作爲企業網絡管理員,大家都知道補丁的重要性,特別是Microsoft的系統,經常需要更新補丁。打補丁的方法有很多,可以通過SMS、WSUS、以及一些第三方工具軟件(比如360安全衛士)。這裏我想談的是使用免費的工具WSUS進行補丁服務器的部署,之所以選擇WSUS,一方面因爲它免費,另一方面,因爲它是Microsoft出的工具,對Microsoft的兼容性比較好。下面我們就來看看具體的操作方法:
1. WSUS的安裝
WSUS 3.0 服務器平臺和要求:
Windows Server 2003 Service Pack 1
SQL Server 2005 SP1、SQL Server 2005 Express SP1 或 Windows® Internal Database
Microsoft .NET Framework 2.0 (WindowsServer2003-KB867460-x86-chs-(Microsoft .NET Framework 2.0 Service Pack 1 for Windows Server 2003).EXE)
Internet 信息服務 (IIS) 6.0
後臺智能傳送服務 (BITS) 2.0 (WindowsServer2003-KB842773-x86-chs.exe)
WSUS 3.0 管理控制檯平臺和要求:
Windows XP SP1以上、Windows Vista™、Windows Server 2003
管理控制檯 (MMC) 3.0 (WindowsServer2003-KB907265-x86-ENS.exe;)
Microsoft Report Viewer (Microsoft Report Viewer Redistributable 2005)
下載到的WSUS3是一個自解壓並自動執行安裝程序的壓縮包,不過,建議先將其解壓縮,這樣做的好處是當執行安裝程序時,如果系統檢測組件有問題,我們就不必再次重新執行安裝程序的解包過程。
執行安裝程序自解包完成後,出現WSUS3的安裝嚮導界面,點擊“下一步”。
因爲是全新安裝並且要部署的是完整的WSUS3,所以默認選擇“包括管理控制檯的完整服務器安裝”,如果網絡中已經存在WSUS3,那麼可以選擇第二項只安裝管理控制檯。點擊“下一步”繼續。
安裝嚮導準備安裝並執行檢測。
在許可協議這個界面選擇“我接受許可協議條款”,並點擊“下一步”繼續。
配置WSUS3“本地存儲更新”:按自己的實際情況選擇存儲位置,點擊“下一步”繼續。
如果網絡中已經存在SQL數據庫服務器可以配置“使用遠程計算機上現有的數據庫服務器”。 因爲我使用WSUS自帶的Windows internal Database服務,所以保持默認。並點擊“下一步”繼續。注意:如果使用遠程計算機上的數據庫服務,我們需要事先在數據庫服務器上創建WSUS數據庫。
配置WSUS網站,選擇默認的“使用現有IIS默認網站(推薦)”就可以了,不過,如果安裝的服務器上的IIS默認網站已經使用,那麼就要選擇第二項了。點“下一步”繼續。
完成配置嚮導後,系統會彈出一個對話框顯示我們剛纔的配置情況,確認沒有問題,點擊“下一步”開始安裝。
點擊“完成”,安裝過程結束。
2. WSUS配置
在點擊完成安裝後,系統會自動彈出WSUS3的配置嚮導,我們通過配置嚮導可以配置我們已經安裝好的WSUS服務器,在配置嚮導中點擊“下一步”。
在“加入Microsoft Update改善計劃”對話框中選擇是否加入Microsoft update改善計劃,這個可以根據大家企業自身的情況進行選擇。也可以不勾選“是的,我希望加入Microsoft Update改善計劃(M)”。點“下一步”繼續。
在“選擇上游服務器”對話框中,如果企業中已經有一臺wsus服務器了,那麼可以指定從這臺服務器進行同步,如果沒有那麼就要選擇“從Microsoft Update進行同步”。點“下一步”繼續。
在“指定代理服務器”對話框中,可以根據企業的實際情況,選擇使用代理服務器。如果沒有使用代理服務器則不用選擇,點擊“下一步”繼續。
完成上述配置後,我們就可以在此界面點擊“開始連接”與Microsoft Update通訊並取得下載更新信息,完成連接後點擊“下一步”繼續。
在“選擇語言”對話框中選擇我們需要下載哪種語言版本的更新,大家可以根據自己企業實際情況進行選擇。點“下一步”繼續。
在“選擇產品”對話框中,列出了Microsoft所有產品的信息,大家可以根據自己企業的具體情況,選擇需要下載的軟件補丁包。 點擊“下一步”繼續。
在“選擇分類”對話框中,可以選擇我們需要下載哪些類型的補丁。點“下一步”繼續。
配置同步計劃,設置自動同步,考慮到帶寬佔用問題,所以選擇晚上12:00進行同步。
OK,到這裏我們基本上就算結束了。根據需要複選在完成配置後自動運行WSUS管理管制臺並自動開始初始同步。點“下一步”獲得額外的信息。
在“後續步驟”對話框中,Microsoft對後續步驟進行了詳細的說明,大家不妨打開這些鏈接看看。
3. WSUS 管理
1)打開WSUS的管理控制檯,我們可以看到計算機狀態信息和更新狀態信息。
2)點擊WSUS服務器,我們還可以看到wsus服務器的一些信息。
3)點擊“更新”,可以看到補丁信息。
在“更新”目錄下面,又按補丁類型進行了分類,我們可以按類別查看補丁。
4)點擊“計算機”,我們可以查看客戶端計算機的相關情況。
5)點擊“同步”,我們可以看到wsus服務器同步的信息報告,同時也可以點擊右面板上的“立即同步”進行手動同步。
6)點擊“報告”,我們可以通過報告查看WSUS運行情況。
7)“選項”目錄中,爲我們提供了WSUS設置的相關選項,大家可以在這裏對自己的WSUS進行設置,這裏包含了之前我們配置嚮導中的所有內容。
我們可以設置規則,來執行自動審批。 不過,不建議使用自動審批,對於補丁最好還是由管理員手動審批。
我們還可以使用wsus的清理功能,解決日後磁盤空間佔用的問題。
我們還可以使用電子郵件通知功能,通過它我們可以定期地將WSUS狀態報告發送到管理員郵箱中,以便管理員及時瞭解相關信息。
4. 配置客戶端計算機使用WSUS服務器進行更新
當WSUS服務器安裝好以後,還需要配置客戶端計算機通過WSUS服務器來進行自動更新。
我們可以通過組策略來配置客戶端自動更新:
打開Active Directory 用戶和計算機,右擊域,選擇屬性,在彈出的屬性對話框,點擊組策略標籤,新建一條組策略;將新建的組策略對象重新命名爲WSUS Policy,然後點擊編輯按鈕;在彈出的組策略編輯器中,打開“計算機配置->管理模板->Windows組件->Windows Update”,
配置以下選項:
1. 配置自動更新。
啓用自動更新,選擇“自動下載並計劃安裝”,並設置計劃安裝時間。如下圖:
2.指定Intranet Microsoft更新服務位置。
點擊啓動,並輸入htt://wsus服務器名,如下圖:
3. 重新計劃自動更新的計劃安裝
由於安裝程序不一定每次都能正常進行,所以需要配置“重新計劃自動更新的計劃安裝”,點啓用,並設置等待時間,如下圖:
4. 計劃的自動更新安裝後不自動重新啓動
由於按照我們預定的補丁安裝時間,用戶可能正常操作電腦,而很多補丁安裝後是需要重新啓動的,如果不進行設置,補丁安裝好後,系統會自動重啓,這樣會導致用戶數據丟失,所以我們必須啓用“計劃的自動更新安裝後不自動重新啓動”。
5.自動更新檢測頻率
啓用“自動更新檢測頻率”,按默認設置爲22小時就可以了。
6.允許自動更新立即安裝
啓用“允許自動更新立即安裝”。
7. 重新提示計劃安裝後的重新啓動
啓用“重新提示計劃安裝後的重新啓動”,並設置提示等待時間,以提醒用戶系統需要重啓。
8. 允許非管理員接收更新通知
因爲我們廣大的用戶權限都爲非管理員,所以需要啓用“允許非管理員接收更新通知”。
OK,設置完成,關閉組策略編輯器對話框。
至此,WSUS服務器部署完成。
至此,WSUS服務器部署完成。