Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services ) - локальный сервер обновлений в вашей сети.
Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.
Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:
- IIS 6 или выше,
- .NET Framework 2.0 или выше,
- Report Viewer Redistributable 2008 ,
- SQL Server 2005 SP2 Express или выше.
WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.
Получить все необходимые компоненты можно на сайте Microsoft:
При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.
Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите.NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:
- ASP.NET
- Windows - проверка подлинности
- Сжатие динамического содержимого
- Совместимость управления IIS6
Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.
Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.
Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.
На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.
При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.
На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.
Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.
Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.
Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой , выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить . В открывшемся окне выберите Конфигурация компьютера - Политики - Административные шаблоны - Центр обновления Windows . Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети . Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http:\\ИМЯ_СЕРВЕРА .
Также советуем настроить опцию Настройка автоматического обновления , которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.
Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск - Выполнить - gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.
Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.
Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.
Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.
Вот мы и подошли к еще одной важной настройке сервера - автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры - Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.
Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.
Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.
В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.
На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.
Теги:
(WSUS) - сервер обновлений операционных систем и других продуктов Microsoft. WSUS позволяет централизованно управлять обновлениями программных продуктов MS Windows, Office и т.д.
Роль WSUS будет подниматься на Windows Server 2012 R2.
Установка роли сервера обновлений WSUS
В Server Manager (Диспетчер серверов) переходим в Tools (Управление) — Add Roles and Features Wizard (Добавить роли и компоненты). Выбираем роль Windows Server Update Services (Службы Windows Server Update Services) и добавляем все предлагаемые к установке компоненты.
В Features (Компоненты) отмечаем .NET Framework 3.5 Features . Данный компонент будет необходим для установки Microsoft Report Viewer 2008 SP1 Redistributable (Просмотр отчетов WSUS).
Выбираем тип базы данных, которую будет использовать WSUS:
- WID (Windows Internal database) - встроенная база Windows (по-умолчанию база данных WID находится в %Windir%\wid\data\SUSDB.mdf)
- Database – использование локальной или внешней база данных (Microsoft SQL Server 2008 R2 SP1 Enterprise / Standard / Express Edition, Microsoft SQL Server 2012 Enterprise / Standard / Express Edition)
Указываем каталог, в котором будут хранится обновления (рекомендуется, чтобы на выбранном диске было не менее 6Gb свободного места).
После установки роли и компонентов WSUS , необходимо запустить выполнение после установочных задач. Нажимаем на флажок и щелкаем Launch Post-Installation tasks , дожидаемся окончания процедуры.
На этом роль и компоненты WSUS установлены. При первом запуске консоли WSUS автоматически запустится мастер настройки.
Настройка роли сервера обновлений WSUS
Выполним первоначальную настройку WSUS с помощью мастера. Первые два пункта информационные, поэтому их опускаем и переходим сразу к Choose Upstream Server (Выбор сервера синхронизации).
Выбираем вариант синхронизации:
- Скачивать обновления напрямую с сайта Microsoft Update.
- Скачивать обновления с вышестоящего WSUS сервера.
Если WSUS сервер смотрит в интернет через прокси-сервер, то необходимо указать параметры доступа к прокси-серверу.
Для проверки связи с выбранным вариантом синхронизации, нажимаем Start Connecting.
Указываем для каких языков WSUS необходимо скачивать обновления.
Указываем для каких продуктов, WSUS необходимо скачивать обновления.
Указываем типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates , Definition Updates , Security Packs .
Указываем расписание синхронизации обновлений.
В завершении можно инициализировать немедленную синхронизацию.
По завершении работы мастера, запустится оснастка WSUS.
Конфигурирование групповой политики для WSUS
Для централизованного распределения и поддержания в актуальном состоянии компьютеров в различных группах WSUS, воспользуемся групповыми политиками (Group Policy Management). Использование групповых политик (GPO) является наиболее распространенным и рекомендуемым подходом к управлению WSUS.
В настройках консоли WSUS, указываем правило распределения компьютеров по группам, через групповые политики (GPO). Переходим в Options — Computers и выбираем Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).
Выполним конфигурирование групповой политики (GPO). Создаем объект GPO (прим. WorkstationWSUSPolicy). Редактируем параметры групповой политики (GPO). Переходим в раздел Computer Configuration -> Policies -> Administrative templates -> Windows Component -> Windows Update. Указываем следующие параметры:
- Configure Automatic Updates (Настройка автоматического обновления) - 3 — Auto download and schedule the install (автоматическая загрузка и уведомление об установке).
- Specify Intranet Microsoft update service location
(Указать размещение службы обновлений Майкрософт в интрасети):
- Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений) - (прим. http://srv-wsus:8530)
- Set the intranet statistics server (Укажите сервер статистики в интрасети) - (прим. http://srv-wsus:8530)
- Target group name for this computer (Разрешить клиенту присоединение к целевой группе) - в консоли WSUS отнести клиентов к группе (прим. Workstations)
- No auto-restart with logged on users for scheduled automatic updates installations: Disabled - система автоматически перезагрузится через 5 минут после окончания установки обновлений
Переходим в раздел Computer Configuration -> Policies -> Windows Setings -> Security Settings -> System Services . Находим службу Windows Update , задаем параметр Automatic .
Все эти условия групповой политики, обеспечат получение обновлений с инфраструктуры WSUS. Нацеливаем групповую политику (прим. WorkstationWSUSPolicy) на необходимые рабочие станции и через некоторое время в консоли WSUS появятся клиенты.
Чтобы протестировать клиент, в командной строке, выполним команду:
Wuauclt /detectnow /reportnow
Для принудительной регистрации клиента на сервере WSUS, выполним команду:
Wuauclt /resetAuthorization /detectnow
Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).
Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).
После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.
Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)
Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик: Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows (Computer Configuration -> Policies -> Administrative templates -> Windows Component -> Windows Update )
В политике указываем:
- Allow Automatic Updates immediate installation: Disabled — запрещаем немедленную установку обновлений при их получении
- Allow non-administrators to receive update notifications: Enabled — отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку
- Configure Automatic Updates: Enabled . Configure automatic updating: 4 - Auto download and schedule the install. Scheduled install day: 0 - Every day . Scheduled install time : 03:00 – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
- Target group name for this computer: Workstations – в консоли WSUS отнести клиентов к группе Workstations
- No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 10 минут после окончания установки обновлений
- Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://wsus:8530 , Set the intranet statistics server: http://wsus:8530 –адрес корпоративного WSUS сервера
Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.
Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy )
Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration -> Policies -> Administrative templates -> Windows Component -> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).
Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки.Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.
В политике указываем:
Совет . Рекомендуем в обоих политиках настроить обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы), найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».
Назначаем политику WSUS на OU (контейнер) в Active Directory
Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations ) и для серверов (Servers ). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.
Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc ), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.
Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force , данная команда инициирует немедленное применение групповой политики.
И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).
Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется , самые распространенные из них:
/DetectNow - поиск обновлений
/ResetAuthorization - запрос на обновление авторизации
runas /user:admin «wuauclt /detectnow» - поиск обновлений под определенным пользователем
/ReportNow - сформировать отчет
Windows Server Update Services (WSUS ) - сервер обновлений операционных систем и продуктов Microsoft . Очень полезная консоль при наличии в офисе более 10 компьютеров. Полезен тем, что позволяет с ОДНОГО сервера «раскидывать» обновления на все компьютеры в сети, т. е. не каждый отдельный компьютер должен загружать интернет-канал, а один сервер скачивает обновления и «раздает» по сети всем рабочим станциям и серверам.
Изначально в Windows 2003 необходимо было скачивать с сайта Microsoft дистрибутив WSUS , с появление Ms Windows 2008 и Ms и Windows 2008 R 2 это необходимость исчезла, т.к. появилась роль WSUS , хотя можно и по старинке скачать с сайта Microsoft дистрибутив .
Для установки необходимо выполнить минимальные требования, а именно:
Операционная система: Windows Server 2003 SP1 и выше.
Дополнительные роли сервера: IIS 6.0 и выше (для Windows Server 2008 при добавлении роли сам предложит установиться)
Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).
Необходимо учесть место на жестком диске я рекомендовал бы минимум 100 Гб, зависит от того какие у вас настройки выставлены в WSUS.
Итак, неважно каким способом вы устанавливаете (с помощью дистрибутива или добавлением роли) шаги будут одинаковы.
После запуска установки необходимо нажать несколько раз Далее. Остановлюсь на основных шагах:
Указываем где будут хранится обновления (диск объемом не менее 100 Гб свободного места)
Указываем папку где будут храниться база данных обновлений (2-4 Гб свободного места).
Очень важный шаг выбора порта по которому будут осуществляться распространения обновлении, по умолчанию используется 80 порт, но его использовать я не рекомендую, т.к. этот порт часто используется другими приложениями. Лучше создать веб-сайт службы WSUS и использовать порт 8530.
После установки службы Wsus необходимо ее правильно настроить, опять же рассмотрим основные шаги:
Выбираем откуда будем брать обновления, если это первый сервер с Wsus то выбираем синхронизацию с центра обновлений Майкрософт.
Выбирать языки следует Английский (обязятельно) + те языки которые встречаются в вашей сети.
Выбираем продукты которые будут обновляться (следует указывать только те которые вы используете, иначе бесмысленные обновления будут занимать место на жеском диске).
Выбираем классы продуктов котрые будут обновляться.
Основные настройки выполнены, переходим к дополнительным, настройке непосредственно консоли WSUS, для удобства я бы рекомендовал создать 2 группы компьютеров, в одной группе будут сервера, в другой рабочие станции (делается для того что бы можно было ограничить установку обновлений для серверов).
Изначально все компьютеры будут находится в Неназначенных компьютерах , затем вручную необходимо переместить компьютеры в необходимые группы. Для рабочих станций рекомендую устанавливать все обновления, для это заходим в «Параметры- Автоматические одобрения » и делаем следующее правило.
А для серверов делаем правило для одобрения только критических обновлений (Для серверов крайне не рекомендуется ставить все обновления, т.к. это может вызвать сбои в их работе, сталкивался с этим неоднократно).
Теперь необходимо внести изменения во все компьютеры сети, что бы они знали откуда "брать" обновления. Делается это с помощью групповых политик. Заходим на контролер домена «Пуск – Администрирование – Управление групповой политикой ». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy) или создаем новую. Кликаем правой кнопкой и выбираем «Изменить ». В окне «Редактор управления групповыми политиками » заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows ». Внизу готовые и проверенные настройки. Там где красная линия впишите имя или IP адрес своего сервера на котором установлен WSUS.
на русском языке:
Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности
».
В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.
Спустя несколько минут после всех процедур в консоле Wsus в группе Неназаченные компьютеры начнут появляться компьютеры сети. Согласно их операционной системы вы перемещаете их в нужную группу (Server или Workgroup). Напомню, согласно нашим настройкам на компьютеры которые находятся в группе Workgroup будут устанавливаться все обновления, для серверов только критические.
Для снижения трафика в территориально распределенных сетях больших компаний рекомендуется использовать сценарий установки сервера обновлений wsus с поддержкой первичного и нескольких подчиненных серверов. Данный сценарий позволяет значительно снизить нагрузку на каналы передачи данных, использовать централизованную точку управления обновлениями и отчетами.
Архитектура решения
Имеется центральный офис и несколько территориально распределенных площадок связанных между собой виртуальными частными каналами (VPN). Site A является центральным сайтом, который осуществляет загрузку обновлений и раздачу подчиненным сайтам (Site B, Site C). Подчиненные сервера отправляют на центральный сайт всю информацию о состоянии своих клиентов. В качестве сервера базы данных будем использовать выделенный сервер MS SQL сервер.
Реализация
На территории центрального офиса развернем Windows Server 2012 R2 с ролью служба Windows Server Update Service (WSUS), для этого в диспетчере серверов необходимо выбрать установку роли и компоненты .
Тип установки: установка ролей или компонентов.
Выберем локальный сервер, на котором разворачиваем роль WSUS сервера.
Установим галку напротив службы Windows Server Update Service.
Добавим необходимые компоненты.
На этапе выбор компонентов необходимо отказаться от установки внутренней базы данных Windows.
Удалим компоненты.
На скриншоте ниже, мы видим, что компонент внутренняя база данных Windows не будет установлена. Нажимаем Далее.
На экране службы ролей предлагается на выбор две базы данных. Одна из них WID Database и База данных. WID Database не что иное, как Windows Internal Database - один из вариантов SQL Server Express 2005, входящий в состав Windows Server 2008, а также поставляемый с некоторыми другими бесплатными продуктами Microsoft. Так как мы, согласно нашей архитектуре, планируем использовать внешнюю базу выберем База данных.
Укажем путь к папке в которой будем хранить скаченные обновления и патчи.
На этапе экземпляр БД укажем адрес SQL сервера и нажмем клавишу проверка подключения.
Если проверка завершится удачно, о чем будет свидетельствовать сообщение Подключение к серверу успешно выполнено, вы сможете продолжить Далее.
Дополнительных настроек или установки компонентов служба ролей Веб-сервер не требует, поэтому просто нажмем Далее.
Насладимся процессом установки……
После чего нажмем кнопку Закрыть.
И перейдем к настройке первичного сервера обновлений . Для этого откроем средства, и из выпадающего списка выберем служба Windows Server Update Service.
Для завершения установки необходимо указать экземпляр базы данных и путь к каталогу обновлений.
После завершения послеустановочных задач откроется мастер настройки Windows Server Update Services. Подробный процесс настройки описан в , нас же интересует настройка подчиненных серверов.
Настройка подчиненного сервера
Для подключения подчиненного сервера wsus к первичному серверу, необходимо запустить мастер настройки сервера и в мастере, в разделе выбор вышестоящего сервера указать имя главного сервера. Согласно рекомендации Microsoft указать использовать SSL при синхронизации и отметить что данный сервер является репликой.
В результате этих настроек, дополнительные параметры мастера станут неактивными и все управление обновлениями, группами компьютеров перейдет на вышестоящий сервер. Проделаем аналогичную процедуру для остальных подчиненных серверов.
Запустите синхронизацию данных, по окончании которой на подчиненный сервер будут загружены все одобренные на вышестоящем сервер обновления , а так же группы компьютеров.
Итог
В сценарии, когда вы используете вышестоящий сервер и несколько подчиненных серверов, все действия по одобрению обновлений, их отзыву, созданию групп компьютеров осуществляются на вышестоящем сервере, что в значительной мере сокращается затрачиваемое время на обслуживание WSUS серверов . Так же вы получаете централизованное управление обновлениями и отчетами, так как подчиненные сервера отправляют все данные на вышестоящий сервер.
