WSUS в 2026 году: управление обновлениями Windows для офиса 30–300 ПК
Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш. За 15 лет я развернул WSUS примерно в 70 офисах — от стоматологической клиники в 12 ПК до розничной сети с 8 филиалами и 280 рабочими станциями. В этой статье — мой проверенный подход: как ставлю, настраиваю через GPO, чищу, диагностирую и почему до сих пор не списываю WSUS со счетов в эпоху Intune.
Почему WSUS до сих пор актуален в 2026 году
В 2024 году Microsoft объявил WSUS deprecated и активно толкает клиентов в облако (Windows Autopatch, Intune). Но «deprecated» в мире Microsoft — это не «завтра выключим», а «новые фичи добавлять не будем». Патчи через WSUS будут поставляться до конца поддержки Windows Server 2025 — а это октябрь 2034 года.
Для офиса в Москве, где руководство не хочет платить за Intune (от 3 USD за устройство в месяц = 9 000 руб./мес для офиса в 100 ПК), WSUS остаётся бесплатным и рабочим инструментом. Плюс контроль: вы видите все одобренные патчи, можете остановить любой проблемный апдейт, экономите трафик за счёт того, что обновление качается из интернета один раз — и потом расходится по локальной сети.
Архитектура для разных размеров офисов
| Размер | Архитектура | Диск | RAM |
|---|---|---|---|
| 20–80 ПК, один офис | 1 WSUS на DC или отдельной ВМ, WID | 200 ГБ | 4 ГБ |
| 80–300 ПК, один офис | 1 WSUS, отдельный сервер, SQL Express | 400 ГБ | 8 ГБ |
| 300+ ПК, несколько филиалов | Upstream + Downstream WSUS в каждом филиале | 500 ГБ × N | 8 ГБ × N |
| Филиалы с медленным каналом | 1 WSUS + BranchCache на клиентах | 500 ГБ | 8 ГБ |
Установка WSUS на Windows Server 2022/2025
Я ставлю WSUS на отдельную ВМ с Windows Server 2022 Standard. Один диск 80 ГБ под систему, второй 500 ГБ под WSUSContent (форматирую в NTFS с 64K cluster):
# Установка роли с WID
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
# Запуск инициализации с указанием папки контента
cd "C:\Program Files\Update Services\Tools"
.\WsusUtil.exe postinstall CONTENT_DIR=D:\WSUSContent
# Если хотим SQL Server вместо WID:
# .\WsusUtil.exe postinstall SQL_INSTANCE_NAME="WSUS01\SQLEXPRESS" CONTENT_DIR=D:\WSUSContentПосле этого открываем WSUS Console и проходим Configuration Wizard:
- Upstream server: Microsoft Update.
- Языки: English + Russian.
- Продукты: Windows 10/11, Server 2019/2022/2025, Office 2019/2021/365, Defender, .NET, Edge, Visual C++ Redistributables.
- Классификации: Critical Updates, Definition Updates, Security Updates, Feature Packs, Servicing Stack, Updates, Upgrades.
- Расписание синхронизации: ежедневно в 03:00.
Группировка компьютеров и пилотирование
В WSUS я создаю строгую структуру компьютерных групп:
All Computers
├── Pilot (10-15 машин разных конфигураций — здесь патчи ставятся первыми)
├── Servers
│ ├── DCs
│ ├── FileServers
│ ├── 1C
│ └── RDS
├── Workstations
│ ├── Office (бухгалтерия, HR, продажи)
│ ├── Production (если есть цех)
│ └── Notebooks
└── Disabled (временно выведенные из обновлений)Через GPO компьютеры автоматически попадают в нужную группу через client-side targeting. Пилотная группа получает обновления через 24 часа после Patch Tuesday. Если за 5 дней нет жалоб — одобряю на остальные группы.
GPO для клиентов WSUS
Создаю отдельную GPO «WSUS-Settings», привязанную к OU с компьютерами:
Computer Configuration → Policies → Administrative Templates →
Windows Components → Windows Update:
- Specify intranet Microsoft update service location:
Set the intranet update service for detecting updates: http://wsus01.corp.itfresh.ru:8530
Set the intranet statistics server: http://wsus01.corp.itfresh.ru:8530
- Configure Automatic Updates:
4 - Auto download and schedule the install
Scheduled install day: 0 (Every day)
Scheduled install time: 22:00
Install during automatic maintenance: Disabled
- No auto-restart with logged on users for scheduled installations: Disabled
- Always automatically restart at the scheduled time: Enabled, 10 minutes warning
- Enable client-side targeting: имя компьютерной группы из WSUS
- Manage preview builds: Disabled (для production)
- Select the target Feature Update version: 23H2 (по списку валидированных)Для серверов — отдельная GPO с расписанием на воскресенье 04:00 и обязательным согласованием перезагрузки.
Авто-одобрение и правила
Critical Updates и Definition Updates я ставлю на авто-одобрение для всех групп — задержка опасна. Остальные классификации — только в пилот:
# Через WsusUtil
$wsus = Get-WsusServer -Name "wsus01" -PortNumber 8530
$rule = $wsus.GetInstallApprovalRules() | Where-Object {$_.Name -eq "Critical+Definitions"}
# или через GUI: Options → Automatic Approvals → New Rule
# Critical Updates + Definition Updates → All Classifications → All Computers → Run ruleBranchCache для филиалов
В сети с филиалами на медленных каналах включаю BranchCache в режиме Distributed Cache. Один компьютер скачал патч — остальные в той же подсети тянут с него.
# На сервере WSUS
Install-WindowsFeature BranchCache
# GPO для клиентов:
Computer Configuration → Policies → Administrative Templates →
Network → BranchCache:
- Turn on BranchCache: Enabled
- Set BranchCache Distributed Cache mode: Enabled
- Configure BranchCache for network files: Enabled, 80 ms latency
- Set percentage of disk space used for client computer cache: 5%Чистка WSUS — обязательная еженедельная задача
Без чистки база раздувается за полгода до 50 ГБ, консоль начинает падать с тайм-аутами. Скрипт для еженедельного запуска:
$wsus = Get-WsusServer -Name "wsus01" -PortNumber 8530
# Отказ от устаревших версий продуктов
Get-WsusUpdate -Classification All -Approval Unapproved -Status Any |
Where-Object {$_.Update.IsSuperseded -eq $true} |
Deny-WsusUpdate
# Очистка
Invoke-WsusServerCleanup -CleanupObsoleteComputers `
-CleanupObsoleteUpdates -CleanupUnneededContentFiles `
-CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdatesРаз в квартал делаю reindex базы:
# Для WID
sqlcmd -S \\.\pipe\MICROSOFT##WID\tsql\query -i WsusDBMaintenance.sqlДиагностика: когда обновления не приходят
Стандартная процедура для проверки клиента:
# На клиенте
gpresult /h C:\gp.html # проверить, применилась ли GPO WSUS
wuauclt /resetauthorization /detectnow # старая команда, работает на Win 10/Server 2019
usoclient StartScan # современная команда для Win 10/11/Server 2022+
# Лог обновлений на Windows 10/11
Get-WindowsUpdateLog -LogPath "$env:USERPROFILE\Desktop\WindowsUpdate.log"
# Проверка регистрации в WSUS
Test-NetConnection wsus01.corp.itfresh.ru -Port 8530Самые частые причины проблем:
- SoftwareDistribution corrupted — лечится
net stop wuauserv; rm -r C:\Windows\SoftwareDistribution; net start wuauserv - Дубликат компьютера в WSUS (после переустановки Windows) — Reset-WUClient на клиенте
- HTTP 503 от IIS — App Pool «WsusPool» падает из-за нехватки памяти, увеличиваю Private Memory Limit до 0 (unlimited).
Кейс из практики: розничная сеть на 8 филиалов
В 2025 году я внедрял WSUS для сети магазинов мебели в Москве и МО — 280 ПК, 8 точек, центральный офис в Дмитрове. До меня каждый магазин качал обновления самостоятельно, в день Patch Tuesday интернет встал колом, продавцы не могли пробить чек.
Решение: один upstream WSUS в центральном офисе, в каждом филиале — downstream WSUS на дешёвом мини-ПК с 8 ГБ RAM и 500 ГБ SSD. Магазин синхронизируется с upstream ночью, обновления раздаются локально. Трафик из интернета упал в 47 раз, время установки на филиале сократилось с 4 часов до 25 минут.
Внедрение WSUS под ключ
За 3–5 рабочих дней разверну WSUS, настрою группы, GPO, авто-одобрение, мониторинг и обучу вашего админа. Для филиальных сетей — архитектура с downstream-серверами и BranchCache.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по WSUS
- Сколько диска нужно под WSUS в 2026 году?
- Для типового набора (Win 10/11, Server 2019/2022/2025, Office, Defender) — 200-300 ГБ. С драйверами доходит до 600 ГБ. Я выделяю отдельный диск 500 ГБ под WSUSContent и регулярно гоняю Cleanup Wizard.
- Будет ли поддерживаться WSUS дальше?
- Microsoft объявил deprecation в 2024 году, но патчи через WSUS продолжат поставляться много лет. Альтернатива — Windows Autopatch / Intune, но для офисов без облака WSUS остаётся основным инструментом до конца поддержки Server 2025 в 2034 году.
- WID или SQL Server для базы WSUS?
- WID (Windows Internal Database) — для офисов до 500 клиентов, бесплатно. SQL Server Standard/Express — для крупных развёртываний, лучше производительность, можно делать кастомные отчёты. Миграция с WID на SQL возможна без переустановки роли.
- Как откатить проблемное обновление?
- В консоли WSUS — Decline. Это запретит установку на новых ПК. Для удаления с уже установленных — wusa /uninstall /kb:5039217 /quiet через GPO Startup Script. Перед массовым одобрением патчей ставлю их сначала в пилотную группу из 10-15 машин.
- Чем заменить WSUS, когда поддержка закончится?
- Microsoft Intune (облако, ~3 USD/устройство), Microsoft Configuration Manager (бывший SCCM, для крупных), сторонние решения PDQ Deploy, ManageEngine Patch Manager. Для офисов 30-100 ПК сейчас можно остаться на WSUS до 2030+ года.