WSUS в 2026 году: управление обновлениями Windows для офиса 30–300 ПК
Привет! Я, Семёнов Евгений Сергеевич, директор АйТи Фреш. Мой опыт в развёртывании WSUS — это целых 15 лет, и за это время я запустил его примерно в 70 офисах. Представляете, это были объекты самого разного калибра: от небольшой стоматологической клиники с 12 ПК до крупной розничной сети, насчитывающей 8 филиалов и 280 рабочих станций. В этом материале я поделюсь своим проверенным подходом. Расскажу, как я всё это дело ставлю, настраиваю через GPO, как чищу, диагностирую и почему, несмотря на все разговоры о Intune, до сих пор не списываю WSUS со счетов.
Почему WSUS до сих пор актуален в 2026 году
Да, в 2024 году Microsoft официально объявила WSUS deprecated и теперь активно зазывает клиентов в свои облачные решения, такие как Windows Autopatch и Intune. Но, знаете, «deprecated» по-майкрософтовски — это не значит, что «завтра всё выключится». Это скорее сигнал: «новых фич больше не будет». А патчи через WSUS будут приходить ещё очень долго, аж до конца поддержки Windows Server 2025, то есть до октября 2034 года. Так что запас прочности ещё огромный.
Возьмём, к примеру, московский офис. Его руководство не горит желанием платить за Intune, а это, между прочим, от 3 USD за устройство в месяц, что для офиса в 100 ПК выливается в 9 000 руб./мес. В такой ситуации WSUS остаётся совершенно бесплатным и, что важно, отлично работающим вариантом. И, конечно, не стоит забывать про полный контроль: вы лично видите все одобренные патчи, можете легко притормозить любой потенциально проблемный апдейт. Плюс существенная экономия трафика: обновление скачивается из интернета всего один раз, а потом спокойно расходится по вашей локальной сети.
Архитектура для разных размеров офисов
| Размер | Архитектура | Диск | RAM |
|---|---|---|---|
| 20–80 ПК, один офис | 1 WSUS на DC или отдельной ВМ, WID | 200 ГБ | 4 ГБ |
| 80–300 ПК, один офис | 1 WSUS, отдельный сервер, SQL Express | 400 ГБ | 8 ГБ |
| 300+ ПК, несколько филиалов | Upstream + Downstream WSUS в каждом филиале | 500 ГБ × N | 8 ГБ × N |
| Филиалы с медленным каналом | 1 WSUS + BranchCache на клиентах | 500 ГБ | 8 ГБ |
Установка WSUS на Windows Server 2022/2025
Обычно я ставлю сам WSUS на отдельную виртуальную машину, на которую устанавливаю Windows Server 2022 Standard. Для системы выделяю один диск на 80 ГБ, а второй, побольше, на 500 ГБ, форматирую в NTFS с кластером 64K — он как раз идёт под WSUSContent.
# Установка роли с WID
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
# Запуск инициализации с указанием папки контента
cd "C:\Program Files\Update Services\Tools"
.\WsusUtil.exe postinstall CONTENT_DIR=D:\WSUSContent
# Если хотим SQL Server вместо WID:
# .\WsusUtil.exe postinstall SQL_INSTANCE_NAME="WSUS01\SQLEXPRESS" CONTENT_DIR=D:\WSUSContent
После этого открываем WSUS Console и проходим Configuration Wizard:
- Upstream server: Microsoft Update.
- Языки: English + Russian.
- Продукты: Windows 10/11, Server 2019/2022/2025, Office 2019/2021/365, Defender, .NET, Edge, Visual C++ Redistributables.
- Классификации: Critical Updates, Definition Updates, Security Updates, Feature Packs, Servicing Stack, Updates, Upgrades.
- Расписание синхронизации: ежедневно в 03:00.
Группировка компьютеров и пилотирование
Дальше в WSUS я выстраиваю строгую структуру компьютерных групп:
All Computers
├── Pilot (10-15 машин разных конфигураций — здесь патчи ставятся первыми)
├── Servers
│ ├── DCs
│ ├── FileServers
│ ├── 1C
│ └── RDS
├── Workstations
│ ├── Office (бухгалтерия, HR, продажи)
│ ├── Production (если есть цех)
│ └── Notebooks
└── Disabled (временно выведенные из обновлений)
Через GPO компьютеры автоматически попадают в нужную группу через client-side targeting. Пилотная группа получает обновления через 24 часа после Patch Tuesday. Если за 5 дней нет жалоб — одобряю на остальные группы.
GPO для клиентов WSUS
Для клиентов я создаю отдельную GPO, которую называю «WSUS-Settings», и привязываю её непосредственно к OU, где находятся компьютеры.
Computer Configuration → Policies → Administrative Templates →
Windows Components → Windows Update:
- Specify intranet Microsoft update service location:
Set the intranet update service for detecting updates: http://wsus01.corp.itfresh.ru:8530
Set the intranet statistics server: http://wsus01.corp.itfresh.ru:8530
- Configure Automatic Updates:
4 - Auto download and schedule the install
Scheduled install day: 0 (Every day)
Scheduled install time: 22:00
Install during automatic maintenance: Disabled
- No auto-restart with logged on users for scheduled installations: Disabled
- Always automatically restart at the scheduled time: Enabled, 10 minutes warning
- Enable client-side targeting: имя компьютерной группы из WSUS
- Manage preview builds: Disabled (для production)
- Select the target Feature Update version: 23H2 (по списку валидированных)
Для серверов — отдельная GPO с расписанием на воскресенье 04:00 и обязательным согласованием перезагрузки.
Авто-одобрение и правила
Critical Updates и Definition Updates я одобряю автоматически сразу для всех групп — здесь любая задержка может быть просто опасна. Все остальные классификации сначала отправляю только в пилот.
# Через WsusUtil
$wsus = Get-WsusServer -Name "wsus01" -PortNumber 8530
$rule = $wsus.GetInstallApprovalRules() | Where-Object {$_.Name -eq "Critical+Definitions"}
# или через GUI: Options → Automatic Approvals → New Rule
# Critical Updates + Definition Updates → All Classifications → All Computers → Run rule
BranchCache для филиалов
В сети с филиалами на медленных каналах включаю BranchCache в режиме Distributed Cache. Один компьютер скачал патч — остальные в той же подсети тянут с него.
# На сервере WSUS
Install-WindowsFeature BranchCache
# GPO для клиентов:
Computer Configuration → Policies → Administrative Templates →
Network → BranchCache:
- Turn on BranchCache: Enabled
- Set BranchCache Distributed Cache mode: Enabled
- Configure BranchCache for network files: Enabled, 80 ms latency
- Set percentage of disk space used for client computer cache: 5%
Чистка WSUS — обязательная еженедельная задача
Без чистки база раздувается за полгода до 50 ГБ, консоль начинает падать с тайм-аутами. Скрипт для еженедельного запуска:
$wsus = Get-WsusServer -Name "wsus01" -PortNumber 8530
# Отказ от устаревших версий продуктов
Get-WsusUpdate -Classification All -Approval Unapproved -Status Any |
Where-Object {$_.Update.IsSuperseded -eq $true} |
Deny-WsusUpdate
# Очистка
Invoke-WsusServerCleanup -CleanupObsoleteComputers `
-CleanupObsoleteUpdates -CleanupUnneededContentFiles `
-CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates
Раз в квартал делаю reindex базы:
# Для WID
sqlcmd -S \\.\pipe\MICROSOFT##WID\tsql\query -i WsusDBMaintenance.sql
Диагностика: когда обновления не приходят
Стандартная процедура для проверки клиента:
# На клиенте
gpresult /h C:\gp.html # проверить, применилась ли GPO WSUS
wuauclt /resetauthorization /detectnow # старая команда, работает на Win 10/Server 2019
usoclient StartScan # современная команда для Win 10/11/Server 2022+
# Лог обновлений на Windows 10/11
Get-WindowsUpdateLog -LogPath "$env:USERPROFILE\Desktop\WindowsUpdate.log"
# Проверка регистрации в WSUS
Test-NetConnection wsus01.corp.itfresh.ru -Port 8530
Самые частые причины проблем:
- SoftwareDistribution corrupted — лечится
net stop wuauserv; rm -r C:\Windows\SoftwareDistribution; net start wuauserv - Дубликат компьютера в WSUS (после переустановки Windows) — Reset-WUClient на клиенте
- HTTP 503 от IIS — App Pool «WsusPool» падает из-за нехватки памяти, увеличиваю Private Memory Limit до 0 (unlimited).
Кейс из практики: розничная сеть на 8 филиалов
Помню, в 2025 году я занимался развёртыванием WSUS для крупной сети мебельных магазинов по Москве и Московской области. Это 280 компьютеров, 8 торговых точек, а центральный офис находился в Дмитрове. До моего прихода каждый магазин тянул обновления самостоятельно, и в так называемый Patch Tuesday интернет там просто вставал колом. Представьте себе ситуацию: продавцы не могли даже пробить чек!
В итоге мы придумали такое решение: один upstream-WSUS сервер разместили в центральном офисе, а в каждом филиале поставили по downstream-WSUS на недорогом мини-ПК с 8 ГБ RAM и SSD на 500 ГБ. Магазин теперь синхронизируется с upstream сервером ночью, а днём обновления раздаются уже локально. Результат порадовал: трафик из интернета упал в 47 раз, а установка обновлений на филиале сократилась с 4 часов до невероятных 25 минут.
Внедрение WSUS под ключ
Я могу развернуть WSUS, настроить группы, GPO, авто-одобрение и мониторинг, а заодно обучить вашего системного администратора — всё это займёт всего 3–5 рабочих дней. А для филиальных сетей у меня есть отработанная архитектура с downstream-серверами и BranchCache.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по WSUS
- Сколько диска нужно под WSUS в 2026 году?
- Для типового набора (Win 10/11, Server 2019/2022/2025, Office, Defender) — 200-300 ГБ. С драйверами доходит до 600 ГБ. Я выделяю отдельный диск 500 ГБ под WSUSContent и регулярно гоняю Cleanup Wizard.
- Будет ли поддерживаться WSUS дальше?
- Microsoft объявил deprecation в 2024 году, но патчи через WSUS продолжат поставляться много лет. Альтернатива — Windows Autopatch / Intune, но для офисов без облака WSUS остаётся основным инструментом до конца поддержки Server 2025 в 2034 году.
- WID или SQL Server для базы WSUS?
- WID (Windows Internal Database) — для офисов до 500 клиентов, бесплатно. SQL Server Standard/Express — для крупных развёртываний, лучше производительность, можно делать кастомные отчёты. Миграция с WID на SQL возможна без переустановки роли.
- Как откатить проблемное обновление?
- В консоли WSUS — Decline. Это запретит установку на новых ПК. Для удаления с уже установленных — wusa /uninstall /kb:5039217 /quiet через GPO Startup Script. Перед массовым одобрением патчей ставлю их сначала в пилотную группу из 10-15 машин.
- Чем заменить WSUS, когда поддержка закончится?
- Microsoft Intune (облако, ~3 USD/устройство), Microsoft Configuration Manager (бывший SCCM, для крупных), сторонние решения PDQ Deploy, ManageEngine Patch Manager. Для офисов 30-100 ПК сейчас можно остаться на WSUS до 2030+ года.
