WSUS ,全稱 Windows server update services,是微軟在其網絡結構中提供的關於系統補丁更新的一個解決方案,完全免費,現在最新的版本是WSUS 3.0 SP2,在生產環境中部署WSUS的應用價值主要是提高網絡資源的利用率,節省帶寬,同時對於客戶端計算機來說呢,更新效率也更高一些。
在日常大家都習慣了用第三方工具給系統打補丁,局域網的PC數量少了便罷,如果多於50臺,只是給系統以及微軟產品打補丁這一項工作對於網絡資源的佔用就不可小覷,在Windows server 2003以前,WSUS需要單獨安裝,從Windows server 2008開始,server版操作系統就集成了WSUS,在這個陽光暖暖的週末,懶懶的宅在家裏無有出行的邀約,順便做一個在Windows server 2012下配置WSUS的實測攻略給大家。
1、添加角色
2、選擇“基於角色或基於功能的安裝”選項
3、在選擇目標服務器界面中找到需要安裝WSUS角色的服務器,本示例中只有一臺SERVER,其實可以管理更多的服務器哦
4、點擊“下一步”後進入角色選擇界面,當點擊“Windows Server 更新服務”前面的複選框時,即可彈出添加功能的界面,
點擊“添加功能”按鈕後完成角色選擇。
5、添加功能,在功能列表中,系統會默認複選WSUS需要的功能組件,如.net 4.5、Windows process activation service、內部數據庫,在這個界面中保存默認勾選就可以了,無須變更選項。
6、選擇角色服務,其中WID數據庫和數據庫只能二選其一。
7、選擇存儲更新補丁的位置,在這頁面中有兩個注意事項:第一是存放更新的驅動器分區格式必須是NTFS格式,最小可用空間是6G,第二就是有兩種情況不必選擇存放的本地,一是從微軟官方直接下載,但客戶端下載的速度將會下降,二是從上游WSUS服務器更新下載時,同樣會降低客戶端的下載速度。
8、選擇WEB服務器角色(IIS)
9、點擊下一步按鈕進入WEB角色服務的選項,保存默認勾選就可以了。
10、確認選項 ,在這個頁面中,我勾選了重啓服務器,彈出一個友好的提示窗口,確定並關閉它,這時候就可以點擊【安裝】按鈕開始安裝WSUS了。
11、開始安裝。在安裝界面的左下角有導出配置設置的鏈接,
12、以上的步驟都是安裝的介紹,安裝WSUS還是蠻簡單的,只要根據安裝嚮導的提示點擊“下一步”就可以了,只不過有些細節和注意事項要閱讀一下。
接下來就是配置WSUS了。
13、啓動安裝後的配置,在服務器管理器界面中的左側根目錄下找到WSUS,點擊後在右側的內容欄內會有一個淺黃色的提醒任務欄,點擊“更多”連接彈出任務通知界面,在通知欄中的“操作”項內運行“啓動安裝後配置”
配置過程可能會長一點,這時候可以坐下來喝杯咖啡休息一下了。
14、配置完成後,接下來就是添加Windows server 更新服務的管理單元了,選擇任務欄中的WIN2K12,在其右鍵菜單中打開“Windows server 更新服務”啓動WSUS配置嚮導,
15、配置完成後,接下來就是添加Windows server 更新服務的管理單元了,選擇任務欄中的WIN2K12,在其右鍵菜單中打開“Windows server 更新服務”啓動WSUS配置嚮導,
16、開始之前檢測網絡環境,特別要說明的就是連接端口爲8530和8531,在防火牆中要開啓,
17、越過Windows 更新改善計劃的界面,進入選擇上游服務器的界面,WIN2K12是AD中的第一臺WSUS,所以選擇從Microsoft更新同步。
在部署第二臺WSUS時我們就需要選擇第二個選項了。
18、代理服務器選項,網絡中沒有代理服務器,無須做選擇,直接點擊下一步按鈕,
19、點擊“開始連接”按鈕測試連接,連接是速度直接取決於網速,等一等。
20、選擇語音版本的頁面中當然選擇中文簡體,若未來規劃中需要使用英文或其他語言的微軟產品時,這裏就需要一併勾選上,
21、選擇“產品”,在產品列表中會列出微軟所有的產品,只需選擇局域網內需要的產品即可,
22、選擇“分類”,我這裏沒有勾選全部,咱們可以根據規劃進行勾選
23、選擇同步更新的時間,手動同步會佔用管理員的工作時間,所以可以設置“自動同步”,同步時間可以設置在使用網絡的空閒時間,不佔用正常的網絡資源使用,
24、初始化同步
25、初始化同步完成以後要做什麼呢,系統給了我們一個很友好的嚮導,
26、現在我們可以點擊“完成”按鈕,進行初始化同步了,接下來看看完成配置後的界面。
27、在安裝WSUS過程中會遇到啓動配置失敗的問題,
解決方法有二:一是檢查存放更新補丁位置(步驟5)的磁盤的權限,如everyone是拒絕的權限,就需要修改了,二是檢查WSUS服務器的時間是否同步,暫時沒有沒有發現配置失敗的其他原因,大家有碰到的可以補充上來。
以上解釋的是WSUS的安裝過程,按照安裝嚮導一步一步的安裝就可以了,接下來就要和大家分享如何配置WSUS了。
28、首先配置域策略,創建一個WSUS的GPO,運行MMC打開控制檯,把【組策略管理】單元添加進來,
29、在【組策略】管理單元裏,依次展開2K12DC.com,右鍵點擊域2k12dc.com,在右鍵菜單中選擇“在這個域中創建GPO並在此處鏈接”,在彈出的新建GPO的視圖中,創建一個【WSUS策略】的GPO,
30、創建完成後,右鍵打開剛纔創建的WSUS策略,選擇“編輯”打開【組策略管理編輯器】,在【組策略管理編輯器】的視圖中,展開【計算機配置】-----【策略】----【管理模版】----【Windows組件】中的【Windows更新】
31、打開【Windows更新】後的視圖如下圖所示,我們要對右邊內容項中的【配置自動更新】和【指定intranet Microsoft更新服務位置】進行配置
32、打開配置自動更新項,啓用這個策略,在配置自動更新列表中,共有4個選擇項,我們可以根據不同的要求進行選擇,示例中,我選擇了第3個:自動下載並通知安裝
33、在【指定Intranet Microsoft更新服務位置】的視圖中,我們還是要先啓動這個策略,然後在選項中指定客戶端獲得更新程序的地址,示例中的IntranetUpd01是WSUS服務器的計算機名,所以在選項中我們輸入完成的DC的計算機名,其中8530是WSUS網站的端口號。
34、設置完後就要等待域策略生效了,或者我們可以使用命令 gpupdate /foces刷新域安全策略,
返回WSUS管理控制檯,在未分配的計算機列表中可以看到連接上來的客戶端計算機,同時現實客戶端計算機的名稱、IP地址、操作系統版本、客戶端上次報告更新程序的時間,還有已安裝/不適用的更新比例,
35、創建計算機組
如果我們的局域網內計算機數量較多,如果大於50臺,建議大家可以建立計算機組進行分組管理,在上圖所示的“未分配計算機”節點上,打開右鍵菜單,創建一個新的計算機組,這裏姑且起名爲之:銷售部計算機。
創建完成後的工作當然就是把未分配的計算機移動的指定的計算機組裏面了,在未分配的計算機列表中找到對應的計算機,然後點擊更改成員身份打開“設置計算機組成員的身份”,我這裏只創建了一個工作組,所以只能看到一個工作組,勾選中它即可。
36、審批更新程序的安裝
在通過審批以後,客戶端計算機默認是22小時後纔來連接一次WSUS服務器檢查是否有新的安裝程序可供下載,我們可以通過更改Windows 更新服務選項中的“自動更新檢測頻率”(步驟23)選項
在生產環境中,我們當然不會喜歡客戶端計算機頻繁的到WSUS服務器上檢測有沒有更新程序,所以我們可以把間隔時間適當的延長。
接下來就是審批更新,我們以安全更新中的用於Windows7上的IE8爲例,選擇它,然後在右側的操作欄中點擊“審批”按鈕彈出審批更新的視圖,在這個視圖中我們要需要繼續選擇需要安裝這個更新的計算機組,這裏我們選擇的銷售組的計算機,
選擇“已審批進行安裝”後彈出“審批進度”的狀態提醒,在結果狀態欄中,我們可以看“成功”的狀態了。
拒絕更新程序的操作和審批更新相同。
37、如果每條更新程序都需要逐一申請,對於系統管理員簡直如同噩夢,所以我們設置默認自動審批,在WSUS控制檯視圖中的【選項】菜單下打開“自動審批項目”,打開後我們勾選中“默認的自動審批規則”,在規則屬性中繼續對更新程序和計算機組進行選擇。
當然,我們也可以根據不同的管理需要建立不同的審批規則,這就要看我們企業內部的IT環境了。
返回到客戶端計算機來驗證一下,這是剛纔在WSUS服務器上我手動審批過的3個安全更新,都在這裏windows update列表裏了,確認無誤。
針對客戶端更新的策略配置項都在Windows 更新策略中(見步驟23),這裏我們就不一一展開說明了,到此爲止我們就做完了在Windows server 2012平臺下部署WSUS的實測,很多細化功能在工作中我們未必都用的到,所以大部分其實都是可以使用默認配置的,實測Windows server 2012繼續進行中,下一期繼續準備。