Практическая работа № 28 Тема: Планирование и реализация обновления и замены приложений Цель: научиться оценке и определению параметров развертывания. Материальное обеспечение: инструкция к работе, установочный дистрибутив, ПК. Теоретическая часть: Прежде чем использовать обновления программного обеспечения в рабочей среде Configuration Manager, важно выполнить процесс планирования. Правильный план для инфраструктуры точек обновления ПО — залог успешного внедрения функций обновления ПО. Определение инфраструктуры точек обновления программного обеспечения Подразделы: • Список точек обновления программного обеспечения • Переключение точек обновления программного обеспечения • Переключение клиентов на новую точку обновления программного обеспечения вручную • Точки обновления программного обеспечения в лесу без доверия • Использование существующего сервера WSUS в качестве источника синхронизации для сайта верхнего уровня • Точка обновления программного обеспечения на вторичном сайте • Планирование интернет-клиентов • Планирование содержимого обновлений программного обеспечения • Планирование сторонних обновлений На сайте центра администрирования и всех первичных дочерних сайтах должна быть точка обновления программного обеспечения. В ходе планирования инфраструктуры точки обновления программного обеспечения определите следующие зависимости: • где именно следует установить точку обновления программного обеспечения для сайта; • какие сайты требуют наличия точки обновления программного обеспечения, способной обмениваться данными с интернет-клиентами; • нужна ли точка обновления программного обеспечения на дополнительном сайте. Важно! Дополнительные сведения о внутренних и внешних зависимостях, которые необходимы для обновления программного обеспечения. Чтобы обеспечить отказоустойчивость, добавьте несколько точек обновления программного обеспечения на первичный сайт Configuration Manager. Схема отработки отказа точки обновления программного обеспечения несколько отличается от модели чисто случайного выбора, применяемой при проектировании точек управления. В отличие от точек управления, переключение на новую точку обновления программного обеспечения в приводит к затратам на стороне клиента и снижению производительности сети. Когда клиент переключается на новый сервер WSUS для сканирование на наличие обновлений программного обеспечения, это вызывает рост размеров каталога и повышение требований к производительности клиента и сети. В связи с этим клиент сохраняет сопоставление с последней точкой обновления программного обеспечения, которую он успешно просканировал. Первая точка обновления программного обеспечения, установленная на первичном сайте, служит источником синхронизации для всех дополнительных точек обновления программного обеспечения, добавляемых к первичному сайту. Завершив добавление точек обновления программного обеспечения и запустив синхронизацию, просмотрите состояние точек обновления программного обеспечения и источника синхронизации с помощью узла Состояние синхронизации точки обновления программного обеспечения в рабочей области Наблюдение. При сбое точки обновления программного обеспечения, настроенной в качестве источника синхронизации для сайта, вручную удалите отказавшую роль. Затем выберите новую точку обновления программного обеспечения, которая будет использоваться в качестве источника синхронизации. Список точек обновления программного обеспечения Configuration Manager предоставляет клиенту список точек обновления программного обеспечения в следующих сценариях: • новый клиент получает политику, разрешающую обновления программного обеспечения; • клиент не может связаться со своей точкой обновления программного обеспечения, и ему нужно переключиться на другую точку обновления. Клиент случайным образом выбирает из списка точку обновления программного обеспечения. Он отдает предпочтение точкам обновления программного обеспечения, расположенным в одном лесу. Configuration Manager предоставляет клиентам различные списки в зависимости от их типов. • Интранет-клиенты. Получают список точек обновления программного обеспечения, которые можно настроить для получения соединений только из интрасети, или же список точек обновления программного обеспечения, поддерживающих соединения из интрасети и из Интернета. • Интернет-клиенты. Получают список точек обновления программного обеспечения, которые можно настроить для получения соединений только из Интернета, или же список точек обновления программного обеспечения, поддерживающих соединения из интрасети и из Интернета. Переключение точек обновления программного обеспечения Примечание Клиенты используют группы границ для поиска точки обновления программного обеспечения. Они используют резервирование групп границ, чтобы найти новую точку обновления программного обеспечения, если текущая точка становится недоступной. Добавьте отдельные точки обновления программного обеспечения в разные группы границ, чтобы контролировать, какие серверы может находить каждый клиент. Если на одном сайте имеется несколько точек обновления программного обеспечения и одна из них становится неисправной или недоступной, клиенты подключаются к другой точке обновления программного обеспечения. На этом новом сервере клиенты продолжают сканирование на наличие новейших обновлений программного обеспечения. Когда клиент впервые назначается точке обновления программного обеспечения, он остается назначенным этой точке до тех пор, пока сканирование не завершится неудачей. Сбой сканирования на наличие обновлений программного обеспечения может быть связан с выдачей различных кодов ошибок, которые могут допускать или не допускать повторение операции. Когда сканирование завершается сбоем и выдачей кода ошибки, допускающей повторение операции, клиент запускает повторную процедуру сканирования на наличие обновлений программного обеспечения на точке обновления программного обеспечения. Как правило, высокоуровневым условием выдачи кода ошибки, допускающей повторение операции, является недоступность или временная перегруженность сервера WSUS. В случае сбоя сканирования на наличие обновлений программного обеспечения клиент прибегает к следующей процедуре. 1. Клиент выполняет сканирование на наличие обновлений программного обеспечения: o согласно расписанию; o при запуске вручную с панели управления на клиенте; o при запуске вручную с консоли Configuration Manager с помощью действия уведомления клиента; o при запуске из метода пакета SDK для Configuration Manager. 2. В случае сбоя сканирования клиент ожидает 30 минут перед повторным сканированием. Он использует ту же точку обновления программного обеспечения. 3. Клиент повторяет эту процедуру минимум четыре раза через 30минутные интервалы. После четвертой неудачной попытки, подождав еще две минуты, клиент переходит к следующей точке обновления программного обеспечения в списке. 4. Клиент повторяет этот процесс на новой точке обновления программного обеспечения. После успешного сканирования клиент продолжает подключаться к новой точке обновления программного обеспечения. Далее приводятся дополнительные сведения, полезные при анализе сценариев повторного доступа к точкам обновления программного обеспечения и переключения между точками. • Если клиент отключен от интрасети и процедура сканирования обновлений программного обеспечения завершается неудачно, то он не переключается на новую точку обновления программного обеспечения. Этот сбой является ожидаемым, поскольку клиент не может подключиться к внутренней сети или точке обновления программного обеспечения, поддерживающей подключения из интрасети. Клиент Configuration Manager определяет доступность точки обновления программного обеспечения в интрасети. • Если вы управляете клиентами через Интернет и настроили несколько точек обновления программного обеспечения для обмена данными с интернет-клиентами, процедура переключения аналогична стандартной процедуре повторного подключения, описанной ранее. • Если процедура сканирования начата, но клиент отключился перед завершением сканирования, то это не считается сбоем сканирования и не включается в число четырех повторов. Получив ошибки с одним из следующих кодов от агента обновления Windows, Configuration Manager требует от клиента установить подключение повторно: 2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335 Чтобы понять содержание ошибки, преобразуйте десятичный код ошибки в шестнадцатеричный и затем найдите его на одном из сайтов, например Агент обновления Windows — вики-сайт по кодам ошибок. Например, десятичный код ошибки 2149842970 является шестнадцатеричным кодом 8024001A, что означает WU_E_POLICY_NOT_SET Значение политики не было задано. Переключение клиентов на новую точку обновления программного обеспечения вручную Если возникают проблемы с активной точкой, переключите клиентов Configuration Manager на новую точку обновления программного обеспечения. Это изменение происходит только в том случае, если клиент получает несколько точек обновления программного обеспечения из точки управления. Важно! При переходе на новый сервер устройства используют механизм резервирования для поиска этого сервера. Клиенты переключаются на новую точку обновления программного обеспечения во время следующего цикла сканирования обновлений. Проверьте конфигурации групп границ, чтобы перед началом таких изменений все точки обновления программного обеспечения находились в правильных группах границ. Переключение на новую точку обновления программного обеспечения создает дополнительный сетевой трафик. Объем трафика зависит от параметров конфигурации WSUS (например, синхронизированных классификаций и продуктов или использования общей базы данных WSUS). Если вы планируете переключить несколько устройств, постарайтесь сделать это в периоды обслуживания. В это время снижается влияние на сеть, когда клиент сканирует новую точку обновления программного обеспечения. Процесс переключения точки обновления программного обеспечения Начните это изменение в коллекции устройств. После его запуска клиенты выполняют поиск другой точки обновления программного обеспечения во время следующей проверки. 1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие и выберите узел Коллекции устройств. 2. Выберите целевую коллекцию. На ленте на вкладке Главная в группе Коллекция щелкните Уведомление клиента, а затем щелкните Перейти к следующей точке обновления программного обеспечения. Точки обновления программного обеспечения в лесу без доверия На сайте создайте одну или несколько точек обновления программного обеспечения для поддержки клиентов в лесу без доверия. Чтобы добавить точку обновления программного обеспечения в другом лесу, сначала установите и настройте сервер WSUS в этом лесу. Затем запустите мастер, чтобы добавить сервер сайта Configuration Manager с ролью системы сайта "Точка обновления программного обеспечения". В этом мастере настройте следующие параметры для успешного подключения к WSUS в лесу без доверия: • Укажите учетную запись установки системы сайта, которая обладает доступом к серверу WSUS в лесу без доверия. • Укажите учетную запись подключения к серверу WSUS для подключения к серверу WSUS. Например, имеется первичный сайт в лесу A с двумя точками обновления программного обеспечения (SUP01 и SUP02). Для этого же первичного сайта имеются две точки обновления программного обеспечения (SUP03 и SUP04) в лесу B. При переключении на следующую точку клиент отдает приоритет серверам из одного леса. Использование существующего сервера WSUS в качестве источника синхронизации для сайта верхнего уровня Как правило, сайт верхнего уровня в иерархии настроен для синхронизации метаданных обновлений программного обеспечения с Центром обновления Майкрософт. В случае если политика безопасности организации не разрешает доступ сайта верхнего уровня в Интернет, в качестве источника синхронизации для сайта верхнего уровня настройте существующий сервер WSUS. Этот сервер WSUS не входит в иерархию Configuration Manager. Например, сервер WSUS может быть установлен в сети периметра с доступом в Интернет, однако сайт верхнего уровня может находиться во внутренней сети без доступа к Интернету. Настройте сервер WSUS в сети периметра в качестве источника синхронизации метаданных обновлений программного обеспечения. Настройте сервер WSUS в сети периметра для синхронизации обновлений программного обеспечения с теми же условиями, которые необходимы в Configuration Manager. В противном случае сайт верхнего уровня может не синхронизировать ожидаемые вами обновления программного обеспечения. При установке точки обновления программного обеспечения настройте учетную запись подключения к серверу WSUS. Этой учетной записи требуется доступ к серверу WSUS в сети периметра. Также убедитесь, что брандмауэр пропускает трафик для соответствующих портов. Дополнительные сведения см. в списке портов, используемых точкой обновления программного обеспечения для подключения к источнику синхронизации. Точка обновления программного обеспечения на вторичном сайте Устанавливать точку обновления программного обеспечения на вторичном сайте необязательно. На вторичном сайте установите только одну точку обновления программного обеспечения. Если точка обновления программного обеспечения не установлена на дополнительном сайте, устройства в рамках границ вторичного сайта используют точку обновления программного обеспечения на назначенном им первичном сайте. Как правило, точка обновления программного обеспечения устанавливается на вторичном сайте при ограниченной пропускной способности сети между устройствами, присвоенными вторичному сайту, и точками обновления программного обеспечения на родительском первичном сайте. Эту конфигурацию также можно использовать, когда точка обновления программного обеспечения на первичном сайте достигает ограничения ресурсов. После успешной установки и настройки точки обновления программного обеспечения на вторичном сайте происходит обновление политики сайта на клиентах и они начинают использовать новую точку обновления программного обеспечения. Планирование интернет-клиентов Чтобы управлять устройствами, которые перемещаются из вашей сети в Интернет, разработайте план управления обновлениями программного обеспечения на этих устройствах. Configuration Manager поддерживает несколько технологий для этого сценария. При необходимости используйте одну или несколько технологий в соответствии с требованиями организации. Шлюз управления облаком Создайте шлюз управления облачными клиентами в Microsoft Azure и разрешите по крайней мере одной точке обновления программного обеспечения принимать трафик от интернет-клиентов. Во время перемещения в Интернете клиенты продолжают сканировать точки обновления программного обеспечения. Все интернет-клиенты всегда получают содержимое из облачной службы Центра обновления Майкрософт. Дополнительные сведения см. в статьях Общие сведения о шлюзе управления облачными клиентами и Настройка групп границ. Управление клиентами через Интернет Поместите точку обновления программного обеспечения в сеть с выходом в Интернет и разрешите ей принимать трафик от интернетклиентов. Во время перемещения в Интернете клиенты переключаются на эту точку обновления программного обеспечения для сканирования. Все интернет-клиенты всегда получают содержимое из облачной службы Центра обновления Майкрософт. Центр обновления Windows для бизнеса. Центр обновления Windows для бизнеса позволяет поддерживать устройства Windows 10 в актуальном состоянии за счет применения обновлений высочайшего качества. Такие устройства напрямую подключаются к облачной службе Центра обновления Windows. Configuration Manager может различать компьютеры Windows 10, использующие Центр обновления Windows для бизнеса и службы WSUS для получения обновлений программного обеспечения. Планирование содержимого обновлений программного обеспечения Чтобы установить файлы содержимого для обновлений программного обеспечения, клиентам необходимо сначала загрузить их. Configuration Manager предоставляет ряд технологий для поддержки доставки этого содержимого и управления им. Или можно настроить развертывания обновлений программного обеспечения, чтобы разрешать или требовать получение содержимого непосредственно из облачной службы Центра обновления Майкрософт. Загрузка и распространение содержимого По умолчанию в процессе управления обновлениями программного обеспечения в Configuration Manager применяются встроенные компоненты управления содержимым. К ним относятся централизованное одноэлементное хранилище библиотеки содержимого и распределенная структура роли системы сайта точки распространения. Они используются при загрузке и распространении пакетов развертывания обновлений программного обеспечения. Управление файлами экспресс-установки для Windows 10 Configuration Manager поддерживает использование файлов экспрессустановки для обновлений Windows 10. Файлы экспресс-обновлений и вспомогательные технологии, такие как оптимизация доставки, позволяют минимизировать влияние на сеть со стороны пользователей, загружающих большие файлы содержимого. Клиенты загружают содержимое из Интернета При развертывании обновлений программного обеспечения на клиентах настройте развертывание так, чтобы клиенты загружали содержимое из облачной службы Центра обновления Майкрософт. Когда клиенты не могут загружать содержимое из другого источника содержимого, они по-прежнему могут загружать его из Интернета. Начиная с версии 1806 не требуется создавать пакет развертывания при развертывании обновлений программного обеспечения. Если выбрать параметр Нет пакетов развертывания, клиенты по-прежнему смогут скачать содержимое из локальных источников (если они доступны), но, как правило, они используют Центр обновления Майкрософт. Интернет-клиенты всегда загружают содержимое из облачной службы Центра обновления Майкрософт. Не передавайте пакеты развертывания обновлений программного обеспечения в облачную точку распространения. Вам придется заплатить за хранилище в облачной точке распространения, но клиенты не будут загружать эти пакеты. Планирование сторонних обновлений Configuration Manager интегрируется со службами WSUS, которые изначально поддерживают обновления программного обеспечения, опубликованные корпорацией Майкрософт. Большинство клиентов использует другие сторонние приложения, которые также необходимо обновлять. Чтобы поддерживать сторонние приложения в актуальном состоянии, следует принять во внимание ряд моментов. Замена приложений, подлежащих обновлению Отношения замены с функцией управления приложениями в Configuration Manager позволяют обновлять или заменять существующие приложения. При замене приложения укажите новый тип развертывания, заменяющий тип развертывания заменяемого приложения. Также решите, следует ли обновить заменяемое приложение или же удалить его перед установкой заменяющего приложения. Сторонние обновления программного обеспечения Начиная с версии 1806, узел Каталоги обновления стороннего программного обеспечения в консоли Configuration Manager позволяет подписываться на сторонние каталоги, публиковать обновления в точке обновления программного обеспечения, а затем развертывать их на клиентах. System Center Updates Publisher System Center Updates Publisher (SCUP) — это автономное средство, позволяющее независимым поставщикам программного обеспечения или разработчикам бизнес-приложений управлять пользовательскими обновлениями. Сюда входят обновления, содержащие зависимые компоненты, такие как драйверы и пакеты обновления. Планирование установки точки обновления программного обеспечения Этот раздел состоит из следующих подразделов: • • • Требования к точке обновления программного обеспечения Планирование установки служб WSUS Настройка брандмауэров В этом разделе содержатся сведения о необходимых действиях для успешного планирования и подготовки к установке точки обновления программного обеспечения. Перед созданием роли системы сайта для точки обновления программного обеспечения в Configuration Manager необходимо учесть ряд требований. Конкретные требования зависят от инфраструктуры Configuration Manager. С этим разделом особенно важно ознакомиться при настройке точки обновления программного обеспечения для обмена данными по протоколу HTTPS. Для правильной работы серверов с поддержкой HTTPS необходимо выполнить дополнительные действия. Требования к точке обновления программного обеспечения Установите роль системы сайта "Точка обновления программного обеспечения" в системе сайта, соответствующей минимальным требованиям для служб WSUS и для поддерживаемых конфигураций систем сайта Configuration Manager. • Дополнительные сведения о минимальных требованиях к роли сервера WSUS в Windows Server см. в разделе Проверка выполнения рекомендаций и требований к системе. Планирование установки служб WSUS На всех серверах систем сайтов, настроенных для роли точки обновления программного обеспечения, установите поддерживаемую версию WSUS. Если точка обновления программного обеспечения не установлена на сервере сайта, установите консоль администрирования WSUS на сервере сайта. Это позволит серверу сайта обмениваться информацией со службами WSUS, работающими в точке обновления программного обеспечения. При использовании служб WSUS в Windows Server 2012 или более поздних версиях настройте дополнительные разрешения, которые позволят компоненту WSUS Configuration Manager в Configuration Manager подключаться к WSUS. Этот компонент служит для периодической проверки работоспособности. Выберите один из следующих параметров для настройки требуемого разрешения. • • Добавьте учетную запись SYSTEM в группу Администраторы WSUS Добавьте учетную запись NT AUTHORITY\SYSTEM в качестве пользователя базы данных WSUS (SUSDB). Настройте минимальные параметры участия в роли базы данных webService. Дополнительные сведения об установке WSUS в Windows Server 2012 см. в статье Шаг 1. Установка роли сервера WSUS. При установке нескольких точек обновления программного обеспечения на первичном сайте следует использовать одну и те же базу данных WSUS для всех точек обновления программного обеспечения в одном лесу Active Directory. Совместное использование одной и той же базы данных способствует повышению производительности при переключении клиента на новую точку обновления программного обеспечения. Дополнительные сведения см. в разделе Использование общей базы данных WSUS для точек обновления программного обеспечения. Настройка пути к каталогу содержимого WSUS При установке служб WSUS необходимо указать путь к каталогу содержимого. Каталог содержимого WSUS в основном используется для хранения файлов условий лицензионного соглашения на использование программного обеспечения корпорации Майкрософт, необходимых клиентам во время сканирования. Каталог содержимого WSUS не должен перекрываться с исходным каталогом содержимого для пакетов развертывания программного обеспечения Configuration Manager. Перекрытие каталога содержимого WSUS и исходных пакетов Configuration Manager приведет к тому, что из каталога содержимого WSUS будут удалены неправильные файлы. Настройка служб WSUS для использования настраиваемого веб-сайта При установке WSUS можно либо использовать существующий веб-сайт IIS по умолчанию или создать настраиваемый веб-сайт WSUS. Создайте настраиваемый веб-сайт для WSUS, чтобы службы IIS разместили службы WSUS на выделенном виртуальном веб-сайте. В противном случае он совместно использует веб-сайт, который используется другими системами сайта Configuration Manager или приложениями. Такая конфигурация особенно важна при установке роли системы сайта для точки обновления программного обеспечения на сервере сайта. Когда вы запускаете службы WSUS в Windows Server 2012 более поздних версиях, для них по умолчанию настраивается использование HTTP-порта 8530 и HTTPS-порта 8531 Укажите эти параметры портов при создании точки обновления программного обеспечения для сайта. Использование существующей инфраструктуры WSUS Выберите сервер WSUS, который уже использовался в вашей среде до того, как вы установили Configuration Manager в качестве точки обновления программного обеспечения. После завершения настройки точки обновления программного обеспечения укажите параметры синхронизации. Configuration Manager подключается к серверу WSUS, который работает на сервере точки обновления ПО, и настраивает для WSUS такие же параметры. Прежде чем настроить сервер в качестве точки обновления программного обеспечения, сравните его конфигурацию для продуктов и классификаций с параметрами Configuration Manager. Если синхронизация существующего сервера WSUS была выполнена перед его настройкой в качестве точки обновления программного обеспечения и используются разные списки продуктов и классификации, он синхронизирует все метаданные обновлений программного обеспечения, независимо от настроенных параметров. Это поведение может привести к непредвиденным программным обновлениям метаданных в базе данных сайта. Аналогичное поведение можно наблюдать в том случае, если напрямую добавить продукты и классы с помощью консоли администрирования WSUS, а затем незамедлительно инициировать синхронизацию. По умолчанию Configuration Manager каждый час подключается к службам WSUS и сбрасывает все параметры, которые были изменены вне Configuration Manager. Все обновления программного обеспечения, не соответствующие указанным в параметрах синхронизации продуктам и классификациям, получают истекший срок действия. Затем они удаляются из базы данных сайта. Если сервер WSUS настроен как точка обновления программного обеспечения, вы больше не сможете использовать его как автономный сервер WSUS. Если вам нужен отдельный автономный сервер WSUS, не управляемый через Configuration Manager, настройте его на другом сервере. Настройка служб WSUS в качестве сервера реплики При добавлении роли точки обновления программного обеспечения на первичный сервер сайта невозможно использовать сервер WSUS, настроенный в качестве реплики. Если сервер WSUS настроен в качестве реплики, Configuration Manager не сможет настроить сервер WSUS и синхронизация WSUS будет невозможна. Первая установленная на первичном сайте точка обновления программного обеспечения используется по умолчанию. Дополнительные точки обновления ПО на этом сайте настраиваются в качестве реплик точки обновления ПО по умолчанию. Принятие решения о настройке служб WSUS для подключения по протоколу SSL Мы настоятельно рекомендуем использовать протокол SSL для защиты точки обновления программного обеспечения. WSUS использует SSL для проверки подлинности клиентских компьютеров и подчиненных серверов WSUS на данном сервере WSUS. WSUS также использует SSL для шифрования метаданных обновлений ПО. Если требуется обеспечить безопасность WSUS с помощью протокола SSL, подготовьте сервер WSUS перед установкой точки обновления программного обеспечения. При установке и настройке точки обновления программного обеспечения выберите параметр Включить SSL-подключения для сервера WSUS. В противном случае Configuration Manager настраивает для служб WSUS запрет на использование протокола SSL. Если протокол SSL включен для точки обновления программного обеспечения, точки обновления программного обеспечения на дочерних сайтах также следует настроить для использования SSL. Дополнительные сведения см. в учебнике по настройке точки обновления программного обеспечения для использования протокола TLS/SSL с PKI-сертификатом. Примечание Чтобы обеспечить использование самых надежных протоколов безопасности, мы настоятельно рекомендуем использовать TLS/SSL для защиты инфраструктуры обновления программного обеспечения. Начиная с накопительного пакета обновления за сентябрь 2020, WSUS-серверы на основе HTTP будут защищены по умолчанию. Клиентский поиск обновлений для WSUS на основе HTTP больше не сможет использовать прокси пользователя по умолчанию. Если вам по-прежнему требуется прокси пользователя, хотя это компрометирует безопасность, новый параметр обновлений программного обеспечения клиента позволяет разрешить эти подключения. Дополнительные сведения об изменениях в сканировании WSUS см. в статье Изменения для улучшения безопасности устройств с Windows, сканирующих WSUS, в сентябре 2020 года. Настройка брандмауэров Точка обновления программного обеспечения на сайте центра администрирования Configuration Manager взаимодействует со службами WSUS в точке обновления программного обеспечения. В свою очередь, службы WSUS подключаются к источнику синхронизации для синхронизации метаданных обновлений программного обеспечения. Точки обновления программного обеспечения на дочерних сайтах обмениваются данными с точкой обновления программного обеспечения, настроенной на родительском сайте. Если на первичном сайте имеется несколько точек обновления программного обеспечения, то дополнительные точки должны обмениваться данными с первой точкой, которая является точкой обновления программного обеспечения по умолчанию. Роль по умолчанию — это первая точка обновления программного обеспечения, установленная на сайте. Возможно, потребуется настроить брандмауэр на прием трафика HTTP или HTTPS, используемого службами WSUS, в следующих сценариях: • • • между точкой обновления программного обеспечения и Интернетом; между точкой обновления программного обеспечения и ее вышестоящим источником синхронизации; между дополнительными точками обновления программного обеспечения. Подключение к Центру обновления Майкрософт всегда использует порт 80 для протокола HTTP и порт 443 для протокола HTTPS. Используйте настраиваемый порт для подключения служб WSUS в точке обновления программного обеспечения на дочернем сайте к службам WSUS в точке обновления программного обеспечения на родительском сайте. Если политика безопасности запрещает такое подключение, используйте способ синхронизации с помощью экспорта и импорта. Дополнительные сведения см. в разделе Источник синхронизации этой статьи. Дополнительные сведения о портах, используемых службами WSUS, см. в разделе Параметры порта WSUS. Ограничение доступа к определенным доменам Если ваша организация ограничивает сетевое взаимодействие с Интернетом, используя брандмауэр или прокси-сервер, необходимо разрешить активной точке обновления программного обеспечения получать доступ к конечным точкам Интернета. Затем службы WSUS и автоматическое обновление могут взаимодействовать с облачной службой Центра обновления Майкрософт. Планирование параметров синхронизации Этот раздел состоит из следующих подразделов: • • • • • • • Источник синхронизации Расписание синхронизации Классификаций обновлений Продукты Правила замены Языки Максимальное время выполнения При синхронизации обновлений программного обеспечения в Configuration Manager метаданные обновлений программного обеспечения загружаются в зависимости от настроенных условий. Сайт верхнего уровня в иерархии синхронизирует обновлений программного обеспечения из Центра обновления Майкрософт. Вы можете настроить точку обновления ПО на сайте верхнего уровня для синхронизации с имеющимся сервером WSUS, который не принадлежит к иерархии Configuration Manager. Дочерние первичные сайты синхронизируют метаданные обновлений ПО с точкой обновления ПО на сайте центра администрирования. Перед установкой и настройкой точки обновления ПО необходимо спланировать параметры синхронизации, используя информацию, приведенную в этом разделе. Источник синхронизации Параметры источника синхронизации, установленные для точки обновления программного обеспечения, указывают источник получения точкой обновления метаданных обновлений программного обеспечения. Они также определяют необходимость создания событий отчетов WSUS в ходе выполнения процедуры синхронизации. • Источник синхронизации: эта точка обновления программного обеспечения на сайте верхнего уровня настраивает Центр обновления Майкрософт в качестве источника синхронизации по умолчанию. Вы можете синхронизировать сайт верхнего уровня с имеющимся сервером WSUS. Точка обновления программного обеспечения на дочернем первичном сайте настраивает точку обновления программного обеспечения на сайте центра администрирования в качестве источника синхронизации по умолчанию. Первая точка обновления ПО, которая установлена на первичном сайте и используется по умолчанию, синхронизируется с сайтом центра администрирования. Дополнительные точки обновления ПО на основном сайте синхронизируются с точкой обновления ПО, заданной по умолчанию на основном сайте. o Если точка обновления программного обеспечения отключена от Центра обновления Майкрософт или от вышестоящего сервера обновлений, настройте источник синхронизации таким образом, чтобы не выполнять синхронизацию с настроенным источником синхронизации. Вместо этого настройте его для использования функции экспорта и импорта средства WSUSUtil для синхронизации обновлений программного обеспечения. Дополнительные сведения см. в разделе Синхронизация обновлений программного обеспечения из отсоединенной точки обновления программного обеспечения. События составления отчетов WSUS: агент Центра обновления Windows на клиентских компьютерах может создавать сообщения событий, используемые для отчетов WSUS. Эти события не используются в Configuration Manager. Таким образом, по умолчанию применяется параметр Не создавать отчеты WSUS о событиях. Если эти события не создаются, то клиент должен подключаться к серверу WSUS только при проверке обновлений программного обеспечения и при оценке соответствия требованиям. Если эти события нужны для отчетов, выходящих за рамки Configuration Manager, измените этот параметр для включения создания отчетов WSUS о событиях. o • Расписание синхронизации Настройте расписание синхронизации только для точки обновления программного обеспечения на сайте верхнего уровня в иерархии Configuration Manager. Когда расписание синхронизации настроено, точка обновления ПО синхронизируется с источником синхронизации в указанную дату и время. Настраиваемое расписание позволяет синхронизировать обновления программного обеспечения в целях оптимизации среды. Учитывайте нагрузку на сервер WSUS, на сервер сайта и на сеть. Например, в 2 часа ночи один раз в неделю. Также можно вручную запускать синхронизацию на сайте центра администрирования с помощью действия Синхронизировать обновления программного обеспечения в узле Все обновления или Группы обновлений программного обеспечения в консоли Configuration Manager. Совет Запланируйте выполнение синхронизации обновлений программного обеспечения с периодичностью, подходящей для вашей среды. Распространен подход, при котором синхронизация обновлений осуществляется вскоре после регулярного выпуска обновлений программного обеспечения для системы безопасности корпорации Майкрософт, который проводится во второй вторник каждого месяца. Данное событие обычно называют вторником исправлений. Если вы используете Configuration Manager для доставки обновлений ядра и определений Endpoint Protection и Защитника Windows, рекомендуется задать выполнение синхронизации по ежедневному расписанию. После того как точка обновления программного обеспечения успешно завершит синхронизацию, она отправляет запрос на синхронизацию дочерним сайтам. При наличии дополнительных точек обновления программного обеспечения на первичном сайте запрос синхронизации направляется каждой из них. Этот процесс повторяется на каждом сайте в иерархии. Классификаций обновлений Каждое обновление программного обеспечения определяется с помощью классификации обновления, позволяющей упорядочить различные типы обновлений. В процессе синхронизации сайт синхронизирует метаданные для указанных классификаций. Configuration Manager поддерживает синхронизацию для следующих классификаций обновлений. • • • • • • • Критические обновления: широкодоступное обновление, касающееся конкретной важной проблемы, не связанной с ошибкой безопасности. Обновления определений: обновление для файлов определений вирусов или других файлов определений. Пакеты дополнительных компонентов: новые компоненты продуктов, распространяемые вне рамок выпуска продукта и обычно входящие в последующий полный выпуск продукта. Обновления для системы безопасности: широкодоступное обновление, касающееся проблемы безопасности, относящейся к конкретному продукту. Пакеты обновления: накопительный набор исправлений, применяемых к ОС или к приложению. К таким исправлениям могут относиться обновления для системы безопасности, критические и обычные обновления программного обеспечения. Инструменты: служебная программа или функция, помогающая выполнять одну или несколько задач. Накопительные пакеты обновления: кумулятивный набор исправлений, объединенных в один пакет для более легкого развертывания. К таким исправлениям могут относиться обновления для системы безопасности, критические и обычные обновления • • программного обеспечения. Накопительный пакет обновления обычно предназначен для определенной области, например, безопасности, или для определенного компонента продукта. Обновления: обновление для уже установленного приложения или файла. Обновления: обновление функции до новой версии Windows 10. Параметры классификаций обновлений настраиваются только на сайте верхнего уровня. Параметры классификаций обновлений не задаются в точке обновления программного обеспечения на дочерних сайтах, так как метаданные обновлений программного обеспечения реплицируются с сайта верхнего уровня. При выборе классов следует помнить, что чем больше выбрано классов, тем дольше выполняется синхронизация метаданных обновлений ПО. Предупреждение Рекомендуется очистить все классификации перед первой синхронизацией. После первоначальной синхронизации выберите нужные классификации и повторите синхронизацию. Продукты Метаданные каждого обновления программного обеспечения определяют один или несколько продуктов, к которым применимо это обновление. Продукт представляет собой определенную версию операционной системы или приложения. Пример продукта — Microsoft Windows 10. Семейство продуктов представляет собой базовую операционную систему или приложение, от которых происходят отдельные продукты. Например, Microsoft Windows — это семейство продуктов, членами которого являются Windows 10 и Windows Server 2016. Выберите семейство продуктов или отдельные продукты в составе семейства. Если обновления программного обеспечения применимы к нескольким продуктам и хотя бы один из этих продуктов выбран для синхронизации, то все эти продукты отображаются в консоли Configuration Manager, даже если некоторые из них не были выбраны. Например, выберите только продукт Windows Server 2012. Если обновление программного обеспечения применимо к Windows Server 2012 и Windows Server 2012 Datacenter Edition, оба этих продукта будут показаны в базе данных сайта. Параметры продукта настраиваются только на сайте верхнего уровня. Параметры продукта не задаются в точке обновления программного обеспечения на дочерних сайтах, так как метаданные обновлений программного обеспечения реплицируются с сайта верхнего уровня. Чем больше продуктов будет выбрано, тем дольше будет выполняться синхронизация метаданных обновлений программного обеспечения. Важно! Configuration Manager сохраняет список продуктов и семейств продуктов, которые выбираются при первой установке точки обновления программного обеспечения. Продукты и семейства продуктов, выпущенные после выпуска Configuration Manager, могут быть недоступны для выбора до завершения синхронизации. При синхронизации обновляется список доступных для выбора продуктов и семейств продуктов. Очистите все продукты перед первой синхронизацией обновлений программного обеспечения. После первоначальной синхронизации выберите нужные продукты и повторите синхронизацию. Правила замены Как правило, обновление программного обеспечения, заменяющее другое обновление, выполняет одну или несколько следующих задач: • • • Улучшает, расширяет или дополняет возможности исправления, реализованного в одном или нескольких выпущенных ранее обновлениях. Повышает эффективность пакета замещающего обновления, который устанавливается на клиенты, если установка обновления одобрена. Например, заменяемое обновление может содержать файлы, которые больше не имеют отношения к исправлению или к операционным системам, которые поддерживаются в новом обновлении. Такие файлы не включаются в состав пакета заменяющего обновления. Обновляет более поздние версии продукта. Другими словами, выполняется обновление тех версий, которые больше не совместимы со старыми версиями или конфигурациями продукта. Обновления также могут заменять другие обновления, если были внесены изменения для расширения набора поддерживаемых языков. Например, в более поздней версии обновления Приложений Microsoft 365 может быть прекращена поддержка устаревшей ОС, но включена поддержка новых языков в исходном выпуске обновления. В свойствах точки обновления программного обеспечения укажите, что срок действия заменяемых обновлений программного обеспечения немедленно истекает. Этот параметр не позволяет включать их в новые развертывания. Он также помечает существующие развертывания, чтобы указать на наличие в них одного или нескольких обновлений программного обеспечения с истекшим сроком действия. Или укажите период времени, после которого истечет срок действия заменяемых обновлений программного обеспечения. Это позволит по-прежнему их развертывать. Оцените следующие сценарии, в которых может потребоваться развернуть заменяемое обновление. • • • Заменяющее обновление программного обеспечения поддерживает только более поздние версии операционной системы. Некоторые клиентские компьютеры работают под управлением прежних версий операционной системы. Заменяющее обновление является более узконаправленным, чем то, которое им заменяется. В этом случае оно станет непригодным на некоторых клиентах. Если заменяющее обновление не было утверждено для развертывания в вашей рабочей среде. Примечание o Для версий ранее 1806, когда Configuration Manager присваивает замененному обновлению программного обеспечения значение Истек срок действия, он не присваивает обновлению значение Отклонено в WSUS. Клиенты продолжают искать обновление с истекшим сроком, пока его не отклонят вручную или с помощью пользовательского скрипта. Для версий позднее 1806 Configuration Manager также будет отклонять замененные обновления в WSUS. Дополнительные сведения о задаче очистки WSUS см. в статье Обслуживание обновлений программного обеспечения. o Начиная с Configuration Manager версии 1810 вы можете задать правила замены для обновления компонентов отдельно от обновлений, не связанных с компонентами. Языки С помощью языковых параметров точки обновления программного обеспечения можно настроить: • • языки, на которых происходит синхронизация сводных данных (метаданных обновлений программного обеспечения) для обновлений программного обеспечения; языки загружаемых файлов обновлений программного обеспечения. Файл обновления программного обеспечения Настройте языки для параметра Файл обновления программного обеспечения в свойствах точки обновления программного обеспечения. Данный параметр предоставляет набор языков по умолчанию, доступных при загрузке обновлений программного обеспечения на сайте. Изменяйте языки, которые выбираются по умолчанию при каждой загрузке или развертывании обновлений. Если во время загрузки доступны файлы обновления для выбранных языков из числа настроенных, эти файлы загружаются в исходное местоположение пакета развертывания. Затем они копируются в библиотеку содержимого на сервере сайта. После этого они передаются в точки распространения, указанные в настройках пакета. Настройте языковые параметры файла обновления программного обеспечения, выбрав языки, часто используемые в вашей среде. Например, клиенты на сайте в основном используют английский и японский языки для Windows или приложений. Существует несколько других языков, которые используются на сайте. Выберите английский и русский языки в столбце Файл обновления программного обеспечения при загрузке или развертывании обновления программного обеспечения. В результате можно использовать настройки по умолчанию на странице Выбор языка мастеров развертывания и загрузки. Кроме того, при таком подходе лишние файлы обновлений не загружаются. Этот параметр настраивается в каждой точке обновления программного обеспечения в иерархии Configuration Manager. Сводные данные При выполнении синхронизации для обновлений программного обеспечения происходит обновление сводных данных (метаданных обновлений программного обеспечения) на указанных языках. Метаданные содержат информацию об обновлении программного обеспечения, например: • • • • • • • Имя Описание: Продукты, поддерживаемые обновлением Классификация обновления Идентификатор статьи URL-адрес загрузки Правила применения Параметры сводных данных настраиваются только на сайте верхнего уровня. Сводные данные не задаются на точке обновления программного обеспечения на дочерних сайтах, так как метаданные обновлений программного обеспечения реплицируются с сайта центра администрирования посредством файловой репликации. При выборе языков для сводных данных следует выбирать лишь те языки, которые необходимы в данной среде. Чем больше языков будет выбрано, тем дольше будет выполняться синхронизация метаданных обновлений программного обеспечения. Configuration Manager выводит метаданные обновлений программного обеспечения на языке операционной системы компьютера, на котором работает консоль Configuration Manager. Если локализованные свойства обновлений программного обеспечения недоступны на языке операционной системы, сведения об обновлениях отображаются на английском языке. Важно! Выбирайте все языки сводных данных, которые необходимы. При синхронизации точки обновления программного обеспечения на сайте верхнего уровня с источником синхронизации на основе выбранных языков сводных данных определяется, какие метаданные обновлений программного обеспечения нужно получить. Если изменить языки сводных данных после того, как синхронизация была выполнена хотя бы один раз, метаданные обновлений программного обеспечения будут извлекаться на новых языках только для новых или измененных обновлений. В обновления программного обеспечения, которые уже были синхронизированы, не добавляется отображение новых метаданных на других языках, если в источнике синхронизации не были внесены изменения в обновление программного обеспечения. Максимальное время выполнения (Представлено в версии 1906) Начиная с версии 1906 вы можете указать максимальный временной интервал, в течение которого установка обновления программного обеспечения должна завершиться. Можно указать максимум времени выполнения для следующих действий: • • Максимальное время выполнения для обновлений компонентов Windows (в минутах) o Обновления компонентов — это обновление, которое находится в одной из трех категорий: Обновления Накопительные пакеты обновления Пакеты обновления Максимальное время выполнения для обновлений Office 365 и некомпонентных обновлений Windows (в минутах) o Некомпонентные обновления — это обновления, которые не являются обновлениями компонентов и для которых указан один из следующих продуктов: Windows 10 (все версии) Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Office 365 • • Эти параметры изменяют максимальное время выполнения лишь для новых обновлений, которые синхронизируются из Центра обновления Майкрософт. Время выполнения существующих обновлений компонентов и некомпонентных обновлений не изменяется. Все прочие продукты и классификации не настраиваются с помощью этого параметра. Если вам нужно изменить максимальное значение времени выполнения для одного из этих обновлений, настройте параметры обновления программного обеспечения. Примечание В версии 1906 максимальная среда выполнения недоступна при установке точки обновления программного обеспечения верхнего уровня. После установки измените максимальное время выполнения в точке обновления программного обеспечения верхнего уровня. Планирование периода обслуживания обновлений программного обеспечения Добавьте период обслуживания, выделенный для установки обновлений программного обеспечения. Это позволяет настроить общий и различные периоды обслуживания для обновлений программного обеспечения. При настройке как общего периода обслуживания, так и периода обслуживания обновлений программного обеспечения клиенты устанавливают эти обновления только в ходе последнего. Начиная с Configuration Manager версии 1810 это поведение можно изменить и разрешить установку обновлений программного обеспечения во время общего периода обслуживания. См. сведения о параметрах клиента обновлений программного обеспечения. Возможности перезагрузки для клиентов Windows 10 после установки обновления программного обеспечения При развертывании обновления программного обеспечения, требующего перезагрузки с помощью Configuration Manager, и установке его на компьютере клиент планирует ожидание перезагрузки и выводит диалоговое окно перезагрузки. Если запланировано ожидание перезагрузки для обновления программного обеспечения Configuration Manager, параметры Обновить и перезагрузить и Обновить и завершить работу будут доступны для компьютеров Windows 10 в параметрах электропитания Windows. После применения одного из этих параметров диалоговое окно перезагрузки не выводится после перезагрузки компьютера. В некоторых обстоятельствах операционная система может удалить параметры, ожидающие перезагрузки. Это может произойти, если включена функция быстрого запуска в Windows 10. Оценка обновлений программного обеспечения после обновления стека обслуживания Начиная с версии 2002, Configuration Manager определяет, является ли обновление стека обслуживания (SSU) частью установки нескольких обновлений. При обнаружении SSU оно устанавливается первым. После установки SSU, для установки оставшихся обновлений запускается цикл оценки обновлений программного обеспечения. Это изменение позволяет установить зависимое накопительное обновление сразу после обновления стека обслуживания. Между установками не требуется перезагрузка устройства и создание дополнительного периода обслуживания. Обновления SSU устанавливаются первыми только для не инициированных пользователем установок. Например, если пользователь инициирует установку нескольких обновлений из Центра программного обеспечения, обновление стека обслуживания может не устанавливаться в первую очередь. Установка SSU сначала не поддерживалась для операционных систем Windows Server при использовании Configuration Manager версии 2002. Эта возможность для операционных систем Windows Server была добавлена в Configuration Manager версии 2006. Агент Центра обновления Windows (WUA) требуется на клиентах, чтобы они могли подключаться к серверу WSUS. WUA получает список обновлений программного обеспечения, которые необходимо проверить на соответствие требованиям. При установке Configuration Manager скачивается последняя версия WUA. Затем, когда устанавливается клиент Configuration Manager, при необходимости производится обновление WUA. Если выполнить установку не удастся, необходимо использовать другой метод обновления WUA. Зависимости обновления программного обеспечения, являющиеся внутренними для Configuration Manager В следующих разделах перечислены внутренние зависимости для обновлений программного обеспечения в Configuration Manager. Точки управления Точки управления передают данные между клиентскими компьютерами и сайтом Configuration Manager. Они необходимы для обновления программного обеспечения. Точки обновления программного обеспечения Необходимо установить точку обновления программного обеспечения на сервере WSUS для развертывания обновлений ПО в Configuration Manager. Точки распространения Точки распространения должны хранить контент для обновлений программного обеспечения. Параметры клиентов для обновлений программного обеспечения Обновления программного обеспечения включены для клиентов по умолчанию. Доступны и другие параметры, контролирующие, как и когда клиенты оцениваются на соответствие для обновлений ПО и как выполняется установка обновлений. Дополнительные сведения см. в следующих статьях: • Параметры клиентов для обновлений программного обеспечения • Параметры клиента для обновлений программного обеспечения Важно! Начиная с накопительного пакета обновления за сентябрь 2020, WSUSсерверы на основе HTTP будут защищены по умолчанию. Клиентский поиск обновлений для WSUS на основе HTTP больше не сможет использовать прокси пользователя по умолчанию. Если вам по-прежнему требуется прокси пользователя, хотя это компрометирует безопасность, новый параметр обновлений программного обеспечения клиента позволяет разрешить эти подключения. Дополнительные сведения об изменениях в сканировании WSUS см. в статье Изменения для улучшения безопасности устройств с Windows, сканирующих WSUS, в сентябре 2020 года. Чтобы обеспечить использование самых надежных протоколов безопасности, мы настоятельно рекомендуем использовать TLS/SSL для защиты инфраструктуры обновления программного обеспечения. Точки служб отчетов Роль системы сайта точки служб отчетов может отображать отчеты об обновлении программного обеспечения. Эта роль является необязательной, но использовать ее рекомендуется. Дополнительные сведения о создании точки служб отчетов см. в разделе Настройка отчетов. Какие обновления необходимы для WSUS 6.2 и 6.3? Для синхронизации классификации Обновления в WSUS 6.2 и 6.3 требуется два обновления. Иногда может появиться сообщение об ошибке при загрузке или развертывании обновлений, если они были синхронизированы до установки KB3095113 и KB3159706. Сведения о возможных проблемах см. в следующем разделе. • Необходимо установить выпущенное в октябре 2015 г. исправление KB 3095113 на точках обновления программного обеспечения и серверах сайтов, прежде чем синхронизировать классификацию Обновления. o Это обновление включает классификацию Обновления. • Для обслуживания Windows 10 версии 1607 и более поздних версий необходимо установить и настроить KB 3159706. KB 3159706 выпущено в мае 2016 года. o Это обновление позволяет WSUS в собственном коде расшифровывать файлы, используемые для обновления Windows 10 версии 1607 и более поздних версий. Важно! KB 3095113 и KB 3159706 включены в ежемесячный накопительный пакет обновлений для системы безопасности начиная с июля 2017 года. Это означает, что в качестве установленных обновлений могут не отображаться KB 3095113 и KB 3159706, так как они могут быть установлены в рамках накопительного пакета обновлений. Однако если требуется одно из этих обновлений, рекомендуется установить ежемесячный накопительный пакет обновлений для системы безопасности, выпущенный после октября 2017 года, так как он содержит дополнительное обновление WSUS для уменьшения использования памяти в ClientWebService WSUS. Скачивание обновлений Windows 10 завершается ошибкой "Недопустимая подпись сертификата" или 0xc1800118 Обновления и проблемы, описанные в этом разделе, применимы только к службам WSUS на компьютерах под управлением Windows Server 2012 или Windows Server 2012 R2 (WSUS 6.2 и 6.3). Как правило, проблемы, описанные в этом разделе, возникают только в том случае, если вы установили службы WSUS до июля 2017 года и недавно включили классификацию Обновления. Однако с этими проблемами можно столкнуться и в других ситуациях. Исторические сведения о KB 3095113 Версия KB 3095113 была выпущена в виде исправления в октябре 2015 года, чтобы добавить поддержку обновлений Windows 10 для WSUS. Это обновление позволяет WSUS синхронизировать и распространять обновления в классификации Обновления для Windows 10. Если синхронизировать какие-либо обновления, не установив сначала KB 3095113, вы заполните базу данных WSUS (SUSDB) непригодными для использования данными. Эти данные придется очистить, чтобы корректно развертывать обновления. Обновления Windows 10 в этом состоянии невозможно загрузить с помощью мастера загрузки обновлений программного обеспечения. На странице "Завершение" мастера загрузки обновлений программного обеспечения отображаются ошибки, аналогичные приведенным ниже: OutputКопировать Error: Upgrade to Windows 10 Pro, version 1511, 10586 Failed to download content id {content_id}. Error: Invalid certificate signature Кроме того, эти ошибки регистрируются в файле PatchDownloader.log: LogКопировать Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.1510291700.th2_release_...esd... Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004 ERROR: DownloadContentFiles() failed with hr=0x80073633 # This log is truncated for readability. Раньше эти ошибки разрешались с помощью измененной версии действий по разрешению для WSUS. Так как эти действия похожи на разрешение, чтобы не выполнять ручные действия, необходимые после установки KB 3159706, мы объединили оба набора шагов в одно разрешение в разделе ниже: • Восстановление после синхронизации обновлений до установки исправлений KB 3095113 или KB 3159706. Исторические сведения о KB знаний 3159706 Версия KB 3148812 изначально была выпущена в апреле 2016 года, чтобы включить поддержку WSUS для собственной расшифровки ESD-файлов, используемых для обновления пакетов Windows 10. Версия KB 3148812 приводила к проблемам для некоторых клиентов и была заменена на KB 3159706. Прежде чем обслуживать устройства Windows 10 версии 1607 и более поздних, необходимо установить KB 3159706 на всех точках обновления программного обеспечения и серверах сайта. Тем не менее проблемы могут возникнуть, если вы не выполните следующие действия вручную после установки KB: 1. В командной строке с повышенными привилегиями выполните "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. 2. Перезапустите службу WSUS на всех серверах WSUS. Если вы не знаете, что для KB 3159706 нужно выполнить некоторые действия вручную после установки, или синхронизируете обновление для Windows 10 1607 перед установкой KB 3159706, вы столкнетесь с проблемами подключения к консоли WSUS и развертывания обновления соответственно. При скачивании файла обновления клиент получит ошибку с кодом 0xC1800118. Так как действия по разрешению аналогичны разрешению для синхронизации обновлений до установки KB 3095113, мы объединили оба набора шагов в одно разрешение в следующем разделе. Восстановление после синхронизации обновлений до установки исправлений KB 3095113 или KB 3159706 Выполните следующие действия, чтобы разрешить ошибку 0xc1800118 и ошибку "Недопустимая подпись сертификата": 1. Отключите классификацию Обновления в службах WSUS и Configuration Manager. Синхронизация не должна происходить до тех пор, пока об этом не будет сказано в настоящих инструкциях. o Снимите флажок классификации Обновления в свойствах компонента точки обновления программного обеспечения на сайте верхнего уровня. Дополнительные сведения: Настройка классификаций и продуктов. o Снимите флажок классификация Обновления в службах WSUS в разделе Продукты и классификации на странице Параметры или воспользуйтесь интегрированной средой сценариев PowerShell с правами администратора. PowerShellКопировать Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification Disable Если вы используете базу данных WSUS на нескольких серверах WSUS, необходимо снять флажок Обновления только однажды для каждой базы данных. 2. На каждом сервере WSUS в командной строке с повышенными привилегиями выполните команду: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Затем перезапустите службу WSUS на всех серверах WSUS. o WSUS помещает базу данных в однопользовательский режим, прежде чем проверить, требуется ли обслуживание. Обслуживание запускается или не запускается на основе результатов проверки. Затем база данных переводится обратно в многопользовательский режим. o Если вы используете базу данных WSUS на нескольких серверах WSUS, необходимо выполнить это обслуживание только однажды для каждой базы данных. 3. Удалите все обновления Windows 10 из каждой базы данных WSUS с помощью интегрированной среды сценариев PowerShell от имени администратора. PowerShellКопировать [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Ad ministration") $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer(); $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' and $_.Title -match 'Windows 10'} ` | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); WriteHost $_.Title removed} 4. Удалите файлы из таблицы tbFile из каждой базы данных WSUS, используемой точками обновления программного обеспечения. В базе данных WSUS выполните следующие команды из SQL Server Management Studio: SQLКопировать declare @NotNeededFiles table (FileDigest binary(20) UNIQUE) insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%' except select FileDigest from tbFileForRevision) delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles) delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles) 5. Запустите синхронизацию обновлений программного обеспечения на сайте верхнего уровня в Configuration Manager и дождитесь ее завершения. Полная синхронизация происходит потому, что мы внесли изменения в классификации Configuration Manager, когда удалили Обновления. Дополнительные сведения: Синхронизация обновлений программного обеспечения. 6. Выберите классификацию Обновления в свойствах компонента точки обновления программного обеспечения. Затем запустите другую синхронизацию обновлений программного обеспечения, чтобы вернуть Обновления в WSUS и Configuration Manager. Вам не нужно включать классификацию Обновления в службах WSUS, так как Configuration Manager сделает это автоматически. 7. Если клиенты получают код ошибки 0xC1800118 при загрузке обновления, необходимо удалить хранилище данных, используемое агентом центра обновления Windows. Также может потребоваться удалить скрытую папку ~BT на устройстве. В следующий раз будет произведено полное сканирование клиента с использованием сервера WSUS, а не разности. Можно использовать скрипт PowerShell, аналогичный следующему примеру: PowerShellКопировать stop-service wuauserv remove-item -path c:\windows\softwaredistribution\datastore -recurse -force # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line. # remove-item -path c:\~BT -recurse -force start-service wuauserv Рекомендации по установке Используйте приведенные ниже рекомендации при установке обновлений программного обеспечения в Configuration Manager. Использование общей базы данных WSUS для точек обновления программного обеспечения При установке нескольких точек обновления программного обеспечения на первичном сайте следует использовать одну и те же базу данных WSUS для всех точек обновления программного обеспечения в одном лесу Active Directory. Совместное использование одной и той же базы данных во многом помогает устранить эффект снижения производительности клиентов и сети, который может стать заметным при переключении клиентов на новую точку обновления ПО. Однако данный способ не позволяет полностью устранить этот эффект. Переключение клиента на новую точку обновления ПО, которая использует ту же самую базу, что и старая точка, все равно приводит к сканированию новой точки для обнаружения различий между ними. Однако масштабы этого сканирования намного меньше по сравнению с той ситуацией, когда у сервера WSUS есть собственная база данных. Важно! При использовании общей базы данных WSUS для точек обновления программного обеспечения также необходимо предоставить общий доступ к локальным папкам содержимого службы WSUS. • Как реализовать совместно используемую базу данных SUSDB для точек обновления программного обеспечения Configuration Manager Рекомендации по совместному использованию базы данных содержимого несколькими экземплярами WSUS при использовании Configuration Manager. Если Configuration Manager и WSUS используют один и тот же сервер SQL Server, настройте один из этих компонентов на использование именованного экземпляра, а другой — на использование экземпляра по умолчанию Если базы данных Configuration Manager и WSUS используют один и тот же экземпляр SQL Server, вы не можете быстро распределить использование ресурсов между двумя приложениями. Используйте различные экземпляры SQL Server для Configuration Manager и WSUS. Эта конфигурация позволяет значительно проще устранять неполадки и диагностировать проблемы, связанные с использованием ресурсов, которые могут возникать в каждом приложении. Укажите параметр "Хранить обновления локально" При установке WSUS выберите параметр Хранить обновления локально. При выборе этого параметра WSUS скачивает условия лицензии, связанные с обновлениями программного обеспечения. Условия лицензии скачиваются во время синхронизации и сохраняются на локальном жестком диске сервера WSUS. Если этот параметр не выбран, клиентские компьютеры могут не пройти проверку соответствия для обновлений программного обеспечения с этими условиями лицензии. Диспетчер синхронизации служб WSUS точки обновления программного обеспечения по умолчанию выполняет проверку того, что этот параметр установлен, каждые 60 минут. Настройка точек обновления программного обеспечения для использования протокола TLS/SSL Настройка серверов Windows Server Update Services (WSUS) и соответствующих точек обновления программного обеспечения на использование протокола TLS/SSL может усложнить потенциальным злоумышленникам удаленную атаку на клиент и получение разрешений. Чтобы обеспечить использование самых надежных протоколов безопасности, мы настоятельно рекомендуем использовать TLS/SSL для защиты инфраструктуры обновления программного обеспечения. Рекомендации по использованию Руководствуйтесь следующими рекомендациями при работе с обновлениями программного обеспечения. Укажите значение 1000 в качестве максимального количества обновлений для одного развертывания обновлений Установите ограничение количества обновлений в 1000 для каждого развертывания обновлений программного обеспечения. При создании правила автоматического развертывания убедитесь, что количество обновлений программного обеспечения, выбранных в результате применения указанных критериев, не превышает 1000. При развертывании обновлений вручную выбирайте не более 1000 обновлений. • Создавайте группу обновления программного обеспечения каждый раз при выполнении правила автоматического развертывания для комплексной установки исправлений и для общих развертываний На количество обновлений программного обеспечения в развертывании существует ограничение в 1000 обновлений. При создании правила автоматического развертывания указывается, должна ли использоваться существующая группа обновления или следует создавать новую группу обновления при каждом выполнении правила. Если в правиле автоматического развертывания вы указали критерии, которые приводят к нескольким обновлениям программного обеспечения, и правило выполняется согласно расписанию, создайте новую группу обновлений при каждом выполнении правила. Это предотвратит превышение ограничения в 1000 обновлений программного обеспечения для одного развертывания. Используйте существующую группу обновления программного обеспечения для применения правил автоматического развертывания для обновления определений Endpoint Protection Если вы регулярно развертываете определения Endpoint Protection с использованием правила автоматического развертывания, всегда используйте существующую группу обновления программного обеспечения. В противном случае со временем может быть создано несколько сотен групп обновления программного обеспечения. Как правило, издатели обновлений определений указывают срок действия обновлений таким образом, чтобы он завершался после замены обновления четырьмя новыми обновлениями. Поэтому группа обновления программного обеспечения, созданная с помощью правила автоматического развертывания, никогда не будет включать более четырех обновлений определений от данного издателя (одно активное и три замененных). Порядок выполнения работы: 1. Изучить инструкцию к практической работе. 2. Выполнить задание. 3. Оформить отчет. Содержание отчета: 1. Тема. 2. Цель. 3. Задачи. 4. Материальное обеспечение. 5. Практическое задание. Вопросы для самоконтроля: 1. Перечислите безопасные места хранения информации.