您的位置:新葡亰496net > 服务器网络 > WSUS服务器和更新管理流程,WSUS服务器的装置与运

WSUS服务器和更新管理流程,WSUS服务器的装置与运

发布时间:2019-08-31 19:40编辑:服务器网络浏览(157)

    WSUS提供由以下内容组成的管理基础结构:

    Microsoft推荐的这一更新管理流程方法由四个连续的阶段组成,如下图所示。持续地重复更新管理流程非常必要,因为可增强和保护生产环境的新更新会不断推出。

    Windows 2008 R2 SP1部署WSUS 3.0 SP2
    1 实验环境
    1)域:
    域名为fengxja.com;
    网段:192.168.0网段,不连接外网。
    WSUS服务器和更新管理流程,WSUS服务器的装置与运用。域功能级别和林功能级别为Windows server 2003模式。
    2)DC服务器:
    域控制器;
    Windows2008 R2 SP1企业版;
    主机名:DC01
    5个操作主机角色服务器;
    证书服务器;
    DNS服务器IP地址为192.168.0.101;
    IP地址为192.168.0.101。
    3)WSUS服务器:
    Windows2008 R2 SP1企业版;
    主机名:WSUS01;
    不加入fengxja.com域;
    主机双网卡:
    网卡一的IP地址为192.168.0.108;
    网卡二的IP地址为DHCP自动分配,连接外网。
    4)客户端:
    Windows7企业版X86;
    主机名:WIN701;
    加入fengxja.com域;
    DNS服务器IP地址为192.168.0.101;
    IP地址为192.168.0.103。
    2 安装WSUS SP2准备
    1) 以本地管理登陆WSUS01服务器。
    2) 安装Microsoft Report Viewer Redistributable 2008,下载链接:

    3) 运行Report Viewer.exe文件,下一步。

    WSUS服务器的部署场景有以下三种:

    WSUSWindows Server Update Services )是Windows操作系统的升级服务,通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中,内部网络中的客户机就可以通过WSUS服务器得到更新。升级操作系统补丁的时间可以缩短到几分钟,效果十分明显,且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。这既节省了资源,又避免了资源浪费,并且提高了效率。
    近年来,浙江省绍兴市烟草专卖局在内部网络中建成使用了WSUS系统,现在全部终端已部署完成,终端操作系统通过WSUS系统自动安装更新补丁,有效地避免了计算机病毒的入侵,有力地保障了系统和网络的安全。
    目前,WSUS已升级至2.0版本,支持微软的全部更新,包括ISA、OfficeXP、Office2003、SQL Server2000、MSDE 2000和Exchange Server2003,等等。
    WSUS的安装主要分4个步骤:系统准备与辅助软件的安装;WSUS服务器的安装;配置和管理WSUS服务器;客户机设置。
    1.系统准备与辅助软件的安装。
    安装WSUS服务器之前,要确保服务器符合SUS的最低硬件要求:奔腾III 750MHz或更高的处理器,512MB内存,8GB硬盘空间,NTFS文件系统格式,如需要升级的客户机在500台以上,对CPU的要求更高,内存应在1GB以上。
    相关软件要求如下:
    ①操作系统安装:只有包含SP4或更高版本的Windows2000 Advanced ServeWindows2000 Server),以及Windows Server 2003才能够作为WSUS服务器,建议采用Windows2000 Advanced Server。
    ②在操作系统上安装Microsoft Internet Information Services IIS)5.0。
    ③在操作系统上安装Background Intelligent Transfer Service BITS)2.0。
    ④在操作系统上安装Microsoft SQL Server2000及SQL的SP4补丁。
    ⑤在操作系统上安装Microsoft Internet Explorer 6.0 Service Pack 1。
    ⑥在操作系统上安装Microsoft
    .NET Framework Version 1.1 Redistributable Package。
    ⑦在操作系统上安装Microsoft
    .NET Framework 1.1 Service Pack 1。
    ⑧最后打好所有的系统补丁。
    以上相关软件到微软的网站上下载即可。
    2.安装WSUS。
    默认情况下,Windows Server操作系统是不包含WSUS组件的,需要在微软下载中心下载WSUS安装包,再安装至服务器。
    ①下载WSUS安装程序。
    ②打开下载的WSUSSetup.exe文件,启动安装程序。
    ③单击“下一步”,在“最终用户许可协议”步骤中选择“I accept the terms in the License Agreement”,并单击“下一步”。
    ④选择存储分区,用来存放WSUS下载的更新文件。要注意的是,这个分区必须是NTFS格式,并且最少要有6GB的自由空间。
    ⑤接下来是选择安装WMSDE数据的存储分区,这个分区也必须是NTFS格式,以及最少要有2GB的自由空间,如果把它与存储本地更新文件装在同一个分区,这个分区最少要有8GB的自由空间。
    ⑥选择WSUS站点的管理工具与WEB服务网站的端口,可以使用默认端口(80)或是选择一个独立的端口(8530),这是不能更改的。如果服务器上面还有别的网站,建议使用8530端口来实现WSUS的管理以及WEB服务更新。这里使用系统推荐的80端口。
    ⑦WSUS提供了镜像管理服务功能,它可以从网络上的另一台WSUS服务器中复制已批准的更新列表。
    接下来就是安装程序的自动安装过程,大概需要15分钟左右。
    3.配置和管理WSUS服务器。
    安装完成,接下来需要进入它的管理页面进行配置,默认情况下WSUS是不进行任何同步更新的。
    从安装时提示的管理地址进入WSUS的WEB管理界面。
    点击右上方“选项”菜单,进行系统设置。
    ①点击“同步选项”。可以选择手动同步服务器,查看同步状态,指定代理服务器设置以及管理更新。也可以设置同步更新的时间,以及要求从微软站点下载的产品、更新分类、代理服务器、更新源以及更新文件和语言。
    ②更新源:可以选择让该 WSUS服务器与 Microsoft Update 或者网络上的某台上游WSUS服务器同步更新信息。如果使用 SSL,请确保上游WSUS 服务器配置为支持 SSL。此服务器上的端口设置必须配置为与上游 WSUS 服务器匹配。
    ③自动批准选项:可以指定如何为选定组自动批准更新的安装或检测,以及如何批准对现有更新的修订,即WSUS对同步下载的补丁是否执行自动批准加入系统的分发库的命令,并设置分发的对象即计算机组。
    ④更新的修订:对于已批准的更新,有时会有更新版本发布,可以选择是否自动批准修订。如果不选择自动批准修订版本,则旧版本将继续保持已批准状态。
    ⑤WSUS更新:需要WSUS 更新,以确保可以正确更新计算机。如果 WSUS 更新未得到批准,则计算机可能无法正确检测某些更新,默认是批准的。
    4.客户机设置。
    如果客户机与WSUS服务器在同一个域中,则只要通过域功能分发一下即可。如客户机与WSUS服务器不在同一个域中,则每一台客户机都必须作如下设置才能起作用:
    ①打开“开始”菜单,点击“运行”,输入“Gpedit.msc”,启动Windows策略组。
    ②在策略组中,点击“管理模板”,选择“添加/删除模板”,点击“添加”,选择“wuau.adm”,再点“打开”即可。图一)
    ③双击“配置自动更新”,在打开窗口中,选择“启用”。
    ④双击“指定Internet Microsoft更新服务位置”,在打开窗口中,选择“启用”,并在红色框中填上
    ⑤为保证客户机立即更新,要在“开始”菜单下“运行”中输入“secedit/refreshpolicy machine_policy /enforce”,客户机将立即与WSUS服务器连接,下载并更新补丁。

    MicrosoftUpdate

    下图是每个阶段的目标,以及管理员如何使用WSUS功能在此四阶段流程的每个阶段中确保成功的示例。许多功能可在多个阶段中使用,这一点请特别注意。

    新葡亰496net 1

    1、单WSUS服务器环境

    新葡亰496net 2

    分发Microsoft产品更新的Microsoft网站。

    1.评估

    4) 接受协议,选择“安装”。

    这是最常见的WSUS服务部署场景,如下图所示:

      图一)

    WindowsServerUpdateServices服务器

    在“评估”阶段,管理员的目标是:

    新葡亰496net 3

    新葡亰496net 4

    新葡亰496net 5 

    此组件安装在位于公司防火墙内部的WindowsServer2003SP1或nextref_longhorn服务器上。WSUS服务器允许管理员通过WSUS3.0管理控制台可安装在域中的任意Windows计算机上)管理和分发更新。此外,WSUS服务器还可作为组织内其他WSUS服务器的更新源。网络中必须至少要有一个WSUS服务器连接到MicrosoftUpdate才能获取可用的更新信息。管理员可根据网络安全性和配置来决定是否允许其他服务器直接连接到MicrosoftUpdate。

    •设置支持常规和紧急情况下更新管理的生产环境。

    5) 选择“完成”。
    6) 安装IIS组件。
    7) 打开“服务器管理器”,选择“角色---添加角色”,选中“Web服务器(IIS)”,下一步。

    企业网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序称之为同步),并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。

    图二)

    自动更新

    WSUS服务器和更新管理流程,WSUS服务器的装置与运用。虽然这是第一个步骤,但是“评估”阶段实质上是一个持续过程。例如,管理员必须评估有多少服务器和客户端计算机需要更新,存储和网络带宽要求是多少,以及哪个时间段可部署普通更新。管理员还必须确定他们要更新哪些平台、产品以及语言。根据这些因素,管理员可确定用于扩容其WSUS组件的最有效拓扑。

    新葡亰496net 6

    WSUS服务器使用HTTPTCP 80)和HTTPSTCP 443)来从Microsoft Update获取更新程序,如果企业在内部和外部网络之间部署有防火墙,你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问,需要的具体访问规则为:

    Server Update Services )是Windows操作系统的升级服务,通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器...

    此组件内置于nextref_longhorn、nextref_vista、WindowsServer2003、WindowsXP以及Windows2000SP4操作系统中。利用自动更新,服务器和客户端计算机可从MicrosoftUpdate或WSUS服务器接收更新。

    WSUS提供大量用于设置WSUS组件的选项,包括能将更新内容本地存储到WSUS服务器或根据需要从Microsoft Update下载内容。管理员还可以配置“自动更新”以在计算机上自动下载和安装缺少的更新。WSUS提供了用于管理Active Directory和非Active Directory环境中的客户端计算机的选项。

    8) 如果您要安装 Web 服务器 IIS,则在“Web 服务器 (IIS)”页中,单击“下一步”。在“Web 服务器 (IIS) 角色服务”页中,除了选中的默认设置外,还请选择“ASP.NET”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”。如果出现“添加角色向导”窗口,请单击“添加必需的角色服务”。单击“下一步”。

    允许WSUS服务器到以下Web站点的HTTP/HTTPS访问

    WSUS后续步骤转到WindowsServerUpdateServices网站(

    WSUS提供管理员可持续运行的标准化聚合报告。这些报告提供有关WSUS实施过程中所有活动的全面信息,包括已与WSUS服务器同步的更新的信息以及每台计算机已安装或还缺少哪些更新的信息。

    新葡亰496net 7











    •  

    单个WSUS服务器小型或简单网络)

    2.确定

    9) 选择“安装”。
    3 安装WSUS
    1) 下载WSUS30-KB972455-x64补丁包,执行安装。
    下载链接:
    2) 运行WSUS30-KB972455-x64安装包。
    3) 下一步。

    WSUS与IIS服务器结合创建Web站点来实现更新程序的分发,你可以配置WSUS Web站点共享使用默认Web站点服务端口为TCP 80)或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时,如果你不选择使用默认的Web站点,那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求,建议你使用默认的Web站点。

    在单个WSUS服务器方案中,管理员可在公司防火墙内部建立一个运行WSUS的服务器,它直接将内容与MicrosoftUpdate同步,然后再将更新分发到客户端计算机。

    在“确定”阶段,管理员的目标是:

    新葡亰496net 8

    WSUS服务器要求客户端计算机上运行WSUS客户端,WSUS客户端可以在打过SP3及以上补丁的Windows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行,换言之,WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端;而其他的操作系统中除了没有安装过任何SP的Windows XP外,内建的自动更新组件均具有自我更新特性,可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端;对于没有安装过任何SP的Windows XP,你必须安装SUS客户端,从而通过SUS客户端来实现自我更新至WSUS客户端。

    多个WSUS服务器中型或更为复杂的网络)

    •以一种方便的方式发现新的更新。

    4) 选择“包括管理控制台和完整服务器安装”,下一步。

    由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新,因此,如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点,你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包,否则非WSUS客户端计算机不能正常的进行自我更新,从而不能从WSUS服务器获取更新程序。

    以下是在中型或更为复杂的网络中部署WSUS组件的常见方案。

    •确定更新是否与生产环境相关。

    新葡亰496net 9 

    WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。

    多个独立的WSUS服务器

    WSUS使管理员可确定要从MicrosoftUpdate同步哪些类型的更新以及何时进行同步。由于WSUS自动收集有关WSUS服务器已知的所有计算机的数据以确定更新是否相关,因此,在生产环境中安装更新前,管理员可直接了解到有多少台计算机需要更新以及更新部署将如何影响网络。

    新葡亰496net,5) 接受协议,下一步。

    使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。

    管理员可部署多个经过配置的服务器,使服务器均接受独立管理,且均从MicrosoftUpdate同步内容,如下图所示。

    3.评估和规划

    新葡亰496net 10

    新葡亰496net 11 

    附件:您所在的用户组无法下载或查看附件

    在与生产环境隔离但又与其类似的环境中测试更新。

    6) 选择“本地存储补丁”,默认存储本地C:WSUS,下一步。
    注意:如果更新的补丁较多,建议放在一个单独分区中。

    注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。

    此方案中的部署方法适用于将不同局域网(LAN)或广域网(WAN)段作为单独实体例如,一个分支机构)进行管理的情况。另外,对于将一台运行WSUS的服务器配置为仅将更新部署到运行特定操作系统如Windows2000)的客户端计算机,而将另一台服务器配置为仅将更新部署到运行其他操作系统如WindowsXP)的客户端计算机的情况,此方案仍然适用。

    •在与生产环境隔离但又与其类似的环境中测试更新。

    新葡亰496net 12

    2、链式WSUS服务器环境

    多个内部同步的WSUS服务器

    •确定将更新部署到生产中所需执行的任务,规划更新版本,构建版本,然后执行版本的验收测试。

    7) 选择“在此计算机安装windows Internal Database”,下一步。

    WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。

    管理员可部署多台运行WSUS的服务器,这些服务器会同步其组织的Intranet内的所有内容。在下图中,只有一台服务器对Internet是公开的。在这种配置中,它是唯一一台从MicrosoftUpdate下载更新的服务器。此服务器被设置为上游服务器—即与下游服务器同步的源。可根据实际情况将服务器置于在地理上分散的网络中的各个位置,以向所有客户端计算机提供最佳的连接。

    在测试环境中评估更新时,管理员可运行多个会在实际部署中使用的WSUS功能。他们可设置与其WSUS服务器自动同步的条件和时间表,创建计算机组,然后通过批准安装更新来确定这些组的更新目标。测试期间以及测试之后,管理员可使用WSUS提供的标准化报告来监视其测试更新安装成功与否。

    新葡亰496net 13

    新葡亰496net 14

    断开连接的WSUS服务器有限的或受限制的Internet连接)

    WSUS使管理员可在将更新部署到生产环境中之前评估安装更新的结果。通过创建一组测试计算机并按产品、语言和其他分类自动批准不同的更新集,管理员可自动测试不同类型的更新。测试期间以及测试之后,管理员可将WSUS更新报告与其测试结果相关联,以验证已安装的更新并确定如何以及何时为生产环境计划下载并安装批准。

    备注:
    ①在“数据库选项”页中,选择用于管理 WSUS 3.0 数据库的软件。默认情况下,此安装向导将安装 Windows 内部数据库。
    ②如果不希望使用 Windows 内部数据库,需选择“使用此计算机上的现有数据库”或“使用远程计算机上的现有数据库服务器”为 WSUS 提供要使用的 SQL Server 实例。在相应的框内键入实例名。该实例名应显示为 <serverName><instanceName>,其中 serverName 是服务器的名称,instanceName 是 SQL 实例的名称。进行选择,然后单击“下一步”。然后在出现“连接到 SQL Server 实例”页中,WSUS 将尝试连接到指定的 SQL Server 实例。当它已成功连接后,单击“下一步”继续。
    8) 网站首选项,选择使用现有IIS默认网站,下一步。
    说明:在“网站选择”页中,指定 WSUS 将使用的网站。如果希望在端口 80 上使用默认网站,则选择“使用现有 IIS 默认网站”。如果端口 80 上已有一个网站,可以通过选择“创建一个 Windows Server Update Services 3.0 SP2 网站”,在端口 8530 上创建一个备用网站。单击“下一步”。

    你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。

    如果公司策略或其他条件限制了计算机对Internet的访问,则管理员可建立一个运行WSUS的内部服务器,如下图所示。在本例中,创建了一个与Internet相连但与Intranet隔离的服务器。在此服务器上下载、测试和批准更新后,管理员随后可将更新元数据和内容导出到适当的媒体中,然后再从该媒体中将更新元数据和内容导入到Intranet内运行WSUS的服务器中。

    4.部署

    新葡亰496net 15

    在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。

    WindowsServerUpdateServices3.0的功能服务器端功能

    在“部署”阶段,管理员的目标是:

    9) 下一步。

    3、和Internet断开的WSUS服务器环境

    WSUS解决方案的服务器端组件包括以下功能。更多更新MicrosoftUpdate发布了以下产品的更新:

    •批准和计划更新安装。

    新葡亰496net 16

    部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图所示。

    •Windows 2000

    •在部署完成后审查流程。

    10) 等待安装完成,点击完成。
    4 同步WSUS
    1) 安装完成后,自动打开配置向导,点击下一步。

    新葡亰496net 17 

    •Windows XP32位、IA-64和x64版本)

    WSUS允许管理员指定目标计算机组并批准将更新部署到这些组。为建立部署更新的顺序,管理员可使用WSUS来为其网络和人力资源创建最有效的上游和下游WSUS服务器配置。此外,管理员可使用“组策略”或使用WSUSAPI编写脚本来配置客户端计算机与WSUS服务器或MicrosoftUpdate相互通信的方式。然后,管理员可使用报告来确定计算机或目标组的更新部署成功与否。

    新葡亰496net 18
     
    注意:
    配置前网络准备:
    ① 检查WSUS服务器的防火墙配置为允许客户端访问服务器
    ②WSUS连接到上游服务器(如 Microsoft Update)。
    ③如果需要设置代理服务器,是否需要名称和用户凭据
    ④如果 WSUS 和 Internet 之间设有企业防火墙,要从 Microsoft Update 获取更新,WSUS 服务器将端口 80 用于 HTTP 协议,而将端口 443 用于 HTTPS 协议,需要保证这些端口可以访问,可以加入以下微软更新网站:











    2) 选择“不加入客户端体验计划”,下一步。

    1、单WSUS服务器环境 这是最常见的WSUS服务部署场景,如下图所示: 企业网络中部署了一台WSUS服务器,...

    •Windows Vista•Windows Server 2003

    服务器和客户端要求

    新葡亰496net 19

    •WindowsSmallBusinessServer2003

    WSUS3.0软件要求

    3) 保持默认,下一步。

    •ExchangeServer 2000

    以下是针对WSUS服务器和客户端计算机的软件要求。

    新葡亰496net 20

    •Exchange Server 2003

    WSUS服务器的先决条件

    4) 保持默认,下一步。

    •Exchange Server 2007

    •Windows Server 2003 SP1或更高版本,或firstref_longhorn

    新葡亰496net 21

    •SQL Server

    •Microsoft Internet信息服务(IIS)6.0或更高版本

    5) 选择“开始连接”。

    •SQL Server 2005

    •Windows Installer3.1或更高版本

    新葡亰496net 22

    •Office XP

    •Microsoft .NET Framework2.0

    6) 等待连接完成后,选择下一步。
    7) 选择要适用的语言,这里选择“中文(简体)”点击“下一步”。

    •Office 2003

    使用WSUS3.0管理控制台的先决条件

    新葡亰496net 23

    •Microsoft ISA Server 2004

    •Windows XP SP2,Windows Vista,Windows Server 2003 Windows Server 2008

    8) 选择需要更新的产品(这里为了测试,只选择Office2010和Window 7),然后“下一步”。

    •Microsoft Data Protection Manager

    •Microsoft管理控制台3.0

    新葡亰496net 24

    •MicrosoftForeFront

    •Microsoft Report Viewer Redistributable2005

    9) 选择要下载的更新分类(这里按默认即可),点击下一步。

    •Windows Live

    注意:

    新葡亰496net 25

    •Windows Defender

    WSUS3.0现在允许在与WSUS服务器分离的远程系统上安装WSUS管理控制台。

    10) 选择手动同步(真实部署环境可以选择自动同步,单独设置同步周期),下一步。

    至少要有一个上游WSUS服务器连接到MicrosoftUpdate才能获取可用更新和更新信息,其他下游服务器则可从该上游服务器获取更新。

    Optionale Software

    新葡亰496net 26

    可设置为自动下载的特定更新

    •SQLServer2005SP1或更高版本WindowsServer2003上)或SP2nextref_longhorn上)

    11) 保持默认,下一步。

    当WSUS服务器从MicrosoftUpdate或上游WSUS服务器下载可用更新时,会同时进行同步。管理员可根据以下条件选择在同步期间要下载到WSUS服务器的更新:

    WSUS客户端计算机的先决条件

    新葡亰496net 27

    •产品或产品系列例如MicrosoftWindowsServer2003或MicrosoftOffice)•更新分类例如关键更新和驱动程序)

    firstref_vista、Windows Server2003任何版本)、nextref_longhorn、WindowsXP或Windows 2000S P4。

    12) 点击“完成”。

    •语言例如,仅英语和日语)此外,管理员还可以指定同步时间表以自动进行同步。

    WSUS3.0容量要求

    新葡亰496net 28

    由管理员批准决定的针对更新的自动操作

    对于WSUS3.0可伸缩性和容量要求的完整讨论,请参阅WSUS部署指南的“确定WSUS容量要求”一节,网址为

    13) 完成后,自动打开WSUS界面,可以查看同步进度(等待同步100%后)。

    管理员必须批准要对更新执行的所有自动操作。批准操作包括:

    服务器和客户端要求

    新葡亰496net 29

    •批准

    WSUS3.0软件要求

    5 配置域用户WSUS服务器
    注意:本步骤为域用户通过组策略统一设置WSUS服务器。如果不是域用户,而是单独的工作组用户,可以通过本地组策略来设置。
    1) 以域管理登陆DC01服务器。
    2) 打开“Active Directory 用户和计算机”。
    3) 右键选择新建“组织单元”。

    •删除仅当更新支持卸载时才可使用此操作)

    以下是针对WSUS服务器和客户端计算机的软件要求。

    新葡亰496net 30

    •拒绝此外,管理员还可确立最终期限,即确立安装或删除卸载)更新的特定日期和时间。管理员可通过将最终期限设置为过去的某个时间来强制立即下载。

    WSUS服务器的先决条件

    4) 新建名为WSUS的组织单元。

    针对最新更新和状态报告发送的电子邮件通知

    •Windows Server 2003SP1或更高版本,或firstref_longhorn

    新葡亰496net 31

    可对WSUS3.0进行配置,使其在有新的更新和状态报告时发送电子邮件通知。更新通知一到达WSUS服务器,指定的收件人即可收到。状态报告可在指定时间或以指定间隔发送出去。

    •Microsoft Internet信息服务(IIS)6.0或更高版本

    5) 找到“计算机(Computer)”中需要设置策略计算机名,这里为WIN701,右键选择“移动”。

    能够在安装更新之前确定其适用性

    •Windows Installer3.1或更高版本

    新葡亰496net 32

    现在,WSUS3.0可自动扫描更新以确定应该在哪些计算机中安装它们。在实际规划和部署要安装的更新之前,管理员可利用状态报告来分析更新将产生的影响,状态报告可直接从单个更新、更新子集或所有更新的更新视图生成。

    •Microsoft NET Framework2.0

    6) 选择“WSUS”,确定。

    #P#

    使用WSUS3.0管理控制台的先决条件

    新葡亰496net 33

    导向目标

    •WindowsXPSP2,WindowsVista,Windows Server 2003oder Windows Server 2008

    7) 打开“管理工具---组策略管理”,找到“林---域---fengxja.com---WSUS”

    管理员可利用导向目标将更新部署到特定的计算机和计算机组。导向目标可以直接在WSUS服务器上配置或使用ActiveDirectory网络环境中的“组策略”在WSUS服务器上配置,还可以通过编辑注册表设置在客户端计算机上配置。以下为管理员可以执行的导向目标任务示例:

    •Microsoft管理控制台3.0

    新葡亰496net 34

    •在将新的更新分发到生产环境之前,先将其部署到测试计算机组并进行评估。

    •Microsoft Report Viewer Redistributable2005

    8) 单击WSUS,右键选择“在这个域中创建GPO并在此处连接”

    •保护运行特定应用程序的计算机。例如,如果某个关键更新与仅在某些特定计算机中使用的应用程序不兼容,管理员可确保避免将更新分发到这些计算机。

    注意:

    新葡亰496net 35

    •指定必须完成更新安装的最终期限,然后为不同的计算机或计算机组设置不同的最终期限。

    WSUS3.0现在允许在与WSUS服务器分离的远程系统上安装WSUS管理控制台。

    9) 输入新建GPO名称,点击确定。

    •将同一计算机作为多个组的成员。例如,某台计算机可以是“测试”组的成员,同时也可以是“特殊应用程序”组的成员。

    Optionale Software

    新葡亰496net 36

    数据库选项

    •SQL Server 2005 SP1或更高版本WindowsServer2003上)或SP2nextref_longhorn上)

    10) 右键选择新建的GPO,然后选择“编辑”。

    WSUS数据库存储着更新信息、客户端计算机上有关更新操作的事件信息以及WSUS服务器设置。对于WSUS3.0数据库,管理员可选择以下选项:

    WSUS客户端计算机的先决条件

    新葡亰496net 37 

    •firstref_wyukon数据库WSUS可在WindowsServer2003安装期间安装该数据库)。

    firstref_vista、WindowsServer2003任何版本)、nextref_longhorn、WindowsXP或Windows2000SP4。

    11) 在 GPMC 中,依次展开“计算机配置---策略---管理模板---Windows 组件”,然后单击“Windows Update”。

    •现有的MicrosoftSQLServer™2005ServicePack1数据库。

    WSUS3.0容量要求

    新葡亰496net 38

    副本同步和报告

    对于WSUS3.0可伸缩性和容量要求的完整讨论,请参阅WSUS部署指南的“确定WSUS容量要求”一节,网址为

    12) 在详细信息窗格中,双击“配置自动更新”。

    利用WSUS,管理员可创建一个由WSUS服务器层次结构组成的更新管理基础结构。WSUS服务器可进行扩容以处理任意数量的客户端。中心WSUS服务器的管理员可通过副本同步来创建更新、目标组以及批准,创建的这些内容可自动传播到被指定为副本服务器的WSUS服务器。这意味着分支机构客户端无需本地WSUS管理员即可从本地服务器获取集中批准的更新。此外,通过低带宽链接到中心服务器的分支机构所造成的问题会减少,因为分支WSUS服务器仅连接到中心WSUS服务器。系统会为副本服务器的所有客户端生成更新状态报告。

    Windows Server Update Services3.0的新增内容

    新葡亰496net 39 

    从单个控制台管理多个WSUS服务器

    Windows Server Update Services(WSUS)3.0提供了许多新的功能,使WSUS更易于使用、部署和支持。具体来说,WSUS3.0在下列领域进行了改进:

    13) 单击“已启用”,选择更新日期和时间,然后确定。

    现在,WSUS3.0允许管理员从单个WSUS控制台来管理WSUS服务器层次结构。Microsoft管理控制台的WSUS管理单元可安装到网络中的任意计算机中。

    从管理控制台管理WSUS

    新葡亰496net 40
     
    说明:
    ①通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。
    ②自动下载并通知安装。该选项自动开始下载更新,然后在安装更新之前通知已登录的管理用户。
    ③自动下载并计划安装。此选项自动开始下载更新,并在您指定的日期和时间安装更新。
    ④允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如,他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。
    14) 在“Windows Update”详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。

    报告

    WSUS3.0管理控制台已从基于Web的控制台变为Microsoft管理控制台3.0版的一个插件。新的用户界面提供以下功能:

    新葡亰496net 41

    利用WSUS报告,管理员可监视以下活动所有报告均为可打印格式,可以导出为Excel电子表格或Adobe的.pdf文件):

    •每个节点的主页都包含与节点相关联的任务的概述

    15) 单击“已启用”,然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中统一键入WSUS 服务器的 HTTP URL,这里都为

    •更新状态:管理员可通过“更新状态”报告来实时监视客户端计算机的更新符合性程度,这些报告可根据客户端计算机所发送的各种事件来提供每个更新、每个计算机以及每个计算机组的更新批准状态和部署状态。

    •高级过滤

    新葡亰496net 42

    •计算机状态:管理员可评估客户端计算机上的更新状态。例如,他们可要求提供已安装的更新或特定计算机所需更新的摘要。

    •新列允许根据MSRC编号、MSRC严重性、KB文章和安装状态对更新进行分类

    16) 选择“自动检索更新的频率”,将“间隔”设置为默认22小时,设置为“已启用”。

    •计算机符合状态:管理员可查看或打印特定计算机的符合信息摘要,包括基本软件和硬件信息、WSUS活动以及更新状态等。

    •对列进行选择、排序和重新排序

    新葡亰496net 43

    •更新符合状态:管理员可查看或打印特定更新的符合信息摘要,包括各个计算机组的更新属性和累积状态。

    •快捷菜单允许右键单击并选择一个操作

    17) 选择“允许自动更新立即安装”。

    •同步或下载)状态:管理员可监视给定时期内的同步活动和状态,并可查看已下载的最新更新。

    •与更新视图集成的报告

    新葡亰496net 44

    •WSUS配置设置:管理员可查看已为其WSUS实施指定的选项的摘要。

    •自定义视图

    18) 选择“启用”,确定。

    故障排除

    远程管理WSUS

    新葡亰496net 45

    利用WSUSManagementPack,管理员可排除与WSUS基础结构包括网络连接、权限、SQL连接以及与WSUS相关的服务)有关的一些故障。WSUSManagementPack将此信息显示在MicrosoftOperationsManager的状态视图中。管理员可获取有关该问题的成因及相关解决方案的详细信息。

    可以将WSUS3.0管理控制台安装在网络中的其他计算机上,以便远程管理WSUS3.0服务器。

    19) 以域用户身份登陆客户端WIN701主机。
    20) 在运行中输入“gpupdate /force”,强制刷新组策略。
    21) 打开“Windows update----更改设置”,查看当前状态。如下图,说明组策略已经生效。

    扩展性为使管理员和开发人员能够使用基于.NET的API,我们提供了一个软件开发工具包(SDK)。管理员可创建自定义代码来管理AutomaticUpdates和WSUS服务器。利用新的API,管理员可从管理的设备收集硬件和软件清单、通过“添加或删除程序”对话框创建安装批准以及将WSUS管理与其他管理工具如SystemCenterEssentials)的WSUS管理相集成。开发人员可使用WSUS基础结构创建一些管理应用程序以与WSUS相集成或发布第三方更新。

    使用向导配置安装后的任务

    新葡亰496net 46

    可配置的通信选项管理员可灵活配置计算机,以便直接从MicrosoftUpdate或从在内部分发更新的IntranetWSUS服务器获取更新,也可从这二者的组合中获取更新,具体情况取决于网络配置。管理员可根据实际情况对WSUS服务器进行配置,以使用自定义端口来连接Intranet或Internet。WSUS服务器使用的默认端口为端口80。)也可以通过SSL进行连接,在这种情况下默认端口为443。如果WSUS服务器通过代理服务器连接到Internet,管理员可配置代理服务器设置。

    配置向导指导新用户进行安装后的服务器配置过程。

    6 管理更新补丁
    1) 以本地管理员登陆WSUS01服务器。
    2) 打开“管理工具---Windows Server Update Services”。
    6.1 创建和管理计算机组
    注意:此步骤,可以将客户端进行分组,用于区分客户端不同操作系统版本、不用用途等。(可选)
    1) 选择“Updtae Services---WSS01---计算机”,右键单击“所有计算机”,选择“添加计算机组”。

    通过命令行实现导入和导出以及数据迁移管理员可在WSUS服务器之间导入和导出更新元数据以及内容。在具有有限的或受限制的Internet连接的网络中,这是一项必要任务。管理员可将其原来的管理设置、内容批准以及具体内容从WSUS2.0服务器无缝地迁移到WSUS3.0服务器。在合并WSUS服务器时,迁移也非常有用。例如,管理员可将特定目标组的批准从一个WSUS服务器迁移到另一个WSUS服务器。

    生成准确性更高的多个报告

    新葡亰496net 47

    备份和恢复WSUS支持更新内容文件和SQLServer元数据的ntbackup。ClientseitigeFeatures以下功能组成了WSUS解决方案的客户端组件。

    现在可以直接从更新视图生成报告。可以报告更新的子集,如计算机需要但还未批准安装的安全更新。可以在副本层次结构管理的所有计算机上创建报告,还可以将这些报告以Excel或PDF格式保存。

    2) 输入组名,然后点击“添加”。

    功能强大且可扩展的AutomaticUpdates服务管理在ActiveDirectory服务环境中,管理员可使用“组策略”来配置AutomaticUpdates的行为。在其他情况下,管理员可使用登录脚本或类似机制,利用注册表项远程配置AutomaticUpdates。配置客户端计算机的管理员功能包括:

    更容易地维护服务器运行状况

    新葡亰496net 48

    •通过“组策略”为用户配置通知和安排选项。

    WSUS3.0现在将详细的服务器运行状况信息记录在事件日志中。现在可用一个MicrosoftOperationsManager(MOM)包来监视WSUS服务器生成的事件。

    3) 选择“Updtae Services---WSS01---计算机---所有计算机---未分配的计算机”,右键选择需要更新补丁的客户端主机名,这里为win701.fengxja.com,选择“更改成员身份”。

    •配置客户端计算机为获取新更新而检查更新源MicrosoftUpdate或其他WSUS服务器)的频率。

    获得有关新更新的电子邮件消息

    新葡亰496net 49

    •对AutomaticUpdates进行配置,使其在发现有不需要重启计算机或中断服务的更新时立即进行安装,而不必等到计划的自动安装时间再安装。

    服务器对新更新和更新符合性摘要的电子邮件通知具有内置支持。

    4) 选择“WIN7”组,确定。

    •通过基于组件对象模型(COM)的API来管理客户端计算机。有SDK供使用。

    可轻松删除旧信息

    新葡亰496net 50

    客户端计算机的自我更新WSUS客户端计算机可从WSUS服务器检测是否存在较新版本的AutomaticUpdates程序,然后自动升级其AutomaticUpdates服务。

    可使用清除向导从服务器中删除旧的计算机、旧的更新和旧的更新文件。

    6.2更新补丁
    1) 选择“Updtae Services---WSS01---更新---所有更新”,在“所有更新”详细信息页面,选择“未经审批”和“任何”,然后点击“刷新”。

    自动检测适用的更新AutomaticUpdates可下载并安装真正适用于计算机的特定更新。AutomaticUpdates与WSUS服务器协同工作,以判断应将哪些更新应用到特定的客户端计算机。

    从WSUS2.0无缝升级到WSUS3.0

    新葡亰496net 51

    效率揭密AutomaticUpdates服务在后台运行,因此对员工效率和网络功能产生的影响微乎其微。AutomaticUpdates将需要重新启动计算机的所有更新合并为仅重启一次。AutomaticUpdates使受管环境下的用户不必与Microsoft软件许可条款进行交互。管理员已在WSUS服务器上代表客户端计算机接受了许可条款。BITS2.0采用差值压缩来加快下载这些下载对用户而言是不可见的)。例如,在AutomaticUpdates将某个更新下载到客户端计算机后,它会继续监视上游WSUS服务器或MicrosoftUpdate,然后仅将更新文件中更改的文件下载到客户端计算机。利用此技术还可通过AutomaticUpdates有效分发ServicePack。

    WSUS3.0可以安装在已安装WSUS2.0的服务器上。安装过程将执行可保留所有先前设置和批准的原位升级。升级服务器层次结构时应从中心服务器开始,然后向下延续至各个层次结构。WSUS2.0服务器可从WSUS3.0服务器同步,但是WSUS3.0服务器不能从WSUS2.0服务器同步。从WSUS2.0升级到WSUS3.0是一个单向过程,返回到WSUS2.0要求首先删除WSUS3.0,然后安装WSUS2.0。

    2) 根据需要选择需要更新的补丁,然后选择WIN7组。

    MicrosoftUpdate 分发Microsoft产品更新的Microsoft网站。 WindowsServerUpdateServices服务器 此组件安装在位于...

    更快获得更新

    新葡亰496net 52 

    使用WSUS3.0,可以将服务器配置为最快每隔一小时自动同步更新一次而WSUS2.0则是每天一次)。此改进使新的更新可在整个公司内更快地复制。

    3) 选择“已审批进行安装”

    设置更多自动审批

    新葡亰496net 53

    WSUS3.0自动审批规则允许指定不同的产品和更新分类,如自动审批MicrosoftWord的定义更新。此外,WSUS3.0还支持创建多个自动审批规则,而不是单个规则。自动审批规则现在将应用于WSUS服务器上当前所有的更新。

    4) 点击“确定”。

    限制对只读报告的访问权限

    新葡亰496net 54

    “WSUSReporters”安全组的成员将只具有服务器的只读访问权限。成员可生成报告,但是不能批准更新或配置服务器。

    5) 点击关闭。

    从单个控制台管理多个服务器

    新葡亰496net 55

    WSUS3.0管理控制台允许检查和管理层次结构中的所有WSUS服务器。

    注意:以上步骤执行完成后,客户端会立即安装补丁,而是按组策略规定时间安装补丁。

    为所有计算机创建报告

    2008 R2 SP1部署WSUS 3.0 SP2 1 实验环境 1)域: 域名为fengxja.com; 网段:192.168.0网段,不连接外网。 域功能级别和林功能级别为Windows se...

    现在可以为副本层次结构管理的所有计算机创建更新报告。

    在群集中配置服务器

    现在可在群集中配置WSUS3.0服务器来实现容错。此类服务器必须全部指向同一SQL服务器数据库实例,该实例也可使用群集技术。

    切换副本模式

    现在可在副本模式和自主模式之间移动子服务器,而无需重新安装WSUS3.0。

    将客户端分配给多个目标组

    在WSUS3.0中,一台计算机可属于多个目标组例如,“桌面”组和“测试”组)。此外,还可以创建层次结构组例如,具有“关键服务器”和“非关键服务器”子组的“服务器”目标组)。可以指定批准父目标组,这些批准将自动被子组中的计算机继承。

    采用更快的性能

    WSUS3.0可获得比WSUS2.0高大约50%的可伸缩性。此外,WSUS3.0附带本机x64支持以进一步改善64位硬件的性能和可伸缩性。

    在分支机构中指定语言

    为了节省磁盘空间和网络负载,现在可将分支机构配置为下载较少语种与中心服务器相比)的更新。例如,可以配置中心服务器下载所有语言的更新,而分支机构只下载英语更新。

    配置单独的内容和元数据通道

    以前分支机构使用窄带连接中心服务器,但使用宽带连接Internet,现在可配置为从中心服务器获取元数据,而从MicrosoftUpdate获取更新内容。

    上移到.NETFramework2.0支持

    新的API以.NETFramework2.0为基础。

    用于高级管理工具的API优于WSUS控制台

    已创建的新API供高级管理工具如SystemCenterEssentials)使用,而WSUS管理控制台中没有提供这些功能。

    将可选安装批准添加到管理员选项

    新的API支持为“可选安装”创建批准,它使WindowsUpdateAgent在“添加或删除程序”对话框中显示可供使用的安装更新,而不是通过“自动更新”来执行更新。

    收集硬件和软件清单

    新的API支持从管理的设备收集硬件和软件清单。

    ...

    本文由新葡亰496net发布于服务器网络,转载请注明出处:WSUS服务器和更新管理流程,WSUS服务器的装置与运

    关键词: