教你用WSUS(Windows Server Update Services 3.0)搭建企業內部update服務器
日期:2017/2/8 10:20:36   編輯:關於服務器
WSUS是Windows Server Update Services的簡稱,它在以前Windows Update Services的基礎上有了很大的改善。目前的版本可以更新更多的Windows補丁,同時具有報告功能和導向性能,管理員還可以控制更新過程。WSUS采用C/S模式,客戶端已被包含在各個WINDOWS操作系統上。從微軟網站上下載的是WSUS服務器端。通過配置,將客戶端和服務器端關聯起來,就可以自動下載補丁了.
Microsoft的產品,每個月都有一個安全通報,介紹一些發現的漏洞,發布相應的補丁包。打補丁是Microsoft產品必需做的。通常,用戶設置Windows自動更新,連接到微軟的服務器上進行更新。如果家庭用戶,只有通過這種方式更新。單位或企業內的Windows OS數量很大,都通過互聯網來更新,會造成流量過大,下載的速度可能也很慢。在內部架設Update服務器,是比較理想的選擇。最簡單的做法:選擇一台服務器做為更新服務器(Windows Server Update Services WSUS),讓WSUS從微軟的Upate服務器上下載所需要的補丁包,客戶機通過連到內部WSUS服務進行下載Services Pack。這樣速度會很快,而且讓那些不能上網的PC機,也能更新。
一、安裝WSUS
系統需求:IIS 6.0、.NET FRAMEWORK 2.0、MMC(Microsoft Management Console 3.0 Report Viewer 2005,SQL Server 2005數據庫(可選)。先檢查系統是否安裝以上服務及程序。如安裝了,就可以安裝WSUS3.0了。
1. 雙擊安裝程序文件“WSUSSetup.exe”
2. 在安裝向導的“歡迎”頁中,單擊“下一步”。
3. 在“安裝模式選擇”頁中,如果您希望在此計算機上安裝服務器,請單擊“包括管理控制台的完整服務器安裝”;如果僅希望安裝管理控制台,請單擊“僅限管理控制台”。
4. 在“許可協議”頁中,仔細閱讀許可協議條款,單擊“我接受許可協議”,然後單擊“下一步”。
5. 在安裝向導的“選擇更新源”頁中,可以指定客戶端獲得更新的位置。如果選中“在本地存儲更新”復選框,則會將更新存儲在 WSUS 3.0 服務器上,您需要在文件系統中選擇一個用於存儲更新的位置。如果不在本地存儲更新,客戶端計算機將連接到 Microsoft Update 以獲取已審批的更新。請將存儲位置放到系統盤以外的分區上存放,同時該分區推薦不要少於20G,然後單擊“下一步”。
6. 在“數據庫選項”頁中,選擇用於管理 WSUS 3.0 數據庫的軟件。默認情況下,如果要安裝的計算機運行 Windows Server 2003,WSUS 安裝程序將會安裝 Windows Internal Database。
請在此選用SQL Server2005已為WSUS創建好的數據庫實例。具體操作方法是:單擊“使用此計算機上的現有數據庫服務器”,然後在框中鍵入實例名。該實例名應顯示為
<serverName>\<instanceName>,其中 serverName 是服務器的名稱,instanceName 是 SQL 實例的名稱。進行選擇,然後單擊“下一步”。
在“正在連接到 SQL Server 實例”頁中,WSUS 將嘗試連接到指定的 SQL Server 實例。當它已成功連接後,單擊“下一步”繼續。
7. 在“網站選擇”頁中,指定 WSUS 3.0 將使用的網站。如果要在端口 80 上使用默認 IIS 網站,請選擇第一個選項。如果端口 80 上已有一個網站,可通過選擇第二個選項在端口 8530 上創建備用站點。部署時選擇開通8530端口,建立一個新IIS站點。
8. 在“准備安裝 Windows Server Update Services”頁中,檢查各項選擇,然後單擊“下一步”。
9. 安裝向導的最後一頁將說明 WSUS 3.0 安裝是否成功完成。單擊“完成”後,將動配置向導。
二:配置 WSUS 3.0
1. 從配置向導中單擊“下一步”,以選擇上游服務器。
2. 根據需要選擇從“ Microsoft Update 進行同步”或“從上游服務器更新”
3. 如果選擇從另一台 WSUS 服務器進行同步,請指定該服務器的名稱及其與上游服務器進行通信所使用的端口。
4. 要使用 SSL,請選中“在同步更新信息時使用 SSL”復選框。在這種情況下,服務器將使用端口 443 進行同步。(應確保該服務器及上游服務器都支持 SSL。)
5. 如果這是副本服務器,請選中“這是上游服務器的副本”復選框。
6. 現在,您已完成了上游服務器配置。單擊“下一步”,或者從左面板中選擇“指定代理服務器”。
7. 通常不用設定代理服務器,如有需要可按附錄1設定代理服務器
8. 單擊“開始連接”按鈕,這將會保存並上載設置以及獲取有關可用更新的信息。
9. 當建立連接時,“停止連接”按鈕將變為可用。如果連接出現問題,請單擊“停止連接”,解決該問題,然後重新啟動該連接。
10. 在下載成功完成後,單擊“下一步”轉到“選擇語言”頁,或者從左面板中選擇其他頁。
11. 選擇更新語言
在“選擇語言”頁中,您可以指定獲取所有語言的更新或它的一個子集。選擇一個語言子集會節省磁盤空間,但一定要選擇此 WSUS 服務器的所有客戶端將需要的所有語言。
如果選擇僅獲取幾種語言的更新,請選擇“僅下載以下語言的更新”,然後選擇所需的更新語言。單擊“下一步”以轉到“選擇產品”頁,或者從左面板中選擇其他頁。
12. 選擇更新產品及分類
在“選擇產品”頁中,您可以指定所需的更新產品。
您可以選中產品類別(如 Windows)或特定產品(如 Windows Server 2003)。選擇產品類別將導致選中其下面的所有產品。單擊“下一步”以轉到“選擇分類”頁,或者從左面板中選擇其他頁。
在“選擇分類”頁中,可以選擇要獲取的更新分類。您可以選擇所有分類或它的一個子集。
13. 配置同步計劃
14. 安裝注意事項:
在准備WSUS3.0服務器平台時,請一定要在添加/刪除程序---應用程序服務器中,手工添加ASP.NET和IIS服務中的Active Server Pages兩個組件。否則Client無法正常加入Server端,同時目前網上教程中均無添加這兩個組件的說明。
15. 在“網站選擇”頁中,盡量不要選擇默認站點和80端口。可在部署時選擇開通8530端口,建立一個新IIS站點。因為80端口作為系統大部份服務的默認端口,這樣可以有效的防止端口阻塞的問題。
三: 配置客戶端自動更新
目前公司的網絡結構為基於Active Directory 的環境中,可以使用基於域的GPO來進行對客戶端的自動更新部署(工作組更容易就不多說了,呵呵)。通過GPO先將客戶端計算機指向 WSUS 服務器,然後才能配置自動更新。
將客戶端計算機指向 WSUS 服務器
1. 運行------gpmc.msc,進入組策略編緝器。
在要分發策略的OU上單擊右鍵,建立一個新的GPO。
2. 編緝該GPO,在組策略對象編輯器中,依次展開“計算機配置”、“管理模板”和“Windows 組件”,然後單擊“Windows Update”。
3. 在詳細信息窗格中,雙擊“指定 Intranet Microsoft 更新服務位置”。
4. 單擊“已啟用”,然後在“設置檢測更新的 Intranet 更新服務”框和“設置 Intranet 統計服務器”框中鍵入同一 WSUS 服務器的 HTTP URL。例如,在兩個框中鍵入 http://manage:8530,然後單擊“確定”
四: 配置自動更新
1. 在詳細信息窗格中,雙擊“配置自動更新”。
2. 單擊“已啟用”,然後單擊以下選項之一:
通知下載並通知安裝:該選項在下載之前以及安裝更新之前通知已登錄的管理用戶。
自動下載並通知安裝:該選項自動開始下載更新,然後在安裝更新之前通知已登錄的管理用戶。
自動下載並計劃安裝:如果將自動更新配置為執行計劃安裝,您還必須設置執行定期計劃安裝的日期和時間。
五: 為更新創建計算機組
計算機組是 WSUS 部署的重要組成部分,可以創建自定義計算機組,方便對所屬的服務器和客戶端進行管理。在生產環境中,我們可以按部門、客戶端的類型(Server or Client)和OS類型進行分類,建立相對應的計算機組。建計算機組的一個好處是,可以在大范圍部署更新之前對更新進行測試。如果測試進行順利,便可將更新部署到“所有計算機”組中。
創建組:
1. 在 WSUS 管理控制台中,展開“計算機”,然後選擇“所有計算機”。
2. 右鍵單擊“所有計算機”,或轉到“操作”窗格,然後單擊“添加計算機組”。
3. 將會看到“添加計算機組”對話框。請指定新組的名稱。
六:在組中添加計算機
1. 在 WSUS 管理控制台中,單擊“計算機”。
2. 單擊要移動的計算機的組。
3. 在計算機列表中,選擇要移動的計算機。
4. 右鍵單擊“更改成員身份”。
5. 將會看到“設置計算機組成員身份”對話框,其中包含一個組列表。
6. 選中要將計算機移動到的組,然後單擊“確定”。
七:在 WSUS 3.0 中審批和部署更新
審批和部署更新
1. 在 WSUS 管理控制台上,單擊“更新”。這樣做會在默認視圖中顯示更新摘要(“所有更新”、“關鍵更新”、“安全更新”以及“WSUS 更新”)。請在此過程中使用“所有更新”。
2. 在更新列表上,選擇要審批安裝的更新。在“更新”面板的最下面的窗格中,將提供有關選定更新的信息。要選擇多個連續的更新,請在單擊更新時按住 SHIFT 鍵;要選擇多個不連續的更新,請在單擊更新時按住CTRL 鍵。
3. 右鍵單擊選定的更新,然後單擊“審批”。將出現“審批更新”對話框。
4. 選擇其中的一個組(例如,Test1),然後單擊其左側的箭頭。將會看到包含以下選項的上下文菜單:“已審批進行安裝”、“已審批進行刪除”、“未審批”、“最後期限”“與父組相同”以及“應用到子組”。單擊“已審批進行安裝”,然後單擊“確定”。
5. 將會看到一個新窗口(“審批進度”),它顯示影響更新審批的各種任務的進度。當審批完成後,請單擊“關閉”以關閉此窗口。
八:開始設置同步過程
在完成所有以上配置步驟後,請在配置向導中選擇“完成”頁。您可以選中“啟動‘Windows Server Update Services 管理’管理單元”復選框來啟動 WSUS 管理控制台,以及選中“開始初始同步”復選框來啟動首次同步。
附注: 由於組策略的刷新和應用需要一定的時間,所以保存編輯結果後即使客戶端重新登錄域控制器也可能無法立即聯系到WSUS服務器。而默認情況下,每隔90分鐘,計算機組策略便會在後台刷新一次,刷新的時間可能隨機偏移0~30分鐘,客戶端計算機要在域控制器刷新組策略20分鐘後才可以應用到組策略。如果想要以更快的速度刷新組策略,可以在服務器端設置組策略後,通過運行gpupdate命令讓設置即時生效,並在客戶端計算機通過運行“gpupdate /force”命令立刻生效。如果該機器不是Active Directory的成員,可以通過輸入“wuauclt.exe /detectnow”來消除20分鐘延時。
手動啟動 WSUS 服務器檢測
1.
在客戶端計算機上,單擊“開始”,然後單擊“運行”。
2.
鍵入 cmd,然後單擊“確定”。
3.
在命令提示符下,鍵入 wuauclt.exe /detectnow。此命令行選項將指示自動更新立即連接到 WSUS 服務器。