WSUS是Windows Server Update Services的简称,它在以前Windows Update Services的基础上有了很大的改善。目前的版本可以更新更多的Windows补丁,同时具有报告功能和导向性能,管理员还可以控制更新过程。WSUS采用C/S模式,客户端已被包含在各个WINDOWS操作系统上。从微软网站上下载的是WSUS服务器端。通过配置,将客户端和服务器端关联起来,就可以自动下载补丁了. Microsoft的产品,每个月都有一个安全通报,介绍一些发现的漏洞,发布相应的补丁包。打补丁是Microsoft产品必需做的。通常,用户设置Windows自动更新,连接到微软的服务器上进行更新。如果家庭用户,只有通过这种方式更新。单位或企业内的Windows OS数量很大,都通过互联网来更新,会造成流量过大,下载的速度可能也很慢。在内部架设Update服务器,是比较理想的选择。最简单的做法:选择一台服务器做为更新服务器(Windows Server Update Services WSUS),让WSUS从微软的Upate服务器上下载所需要的补丁包,客户机通过连到内部WSUS服务进行下载Services Pack。这样速度会很快,而且让那些不能上网的PC机,也能更新。
一、安装WSUS
系统需求:IIS 6.0、.NET FRAMEWORK 2.0、MMC(Microsoft Management Console 3.0 Report Viewer 2005,SQL Server 2005数据库(可选)。先检查系统是否安装以上服务及程序。如安装了,就可以安装WSUS3.0了。
1. 双击安装程序文件“WSUSSetup.exe”
2. 在安装向导的“欢迎”页中,单击“下一步”。
3. 在“安装模式选择”页中,如果您希望在此计算机上安装服务器,请单击“包括管理控制台的完整服务器安装”;如果仅希望安装管理控制台,请单击“仅限管理控制台”。
4. 在“许可协议”页中,仔细阅读许可协议条款,单击“我接受许可协议”,然后单击“下一步”。
5. 在安装向导的“选择更新源”页中,可以指定客户端获得更新的位置。如果选中“在本地存储更新”复选框,则会将更新存储在 WSUS 3.0 服务器上,您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新,客户端计算机将连接到 Microsoft Update 以获取已审批的更新。请将存储位置放到系统盘以外的分区上存放,同时该分区推荐不要少于20G,然后单击“下一步”。
6. 在“数据库选项”页中,选择用于管理 WSUS 3.0 数据库的软件。默认情况下,如果要安装的计算机运行 Windows Server 2003,WSUS 安装程序将会安装 Windows Internal Database。
请在此选用SQL Server2005已为WSUS创建好的数据库实例。具体操作方法是:单击“使用此计算机上的现有数据库服务器”,然后在框中键入实例名。该实例名应显示为
<serverName>/<instanceName>,其中 serverName 是服务器的名称,instanceName 是 SQL 实例的名称。进行选择,然后单击“下一步”。
在“正在连接到 SQL Server 实例”页中,WSUS 将尝试连接到指定的 SQL Server 实例。当它已成功连接后,单击“下一步”继续。
7. 在“网站选择”页中,指定 WSUS 3.0 将使用的网站。如果要在端口 80 上使用默认 IIS 网站,请选择第一个选项。如果端口 80 上已有一个网站,可通过选择第二个选项在端口 8530 上创建备用站点。部署时选择开通8530端口,建立一个新IIS站点。
8. 在“准备安装 Windows Server Update Services”页中,检查各项选择,然后单击“下一步”。
9. 安装向导的最后一页将说明 WSUS 3.0 安装是否成功完成。单击“完成”后,将动配置向导。
二:配置 WSUS 3.0
1. 从配置向导中单击“下一步”,以选择上游服务器。
2. 根据需要选择从“ Microsoft Update 进行同步”或“从上游服务器更新”
3. 如果选择从另一台 WSUS 服务器进行同步,请指定该服务器的名称及其与上游服务器进行通信所使用的端口。
4. 要使用 SSL,请选中“在同步更新信息时使用 SSL”复选框。在这种情况下,服务器将使用端口 443 进行同步。(应确保该服务器及上游服务器都支持 SSL。)
5. 如果这是副本服务器,请选中“这是上游服务器的副本”复选框。
6. 现在,您已完成了上游服务器配置。单击“下一步”,或者从左面板中选择“指定代理服务器”。
7. 通常不用设定代理服务器,如有需要可按附录1设定代理服务器
8. 单击“开始连接”按钮,这将会保存并上载设置以及获取有关可用更新的信息。
9. 当建立连接时,“停止连接”按钮将变为可用。如果连接出现问题,请单击“停止连接”,解决该问题,然后重新启动该连接。
10. 在下载成功完成后,单击“下一步”转到“选择语言”页,或者从左面板中选择其他页。
11. 选择更新语言
在“选择语言”页中,您可以指定获取所有语言的更新或它的一个子集。选择一个语言子集会节省磁盘空间,但一定要选择此 WSUS 服务器的所有客户端将需要的所有语言。
如果选择仅获取几种语言的更新,请选择“仅下载以下语言的更新”,然后选择所需的更新语言。单击“下一步”以转到“选择产品”页,或者从左面板中选择其他页。
12. 选择更新产品及分类
在“选择产品”页中,您可以指定所需的更新产品。
您可以选中产品类别(如 Windows)或特定产品(如 Windows Server 2003)。选择产品类别将导致选中其下面的所有产品。单击“下一步”以转到“选择分类”页,或者从左面板中选择其他页。
在“选择分类”页中,可以选择要获取的更新分类。您可以选择所有分类或它的一个子集。
13. 配置同步计划
14. 安装注意事项:
在准备WSUS3.0服务器平台时,请一定要在添加/删除程序---应用程序服务器中,手工添加ASP.NET和IIS服务中的Active Server Pages两个组件。否则Client无法正常加入Server端,同时目前网上教程中均无添加这两个组件的说明。
15. 在“网站选择”页中,尽量不要选择默认站点和80端口。可在部署时选择开通8530端口,建立一个新IIS站点。因为80端口作为系统大部份服务的默认端口,这样可以有效的防止端口阻塞的问题。
三: 配置客户端自动更新
目前公司的网络结构为基于Active Directory 的环境中,可以使用基于域的GPO来进行对客户端的自动更新部署(工作组更容易就不多说了,呵呵)。通过GPO先将客户端计算机指向 WSUS 服务器,然后才能配置自动更新。
将客户端计算机指向 WSUS 服务器
1. 运行------gpmc.msc,进入组策略编缉器。
在要分发策略的OU上单击右键,建立一个新的GPO。
2. 编缉该GPO,在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”和“Windows 组件”,然后单击“Windows Update”。
3. 在详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。
4. 单击“已启用”,然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中键入同一 WSUS 服务器的 HTTP URL。例如,在两个框中键入 http://manage:8530,然后单击“确定”
四: 配置自动更新
1. 在详细信息窗格中,双击“配置自动更新”。
2. 单击“已启用”,然后单击以下选项之一:
通知下载并通知安装:该选项在下载之前以及安装更新之前通知已登录的管理用户。
自动下载并通知安装:该选项自动开始下载更新,然后在安装更新之前通知已登录的管理用户。
自动下载并计划安装:如果将自动更新配置为执行计划安装,您还必须设置执行定期计划安装的日期和时间。
五: 为更新创建计算机组
计算机组是 WSUS 部署的重要组成部分,可以创建自定义计算机组,方便对所属的服务器和客户端进行管理。在生产环境中,我们可以按部门、客户端的类型(Server or Client)和OS类型进行分类,建立相对应的计算机组。建计算机组的一个好处是,可以在大范围部署更新之前对更新进行测试。如果测试进行顺利,便可将更新部署到“所有计算机”组中。
创建组:
1. 在 WSUS 管理控制台中,展开“计算机”,然后选择“所有计算机”。
2. 右键单击“所有计算机”,或转到“操作”窗格,然后单击“添加计算机组”。
3. 将会看到“添加计算机组”对话框。请指定新组的名称。
六:在组中添加计算机
1. 在 WSUS 管理控制台中,单击“计算机”。
2. 单击要移动的计算机的组。
3. 在计算机列表中,选择要移动的计算机。
4. 右键单击“更改成员身份”。
5. 将会看到“设置计算机组成员身份”对话框,其中包含一个组列表。
6. 选中要将计算机移动到的组,然后单击“确定”。
七:在 WSUS 3.0 中审批和部署更新
审批和部署更新
1. 在 WSUS 管理控制台上,单击“更新”。这样做会在默认视图中显示更新摘要(“所有更新”、“关键更新”、“安全更新”以及“WSUS 更新”)。请在此过程中使用“所有更新”。
2. 在更新列表上,选择要审批安装的更新。在“更新”面板的最下面的窗格中,将提供有关选定更新的信息。要选择多个连续的更新,请在单击更新时按住 SHIFT 键;要选择多个不连续的更新,请在单击更新时按住CTRL 键。
3. 右键单击选定的更新,然后单击“审批”。将出现“审批更新”对话框。
4. 选择其中的一个组(例如,Test1),然后单击其左侧的箭头。将会看到包含以下选项的上下文菜单:“已审批进行安装”、“已审批进行删除”、“未审批”、“最后期限”“与父组相同”以及“应用到子组”。单击“已审批进行安装”,然后单击“确定”。
5. 将会看到一个新窗口(“审批进度”),它显示影响更新审批的各种任务的进度。当审批完成后,请单击“关闭”以关闭此窗口。
八:开始设置同步过程
在完成所有以上配置步骤后,请在配置向导中选择“完成”页。您可以选中“启动‘Windows Server Update Services 管理’管理单元”复选框来启动 WSUS 管理控制台,以及选中“开始初始同步”复选框来启动首次同步。
附注: 由于组策略的刷新和应用需要一定的时间,所以保存编辑结果后即使客户端重新登录域控制器也可能无法立即联系到WSUS服务器。而默认情况下,每隔90分钟,计算机组策略便会在后台刷新一次,刷新的时间可能随机偏移0~30分钟,客户端计算机要在域控制器刷新组策略20分钟后才可以应用到组策略。如果想要以更快的速度刷新组策略,可以在服务器端设置组策略后,通过运行gpupdate命令让设置即时生效,并在客户端计算机通过运行“gpupdate /force”命令立刻生效。如果该机器不是Active Directory的成员,可以通过输入“wuauclt.exe /detectnow”来消除20分钟延时。
手动启动 WSUS 服务器检测
1.
在客户端计算机上,单击“开始”,然后单击“运行”。
2.
键入 cmd,然后单击“确定”。
3.
在命令提示符下,键入 wuauclt.exe /detectnow。此命令行选项将指示自动更新立即连接到 WSUS 服务器。