您的位置:新葡亰496net > 服务器网络 > 新葡亰496net:WSUS服务器安装及安排,接纳WSUS服务

新葡亰496net:WSUS服务器安装及安排,接纳WSUS服务

发布时间:2019-09-11 12:10编辑:服务器网络浏览(63)

    WSUS服务器数据库存储以下信息:

    硬件安装需求

    在普通用户眼里,病毒是神秘,恐怖的。对于单位用户来说,病毒更是网管员最头痛的事情,…但是病毒并非那么“神”,而仅仅只是一小段代码。打个比方PC就是人体,那么计算机病毒就生物病毒,只要对症下“药”,保准“药”到病除。

    一、WSUS 安装要求

    WSUS概述

    为了让用户的windows系统与其他microsoft产品能够更安全,更稳定,因此microsoft会不定期在网站上推出最新的更新程序供用户下载与安装,而用户可以通过以下方式来取得这些程序:

    • 手动连接microsoft update网站
    • 通过windows系统的自动更新功能

    然而以上两种方式对企业内部来说,都可能会有以下缺点。

    • 影响网络效率:如果企业内部每台计算机都自行上网更新,将会增加对外网络的负担。
    • 与现有软件相互干扰:如果企业内部使用的软件与更新程序发生冲突,则用户自行下载与安装更新程序可能会影响该软件或更新程序的正常运行。

    WSUS是一个可以解决上述问题的产品,企业内部可以通过WSUS服务器集中从Microsoft update网站下载更新程序,并且在完成这些更新程序的测试工作,确定对企业内部计算机没有不良影响后,在通过网管审批程序,将程序部署到客户机上。

    新葡亰496net 1

    WSUS服务器配置信息;

    对于安装WSUS服务的计算机硬件配置具有以下要求,关于它们的详细描述,请参见部署与规划一文:

    亡羊补牢,为时未晚,但能做到防患于未然才是最好的办法。那么,该如何才能把病毒拒之门外呢?其实,很多病毒都是从系统漏洞中入侵你的计算机的,在这种情况下,就要给你的系统打补丁了。

    1、硬件要求:

    WSUS的系统需求

    对于基本WSUS架构来说,WSUS服务器与客户端计算机都必须满足适当的条件才能享受WSUS的好处。

    可以在windows server 2012内通过新增角色的方式来安装WSUS。安装WSUS之前,需要安装以下组件。

    • Microsoft Report Viewer Redistributable 2008:WSUS服务器需要通过他制作各种不同的报告,例如更新程序状态报告,客户端计算机状态报告与同步处理结果报告等。需要到microsoft 官网下载。
    • Net framework 2.0: report viewer需要net framework。

    注:WSUS服务器的系统分区与安装WSUS的磁盘分区的文件系统都必须是NTFS。

    WSUS客户端计算机必须支持自动更新功能,Windows 2000 sp4以后的客户端都支持。

    可以利用WSUS服务器内置的WSUS管理控制台执行WSUS服务器的管理工作,还可以在其他计算机上管理WSUS服务器。不过,需要在这些计算机上安装WSUS控制台,但是这些计算机必须已安装下列组件:

    • Microsoft .NET Framework 2.0或更新版本
    • Microsoft Management Console 3.0或更新版本
    • Micrsoft Report Viewer Redistributable 2008或更新版本

    用于描述更新程序作用的元数据;

    新葡亰496net:WSUS服务器安装及安排,接纳WSUS服务器使用的数据库。系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式;

    说到打系统补丁,很多人都知道系统中的自动更新功能,但是在拥有几百台电脑的单位用户里,同时在互联网上来升级系统,占用大量的带宽,同时每个人的操作水平也不相同,对于升级系统补丁来说,就十分困难了。那么,应该怎样才能让局域网中更方便的给系统打补丁呢?这时,就要给局域网中建立一个系统升级服务器了。这样,只要升级服务器从互联网中下载系统补丁,其它的客户端就可以通过局域网从这里来升级系统,网络的利用率就更高了。

    对于多达 500 个客户端的服务器,建议使用以下硬件:

    WSUS的特性与工作方式

    客户端计算机、更新程序信息以及客户端计算机所进行的更新情况。

    系统分区至少有1G的剩余空间;

    一、建立Windows系统升级服务器

    * 1 GHz 的处理器

    利用计算机组部署更新程序

    如果能够将企业内部客户端计算机适当分组,就可以更容易与明确地将更新程序部署到指定计算机上。系统默认内置2个计算机组,即所有计算机与未分配的计算机,客户端计算机在第一次与WSUS服务器接触时,系统默认会见该计算机加入者2个组内。可以在添加更多的组。可以创建测试计算机组,新的补丁部署到测试计算机组,没有问题在应用到业务计算机组内。

    你不能通过直接访问数据库来管理WSUS,你必须通过WSUS管理控制台来进行管理。每个WSUS服务器需要自己的数据库,如果具有多个WSUS服务器,必须具有多个WSUS数据库。WSUS不支持将多个WSUS数据库存放在单个运行SQL Server的计算机上,这是因为WSUS只能使用名为SUSDB的数据库名。

    进行本地存储时,存储WSUS更新文件内容的分区至少需要6G剩余空间,推荐30G,详见部署与规划一文;

    WSUS的后台服务支持:

    * 1 GB 的 RAM

    WSUS服务器的架构

    也可以创建更复杂的WSUS服务器架构,也就是创建多台WSUS服务器,并设置让其中一台WSUS服务器从microsoft 网站获取更新程序,但是其他服务器并不直接连接Microsoft网站,而是从上游的组服务器来获取程序,而下游服务器从上游服务器获得更新程序。

    新葡亰496net 2

    这种将WSUS服务器通过上下游方式串接在一起的模式有两种"

    • 自治模式:上游WSUS服务器会与下游服务器共享更新程序,也就是下游服务器会从上游服务器获取更新程序,但是并不包含更新程序的审批状态,计算机组信息。因此下游服务器必须自行决定是否要审批这些更新程序与自行创建所需的计算机组。
    • 副本模式:上游服务器会与下游服务器共享更新程序,更新审批与计算机组信息。下游服务器可以获取上游服务器的数据,所有可以在上游服务器管理的项目都无法在下游服务器自行管理,例如不能自行更改新程序的审批状态等。

    注意,上述计算机组信息只有计算机组本身而已,并且不包含计算机组的成员,必须自行在下游服务器来管理组成员,而客户端计算机在第一次与下游WSUS服务器接触时,这些计算机会默认被同时加入到所有计算机和未分配计算机组内。

    可以根据公司网络环境的需求采用上下游WSUS服务器的串接方式。

    采用上下游WSUS服务器串接架构,还需要考虑到不同语言的更新,例如,如果上游服务器在总部,总部需要简体中文的程序,而下游架设在分公司,分公司需要的语言是英文,虽然总公司需要的语言是简体中文,当必须在中公司的上游服务器选择同事下载中文和英文版的更新程序。连接Microsoft网站的上游服务器必须下载所有下游服务器需要的所有语言的更新程序,否则下游服务器将无法获取所需语言的更新程序。

    注:这种上下游串联的方式,建议最好不要超过3层(虽然理论上没有层数限制),因为每增加一层,就会增加延迟时间,因而拉长将更新程序传递到每台计算机的时间。

    你可以使用和Microsoft SQL完全兼容的数据库来作为WSUS数据库,但是推荐你使用以下三种之一:

    安装WMSDE的分区至少要求有2GB的剩余空间。

    首先,它需要服务器版的操作系统,(Win2000 Server以上),还需要IIS5,.NET Framewok 1.1,.NET Framework 1.1 sp1,Background Intelligent Transfer Service2.0,及SQL Server的支持,如果没有SQL,也可以用MSDE来代替。当然,还少不了Windows Server Update Services。

    2、软件要求:

    选择数据库与存储更新程序的地点

    可以利用Windows Server 2012的内置数据库或Microsoft SQL Server 2005 sp2来构建数据库。每台WSUS服务器都有自己独立的数据库,这些数据库用来存储以下信息:

    • WSUS服务器的设置信息。
    • 描述每一个更新程序的metadata。Metada内包含以下数据:

      更新程序的属性:例如更新程序的名称,描述,相关的knowledge base文章编号等。

      适用规则:用来判断更新程序是否适用于某台计算机。

      安装信息:例如安装时所需的命令行参数。

    • 客户端计算机与更新程序之间的关系。

    然而上述数据库并不会存储更新程序文件本身,必须另外选择更新程序文件的存储地点,有以下两种选择。

    存储在WSUS服务器的本地硬盘内:此时WSUS服务器会从Microsoft网站下载更新程序,并将其存储到本地硬盘内。此种方式让客户端直接从WSUS服务器获取更新程序,不用到Microsoft网站下载,这样可以节省网络带宽。

    WSUS服务器的硬盘必须有足够空间来存储更新程序文件,最少要有20g的可用空间。实际需要更多的空间。

    存储在Microsoft网站上:此时WSUS服务器并不会从Microsoft网站下载更新程序,换句话说,当执行WSUS服务器与Microsoft网站之间的同步工作时,WSUS服务器只会从网站下载更新程度的metadata数据,并不会下载更新程序本身。

    因此,当你审批客户端可以安装某个更新程序后,客户端是自己连接到网站下载。如果客户端计算机数量不多,或客户端与WSUS服务器之间的连接速度比较慢,但是与网络之间的连接速度较快时,可以选择此选项。

    WSUS附带的Microsoft Windows SQL Server 2000桌面引擎WMSDE),只存在于安装在Windows server 2003上的WSUS服务器中,并且在Windows server 2003上安装WSUS时默认会安装WMSDE。它和下面的MSDE的区别是没有数据库大小限制,WMSDE和MSDE均不附带管理工具或用户界面。当在Windows server 2003上安装时,如果你不愿意使用Microsoft SQL Server,推荐使用WMSDE。建议你总是在Windows server 2003上部署WSUS服务,并且总是使用WMSDE数据库。

    应根据服务的客户端数量来决定服务器的硬件配置,对于服务500个客户计算机的WSUS服务器,推荐采用至少为CPU 1G/内存 1G的硬件配置。

    WSUS服务器的安装:

    要使用默认选项安装 WSUS,必须在计算机上安装以下软件。

    延期下载更新程序

    WSUS允许你延期下载更新程序文件,也就是WSUS服务器会先下载更新程序的metadata,之后再下载更新程序文件。更新程序文件只有在你审批该程序后才会被下载,这种方式可以节省带宽与WSUS服务器的硬盘空间使用量。Microsoft建议你采用延迟下载更新的方式,也就是默认值。

    Microsoft SQL Server 2000桌面引擎MSDE),可以从微软免费下载。它基于SQL Server 2000,但是数据库大小不能超过2GB。当你在运行Windows 2000的计算机上安装WSUS时,可以使用MSDE。当在Windows 2000上安装时,如果你不愿意使用Microsoft SQL Server,推荐使用MSDE。

    软件安装需求

    当以上程序都准备好后,就可以安装了。在这里要注意,在Windows Server 2003中是自带.net framework1.1和BITS2.0的,Win2000 Server才需要安装这两个组件,但SQL是必须安装的。

    * Microsoft Internet 信息服务 (IIS) 6.0。

    使用快速安装文件

    客户端计算机要安装更新程序时,此计算机内可能已经有该更新文件的旧版本,这个旧文件和新更新之间的差异可能不大。如果客户端能够只下载新版与旧版之间的差异,然后利用将差异合并到旧文件的方式来更新,可以减少从wsus服务器下载的数据量,降低企业内部网络的负担。

    不过采用这种方式,WSUS服务器从Microsoft网站下载的文件会比较大,因为此文件内必须包含新更新程序和各旧版自己的差异,因此WSUS服务器在下载文件时会占用对外的网络带宽。

    例如,假如更新程序原始大小100mb,未使用快速安装的情况,此服务器会从microsoft网站下载100mb的文件,客户端也是从服务器下载100mb的数据量。使用快速安装的情况下,此文件变为比较大的200mb(假设)。虽然WSUS服务器必须从microsoft下载的文件大小为200mb,但是客户端从WSUS服务器仅下载30mb的数据量,系统默认未使用快速安装文件。

    新葡亰496net 3

    新葡亰496net 4

    具有SP3a补丁的Microsoft SQL Server 2000,在安装WSUS之前必须启用了SQL Server的嵌套触发器选项。WSUS安装时启用了数据库的递归触发器选项,但是不会修改服务器全局的嵌套触发器选项。

    WSUS服务器只能在Windows 2000服务器或者Windows server 2003上进行安装。在不同的操作系统上进行安装时,WSUS所要求的已安装软件略为不同,具体为:

    在没有SQL的情况下,可以安装MSDE。安装时如果提示“请为sa用户指定一个强密码,否则 Desktop Engine Setup.exe 不会安装新的 MSDE 2000 实例”,这时,我们可以在命令提示符中使用如下命令:setup sapwd="sa" securitymode=SQL disablenetworkprotocols=0

    * 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。

    安装WSUS服务器

    构建WSUS并不需要AD域环境,然而为了利用组策略来充分管理客户端的自动更新设置,建议采用AD域环境。

    我们将利用下图所示的环境进行说明。安装一台域控DC,WSUS服务器为成员服务器,计算机名为WSUS;另外,图中多台客户端可以为win7,win8等,我们假设他们也都加入域。

    新葡亰496net 5

    1. 直接安装report viewer 2012 最新版和clr typer for sql 2012

    1. 添加功能

      新葡亰496net 6

    2. 需要net framework

      新葡亰496net 7

    3. 选择数据库。使用内置数据库,如果要使用SQL数据库,勾选数据库。

      新葡亰496net 8

    4. 选择存储位置

      新葡亰496net 9

    5. Web服务器选择默认

      新葡亰496net 10

    6. 等到安装完成

      新葡亰496net 11

    7. 选择让WSUS服务器与Microsoft Update同步,让服务器直接从Microsoft网站下载更新程序与Metabase等。

      新葡亰496net 12

    8. 如果服务器需要通过企业内部的Proxy服务器联网,请在下图输入相关信息。

      新葡亰496net 13

    9. 点击开始连接,以便从Windows Update网站取得更新程序相关信息。

      新葡亰496net 14

    10. 选择下载语言

      新葡亰496net 15

    11. 选择需要下在的更新产品。默认系统会选择office和windows的更新,由于是实验环境就少选点

      新葡亰496net 16

    12. 选择下载所需类型

      新葡亰496net 17

    13. 选择手动或自动同步。选择自动同步,需要设置第一次同步的时间与每天同步的次数。

      新葡亰496net 18

    14. 执行第一次同步工作

      新葡亰496net 19

    15. 可以查看当前同步进度。

      新葡亰496net 20

    16. 如果要手动同步,选择同步选择中的立即同步

      新葡亰496net 21

      如果要将手动同步改成自动同步,需要设置同步计划。前面安装的所有设置,都可以通过选项界面进行更改。在同步尚未完成之前,无法存储更改的设置,需要等待同步完成后更改设置。

      新葡亰496net 22

    WSUS支持使用其他计算机上的SQL数据库,但是具有以下限制:

    在Windows server 2003上进行安装时,要求已安装以下软件:

    准备工作都做完后,就可以安装WSUS了。它的安装与普通应用程序是一样的。只是在安装过程中,会提示用户设置相应的端口号、补丁的存放位置。

    * Background Intelligent Transfer Service (BITS) 2.0。

    设置客户端的自动更新

    我们要让客户端计算机能够通过WSUS服务器下载更新程序,而这个设置可以通过以下两种方法来完成。

    组策略:在AD域环境下,可以通过组策略进行设置。

    本地计算机策略:如果没有AD域环境,或客户端计算机未加入域,则可以通过本地计算机策略进行设置。

    我们利用组策略来进行说明。在域中创建一个GPO,WSUS策略,然后通过这个GPO来设置域内的所有客户端计算机的自动更新配置。

    1. 新建组策略

    新葡亰496net 23

    1. 展开计算机配置-策略-管理模板-windows组件。选择启用配置自动更新。

      新葡亰496net 24

    • 通知下载并通知安装:在下载更新程序前会通知已登录的系统管理员,由他自行决定是否现在下载;下载完成后和准备安装前也会通知系统管理员,然后由他自行决定是否现在安装。
    • 自动下载并通知安装:自动下载更新程序,下载完成后和准备安装前会通知已登录的系统管理员,然后由他自行决定是否现在安装。
    • 自动下载并计划安装:自动下载更新程序,并且会在指定的时间自动安装。需要指定安装时间。
    • 允许本地管理员选择设置:此选项让在客户端的本地管理员可以通过控制面板自行选择更新方式。
    1. 选择指定intranet Microsoft更新服务位置,然后指定让客户端从wsus服务器获取更新程序,同时也设置让客户端将更新结果报告给WSUS服务器,这两处请输入。

      新葡亰496net 25

      设置完成后,必须等域内的客户端应用这个策略才能有效,而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。

      应用完成后,还必须等客户机与wsus服务器接触后,在wsus管理控制台才能看到这些客户机。不过需要等待20分钟才会主动联系WSUS服务器。在客户机上执行wuauclt/detectnow 命令。

    不能将Windows 2000服务器作为远程SQL对的前端服务器;

    Internet信息服务IIS)6.0;

    WSUS默认的端口是8530,也可以和IIS的默认网站一样设为80,不过在这里建议设为8530。可以避免发布内部网站时造成冲突。

    3、磁盘要求:

    审批更新程序

    在wsus管理界面可以看到所有客户端机器,如果还有机器仍为显示,可以想到这些计算机上执行组策略刷新命令。

    新葡亰496net 26

    注:如果客户端有新的更新状态可报告,而你希望立即报告,请到客户端计算机上执行wuauclt/reportnow.

    不能将配置为域控制器的服务器作为远程SQL对的前端或后端服务器;

    后台智能传输服务BITS)2.0;可以从

    二、配置Windows系统升级服务器

    要安装 WSUS,服务器上的文件系统必须满足以下要求:

    创建新计算机组

    为了便于利用WSUS管理控制台来部署客户端计算机所需的更新程序,建议将计算机进行分组。例如要创建一个名为业务部计算机的组,并将隶属于业务部的计算机移动到此组内。

    1. 选择添加计算机组。

    新葡亰496net 27

    1. 将隶属于改组的计算机从未分配的计算机组移动到刚刚创建的业务部计算机组中。

      新葡亰496net 28

    不能将WMSDE或MSDE作为后端服务器上的数据库软件。

    Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003,可以从

    WSUS服务器安装完成以后,要对服务器端和客户端进行相应的设置。

    * 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。

    审批更新程序的安装

    WSUS下载的所有更新程序都要经过审批后,客户端计算机才可以安装此更新程序,此处假设要审批某个安全更新,以便让业务组计算机安装此更新。

    新葡亰496net 29

    由于WSUS默认会延迟下载更新程序,也就是WSUS服务器与Microsoft Update同步时仅会下载更新程序的metadata。当我们审批更新程序后,更新程序才会下载。由于我们刚审批上述更新,WSUS服务器正要开始下载此更新,必须等下载完成后,客户端计算机才可以开始安装此更新。

    下图,审批栏目出现了安装1/3字样,表示当前有3个计算机组,只有其中一个组已经被审批安装此更新。

    新葡亰496net 30

    客户端默认每隔17.6-22小时才会连接服务器检查是否有更新程序下载,可利用wuauclt/detectnow来手动检查。检查到后根据组策略的设置来进行更新。

    客户端可以通过组策略自动更新检测频率来更新检查时间。如果希望客户端计算机能够早一点自动检测,可以修改此值。

    新葡亰496net 31

    只要客户端检查到可用下载,会自动右下角提示有更新。

    无论使用任何数据库类型,WSUS只支持Windows认证。安装WSUS时,要求存储WSUS数据库的驱动器具有至少2GB的剩余空间。

    安装WSUS需要安装数据库软件,但是此处并没有将其列出,原因是在Windows Server 2003安装WSUS时默认会包括Windows SQL Server™ 2000 Desktop Engine (WMSDE) 数据库软件,关于WMSDE的详细描述,请参见部署与规划一文。对于最新的Windows server 2003 SP1,已经满足上述要求,你只需要添加应用程序服务器中的启用网络COM 访问和IIS组件中的万维网服务即可,其他组件在安装WSUS时会自动进行配置。

    服务器端:依次点击开始→程序→管理工具→Microsoft Windows Server Update Services,启动WSUS的管理页面(如图1)。

    * 系统分区至少需要 1 GB 的可用空间。

    拒绝更新程序

    单击某个程序右侧的拒绝,则系统将解除其审批,同时在WSUS数据库内与此更新有关的报告数据都将删除,还有在此界面上也看不到此更新程序。如果要看到被拒绝的更新程序,请到审批处选择已拒绝后单击重新整理。

    新葡亰496net 32

    新葡亰496net 33

    决定存储位置

    在Windows 2000服务器上进行安装时,要求已安装以下软件:

    新葡亰496net 34 

    * WSUS 用于存储内容的卷至少需要 6 GB 的可用空间,建议预留空间为 30 GB。

    自动审批更新程序

    可以设置当WSUS服务器与Windows Update同步时,自动审批下载的更新程序。例如,如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机:单击选项中的自动审批,在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序,请单击允许规则。

    新葡亰496net 35

    单击高级标签后,还可以更改以下设置。

    新葡亰496net 36

    • WSUS更新:可以用来设置是否要让WSUS产品本身的更新程序自动被审批。
    • 更新修订

      自动审批已审批的更新的修订:如果已审批的更新程序未来有修订版,则自动审批此修订版本的更新程序。

      当新修订导致更新过去时自动拒绝更新:当未来有新修订版本出现,而使得旧版本过期时,则自动拒绝这个过期的旧更新程序。

    更新程序是计算机上所安装软件的修补程序或整个文件的替代,Microsoft Update上的每个可用更新都由以下两个部分构成:

    Windows 2000 Server Service Pack 4,可以从

    WSUS的管理页面 (图1)

    * WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。

    自动更新的组策略设置

    本站介绍更多的关于自动更新的组策略,以便进一步管理客户端计算机与WSUS服务器之间的通信方式。通过另外创建GPO的方式进行配置,尽量不要通过内置的Defult Domain Policy GPO进行设置。

    新葡亰496net 37

    元数据,提供有关更新的信息,例如有关更新程序的属性信息,从而使您能够了解更新的用处;此外,元数据还包括最终用户许可协议EULA)。下载的更新的元数据软件包通常远远小于实际的更新文件软件包。

    Internet信息服务IIS)5.0;

    更新页面主要是设置需要的产品和分类、批准方式和同步时间等。在这里,我们一般选择的分别是关键与安全更新、安装和任何时间。分别如图2、3、4。这些设置完成后,我们再点击下方的应用按钮保存设置。

    4、自动更新要求:

    配置自动更新

    此策略用来配置客户端下载与安装更新的方式。

    更新文件,是指在计算机上安装更新所需的实际文件。

    后台智能传输服务BITS)2.0;可以从

    新葡亰496net 38 

    自动更新是 WSUS 的客户端组件。除了需要连接到网络外,自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新:

    指定Intranet Microsoft更新服务位置

    用来指定让客户端计算机从WSUS服务器获取更新程序。

    将更新同步到WSUS服务器时,元数据和更新文件将存储在两个不同的位置。元数据存储在WSUS数据库中;而根据配置同步选项的方式,更新文件可存储在WSUS服务器上,也可存储在Microsoft Update服务器上。

    和Microsoft SQL完全兼容的数据库软件,推荐使用MSDE,可以从

    WSUS的设置(图2)

    * 带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、带有 SP3 或 SP4 的 Windows 2000 Server 或带有 SP3 或 SP4 的 Windows 2000 Advanced Server。

    自动更新频率

    用来设置客户端多久与服务器连接,检查是否有新更新程序。

    1、本地存储

    Microsoft Internet Explorer 6.0 Service Pack 1;可以从

    新葡亰496net 39

    * 带有或不带 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。

    允许立即安装自动更新

    当更新程序下载完成并且准备好安装时,会根据配置自动更新的策略来决定何时更新。启用此策略后,某些新程序会立刻安装。这些更新是指那些即不会中断Windows服务,也不会重新启动Windows系统的更新程序。

    你可以将更新文件存储在WSUS服务器上,这节省了企业外部网络连接的带宽,因为客户端计算机直接从WSUS服务器获取更新,这也是默认选项。为了进行本地存储,安装时WSUS服务器至少需要6G的剩余空间来存储更新文件,推荐30G,但是根据不同的产品及分类同步选项,更新文件可能会超过30G。

    Microsoft .NET Framework Version 1.1 可再发行组件包;可以从

     WSUS的设置(图3)

    * Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。

    重新计划自动更新计划的安装

    如果通过计划制定某个时间点来执行安装更新程序,但是时间到达时,客户端计算机却没有开机。此策略用来设置客户端计算机重新开机后,需要等多少时间后开始安装更新。

    2、远程存储

    Microsoft .NET Framework 1.1 Service Pack 1;可以从

    新葡亰496net 40 

    二、在服务器上安装 WSUS

    允许客户端目标设置

    应用此设置的所有计算机会自动加入指定的计算机组内,不需要管理员手动加入。

    下图,所有计算机会自动加入业务组计算机。

    新葡亰496net 41

    如果你需要,你可以不进行本地存储。此时,更新文件远程存储在Microsoft Update上。当WSUS服务器和Microsoft Update进行同步时,将只下载元数据;你可以通过WSUS控制台批准更新,安装时客户端计算机直接从Microsoft Update获取更新文件。更新过程如下图所示,这对于客户端计算机访问Microsoft Update速度比访问WSUS速度快时,有较好的效果。

    在Windows 2000上进行安装时,要求IIS中必须具有Web站点,否则WSUS会安装失败。

    WSUS的设置(图4)

    1. 双击安装程序文件“WSUSSetup.exe”。参看下载WSUSSetup.exe的说明

    允许来自Intranet Microsoft更新服务位置的签名更新

    如果此策略启用,客户计算机就可以从WSUS服务器下载由第三方开发和签名的更新程序;如果未启用,客户端只能下载Microsoft签名的更新程序。

    新葡亰496net 42 

    强烈推荐大家在Windows server 2003上安装WSUS服务器。在安装WSUS服务器之前,你应该做好服务器的安全配置,关于WSUS服务器的安全配置,我将另文阐述。

    计算机页面主要是对客户端计算机的监控,并不能对计算机和组做更改。

    1. 在向导的“欢迎使用”页上,单击“下一步”。

    删除到Windows更新的链接和访问

    虽然WSUS客户端可以通过WSUS服务器来进行更新,但是系统本地管理依然可以通过开始菜单的windows更新来私自连接Microsoft Update网站。为了减少这种情况发生,建议通过此策略将客户计算机的windows update链接删除。完成后开始菜单的连接不会显示,控制面板的更新检查更新也会失效。

    用户配置-策略-管理模板-开始菜单和任务栏

    新葡亰496net 43

    WSUS服务器配置信息; 用于描述更新程序作用的元数据; 客户端计算机、更新程序信息以及客户端计算机...

    默认情况下,WSUS Web站点会使用IIS中的默认站点,也建议大家这样做。WSUS会在现有默认Web站点中添加部分文件和虚拟目录,但是不会影响原有Web站点的运行。你可以按照修改普通Web站点属性那样来修改WSUS Web站点的属性,例如主机名头、站点绑定的IP地址等等,只要确保客户端计算机可以通过组策略中配置的Intranet更新服务位置正常访问WSUS Web站点即可。但是不应修改WSUS Web站点的虚拟目录和目录结构,并且修改目录访问权限之前必须仔细考虑。

    选项页面包括同步选项、自动批准选项、计算机选项三部分。这里,我们主要设置同步选项。这个选项包括同步的时间,要指定的操作系统及所需更新的类型、更新源、更新文件和语言。如图5、6。

    3. 仔细阅读许可协议的条款,单击“我接受许可协议中的条款”,然后单击“下一步”。

    关闭对所有Windows更新功能的访问

    如果启用此策略,则会禁止客户端访问Microsoft更新网站,例如客户端通过开始菜单的Windows更新链接无法访问Windows Update网站,直接在浏览器里输入windows update网页也无法访问,不过客户机依然可以通过WSUS来获取。

    计算机配置-策略-管理模板-系统-internet通信管理-internet通信设置

    新葡亰496net 44

    #P#

    新葡亰496net 45 

    4. 在“选择更新源”页上,可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框,更新便会存储在 WSUS 服务器上,您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新,客户端计算机将连接到 Microsoft Update 以获取已批准的更新。保留默认选项,然后单击“下一步”。

    你可以在独立服务器上安装WSUS服务器,也可以在域成员服务器、域控制器上安装WSUS。但是如果想修改域中安装了WSUS的服务器的级别,例如从域成员服务器提升为域控制器或者从域控制器降级为域成员服务器,你必须先卸载WSUS服务器,进行提升或降级操作后再安装WSUS服务器。并且对于将安装了WSUS服务器的域控制器降级为域成员服务器的场景,在完成降级操作后,你还需要完成以下步骤:

    更新的类型(图5)

    1. 在“数据库选项”页上,选择用于管理 WSUS 数据库的软件。默认情况下,如果要安装的计算机运行 Windows Server 2003,WSUS 安装程序将提出安装 WMSDE。如果无法使用 WMSDE,则必须为 WSUS 提供可以使用的 SQL Server 实例,具体操作方法是:单击“使用该计算机上现有的数据库服务器”,然后在“选择 SQL 实例名”框中键入实例名。然后 “下一步”。

    2. 在“网站选择”页上,指定 WSUS 将使用的网站。此页还列出了基于此选择的两个重要 URL:将 WSUS 客户端计算机指向其中以获取更新的 URL 以及用于配置 WSUS 的 WSUS 控制台的 URL。保留默认选项,然后单击“下一步”。

    3. 在“镜像更新设置”页上,可以指定此 WSUS 服务器的管理角色。如果这是网络上的第一台 WSUS 服务器,或者您需要一个分布式管理拓扑,请跳过此屏幕。如果需要集中管理拓扑,而且这不是网络上的第一台 WSUS 服务器,请选中该复选框,然后在“服务器名”框中键入其他 WSUS 服务器的名称保留默认选项,然后单击“下一步”。

    4. 在“准备安装 Windows Server Update Services”页上,复查各项选择,然后单击“下一步”。

    5. 如果向导的最后一页确认 WSUS 安装已成功完成,请单击“完成”。

    创建一个名为 ASPNET 的用户帐户;

    新葡亰496net 46 

    三、配置WSUS

    在命令提示符下,运行aspnet_regiis -i。

    更新源(图6)

    由于微软的产品很多,我们不可能对它的所有产品都进行更新,所以需要根据公司的实际情况对补丁的类型进行设置。

    然后再安装WSUS服务器。

    客户端:在Windows Server 2003中,自带WSUS客户端。Win2000和WinXP中,还分别需要安装Win2000 SP4和WinXP SP2,才能对客户端进行相应设置。

    WSUS安装完毕后,打开浏览器,使用地址 2003系统的管理员账户和密码即可成功登录WSUS服务器。

    你可以从微软免费下载WSUS服务器,目前最新版本为2.0.0.2472,大小为124M,下载地址为

    在打好补丁的Win2000和WinXP系统中,打开组策略编辑器,依次展开:计算机配置→管理模板。右击管理模板,在弹出的快捷菜单中选择“添加/删除模板”,添加Wuau策略。就可以了。(如图7)

    第一次成功登录WSUS的界面后,会在下方“待做事项列表”中看到“同步服务器,现在就开始”的提示信息,点击该选项开始设置WSUS。

    新葡亰496net 47 

    “计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,我们可以在产品处选择可供更新的产品种类,除了Windows外,还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别。

    在服务器满足以上条件之后,双击下载的WSUSSetup.exe进行安装。在此我是在一台操作系统为Windows server 2003 SP1的服务器上进行安装,此服务器为WinSVR.ORG域的域控制器。

    设置客户端(图7)

    设置“产品和分类”与“更新分类”后,我们还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它我们可以设置更新的语言为简体中文。

    在欢迎使用WSUS安装程序向导页,点击下一步;

    其具体的设置方法为:依次展开组策略→计算机配置→管理模板→Windows组件→Windows Update。

    至此,便完成了补丁类型及语言的设定工作,所有的前期工作已告一段落,接下来就需要对服务器和客户机进行具体操作了。

    新葡亰496net 48 

    这里有两个选项:

    下载并审批补丁

    在许可协议页,在查看许可协议后,点击我接受许可协议中的条款,点击下一步;

    1、 配置自动更新,设置为“启用”,具体设置内容如图8所示。

    我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。

    新葡亰496net 49 

    新葡亰496net 50 

    新葡亰496net 51 

    在选择更新源页,根据你的需要选择是否本地存储更新,详细说明请参见部署与规划一文;在此我选择本地存储更新,然后选择本地存储路径,此存储路径所对应的驱动器必须采用NTFS文件系统格式并且至少具有6G剩余空间,点击下一步;

    (图8)

    在上图所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中我们不能进行任何操作,只能点击“停止同步”来结束更新操作。

    新葡亰496net 52  

    2、 指定Intranet Microsoft更新服务位置,设置为“启用”,具体内容如图9所示。

    仅仅下载完更新包还不能提供补丁更新服务,我们还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。

    在数据库选项页,选择你使用的数据库类型。在Windows server 2003上安装时默认使用WMSDE数据库,也推荐你使用它。如果你想使用本地服务器上现有的SQL Server数据库服务器,那么选择使用该计算机上现有的数据库服务器并选择数据库服务器实例。在此我接受默认的在该计算机上安装SQL Server Desktop EngineWindows),然后选择存储数据库文件的本地路径。此路径对应的驱动器必须要求采用NTFS文件系统格式以及具有2G以上剩余空间;如果和存储更新文件的本地驱动器相同,那么此驱动器必须至少具有8G以上剩余空间,选择好后点击下一步;

    新葡亰496net 53 

    在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序,则不选择该补丁,如下图:

    新葡亰496net 54  

    (图9)

    点击“更改批准”后会进入“批准更新”窗口,可在批准下拉选项中选择“安装”,然后点击“确定”。现在,所有客户端就可下载并安装刚刚批准下载的补丁程序了,至此服务器上的基本设置完毕。

    在网站选择页,你可以选择使用端口TCP 80的默认Web站点,也可以选择创建一个使用端口TCP 8530的Web站点。当使用自定义Web站点时,必须把端口号包含在提供给客户端计算机的更新位置地址中;并且为了实现自动更新客户端的自我更新,你必须在使用端口TCP 80的Web站点中创建自我更新目录,详细说明请参见部署与规划一文。强烈建议你选择使用现有IIS默认Web网站。注意看下部文本框中提供的WSUS管理控制台访问地址和客户端计算机访问更新的位置,点击下一步;

    在这里要注意,输入的IP地址应为相应局域网中WSUS服务器的IP地址。

    四、在域中的客户端的设置

    新葡亰496net 55  

    服务器端和客户端都设置完成后,就可以在局域网中享受WSUS服务带来的方便了。

    1、 在域控制器上,命令行中运行mmc,打开控制台

    在镜像更新设置页,选择这台服务器担当的角色。根据WSUS管理模式的不同,WSUS服务器可以担当的角色也不同。在分布管理模式中,WSUS服务器只能作为独立管理的服务器;在集中管理模式中,WSUS服务器可以作为独立管理的服务器主服务器),也可以作为复制主服务器配置的复制服务器,详细说明请参见部署与规划一文。如果你要将此WSUS服务器配置为复制服务器,则选择该服务器应继承来自以下服务器的设置并输入服务器名和端口号,此服务器就将配置为目标服务器的复制服务器。此配置只能在安装WSUS服务器时进行,安装完成后不能修改。在此我将此WSUS服务器安装为独立管理服务器,不选择任何选项,点击下一步;

    ...

    2、选择文件菜单的添加/删除管理单元(m),打开控制台1

    新葡亰496net 56  

    3、点击添加,打开添加独立管理单元对话框,并选择其中的组策略对象编辑器,然后点击添加

    在准备安装Microsoft Windows Server Update Service页,回顾你所选择的配置,然后点击下一步;

    4 、 在打开的选择组策略对象中,选择浏览

    新葡亰496net 57  

    5、在打开的选择组策略对象中,选择“Default Domain Policy,并确定。然后关闭所有打开的子窗口,回到控制台1的主界面

    此时,WSUS开始进行安装,稍等片刻后,安装完成,在正在完成Microsoft Windows Server Update Services安装程序向导页,勾选启动Web管理工具,点击完成。

    6、 依次展开至如图脚本启动/关机)

    新葡亰496net 58 

    7、点击“配置自动更新“,在打开的”配置自动更新属性”选择“已启用“,并选择时间。

    此时,WSUS服务器的安装就完成了。

    8、并点击下一设置:

    #P#

    确定,应用,并把该设置全部保存即可

    当WSUS服务器安装好以后,你还需要配置客户端计算机通过WSUS服务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境:在域环境中,可以使用基于域的组策略对象 (GPO);在非域环境中,可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后,客户端计算机上控制面板中的自动更新就会失效。

    为了简化客户端的配置,方框里是为大家写的注册表信息,复制后根据自己的实际配置进行更改,更改为reg形式,更新即可。
    REGEDIT4
    [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
    "RescheduleWaitTime"=dword:00000004
    "NoAutoRebootWithLoggedOnUsers"=dword:00000001
    "NoAutoUpdate"=dword:00000000
    "AUOptions"=dword:00000004
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:00000003
    "UseWUServer"=dword:00000001
    [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
    "WUServer"=""
    "WUStatusServer"=""

    在域中通过组策略进行部署时,微软建议添加一个针对WSUS更新的组策略对象,而不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的,具体的位置在计算机配置->管理模板->Windows组件->Windows Update。

    安装要求 1、硬件要求: 对于多达 500 个客户端的服务器,建议使用以下硬件: * 1 GHz 的处理器 * 1 GB 的 RAM 2、软件要求: 要使用默...

    由于我是在域环境中部署的WSUS服务器,所以我通过添加域组策略对象的方式来配置客户端计算机使用WSUS服务器进行自动更新:

    点击开始,再点击管理工具,然后点击Active Directory 用户和计算机,在弹出的Active Directory 用户和计算机管理控制台,右击域WinSVR.ORG,选择属性,在弹出的WinSVR.ORG属性对话框,点击组策略标签,然后点击新建按钮;

    新葡亰496net 59 

    将新建的组策略对象重新命名为WSUS Deployment,然后点击编辑按钮;

    新葡亰496net 60  

    在弹出的组策略编辑器中,依次展开计算机配置、管理模板、Windows组件、Windows Update,如果你没有找到Windows Update模板,可以右击管理模板选择添加/删除模板再选择添加%systemroot%infwuau.adm模板添加。

    新葡亰496net 61  

    为了让客户端计算机正常的从WSUS服务器获取更新,你必须配置以下两个选项:

    配置自动更新。必须设置为已启用,并根据你的需要选择自动更新类型。关于不同自动更新类型间的区别,请参见部署与规划一文。在此我选择通知下载并通知安装,然后点击确定;

    新葡亰496net 62  

    指定Intranet Microsoft更新服务位置。在此指定企业内部网络中的WSUS Web站点地址,此地址必须是客户端计算机可以正常访问的地址。你可以使用IP地址,也可以使用计算机名,但是建议总是使用FQDN;如果你使用FQDN,必须确保客户端计算机可以正常解析此FQDN。在此我已经做好DNS解析,将wsus.winsvr.org域名解析到WSUS服务器,并且由于WSUS Web站点使用的默认Web站点,所以我的WSUS Web站点地址为 Web站点使用非标准的HTTP协议端口,例如默认的自定义WSUS Web站点使用端口TCP 8530,你必须在此地址中包含你的端口,即

    新葡亰496net 63  

    最后在关闭组策略编辑器对话框,然后在WinSVR.ORG属性对话框上点击关闭。

    此时,刚才创建的组策略已经生效,但是在默认情况下,客户端计算机每隔90分钟刷新一次组策略,刷新的时间可能随机偏移0到30分钟。如果想要让客户端计算机更快的刷新组策略,您可以在操作系统是Windows XP或Windows server 2003的客户端计算机上运行gpupdate /force,在操作系统是Windows 2000的客户端计算机上运行secedit /refreshpolicy。

    对于使用本地组策略配置的客户端计算机,将立即应用组策略。但是组策略应用以后,客户端计算机大约会在20分钟后检测WSUS服务器上的可用更新,只有当客户端计算机和WSUS服务器进行通讯后,该计算机才会显示在WSUS管理控制台中的计算机列表中。

    一旦应用了组策略,便可手动启动检测,这样则不必等待20分钟便可将客户端计算机连接到WSUS服务器,手动启动检测的方式为运行wuauclt.exe /detectnow命令。

    至此,WSUS服务器的安装和客户端计算机的配置就完成了。你现在需要管理WSUS服务器,让WSUS服务器和Windows Update进行同步,从而让客户端计算机通过WSUS服务器获取更新,关于WSUS服务器的配置及管理,请参见WSUS操作指南一文。

    对于安装WSUS服务的计算机硬件配置具有以下要求,关于它们的详细描述,请参见部署与规划一文: 系统分区和存储WSUS更新文...

    本文由新葡亰496net发布于服务器网络,转载请注明出处:新葡亰496net:WSUS服务器安装及安排,接纳WSUS服务

    关键词: