WSUS ,全称 Windows server update services,是微软在其网络结构中提供的关于系统补丁更新的一个解决方案,完全免费,现在最新的版本是WSUS 3.0 SP2,在生产环境中部署WSUS的应用价值主要是提高网络资源的利用率,节省带宽,同时对于客户端计算机来说呢,更新效率也更高一些。
在日常大家都习惯了用第三方工具给系统打补丁,局域网的PC数量少了便罢,如果多于50台,只是给系统以及微软产品打补丁这一项工作对于网络资源的占用就不可小觑,在Windows server 2003以前,WSUS需要单独安装,从Windows server 2008开始,server版操作系统就集成了WSUS,在这个阳光暖暖的周末,懒懒的宅在家里无有出行的邀约,顺便做一个在Windows server 2012下配置WSUS的实测攻略给大家。
WSUS服务端配置
1、硬件要求:
对于多达 13000 个客户端的服务器,建议使用以下硬件:
* 4 Core E5-2609 2.1GHz 的处理器
* 8 GB 的 RAM
2、软件要求:
要使用默认选项安装 WSUS,必须在计算机上安装以下软件。
* Microsoft Internet 信息服务 (IIS) 6.0。
* 用于Windows Server 2012 R2 的 Microsoft.NET Framework 4.5。
* 数据库。
3、磁盘要求:
要安装 WSUS,服务器上的文件系统必须满足以下要求:
* 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。
* 系统分区至少需要 1 GB 的可用空间。
* WSUS 用于存储内容的卷至少需要 60 GB 的可用空间,建议预留空间为 40 GB。
二、 环境描述
•目前用于WSUS的服务器一台,配置和功能如下:
WSUS 配置清单
操作系统版本: Windows Server 2012 R2
ServerName: WIN2k12
IP Address :192.168.8.22
Mask 255.255.255.0
GateWay 192.168.8.1
DNS Server 223.5.5.5 223.6.6.6
数据盘(C)大小 300GB
PageFile位置以及大小 你们按照常规定义
备注:
所在域名名称:vancen.com(非必须项,视实际情况加入)
1、添加服务器角色
2、选择“基于角色或基于功能的安装”选项
3、在选择目标服务器界面中找到需要安装WSUS角色的服务器,本示例中只有一台SERVER,其实可以管理更多的服务器哦
4、点击“下一步”后进入角色选择界面,当点击“Windows Server 更新服务”前面的复选框时,即可弹出添加功能的界面,
点击“添加功能”按钮后完成角色选择。
5、添加功能,在功能列表中,系统会默认复选WSUS需要的功能组件,如.net 4.5、Windows process activation service、内部数据库,在这个界面中保存默认勾选就可以了,无须变更选项。
6、选择角色服务,其中WID数据库和数据库只能二选其一。
7、选择存储更新补丁的位置,在这页面中有两个注意事项:第一是存放更新的驱动器分区格式必须是NTFS格式,最小可用空间是6G,第二就是有两种情况不必选择存放的本地,一是从微软官方直接下载,但客户端下载的速度将会下降,二是从上游WSUS服务器更新下载时,同样会降低客户端的下载速度。
8、选择WEB服务器角色(IIS)
9、点击下一步按钮进入WEB角色服务的选项,保存默认勾选就可以了。
10、确认选项 ,在这个页面中,我勾选了重启服务器,弹出一个友好的提示窗口,确定并关闭它,这时候就可以点击【安装】按钮开始安装WSUS了。
11、开始安装。在安装界面的左下角有导出配置设置的链接,
12、以上的步骤都是安装的介绍,安装WSUS还是蛮简单的,只要根据安装向导的提示点击“下一步”就可以了,只不过有些细节和注意事项要阅读一下。
接下来就是配置WSUS了。
13、启动安装后的配置,在服务器管理器界面中的左侧根目录下找到WSUS,点击后在右侧的内容栏内会有一个浅×××的提醒任务栏,点击“更多”连接弹出任务通知界面,在通知栏中的“操作”项内运行“启动安装后配置”
配置过程可能会长一点,这时候可以坐下来喝杯咖啡休息一下了。
15、配置完成后,接下来就是添加Windows server 更新服务的管理单元了,选择任务栏中的WIN2K12,在其右键菜单中打开“Windows server 更新服务”启动WSUS配置向导,
16、开始之前检测网络环境,特别要说明的就是连接端口为8530(http)和8531(https),在防火墙中要开启,
17、越过Windows 更新改善计划的界面,进入选择上游服务器的界面,WIN2K12是AD中的第一台WSUS,所以选择从Microsoft更新同步。
在部署第二台WSUS时我们就需要选择第二个选项了。
18、代理服务器选项,网络中没有代理服务器,无须做选择,直接点击下一步按钮,
19、点击“开始连接”按钮测试连接,连接是速度直接取决于网速,等一等。
20、选择语音版本的页面中当然选择中文简体,若未来规划中需要使用英文或其他语言的微软产品时,这里就需要一并勾选上,
21、选择“产品”,在产品列表中会列出微软所有的产品,只需选择局域网内需要的产品即可,
22、选择“分类”,我这里没有勾选全部,咱们可以根据规划进行勾选
23、选择同步更新的时间,手动同步会占用管理员的工作时间,所以可以设置“自动同步”,同步时间可以设置在使用网络的空闲时间,不占用正常的网络资源使用,
24、初始化同步
25、初始化同步完成以后要做什么呢,系统给了我们一个很友好的向导,
26、现在我们可以点击“完成”按钮,进行初始化同步了,接下来看看完成配置后的界面。
27、在安装WSUS过程中会遇到启动配置失败的问题,
解决方法有二:一是检查存放更新补丁位置(步骤5)的磁盘的权限,如everyone是拒绝的权限,就需要修改了,二是检查WSUS服务器的时间是否同步,暂时没有没有发现配置失败的其他原因,大家有碰到的可以补充上来。
以上解释的是WSUS的安装过程,按照安装向导一步一步的安装就可以了,接下来就要和大家分享如何配置WSUS了。
客户机配置(已入域)
28、(域服务器配置)首先配置域策略,创建一个WSUS的GPO,运行MMC打开控制台,把【组策略管理】单元添加进来,
29、在【组策略】管理单元里,依次展开2K12DC.com,右键点击域2k12dc.com,在右键菜单中选择“在这个域中创建GPO并在此处链接”,在弹出的新建GPO的视图中,创建一个【WSUS策略】的GPO,
30、创建完成后,右键打开刚才创建的WSUS策略,选择“编辑”打开【组策略管理编辑器】,在【组策略管理编辑器】的视图中,展开【计算机配置】-----【策略】----【管理模版】----【Windows组件】中的【Windows更新】
31、打开【Windows更新】后的视图如下图所示,我们要对右边内容项中的【配置自动更新】和【指定intranet Microsoft更新服务位置】进行配置
32、打开配置自动更新项,启用这个策略,在配置自动更新列表中,共有4个选择项,我们可以根据不同的要求进行选择,示例中,我选择了第3个:自动下载并通知安装
33、在【指定Intranet Microsoft更新服务位置】的视图中,我们还是要先启动这个策略,然后在选项中指定客户端获得更新程序的地址,示例中的IntranetUpd01是WSUS服务器的计算机名,所以在选项中我们输入完成的DC的计算机名,其中8530是WSUS网站的端口号。
34、设置完后就要等待域策略生效了,或者我们可以使用命令 gpupdate /foces刷新域安全策略,
客户机配置(未入域)
wsus客户端可以使windows的各种系统(windows7\8\10\server)。
无须安装任何软件。
35客户端配置
wsus客户端通过配置本地组策略来实现。
运行中输入:gpedit.msc ——————–>本地组策略编辑器
依次选择计算机配置》管理模板》windows组件》Windows Update
如图所示:
配置—配置自动更新,更新计划可以按自己的需求来选择,此图选择4-自动下载安装更新,并启用此设置,点击应用。
配置—指定Intranet Microsoft更新服务位置,指定wsus服务器地址,
此图为:http://172.25.242.120:8530 其中8530为wsus服务器安装时默认端口,并启用此设置,点击应用。
WSUS管理控制台
36返回WSUS管理控制台,在未分配的计算机列表中可以看到连接上来的客户端计算机,同时现实客户端计算机的名称、IP地址、操作系统版本、客户端上次报告更新程序的时间,还有已安装/不适用的更新比例,
35、创建计算机组
如果我们的局域网内计算机数量较多,如果大于50台,建议大家可以建立计算机组进行分组管理,在上图所示的“未分配计算机”节点上,打开右键菜单,创建一个新的计算机组,这里姑且起名为之:销售部计算机。
创建完成后的工作当然就是把未分配的计算机移动的指定的计算机组里面了,在未分配的计算机列表中找到对应的计算机,然后点击更改成员身份打开“设置计算机组成员的身份”,我这里只创建了一个工作组,所以只能看到一个工作组,勾选中它即可。
36、审批更新程序的安装
在通过审批以后,客户端计算机默认是22小时后才来连接一次WSUS服务器检查是否有新的安装程序可供下载,我们可以通过更改Windows 更新服务选项中的“自动更新检测频率”(步骤23)选项
在生产环境中,我们当然不会喜欢客户端计算机频繁的到WSUS服务器上检测有没有更新程序,所以我们可以把间隔时间适当的延长。
接下来就是审批更新,我们以安全更新中的用于Windows7上的IE8为例,选择它,然后在右侧的操作栏中点击“审批”按钮弹出审批更新的视图,在这个视图中我们要需要继续选择需要安装这个更新的计算机组,这里我们选择的销售组的计算机,
选择“已审批进行安装”后弹出“审批进度”的状态提醒,在结果状态栏中,我们可以看“成功”的状态了。
拒绝更新程序的操作和审批更新相同。
37、如果每条更新程序都需要逐一申请,对于系统管理员简直如同噩梦,所以我们设置默认自动审批,在WSUS控制台视图中的【选项】菜单下打开“自动审批项目”,打开后我们勾选中“默认的自动审批规则”,在规则属性中继续对更新程序和计算机组进行选择。
当然,我们也可以根据不同的管理需要建立不同的审批规则,这就要看我们企业内部的IT环境了。
返回到客户端计算机来验证一下,这是刚才在WSUS服务器上我手动审批过的3个安全更新,都在这里windows update列表里了,确认无误。
针对客户端更新的策略配置项都在Windows 更新策略中(见步骤23),这里我们就不一一展开说明了,
本文转载自https://blog.51cto.com/xiaosuncunzhang/1343003,仅用于学习