. Można stworzyć grupy do dystrybuowania aktualizacji np. do testów. Pozwala to zoptymalizować kontrolę nad dystrybucją aktualizacji i stopniowanie dystrybucji aktualizacji.

Podsumowanie

Powyżej przedstawiony sposób jest uproszczonym sposobem wdrożenia. Pozwala to na szybkie i poprawne uruchomienie usług w ramach organizacji, bardziej szczegółowy jest opisany w materiałach źródłowych, np. na stronach Microsoft.

Support Online to firma świadcząca usługi informatyczne od 2002 roku. Współpracujemy z wieloma firmami w zakresie kompleksowej opieki informatycznej, w skład której wchodzą m.in.:

Zachęcamy do kontaktu, oferujemy rozwiązania szyte na miarę. Pozwól nam zadbać o bezpieczeństwo Twojego biznesu.

Autor: Łukasz Kuźniewski

Źródło:

Łukasz Kuźniewski -
Related articles
Case study
| migrations and backups Case Study: Implementing Hardened Backup in Microsoft Azure. Read more
Article
| career Employee training and development in Support Online Read more
Article
| migrations and backups Veeam Hardened Repository – What is it and how does it protect backups against ransomware in 2026? Read more
Your IT.
our
support.
Contact us

The administrator of your personal data is Support Online sp. z o.o. Your personal data will be processed to respond to your inquiry and, if you consent, also to send the SOL newsletter. You can read about the detailed rules for personal data processing by our organization in our Privacy Policy.

FAQ
What does an IT company do? What IT solutions do we use at Support Online? When is it worth using an IT company? Why is it worth hiring an IT company rather than a freelance IT specialist? What are the advantages of working with IT Support Online?

An IT company, or IT firm, deals with information technology in a broad sense. This includes, among other things:

  1. Software design and development: An IT company can create custom applications for other companies or software products for the mass market. Depending on their specialization, these can include mobile applications, desktop applications, web applications, or embedded systems.
  2. Consulting services: An IT company often provides experts to advise on implementing new technologies, optimizing business processes, or selecting appropriate technological solutions.
  3. Cloud solutions: Many IT companies specialize in implementing and managing cloud solutions, such as data storage, application hosting, and data analysis platforms.
  4. IT security: Protection against cyberattacks, security audits, implementing security policies, and network monitoring are just some of the IT companies' responsibilities in this area.
  5. IT infrastructure management: In this area, a company may manage servers, databases, networks, and endpoints.
  6. Technical Support and Service: An IT company may provide support for its own products or general IT support for other companies, managing their technology on a daily basis.
  7. Training: Many IT providers also offer training in software use and secure technology use.
  8. Hardware Solutions: Some IT companies may also provide and configure computer, server, or network hardware.

Depending on their specialization and size, an IT company may offer one, several, or all of the above solutions. When choosing a provider, it's important to thoroughly understand their services and tailor them to your individual needs.

At Support Online, we have been supporting companies for years with

  1. comprehensive user support (both on-site and remotely),
  2. we service computers, phones, tablets, and related network issues,
  3. we specialize in server administration: Windows, Linux/Unix,
  4. we support virtualizers such as KVM, Hyper-V, VMWare, and Proxmox,
  5. we support cloud services, particularly solutions such as Azure, Microsoft 365, and AWS,
  6. we monitor servers and devices on the internet,
  7. we consult on development, DRP, and support the stability of your business in the IT layer.

If you're looking for a good IT company, Support Online is the right place to grow your business.

It's worth using an IT company like Support Online when:

  1. You plan to implement new technologies or software in your company.
  2. You need specialized technology consulting.
  3. You want to optimize existing IT processes.
  4. You struggle with digital security issues.
  5. You need support in managing your IT infrastructure.
  6. You lack internal resources or expertise to implement certain technology projects.

Using external IT experts can bring benefits in terms of saving time and resources, and ensuring high-quality solutions.

Hiring an IT company like Support Online offers several key benefits over an IT freelancer:

  1. Support from the entire team: An IT company has a full team of specialists, from DevOps specialists and Cyber ​​Security Specialists to IT Helpdesk Specialists, who possess diverse skills and experience, enabling faster problem resolution and the implementation of more complex projects.
  2. Reliability and stability: IT companies have an established reputation and track record, which can translate into greater reliability and stability of services.
  3. Maintenance and support: An IT company can offer service contracts, warranties, and after-sales support, which may be more difficult to obtain from an individual freelancer.
  4. Resources: Companies have access to more resources, tools, and technologies that can accelerate and improve project execution.
  5. Long-term availability: The risk of a freelancer disappearing or changing careers is greater than the risk of a well-established company going out of business.

However, it's worth noting that the choice between a company and a freelancer depends on your specific needs and situation. If you value peace of mind and a quick response to unexpected problems, it is worth choosing an IT company such as Support Online.

Partnering with IT Support Online offers the following advantages:

  1. Professional IT outsourcing: The company guarantees high-quality IT outsourcing services for businesses of all sizes.
  2. Comprehensive IT support: IT Support Online provides comprehensive IT support that meets the diverse needs of businesses.
  3. Saves time and money: With our support, clients can focus on their core business activities while reducing the costs associated with information technology management.
  4. Serving a diverse range of businesses: The company specializes in serving both small and medium-sized enterprises and large corporations, demonstrating its flexibility and ability to adapt to diverse client needs.
  5. Leadership in IT outsourcing: The company is recognized as a leader in IT outsourcing, particularly in the Poznań and Warsaw regions.

By partnering with our company, IT Support Online, businesses can count on a high standard of service and professionalism at every stage of the relationship.

Free consultation
22 335 28 00