· 16 мин чтения

WSUS в 2026 году: управление обновлениями Windows для офиса 30–300 ПК

WSUS в 2026 году: управление обновлениями Windows для офиса 30–300 ПК

Привет! Я, Семёнов Евгений Сергеевич, директор АйТи Фреш. Мой опыт в развёртывании WSUS — это целых 15 лет, и за это время я запустил его примерно в 70 офисах. Представляете, это были объекты самого разного калибра: от небольшой стоматологической клиники с 12 ПК до крупной розничной сети, насчитывающей 8 филиалов и 280 рабочих станций. В этом материале я поделюсь своим проверенным подходом. Расскажу, как я всё это дело ставлю, настраиваю через GPO, как чищу, диагностирую и почему, несмотря на все разговоры о Intune, до сих пор не списываю WSUS со счетов.

Почему WSUS до сих пор актуален в 2026 году

Да, в 2024 году Microsoft официально объявила WSUS deprecated и теперь активно зазывает клиентов в свои облачные решения, такие как Windows Autopatch и Intune. Но, знаете, «deprecated» по-майкрософтовски — это не значит, что «завтра всё выключится». Это скорее сигнал: «новых фич больше не будет». А патчи через WSUS будут приходить ещё очень долго, аж до конца поддержки Windows Server 2025, то есть до октября 2034 года. Так что запас прочности ещё огромный.

Возьмём, к примеру, московский офис. Его руководство не горит желанием платить за Intune, а это, между прочим, от 3 USD за устройство в месяц, что для офиса в 100 ПК выливается в 9 000 руб./мес. В такой ситуации WSUS остаётся совершенно бесплатным и, что важно, отлично работающим вариантом. И, конечно, не стоит забывать про полный контроль: вы лично видите все одобренные патчи, можете легко притормозить любой потенциально проблемный апдейт. Плюс существенная экономия трафика: обновление скачивается из интернета всего один раз, а потом спокойно расходится по вашей локальной сети.

Архитектура для разных размеров офисов

РазмерАрхитектураДискRAM
20–80 ПК, один офис1 WSUS на DC или отдельной ВМ, WID200 ГБ4 ГБ
80–300 ПК, один офис1 WSUS, отдельный сервер, SQL Express400 ГБ8 ГБ
300+ ПК, несколько филиаловUpstream + Downstream WSUS в каждом филиале500 ГБ × N8 ГБ × N
Филиалы с медленным каналом1 WSUS + BranchCache на клиентах500 ГБ8 ГБ

Установка WSUS на Windows Server 2022/2025

Обычно я ставлю сам WSUS на отдельную виртуальную машину, на которую устанавливаю Windows Server 2022 Standard. Для системы выделяю один диск на 80 ГБ, а второй, побольше, на 500 ГБ, форматирую в NTFS с кластером 64K — он как раз идёт под WSUSContent.

# Установка роли с WID
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

# Запуск инициализации с указанием папки контента
cd "C:\Program Files\Update Services\Tools"
.\WsusUtil.exe postinstall CONTENT_DIR=D:\WSUSContent

# Если хотим SQL Server вместо WID:
# .\WsusUtil.exe postinstall SQL_INSTANCE_NAME="WSUS01\SQLEXPRESS" CONTENT_DIR=D:\WSUSContent

После этого открываем WSUS Console и проходим Configuration Wizard:

Группировка компьютеров и пилотирование

Дальше в WSUS я выстраиваю строгую структуру компьютерных групп:

All Computers
├── Pilot (10-15 машин разных конфигураций — здесь патчи ставятся первыми)
├── Servers
│   ├── DCs
│   ├── FileServers
│   ├── 1C
│   └── RDS
├── Workstations
│   ├── Office (бухгалтерия, HR, продажи)
│   ├── Production (если есть цех)
│   └── Notebooks
└── Disabled (временно выведенные из обновлений)

Через GPO компьютеры автоматически попадают в нужную группу через client-side targeting. Пилотная группа получает обновления через 24 часа после Patch Tuesday. Если за 5 дней нет жалоб — одобряю на остальные группы.

GPO для клиентов WSUS

Для клиентов я создаю отдельную GPO, которую называю «WSUS-Settings», и привязываю её непосредственно к OU, где находятся компьютеры.

Computer Configuration → Policies → Administrative Templates →
  Windows Components → Windows Update:

- Specify intranet Microsoft update service location:
    Set the intranet update service for detecting updates: http://wsus01.corp.itfresh.ru:8530
    Set the intranet statistics server: http://wsus01.corp.itfresh.ru:8530

- Configure Automatic Updates:
    4 - Auto download and schedule the install
    Scheduled install day: 0 (Every day)
    Scheduled install time: 22:00
    Install during automatic maintenance: Disabled

- No auto-restart with logged on users for scheduled installations: Disabled
- Always automatically restart at the scheduled time: Enabled, 10 minutes warning
- Enable client-side targeting: имя компьютерной группы из WSUS

- Manage preview builds: Disabled (для production)
- Select the target Feature Update version: 23H2 (по списку валидированных)

Для серверов — отдельная GPO с расписанием на воскресенье 04:00 и обязательным согласованием перезагрузки.

Авто-одобрение и правила

Critical Updates и Definition Updates я одобряю автоматически сразу для всех групп — здесь любая задержка может быть просто опасна. Все остальные классификации сначала отправляю только в пилот.

# Через WsusUtil
$wsus = Get-WsusServer -Name "wsus01" -PortNumber 8530
$rule = $wsus.GetInstallApprovalRules() | Where-Object {$_.Name -eq "Critical+Definitions"}

# или через GUI: Options → Automatic Approvals → New Rule
# Critical Updates + Definition Updates → All Classifications → All Computers → Run rule

BranchCache для филиалов

В сети с филиалами на медленных каналах включаю BranchCache в режиме Distributed Cache. Один компьютер скачал патч — остальные в той же подсети тянут с него.

# На сервере WSUS
Install-WindowsFeature BranchCache

# GPO для клиентов:
Computer Configuration → Policies → Administrative Templates →
  Network → BranchCache:
- Turn on BranchCache: Enabled
- Set BranchCache Distributed Cache mode: Enabled
- Configure BranchCache for network files: Enabled, 80 ms latency
- Set percentage of disk space used for client computer cache: 5%

Чистка WSUS — обязательная еженедельная задача

Без чистки база раздувается за полгода до 50 ГБ, консоль начинает падать с тайм-аутами. Скрипт для еженедельного запуска:

$wsus = Get-WsusServer -Name "wsus01" -PortNumber 8530

# Отказ от устаревших версий продуктов
Get-WsusUpdate -Classification All -Approval Unapproved -Status Any |
    Where-Object {$_.Update.IsSuperseded -eq $true} |
    Deny-WsusUpdate

# Очистка
Invoke-WsusServerCleanup -CleanupObsoleteComputers `
    -CleanupObsoleteUpdates -CleanupUnneededContentFiles `
    -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Раз в квартал делаю reindex базы:

# Для WID
sqlcmd -S \\.\pipe\MICROSOFT##WID\tsql\query -i WsusDBMaintenance.sql

Диагностика: когда обновления не приходят

Стандартная процедура для проверки клиента:

# На клиенте
gpresult /h C:\gp.html  # проверить, применилась ли GPO WSUS
wuauclt /resetauthorization /detectnow  # старая команда, работает на Win 10/Server 2019
usoclient StartScan  # современная команда для Win 10/11/Server 2022+

# Лог обновлений на Windows 10/11
Get-WindowsUpdateLog -LogPath "$env:USERPROFILE\Desktop\WindowsUpdate.log"

# Проверка регистрации в WSUS
Test-NetConnection wsus01.corp.itfresh.ru -Port 8530

Самые частые причины проблем:

Кейс из практики: розничная сеть на 8 филиалов

Помню, в 2025 году я занимался развёртыванием WSUS для крупной сети мебельных магазинов по Москве и Московской области. Это 280 компьютеров, 8 торговых точек, а центральный офис находился в Дмитрове. До моего прихода каждый магазин тянул обновления самостоятельно, и в так называемый Patch Tuesday интернет там просто вставал колом. Представьте себе ситуацию: продавцы не могли даже пробить чек!

В итоге мы придумали такое решение: один upstream-WSUS сервер разместили в центральном офисе, а в каждом филиале поставили по downstream-WSUS на недорогом мини-ПК с 8 ГБ RAM и SSD на 500 ГБ. Магазин теперь синхронизируется с upstream сервером ночью, а днём обновления раздаются уже локально. Результат порадовал: трафик из интернета упал в 47 раз, а установка обновлений на филиале сократилась с 4 часов до невероятных 25 минут.

Внедрение WSUS под ключ

Я могу развернуть WSUS, настроить группы, GPO, авто-одобрение и мониторинг, а заодно обучить вашего системного администратора — всё это займёт всего 3–5 рабочих дней. А для филиальных сетей у меня есть отработанная архитектура с downstream-серверами и BranchCache.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по WSUS

Сколько диска нужно под WSUS в 2026 году?
Для типового набора (Win 10/11, Server 2019/2022/2025, Office, Defender) — 200-300 ГБ. С драйверами доходит до 600 ГБ. Я выделяю отдельный диск 500 ГБ под WSUSContent и регулярно гоняю Cleanup Wizard.
Будет ли поддерживаться WSUS дальше?
Microsoft объявил deprecation в 2024 году, но патчи через WSUS продолжат поставляться много лет. Альтернатива — Windows Autopatch / Intune, но для офисов без облака WSUS остаётся основным инструментом до конца поддержки Server 2025 в 2034 году.
WID или SQL Server для базы WSUS?
WID (Windows Internal Database) — для офисов до 500 клиентов, бесплатно. SQL Server Standard/Express — для крупных развёртываний, лучше производительность, можно делать кастомные отчёты. Миграция с WID на SQL возможна без переустановки роли.
Как откатить проблемное обновление?
В консоли WSUS — Decline. Это запретит установку на новых ПК. Для удаления с уже установленных — wusa /uninstall /kb:5039217 /quiet через GPO Startup Script. Перед массовым одобрением патчей ставлю их сначала в пилотную группу из 10-15 машин.
Чем заменить WSUS, когда поддержка закончится?
Microsoft Intune (облако, ~3 USD/устройство), Microsoft Configuration Manager (бывший SCCM, для крупных), сторонние решения PDQ Deploy, ManageEngine Patch Manager. Для офисов 30-100 ПК сейчас можно остаться на WSUS до 2030+ года.
📄
Скачайте подробный разбор в PDF Кейсы, статистика, типовые ошибки и чек-лист самопроверки — 12 страниц
Скачать PDF

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.