sticky
WSUS - полезные советы

    Question

  • В данной теме с разной степенью периодичности будут появляться различные полезные советы и приемы работы с WSUS. Приглашаю всех желающих пополнять данную копилку ;)
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Wednesday, February 03, 2010 2:44 PM
    Moderator

All replies

  • Скачивайте файлы при первой же возможности

    Первое, что я бы посоветовал сделать, это настроить WSUS на закачку обновлений, не дожидаясь их одобрения. Обычно обновления скачиваются только после того, как они будут одобрены – но есть небольшая проблема:  клиенты, получив информацию о наличи одобренных обновлений,  тут же начинают пытаться их установить. Если файл обновления еще не скачан, процесс прерывается и ждет загрузки файла. Скачивание файлов по мере их появления на узле обновлений может повысить эффективность работы служб обновления.

    Чтобы изменить режим закачки :

    1. Откройте консоль управления WSUS   и нажмите кнопку Options в левом верхнем углу.
    2. В появившемся окне щелкните по ссылке Synchronization Options .
    3. Прокрутите экран вниз и нажмите кнопку Advanced . Появится диалог Advanced Synchronization Options .
    4. Включите опцию Store Update Files Locally и отключите Download Update Files to This Server Only When Updates Are Approved .

    Настройте загрузку обновлений в зависимости от языка клиентов

    В окне Advanced Synchronization Options обратите внимание на то, какие выбраны языки. По умолчанию WSUS скачивает обновления для всех известных ему языков. Дело вкуса, конечно, но если все компьютеры в вашей организации используют одну  и ту же языковую версию ОС, гораздо оптимальнее и выгоднее будет отключить получение обновлений на всех остальных языках. Так что просто включите опцию Download Only Those Updates That Match The Local Language of This Server это сэкономит вам место на диске, время и интернет-трафик. NB : если язык локали сервера отличается от языка клиентских ОС, эту опцию лучше не использовать во избежание проблем.

     

    По возможности скачивайте файлы экспресс-установки

    По умолчанию, WSUS скачивает обновления и принудительно устанавливает их на клиентские машины. Если обновление велико или клиентов очень много,  такой метод установки безбожно нагружает сеть и процесс обновления клиентов растягивается.

    Файлы экспресс-установки как правило больше обычных файлов обновлений и требуют несколько больше времени для загрузки. Это с лихвой компенсируется снижением нагрузки на сеть и ускорением обновления клиентов.

    При использовании файлов экспресс-установки WSUS не отправляет клиенту файл целиком. В первую очередь проводится сравнение между существующими на клиенте файлами и их обновленными версиями. Клиенту будет отправлена только та часть файла, которая имеет отличия (т.н. дельта). Как вы понимаете, такой метод действительно экономит массу ресурсов.

    Чтобы настроить WSUS на использование файлов экспресс-установки:

    1. Откройте консоль управления WSUS   и нажмите кнопку Options в левом верхнем углу.
    2. В появившемся окне щелкните по ссылке Synchronization Options .
    3. Прокрутите экран вниз и нажмите кнопку Advanced . Появится диалог Advanced Synchronization Options .
    4. Отметьте чекбокс Download Express Installation Files и нажмите OK

    Выделяйте для WSUS отдельный сервер

    В небольших организациях как правило роль WSUS достается какому-то из серверов (и хорошо, если не контроллеру домена) так сказать, в нагрузку. Не самый лучший вариант. Я советовал бы использовать для WSUS отдельный сервер или, если по каким-то причинам это невозможно, очень аккуратно подходите к выбору приложений, которые будут работать на одном сервере с WSUS . В частности, не ставьте WSUS на сервер с поднятым SharePoint Server или наоборот – если, конечно, танцы с бубном на время не являются вашим любимым занятием ;)

    Wednesday, February 03, 2010 2:45 PM
    Moderator
  • Создание автоматических отчетов для WSUS 3 при помощи Excel .

    Часто возникает ситуация, когда необходимо получить сведения о клиентских станциях, получающих обновления с WSUS , и отследить динамику применения обновлений. Причин для этого может быть много – от выявления упорно не обновляющихся компьютеров до неообходимости составить для шефа красивый отчет с внушающими уважение  и мысль о вашем немеряном профессионализме цифрами ;). Можно собирать необходимые данные вручную – а можно упростить себе жизнь при помощи PowerShell -скриптов и диаграмм Excel . Пример одного такого отчета   будет приведен далее .

    Для начала, рекомендую заглянуть в репозиторий образцов скриптов PowerShell API : ttp :// www . microsoft . com / technet / scriptcenter / scripts / sus / server / default . mspx ? mfr = true .   Это не идеальные образчики использования PowerShell , но в качестве стартовой площадки  для разработки собственных решений они весьма полезны.

    Пример скрипта, собирающего информацию об одобренных обновлениях (а, как правило, это требуется чаще всего) лежит вот здесь: http :// www . microsoft . com / technet / scriptcenter / scripts / sus / server / susvms 02. mspx

    Результатом отработки скрипта является строка в CSV -файле, содержимое которого можно спокойно импортировать, куда душа пожелает. Также в отчет входят имя сервера и дата сбора информации, что облегчает фильтрацию и упорядочивание результатов.  

    Итак, начнем. Установите PowerShell , если его у вас еще нет, и сохраните вышеуказанный скрипт в файл . ps 1. Тренироваться рекомендую на локальном сервере – в дальнейшем, скрипт можно будет видоизменить для сбора информации с удаленных серверовчерез консольный режим. Проверьте, что вы можете запустить файл скрипта из командной строки.

    Затем создайте задание для запуска скрипта каждую ночь. Ниже приведен пример командной строки для планировщика. Предварительно проверьте, что все указанные пути верны и прав доступа достаточно – обидно будет наткнуться на это только через несколько дней.

    %windir%\system32\WindowsPowerShell\v1.0\powershell.exe -command C:\WsusScript\ServerStatusForApprovedUpdates.ps1 >> C:\ReportingData\ServerStatusForApprovedUpdates.csv

    Теперь подождите несколько дней, чтобы в отчете набралось достаточно данных. Содержимое файла отчета будет выглядеть примерно так:

    WSUSSAMPLE ,3/15/2007,3713,952,1540,1032,14,0,42,28
    WSUSSAMPLE ,3/17/2007,8611,900,2660,814,112,0,279,118
    WSUSSAMPLE ,3/18/2007,8744,900,6665,813,112,0,307,119
    WSUSSAMPLE ,3/19/2007,8895,900,4026,833,117,0,311,117
    WSUSSAMPLE ,3/20/2007,9684,900,6740,958,146,0,330,136
    WSUSSAMPLE ,3/21/2007,10132,891,6641,2471,168,0,398,159
    WSUSSAMPLE ,3/22/2007,10454,891,7249,2378,172,0,444,161
    WSUSSAMPLE ,3/23/2007,10729,891,7531,2404,184,0,445,176

    После того, как . CSV -файл будет сформирован, запустите Excel (я использовал версию 2007, соответственно, дальше буду объяснять на ее примере).

    Перейдите на вкладку Data (Данные) и в разделе " Get External Data " (Получить внешние данные) выберите " From Text " (Из текста). В появившемся   окне выберите ваш csv -файл и нажмите Import (Импорт).   В идущем далее диалоге Import Data (Импорт данных) рекомендую проделать следующее:

    <!1.      Excel спросит, где вы желаете разместить данные. Выберите местоположение примерно в 20 строках от верха листа, что бы оставить место под график.

    <!2.      Нажмите Properties (Свойства) . В появившемся окне отключите опцию "Prompt for file name on refresh ", включите "Refresh data when opening the file " и "Overwrite existing cells with new data, clear unused cells ". 

    Теперь каждый раз, когда вы будете открывать файл Excel , вы будете автоматически получать последнюю информацию.

    Затем перейдите на вкладку " Insert " (Вставить) и добавьте линейную диаграмму с маркерами. Переместите поле графика на заранее оставленное место, и в меню Design (Дизайн) нажмите Select Data (Выбрать данные). Выберите область, в которой размещены ваши данные, настройте внешний вид и подписи диаграммы по вкусу. При желании можно создать отдельные графики для компьютеров и для обновлений.

    Сохраните страницу, откройте ее через несколько дней и наслаждайтесь удобным слежением за динамикой происходящего на вашем   сервере WSUS  


    Wednesday, February 03, 2010 2:48 PM
    Moderator
  • Если ваш сервер WSUS внезапно прекратил скачивать актуальные обновления после того, как они были одобрены, посмотрите в журнале событий наличие следующей ошибки:

     

      Event ID 364

    Category: Synchronization:

    Content file download failed. Reason: The server does not support the necessary HTTP protocol. Background Intelligent Transfer Service (BITS) requires that the server support the Range protocol header...


    При ее наличии , запустите командную строку и выполните в ней следующие команды :

    net stop wsusservice

    %ProgramFiles%\Update Services\tools\osql\osql.exe -S -E -b -n -Q "USE SUSDB update tbConfigurationC set BitsDownloadPriorityForeground=1"

    net start wsusservice

    Как правило, после этого WSUS начинает работать нормально.
    Wednesday, February 03, 2010 2:50 PM
    Moderator
  • Добавление удаленного компьютера обратно во WSUS.

    После удаления компьютера из списков WSUS, компьютер перестает получать обновления с сервера. Чтобы вернуть компьютер обратно в список, проделайте следующее:
    1. net stop wuauserv
    2. Удалите значения (если таковые существуют) PingID, AccountDomainSid, SusClientId SusClientIdValidation из ветки реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
    3. net start wuauserv
    4. wuauclt /resetauthorization /detectnow

    Приблизительно через 10 минут компьютер снова отобразится в списке WSUS
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Wednesday, February 03, 2010 2:55 PM
    Moderator
  • Неплохая инструкция от пользователя vsu_

    Для случая, когда трафик ограничен, можно поступать следующим образом, чтобы не тянуть лишние обновления:
    1. После установки WSUS не включать правила автоматического одобрения перед выполнением первой синхронизации — в этом случае окажутся неодобренными все обновления, кроме нескольких, нужных для работы самого WSUS.
    2. После завершения синхронизации базы настроить несколько клиентских машин на обновление с WSUS. Для ускорения процесса можно вручную выполнить на них wuauclt /detectnow , дождаться завершения обнаружения (при этом в WindowsUpdate.log будет «0 Updates Detected», поскольку обновления не загружены, но на самом деле нужная информация будет собрана), затем выполнить wuauclt /reportnow для немедленной передачи информации на сервер.
    3. Теперь на сервере есть информация, какие обновления нужны для имеющихся машин. Однако просто сделать выборку по критериям «Не одобрено/Требуется» и одобрить весь список нельзя — дело в том, что в этот список войдут как текущие, так и устаревшие версии обновлений, и этих устаревших версий может быть достаточно много. Чтобы получить минимально необходимый список, нужно после установки критерия «Не одобрено/Требуется» добавить в таблицу столбец «Замена» (щелчком правой кнопкой на заголовке таблицы), отсортировать результат по этому столбцу, после чего одобрять сначала те обновления, для которых в столбце «Замена» либо пусто, либо значок «Это обновление заменяет другие обновления».
    4. После одобрения первой очереди обновлений нужно дождаться загрузки файлов для них, затем установить обновления на тестовые машины (тут опять можно использовать wuauclt /detectnow для принудительного поиска обновлений). Когда на всех тестовых машинах обновления установятся, из списка по критериям «Не одобрено/Требуется» исчезнут устаревшие версии обновлений, зато появятся новые обновления, которые до этого невозможно было установить (например, после установки Office 2003 SP3 будет предложено множество обновлений, которые требуют предварительной установки SP3). Придётся выполнить вторую, а затем, возможно, и третью итерацию процесса, одобряя каждый раз только обновления, для которых в столбце «Замена» либо пусто, либо значок «Это обновление заменяет другие обновления»
    5. В конце концов обновлений, заслуживающих установки и не заменённых другими обновлениями, больше не останется. Однако могут остаться обновления, помеченные как «Это обновление заменяется другим, а также само заменяет другие обновления», или даже только «Это обновление заменяется другим», но при этом считающиеся необходимыми для установки. В этом случае такие обновления всё-таки может быть нужно одобрить — дело в том, что заменяющее обновление может быть применимо не во всех случаях, когда может быть установлен заменённый вариант (например, если обновление вошло в состав Windows XP SP3, но на каких-то машинах не нужно устанавливать SP3, желательно установить хотя бы старую версию обновления).
    В случае, если какие-то обновления были одобрены ошибочно, а потом одобрение было снято, WSUS всё равно продолжит закачивать файлы для этих обновлений. Через соответствующую команду в контекстном меню можно прервать эту закачку, но при очередной синхронизации базы она начнётся снова. Чтобы отменить закачку окончательно, можно использовать, например, команду wsusutil reset (после этой команды сервер WSUS будет перепроверять все файлы в WsusContent, что может занять много времени, в течение которого сервер WSUS не сможет раздавать обновления).

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Tuesday, February 16, 2010 8:10 AM
    Moderator
  • Инструкция от пользователя vsu_ действительно неплохая, но не все работает так, как написано.

    После включения правила автоматического одобрения и затем отключения этого правила, WSUS пытался загрузить 16 Gb критических обновлений и обновлений безопасности. Снял одобрение, отменил закачку файлов, после очередной синхронизации она началась снова. И так несколько раз. Прочитал совет использовать команду wsusutil reset, после выполнения этой команды WSUS действительно вернулся в состояние до применения правила автоматического одобрения, но после очередной синхронизации опять начал загрузку всех отмененных файлов. Помогает только отклонение обновлений, но это не выход. Отклонил устаревшие обновления, осталось 8 Gb, которые WSUS упорно хочет закачать, хотя они не нужны ни одному компьютеру в сети.

    P. S. Повторный запуск команды wsusutil reset решил проблему.
    Friday, February 26, 2010 9:27 PM
  • Полезный скрипт для переиндексации базы WSUS 3.0

    Re-index the WSUS 3.0 Database

    http://gallery.technet.microsoft.com/ScriptCenter/en-us/6f8cde49-5c52-4abd-9820-f1d270ddea61

    VERIFIED AND TESTED BY THE SCRIPT CENTER TEAM

     


    MCSE, MCSA:Messaging (2000/2003) MCITP:EMA, MCTS: Exchange 2007
    Thursday, September 16, 2010 8:58 AM
  • Здравствуйте.

    Подскажите пожалуйста по WSUS. Описание проблемы тут: http://social.technet.microsoft.com/Forums/ru-RU/7efa3c49-5372-4918-b8b8-32492a7b8fa9/-wsusutil-reset?forum=wsusru

    Thursday, January 16, 2014 3:41 AM