จะติดตั้งและกำหนดค่า WSUS บน Windows Server 2012 R2 / 2016 ได้อย่างไร

บริการอัปเดตเซิร์ฟเวอร์ Windows (WSUS ) เป็นบริการอัปเดตที่ช่วยให้ผู้ดูแลระบบสามารถจัดการแพตช์และการอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์ Microsoft จากส่วนกลาง (Windows, Office, SQL Server, Exchange ฯลฯ) บนคอมพิวเตอร์และเซิร์ฟเวอร์ในเครือข่ายขององค์กร จำสั้น ๆ ว่า WSUS ทำงานอย่างไร เซิร์ฟเวอร์ WSUS ถูกกำหนดให้ซิงโครไนซ์กับเซิร์ฟเวอร์ Microsoft Update บนอินเทอร์เน็ต และดาวน์โหลดการอัปเดตล่าสุดสำหรับผลิตภัณฑ์ที่เลือก ผู้ดูแลระบบ WSUS จะเลือกการอัปเดตที่ต้องติดตั้งบนเวิร์กสเตชันและเซิร์ฟเวอร์ของบริษัท ไคลเอนต์ WSUS ดาวน์โหลดและติดตั้งการอัปเดตที่จำเป็นจากเซิร์ฟเวอร์การอัปเดตขององค์กรตามนโยบายที่กำหนดค่าไว้ เซิร์ฟเวอร์การอัพเดท WSUS ของคุณเองทำให้คุณสามารถบันทึกการรับส่งข้อมูลทางอินเทอร์เน็ตและจัดการการติดตั้งการอัปเดตในบริษัทได้อย่างคล่องตัว

Microsoft ยังเสนอระบบการติดตั้งการอัปเดตอื่นๆ สำหรับผลิตภัณฑ์ของตน เช่น SCCM (System Center Configuration Manager) อย่างไรก็ตาม เซิร์ฟเวอร์ WSUS ไม่เหมือนกับผลิตภัณฑ์อื่นๆ โดยสิ้นเชิง (อันที่จริง ซอฟต์แวร์อัปเดตใน SCCM – SUP ซึ่งเป็น Software Update Point นั้นใช้ WSUS ด้วย)

ไม่มีอะไรใหม่ใน WSUS เวอร์ชันใหม่ใน Windows Server 2012 R2/ 2016 เป็นหลัก โปรดทราบว่าขณะนี้ แพ็คเกจการติดตั้ง WSUS ไม่สามารถดาวน์โหลดแยกต่างหากจากเว็บไซต์ของ Microsoft ได้ แพ็กเกจนี้จะรวมอยู่ในการแจกจ่าย Windows Server และติดตั้งเป็นบทบาทเซิร์ฟเวอร์แยกต่างหาก . นอกจากนี้ WSUS 6.0 ยังเพิ่มความสามารถในการจัดการการติดตั้งการอัปเดตโดยใช้ PowerShell

ในบทความนี้ เราจะกล่าวถึงปัญหาพื้นฐานของการติดตั้งบทบาท WSUS และการกำหนดค่าใน Windows Server 2012 R2 / Windows Server 2016

จะติดตั้งบทบาท WSUS บน Windows Server 2012 R2 / 2016 ได้อย่างไร

ใน Windows Server 2008 WSUS ได้รับการจัดสรรให้กับบทบาทแยกต่างหากที่สามารถติดตั้งผ่าน การจัดการเซิร์ฟเวอร์ คอนโซล ใน Windows Server 2012 R2 / 2016 สิ่งนี้ไม่มีการเปลี่ยนแปลง เปิดคอนโซลการจัดการเซิร์ฟเวอร์และเลือกบทบาทของ Windows Server Update Services (ระบบจะเลือกและเสนอให้ติดตั้งส่วนประกอบที่จำเป็นของเว็บเซิร์ฟเวอร์ IIS โดยอัตโนมัติ)

เลือกตัวเลือก บริการ WSUS จากนั้น คุณต้องเลือกประเภทของฐานข้อมูลที่ WSUS จะใช้

WSUS บน Windows Server 2012 รองรับฐานข้อมูลต่อไปนี้:

• ฐานข้อมูลภายในของ Windows (WID);
• Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 ในรุ่น Enterprise / Standard / Express

ดังนั้น คุณสามารถใช้ Windows Internal Database WID (ฐานข้อมูลภายในของ Windows) ได้ ซึ่งฟรีและไม่ต้องการใบอนุญาตเพิ่มเติม หรือคุณสามารถใช้ฐานข้อมูล SQL Server ในเครื่องหรือระยะไกลโดยเฉพาะ (บนเซิร์ฟเวอร์อื่น) เพื่อจัดเก็บข้อมูล WSUS

ฐาน WID เริ่มต้นเรียกว่า SUSDB.mdf และถูกเก็บไว้ในโฟลเดอร์ %windir%\wid\data . ฐานข้อมูลนี้รองรับเฉพาะการรับรองความถูกต้องของ Windows (ไม่ใช่ SQL) อินสแตนซ์ฐานข้อมูลภายใน (WID) สำหรับ WSUS เรียกว่า server_name\Microsoft##WID . ฐานข้อมูล WSUS เก็บการตั้งค่าเซิร์ฟเวอร์การอัปเดต อัปเดตข้อมูลเมตา และข้อมูลไคลเอ็นต์ WSUS

ขอแนะนำให้ใช้ฐานข้อมูลภายใน (ฐานข้อมูลภายในของ Windows) หาก:

• องค์กรของคุณไม่มีและไม่ได้วางแผนที่จะซื้อใบอนุญาตสำหรับ SQL Server
• ไม่ได้วางแผนที่จะใช้การโหลดบาลานซ์ WSUS (NLB WSUS);
• หากคุณวางแผนที่จะปรับใช้เซิร์ฟเวอร์ WSUS ลูก (เช่น ในสำนักงานสาขา) ในกรณีนี้ ขอแนะนำให้ใช้ฐานข้อมูล WSUS ในตัวบนเซิร์ฟเวอร์รอง

ฐานข้อมูล WSUS WID สามารถจัดการผ่าน SQL Server Management Studio (SSMS) หากคุณระบุในสตริงการเชื่อมต่อต่อไปนี้:\\.\pipe\MICROSOFT##WID\tsql\query .

โปรดทราบว่าในรุ่นฟรีของ SQL Server 2008/2012 Express มีการจำกัดขนาดฐานข้อมูลสูงสุด - 10 GB เป็นไปได้มากว่าจะไม่ถึงขีดจำกัดนี้ (เช่น ขนาดของฐานข้อมูล WSUS สำหรับไคลเอ็นต์ 3000 ตัวจะอยู่ที่ประมาณ 3 GB) ฐานข้อมูลภายในของ Windows จำกัดไว้ที่ 524 GB

หากคุณติดตั้งบทบาท WSUS และฐานข้อมูล MS SQL บนเซิร์ฟเวอร์ที่ต่างกัน มีข้อจำกัดบางประการ:

• SQL Server ที่มีฐานข้อมูล WSUS ไม่สามารถเป็นตัวควบคุมโดเมนได้
• เซิร์ฟเวอร์ WSUS ไม่สามารถเป็นโฮสต์บริการเดสก์ท็อประยะไกลพร้อมกันได้

หากคุณวางแผนที่จะใช้ฐานข้อมูล WID ในตัว (ขอแนะนำและตัวเลือกที่ใช้งานได้แม้สำหรับโครงสร้างพื้นฐานขนาดใหญ่) ให้ตรวจสอบ ฐานข้อมูล ตัวเลือก

จากนั้น คุณต้องระบุไดเร็กทอรีเพื่อจัดเก็บการอัปเดต (ขอแนะนำให้มีพื้นที่ว่างอย่างน้อย 10 GB บนดิสก์ที่เลือก)

หากคุณเคยเลือกใช้ฐานข้อมูล SQL แยกต่างหาก คุณต้องระบุชื่อของเซิร์ฟเวอร์ฐานข้อมูล อินสแตนซ์ DB และตรวจสอบการเชื่อมต่อ

จากนั้น บทบาท WSUS พร้อมส่วนประกอบที่จำเป็นทั้งหมดจะถูกติดตั้ง เมื่อการติดตั้งสิ้นสุดลง ให้เรียกใช้ WSUS Management Console ใน Server Manager

คุณยังสามารถติดตั้งเซิร์ฟเวอร์ WSUS ด้วยฐานข้อมูลภายในโดยใช้คำสั่ง PowerShell ต่อไปนี้:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

การกำหนดค่า WSUS พื้นฐานบน Windows Server 2012 R2 / 2016

เมื่อคุณเริ่มคอนโซล WSUS ครั้งแรก ตัวช่วยสร้างการกำหนดค่าเซิร์ฟเวอร์อัปเดตจะเริ่มทำงานโดยอัตโนมัติ มาพิจารณาขั้นตอนพื้นฐานสำหรับการกำหนดค่าเซิร์ฟเวอร์ WSUS โดยใช้วิซาร์ด

ระบุว่าเซิร์ฟเวอร์ WSUS รับการอัปเดตจากเว็บไซต์ Microsoft Update โดยตรงหรือควรดาวน์โหลดจากเซิร์ฟเวอร์อัปสตรีม WSUS ตัวเลือกที่สองมักใช้ในเครือข่ายขนาดใหญ่เพื่อกำหนดค่าเซิร์ฟเวอร์ WSUS ของแผนกภูมิภาคขนาดใหญ่ ซึ่งรับการอัปเดตจาก WSUS ในสำนักงานกลาง (การกำหนดค่านี้ช่วยลดภาระงานในช่อง WAN ระหว่าง HQ และสำนักงานสาขาได้อย่างมาก)

หากเซิร์ฟเวอร์ WSUS ของคุณต้องดาวน์โหลดการอัปเดตจากเซิร์ฟเวอร์ Windows Update และคุณเข้าถึงอินเทอร์เน็ตผ่านพร็อกซีเซิร์ฟเวอร์ คุณต้องระบุที่อยู่เซิร์ฟเวอร์พร็อกซี พอร์ต และข้อมูลประจำตัวเพื่อเข้าถึง

ถัดไป มีการตรวจสอบการเชื่อมต่อกับเซิร์ฟเวอร์อัปเดตอัปสตรีม คลิก เริ่มการเชื่อมต่อ .

จากนั้น คุณต้องเลือกภาษาที่ WSUS จะดาวน์โหลดการอัปเดต เราเลือก ภาษาอังกฤษ (รายการภาษาสามารถเปลี่ยนแปลงเพิ่มเติมได้จากคอนโซล WSUS)

จากนั้นระบุรายการผลิตภัณฑ์ที่ WSUS ควรดาวน์โหลดการอัปเดต คุณต้องเลือกผลิตภัณฑ์ Microsoft ทั้งหมดที่ใช้ในเครือข่ายองค์กรของคุณ โปรดทราบว่าการอัปเดตเพิ่มเติมทั้งหมดจะใช้พื้นที่ดิสก์ ดังนั้นจึงไม่ควรตรวจสอบผลิตภัณฑ์เพิ่มเติม หากคุณแน่ใจว่าไม่มีคอมพิวเตอร์ที่ใช้ Windows XP หรือ Windows 7 ในเครือข่ายของคุณ อย่าเลือกช่องทำเครื่องหมายสำหรับระบบปฏิบัติการเหล่านี้ ซึ่งจะช่วยประหยัดพื้นที่บนไดรฟ์เซิร์ฟเวอร์ WSUS ได้อย่างมาก

ใน หน้าการจำแนกประเภท ระบุประเภทของการอัปเดตที่จะเผยแพร่ผ่าน WSUS ขอแนะนำให้เลือก:Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates

การอัพเกรดบิลด์ Windows 10 (1709, 1803, 1809 เป็นต้น) ในคอนโซล WSUS จะรวมอยู่ใน อัปเกรด ระดับ.

ถัดไป คุณควรระบุกำหนดการการซิงโครไนซ์การอัปเดต – ขอแนะนำให้ใช้การซิงโครไนซ์รายวันอัตโนมัติของเซิร์ฟเวอร์ WSUS กับเซิร์ฟเวอร์ Microsoft Update ควรทำการซิงโครไนซ์ WSUS ในเวลากลางคืน เพื่อไม่ให้ช่องอินเทอร์เน็ตโอเวอร์โหลดในช่วงเวลาทำการ

การซิงโครไนซ์เริ่มต้นของเซิร์ฟเวอร์ WSUS กับเซิร์ฟเวอร์อัปสตรีมอาจใช้เวลาหลายวัน ขึ้นอยู่กับจำนวนผลิตภัณฑ์ที่คุณเลือกก่อนหน้านี้และ ISP ของคุณ

หลังจากวิซาร์ดเสร็จสิ้น คอนโซล WSUS จะเปิดขึ้น

เพื่อปรับปรุงประสิทธิภาพของ WSUS Server บน Windows Server ขอแนะนำให้แยกโฟลเดอร์ต่อไปนี้ออกจากการสแกนไวรัส:

• \WSUS\WSUSContent;
• %windir%\wid\data;
• \SoftwareDistribution\Download.

ขณะนี้ไคลเอ็นต์สามารถรับการอัปเดตได้โดยเชื่อมต่อกับเซิร์ฟเวอร์ WSUS บนพอร์ต 8530 (ใน Windows Server 2003 และ 2008 จะใช้พอร์ต 80 เป็นค่าเริ่มต้น) ด้วยคอมพิวเตอร์จำนวนมาก (มากกว่า 1,000 เครื่อง) สามารถกำหนดค่าประสิทธิภาพของพูล IIS WsusPoll ซึ่งกระจายการอัปเดตไคลเอ็นต์ ได้ตามบทความ

ในบทความอื่นๆ เราจะมาดูวิธีกำหนดค่าเซิร์ฟเวอร์ WSUS เพิ่มเติมใน Windows Server 2012 R2 / 2016:กำหนดการตั้งค่าไคลเอ็นต์ WSUS โดยใช้นโยบายกลุ่ม วิธีอนุมัติการอัปเดตใหม่ และคัดลอกการอัปเดตที่ได้รับอนุมัติระหว่างกลุ่มเป้าหมาย WSUS

คอยติดตาม!