Windows server 2012 r2 отключить обновления

Windows server 2012 r2 отключить обновления

Центр обновления Windows

В данном руководстве будет рассмотрена процедура отключение автообновления в операционной системе Windows Server 2012.

Для этого откройте Диспетчер Серверов через панель задач:

В окне „Диспетчер Серверов“ нажмите — „Локальный сервер“.
Затем в панели Свойства откройте — „Центр обновления Windows“ нажав на надпись "Автоматически устанавливать обновления".

В новом окне „Настройка параметров“.

Далее выберите из списка Важные обновления – „Не проверять наличие обновлений“.
и уберите галочку с параметра „Получать рекомендуемые обновления таким же образом, как и важные обновления“.

Теперь вы отключили обновления системы, нажимайте „ОК“.

Далее в Диспетчере серверов мы видим что Центр обновления Windows установлен в режиме „Не проверять наличие обновлений“.

Довольно долго статья об методиках и особенностях утверждения (одобрения) обновлений на сервере Windows Server Update Services (WSUS) у меня лежала в черновиках, и по настойчивым просьбам одного из постоянных подписчиках я решил ее закончить и опубликовать.

Одна из основных задач администратора WSUS является управление обновлениями, одобренными для установки на компьютерах и сервера Windows. Сервер WSUS после установки и настройки начинает регулярно скачивать обновления для выбранных продуктов с серверов Microsoft Update.

Целевые группы компьютеров WSUS

После того, как обновления попали в базу данных WSUS, они могут быть установлены на компьютеры. Но, прежде чем компьютеры начнут качать и ставить новые обновления, их должен одобрить (или отклонить) администратор WSUS. Важно иметь в виду, что в большинстве случаев перед установкой обновлений на продуктивные системы их нужно обязательно тестировать на нескольких типовых рабочих станциях и серверах.

Для организации процесса тестирования и установки обновления на компьютерах и серверах домена администратор WSUS должен создать группы компьютеров. В зависимости от задач бизнеса, типов рабочих мест пользователей и категорий серверов можно создавать различные группы компьютеров. В общем случае в консоли WSUS в разделе Computers -> All computers имеет смысл создать следующие группы на WSUS:

  1. Test_Srv_WSUS — группа с тестовыми серверами (некритичные для бизнеса сервера и выделенные сервера с тестовой средой, идентичной продуктивной);
  2. Test_Wks_WSUS — тестовые рабочие станции;
  3. Prod_Srv_WSUS — продуктивные сервера Windows;
  4. Prod_Wks_WSUS — все рабочие станции пользователей.

Данные группы компьютеров можно наполнить серверами вручную (обычно это имеет смысл для тестовых групп) либо вы можете привязать компьютеры и сервера к группам WSUS с помощью групповой политики Enable client-side targeting (Разрешить клиенту присоединение к целевой группе).

После того, как группы созданы, вы можете одобрить для них обновления. Есть два способа утверждения обновлений для установки на компьютерах: ручное и автоматическое обновление.

Ручное одобрение и установка обновлений через WSUS

Откройте консоль управления WSUS (Update Services) и выберите секцию Updates. В ней отображается результирующий отчет о доступных обновлениях. В этом разделе по-умолчанию присутствую 4 подраздела: All Updates, Critical Updates, Security Updates и WSUS Updates. Вы можете одобрить конкретное обновление к установке, найдя его в одном из этих разделов (вы можете воспользоваться поиском по имени KB в консоли поиска обновлений или номеру бюллетеня безопасности Microsoft), или же можно отсортировать обновления по дате выпуска, или номерам.

Выведите список еще не утвержденных обновлений (фильтр — Approval=Unapproved). Найдите нужное обновление, щелкните по нему ПКМ и выберите в меню пункт Approve.

В появившемся окне выберите группу компьютеров WSUS, для которых нужно одобрить установку данного обновления (например, Test_Srv_WSUS). Выберите пункт Approve for Install. Можно одобрить обновление сразу для всех групп компьютеров, выбрав пункт All Computers, либо для каждой группы индивидуально. Например, сначала вы можете одобрить установку обновлений на группе тестовых компьютеров, а через 4-7 дней, если проблем не выявлено, одобрите установку обновления на все компьютеры.

Читайте также:  Как написать запятую вверху на клавиатуре

Появится окошко с результатами процесса утверждения обновления. Если обновление успешно одобрено, появится надпись Success. Закройте это окно.

Как вы поняли, это ручная схема одобрения конкретных обновлений. Она достаточно трудоемка, т.к. каждое обновление нужно одобрять индивидуально. Если вы не хотите одобрять обновления вручную, вы можете создать правила автоматического одобрения обновлений (auto-approval).

Настройка правил автоматического одобрения обновлений на WSUS

Автоматическое одобрение позволяет сразу, без вмешательства администратора, одобрить новые обновления, которые появились на сервере WSUS и назначить их для установки на клиентов. Автоматическое одобрение обновлений WSUS основано на правилах одобрения.

В консоли управления WSUS откройте раздел Options и выберите Automatic Approvals.

В появившемся окне на вкладке Update Rules указано только одно правило с именем Default Automatic Approval Rule (по умолчанию оно отключено).

Чтобы создать новое правило, нажмите на кнопку New Rule.

Правило состоит из 3 шагов. Вам нужно выбрать необходимые свойства обновления, выбрать на какие группы компьютеров WSUS нужно одобрить обновление и имя правила.

Щелкая на каждую синюю ссылку, откроется соответствующее окно свойств.

Например, вы можете включить автоматическое одобрение обновлении безопасности для тестовых серверов. Для этого в секции Choose Update Classifications выберите пункт Critical Updates, Security Updates, Definition Updates (остальные галки снимите). Затем в диалоге Approve the update for выберите группу WSUS с именем Test_Srv_WSUS.

На вкладке Advanced вы можете выбрать, нужно ли автоматически одобрять обновления для самой службы WSUS и нужно ли дополнительно одобрять обновления, которые были изменены Microsoft. Обычно все галки на этой вкладке включены.

Теперь, когда в очередной второй вторник месяца ваш сервер WSUS закачает новые обновления (или при ручном импорте обновлений), они будут одобрены для автоматической установки на тестовой группе. Клиенты Windows по умолчанию выполняют сканирование новых обновлений на сервере WSUS каждые 22 часа. Чтобы критичные компьютеры получали новые обновления как можно скорее, вы можете изменить частоту таких синхронизаций с помощью политики Automatic Update detection frequency до нескольких часов (также вы можете выполнить сканирование обновлений вручную с помощью модуля PSWindowsUpdate). При большом количестве клиентов на сервере WSUS (более 2000 компьютеров), производительность сервера обновлений со стандартными настройками может оказаться недостаточной, поэтому ее необходимо оптимизировать (см. статью).

Отзыв установленных обновлений на WSUS

Если одно из одобренных обновлений оказалось проблемным и вызывает ошибки на компьютерах или серверах, администратор WSUS может его отозвать. Для этого нужно найти обновление в консоли WSUS и выбрать Decline. Затем укажите

Теперь выберите группу WSUS, для которой нужно отменить установку и выбрать Approved for Removal. Через некоторое время обновление будет удалено на клиенте (подробнее процесс описан в статье Способы удаления обновлений Windows.

Методика одобрения обновлений WSUS для продуктивных сред

После того, как вы установили и протестировали обновления на тестовых группах и убедились, что пробам нет (обычно на тестирование достаточно 3-6 дней), вы можете одобрить новые обновления для установки на продуктивные системы. Также нельзя автоматически утвердить обновления с некоторой задержкой (например, через 7 дней) на продуктивные системы.

К сожалению, консоль WSUS не представляет возможности скопировать все одобренные обновления из одной группы компьютеров WSUS в другую. Вы можете по одному искать новые обновления и вручную утверждать их для установки на продуктивнее группы серверов и компьютеров. Это довольно долго и утомительно.

Для себя я сделал небольшой PowerShell скрипт, который собирает список обновлений, одобренных для тестовой группы и автоматически одобряет все обнаруженные обновления на продуктивную группу (см. статью Копирование одобренных обновлений между группами WSUS). Теперь я запускаю этот скрипт через 7 дней после установки обновлений и тестирования обновлений на тестовых группах. Если среди патчей обнаружились проблемные, их необходимо отклонить на тестовой группе.

Читайте также:  Как отключить браузер по умолчанию яндекс

Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.

В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.

Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.

Делать будем по максимуму просто, используя штатные инструменты.

Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.

Готовим рабочие директории

Для работы потребуются следующие каталоги:

ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.

MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления

Скачиваем кумулятивные обновления

Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.

Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.

С ноября 2014 года нам потребуется интегрировать следующие обновления:

1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.

2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.

Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.

3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.

UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.

Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.

В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.

Скачиваем обновления безопасности

Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:

  1. Скачиваем программу download.wsusoffline.net
  2. Выбираем обновления для Windows Server 2012 R2
Читайте также:  Триггеры тест с ответами

  • После скачивания открываем каталог wsusofflineclientw63-x64glb и *.cab файлы копируем в каталог C:WS2012R2SU
  • ОСТОРОЖНО: Если в список попали KB2966828 или KB2966827, удалите их, иначе после установки не получится добавить компонент Net Framework 3.5 (подробности).

    Обновления готовы, приступим к интеграции.

    Интеграция обновлений

    Для интеграции обновлений нам потребуется:

      Смонтировать содержимое одного из образов в install.wim

    Интегрировать в offline установку каждое обновление

    Этот процесс легко следующим автоматизировать командным файлом:

    Tip: Запуская командный файл, перенаправьте вывод в журнал

    В результате мы получим файл D:WS2012R2ISOsourcesinstall.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.

    Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.

    Для получения сжатого образа необходимо:

    1. Экспортировать первый образ из оригинального wim-файла в новый файл
    2. Подключить следующий образ из оригинального wim-файла в точку монтирования
    3. Добавить в новый файл следующий образ методом «захвата»
    4. Размонтировать образ, повторить итерацию добавления для каждого дополнительного образа

    Автоматизируем скриптом:

    Удалите оригинальный install.wim, а сформированный install1.wim переименуйте в install.wim

    По совету D1abloRUS, если вы хотите получить инсталляционный диск минимального размера умещающийся на DVD5, можно экспортировать один (и только один) из образов в esd файл. Например, для экспорта Windows Server 2012 R2 Standard, используйте команду

    Оригинальный install.wim можно удалить.

    Сборка ISO-файла

    Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).

    Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt

    bootcd
    bootoot.sdi
    bootootfix.bin
    bootootsect.exe
    bootetfsboot.com
    bootmemtest.exe
    booten-usootsect.exe.mui
    bootfontschs_boot.ttf
    bootfontscht_boot.ttf
    bootfontsjpn_boot.ttf
    bootfontskor_boot.ttf
    bootfontswgl4_boot.ttf
    sourcesoot.wim

    Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.

    Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:sourcesinstall.wim. Error code: 0x8007000D».

    Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой

    Оригинальный файл install.wim можно удалить.

    Tip & Trick #5. Вообще Microsoft говорит, что пить так делать нельзя.

    In Windows 8.1 and Windows 8, Windows Setup does not support installing a split .wim file.

    Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.

    Собираем образ командой:

    oscdimg -m -n -yoD:WS2012R2ootorder.txt -bD:WS2012R2ISOBOOTetfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:WS2012R2ISO en_windows_server_2012R2_August_2016.iso

    Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:

    Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).

    Все получилось? Поздравляю!

    Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.

    PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.

    Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.

    Спасибо за внимание и до новых встреч, друзья.

    Если есть возможность поделиться опытом — жду вас в комментариях.

    Ссылка на основную публикацию
    Titanium backup не устанавливается
    Руководство по созданию резервной копии (бэкапа) Android с помощью приложения Titanium Backup. Если вы используете "Титаниум" впервые, информация будет для...
    Ps4 произошла серьезная ошибка системного программного обеспечения
    CE-36329-3 — это тот самый тип ошибки на PS4, с которой никто не захочет повстречаться. Наиболее часто владельцы данной консоли...
    Reserved for asl что это
    Есть компьютер: блок питания на 550 Вт, Материнская плата - ASUS Maximus IV Gene-Z, Процессор Intel Celeron G530 Видеокарта ASUS...
    Titanium backup не видит резервные копии
    Руководство по созданию резервной копии (бэкапа) Android с помощью приложения Titanium Backup. Если вы используете "Титаниум" впервые, информация будет для...
    Adblock detector