В этой статье я опишу процесс установки и настройки WSUS на платформе Windows Server 2012. Очевидные моменты вроде добавления роли и базовой настройки я опущу ввиду их очевидности и желании подробнее остановиться на интересных моментах.
Итак, при добавлении роли с-ма спросит нас о том где мы хотим разместить базу. По-умолчанию предлагается использование WID и в тестовой среде я решил использовать его.
Что стоит отметить, в этом сценарии даже “пустой” WSUS потреблял неоправданно много ресурсов, и легко “выжирал” 2 vCPU * 2.5GHz + 2Gb RAM. Поэтому в продуктивной среде базу я разместил на существующем сервере SQL 2012 Enterprise, который у меня предназначен для инфраструктурных приложений. Каких-либо проблем с SQL 2012 SP1 не возникло.
Я использовал сценарий, когда на одном экземпляре Windows Server 2012 используется максимальное количество инфраструктурных ролей, в т.ч. AD DS . В отличии от 2003го, проблем не наблюдал, хотя такой сценарий по-прежнему не рекомендуется.
Что ж, я буду использовать SSL для WSUS, поэтому я перейду в IIS и подпишу сайт WSUS правильным сертификатом:
Затем применим изменения, перезапустим IIS.
Теперь перейдем к подсайтам, для:
ApiRemoting30
ClientWebService
DSSAuthWebService
ServerSyncWebService
SimpleAuthWebService
.. нам нужно включить использование SSL и “игнорирование сертификата клиента”:
Для остальных подсайтов SSL не включаем, т.к. WSUS работать не будет.
Нам будет нужна WsusUtil.exe , для указания секртификата (так рекомендуют делать, но у меня работало и без этого):
Теперь можно открыть консоль WSUS на другом ПК и убедиться что соединение работает по SSL и защищенному порту 8531 :
Затем напишем групповую политику (Computer Configuration – Policies – Administrative Templates – Windows Components – Windows Update), в моем случае содержание таково:
Те параметры которые я не использовал меня вполне устраивают по-умолчанию. При настройке политики советую внимательно ознакомиться с содержимым каждой опции дабы не навредить.
Теперь применим созданную политику к нужному OU, я для начала применил к тестовой группе.
Обновим политику на клиенте перезагрузив его или с помощью gpupdate /force и посмотрим результат с помощью rsop.msc и Панели управления:
Теперь откроем консоль управления WSUS, подтвердим необходимые обновления и применим политику к OU содержащими продуктивные объекты.
Вот пример “подтверждающего” правила:
Также укажем что присоединение к группе будет определено групповой политикой, а не настройками WSUS:
Статистику и особенности управления я опишу через неделю-другую, когда в консоли все будет наглядно видно 
