WSUS: развёртывание сервера обновлений Windows для офиса от 30 рабочих мест
Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш. За 15+ лет работы я настраивал WSUS в десятках компаний — от небольших ООО с двумя серверами до холдингов с тремя филиалами. И до сих пор раз в пару месяцев прихожу в новый офис, где 50 компьютеров качают один и тот же патч из интернета, убивая канал во вторник после обновлений. WSUS решает эту боль раз и навсегда. В этой статье я расскажу, как развернуть Windows Server Update Services правильно — с планированием групп, GPO и обслуживанием базы.
Зачем WSUS в корпоративной сети
Windows Server Update Services — это роль Windows Server, которая выступает локальным зеркалом Microsoft Update. Ваши клиенты обращаются не в интернет, а к внутреннему серверу. Преимущества очевидны:
- Экономия трафика. Один апдейт скачивается один раз, раздаётся всей сети. В офисе на 100 ПК это экономит 100 ГБ+ в месяц.
- Контроль одобрений. Вы сами решаете, какие патчи ставить и когда. Проблемный апдейт 0-day? Отказали — клиенты не подцепили.
- Отчётность. Встроенная консоль показывает, какие машины отстали, какие патчи установлены, где ошибки.
- Группы компьютеров. Сервера обновляются по одному расписанию, рабочие станции — по другому. Тестовая группа из IT-отдела получает патчи на неделю раньше продакшена.
- Работает офлайн. Если интернет упал, WSUS всё равно раздаёт уже скачанные обновления клиентам.
Требования к серверу WSUS
| Параметр | Минимум | Рекомендация |
|---|---|---|
| ОС | Windows Server 2016 | Windows Server 2022 |
| CPU | 2 vCPU | 4 vCPU |
| RAM | 4 ГБ | 8–16 ГБ |
| Диск под WsusContent | 300 ГБ | 1 ТБ SSD на отдельном томе |
| База WID/SQL | WID (встроенная) | SQL Express на отдельном диске |
| Канал в интернет | 20 Мбит/с | 100+ Мбит/с для начальной синхронизации |
Начальная синхронизация в 2026 году занимает от 3 до 12 часов — WSUS выкачивает метаданные всех когда-либо выпущенных обновлений Microsoft. Я всегда делаю это заранее, перед установкой клиентов.
Установка роли WSUS
Через PowerShell это две команды:
Install-WindowsFeature -Name UpdateServices, UpdateServices-UI `
-IncludeManagementTools
# Папка для контента на отдельном томе
mkdir D:\WsusContent
cd "C:\Program Files\Update Services\Tools"
.\wsusutil.exe postinstall CONTENT_DIR=D:\WsusContentPostinstall создаёт базу WID (Windows Internal Database) и запускает сервис. Для больших инфраструктур (500+ клиентов) я ставлю SQL Server Express или полноценный SQL и указываю SQL_INSTANCE_NAME=SERVER\SQLEXPRESS в postinstall. WID не держит больше 500–700 клиентов без лагов консоли.
Дальше открываем консоль wsus.msc и проходим мастер: выбираем upstream (Microsoft Update), языки (только русский и английский — экономим место), продукты и классы апдейтов.
Настройка продуктов и классификаций
Ключевой момент — снять галки со всего ненужного. По умолчанию WSUS хочет синхронизировать обновления для Exchange, SharePoint, Silverlight, Windows XP и ещё сотни продуктов. Реальный офис обычно использует 10–15. Мой стандартный набор:
- Windows 10, Windows 11
- Windows Server 2016, 2019, 2022
- Office 2016, 2019, Microsoft 365 Apps
- Microsoft Defender Antivirus
- Drivers (опционально, занимает много места)
- Visual Studio Redistributables
Классификации: Critical Updates, Security Updates, Definition Updates, Service Packs, Update Rollups. Остальное (Feature Packs, Tools) я не синхронизирую.
Группы компьютеров и автоматическое одобрение
Я всегда создаю минимум три группы:
- Pilot — 5–10 машин IT-отдела, тестовая группа.
- Production-Workstations — все остальные ПК офиса.
- Production-Servers — рабочие серверы с ручным одобрением.
Создаём через консоль или PowerShell:
$wsus = Get-WsusServer
$wsus.CreateComputerTargetGroup("Pilot")
$wsus.CreateComputerTargetGroup("Production-Workstations")
$wsus.CreateComputerTargetGroup("Production-Servers")Правило автоодобрения: Critical и Security для Pilot сразу после синхронизации, для Production-Workstations — через 7 дней, для серверов — никогда (ручное одобрение админом в техокно).
GPO для клиентов WSUS
Настраиваем политику в gpmc.msc, путь Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update. Ключевые параметры:
Specify intranet Microsoft update service location:
Set the intranet update service: http://wsus.corp.example.ru:8530
Set the intranet statistics server: http://wsus.corp.example.ru:8530
Configure Automatic Updates:
4 - Auto download and schedule the install
Scheduled install day: Every Sunday
Scheduled install time: 03:00
Enable client-side targeting:
Target group name: Production-Workstations
Automatic Updates detection frequency: 4 hours
No auto-restart with logged-on users: Enabled
Specify deadlines for automatic updates and restarts: 3 daysПривязываем GPO к OU с рабочими станциями. Для серверов — отдельная политика с target group «Production-Servers» и без автоматической перезагрузки.
Реальный кейс: WSUS для производственной компании
В октябре 2025 ко мне обратился клиент — производство 180 рабочих мест в Подольске. Проблема простая: каждый второй вторник у них падал интернет-канал 100 Мбит/с под нагрузкой, потому что 180 компьютеров одновременно качали Cumulative Update. Бухгалтерия не работала, производство срывалось. За три рабочих дня мы подняли WSUS на Dell PowerEdge с Windows Server 2022, выделили 1 ТБ SSD под WsusContent, настроили три группы и две GPO. Начальная синхронизация заняла 9 часов. После внедрения трафик на канале во вторник утром упал с 94 Мбит/с до стабильных 8 Мбит/с. У нас на практике в офисах 100+ компьютеров WSUS окупается за один патч-вторник. Стоимость проекта — 72 000 руб., включая мониторинг и обучение админа клиента.
Обслуживание базы WSUS
WSUS из коробки — неаккуратный программный продукт. Без регулярного обслуживания база растёт, консоль тормозит, а через год-два вообще перестаёт открываться. Я всегда сразу настраиваю плановое обслуживание.
# Очистка устаревших и отклонённых обновлений - раз в месяц
Invoke-WsusServerCleanup -CleanupObsoleteComputers `
-CleanupObsoleteUpdates -CleanupUnneededContentFiles `
-CompressUpdates -DeclineExpiredUpdates `
-DeclineSupersededUpdates
# Реиндексация базы WID - раз в квартал
sqlcmd -S np:\\.\pipe\MICROSOFT##WID\tsql\query `
-i "C:\Scripts\WsusDBMaintenance.sql" -EСкрипт WsusDBMaintenance.sql лежит на TechNet Gallery, он пересобирает индексы и убирает фрагментацию. На запущенных базах после первого прогона консоль открывается за 15 секунд вместо 4 минут.
Типичные проблемы WSUS
- Клиент не появляется в консоли. Проверяем: SusClientID уникален (
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f), затемwuauclt /resetauthorization /detectnow. - 0x80244019 — WSUS недоступен. 99% случаев — неправильный URL в GPO или firewall на сервере. Ровно тот же URL должен открываться из браузера клиента:
http://wsus:8530/iuident.cab. - База WID раздулась до 30 ГБ. Запускаем Server Cleanup Wizard и скрипт реиндексации. Если база 50+ ГБ — мигрируем на SQL Express.
- Windows 10/11 игнорирует WSUS. С 1903 включили Dual Scan — клиент идёт в Microsoft Update параллельно с WSUS. Лечится политикой «Do not allow update deferral policies to cause scans against Windows Update» = Disabled.
- Exhausted pool на App Pool. WSUS App Pool по умолчанию имеет лимит памяти 1.5 ГБ. Для 500+ клиентов ставим
Private Memory Limit (KB) = 8388608(8 ГБ) в IIS Manager. - Расхождение в Shared Folder. Если WSUS на виртуалке мигрировал — проверьте, что
\\wsus\WsusContentдоступен клиентам. Это БИТС качает файлы по SMB.
Альтернативы WSUS
В 2026 году Microsoft активно толкает клиентов на Intune и Windows Update for Business. Это облачные решения, которые не требуют собственного сервера. Для полностью удалённых команд или офисов без серверной инфраструктуры — нормальный вариант. Но в классической офисной сети с доменом WSUS остаётся быстрее и дешевле: никаких лицензионных выплат за устройство, никакой зависимости от облака, полный контроль над трафиком.
Развернём WSUS под ключ за 2 рабочих дня
Я лично проектирую и настраиваю WSUS для офисов от 30 до 500 рабочих мест. Полная установка с SQL-бэкендом, группы компьютеров, GPO, мониторинг базы, обучение вашего админа. Бесплатный аудит текущей ситуации с обновлениями и расчёт экономии трафика — за 2 часа на месте или удалённо.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по WSUS
- Зачем нужен WSUS, если Windows обновляется сам?
- WSUS экономит интернет-трафик (один раз скачали обновление — раздали на 100 машин), даёт контроль над одобрением патчей, позволяет группировать компьютеры и видеть реальный статус установки. Без WSUS в офисе на 50 ПК один патч-вторник съедает 80 ГБ трафика.
- Сколько места занимает WSUS?
- Для поддержки Windows 10/11 + Server 2016–2022 нужно 300–500 ГБ. Если включать Office и Defender — ещё 100 ГБ. Я всегда закладываю терабайт под WsusContent и ставлю на отдельный диск.
- WSUS или MDT/Intune?
- WSUS — про обновления существующих систем. MDT/WDS — про развёртывание ОС с нуля. Intune — облачная альтернатива для удалённых рабочих мест. В обычном офисе с AD это разные задачи, WSUS не заменяет остальное.
- Как принудительно обновить клиент WSUS?
- wuauclt /detectnow /reportnow на Windows 7/8, или на новых ОС — usoclient StartScan + Get-WindowsUpdate -Install в PowerShell. Перед этим полезно очистить кэш: net stop wuauserv, удалить %windir%SoftwareDistribution.
- Какие группы компьютеров создавать в WSUS?
- Минимум три: Pilot (тестовая группа из 5–10 машин IT-отдела), Production-Servers (серверы с ручным одобрением), Production-Workstations (остальные ПК). Это даёт двухнедельный буфер для выявления проблем с обновлениями.