我们知道大部分企业对系统安全一直比较重视,系统补丁需要及时安装,但是对于大型企业如果每个客户端都直接在WINDOWS UPDATE 上直接下载更新的话,这无疑会带来企业生产环境网络拥塞的状况。再试想如果用户在对补丁用途和影响不了解的情况下而安装了一些“致命”的补丁,那作为IT服务人员你会无所是从。

为此今天跟大家交流一下在企业环境下部署wsus 3.0 sp2的经验和想法。

因为VISO出现问题,图是用画图工具将就的:

 我打算在公司内部的一台windows server 2008 r2(64bit)的机器上部署WSUS 3.0 sp2,这里有一个小插曲。我刚开始下载的wsus sp1(64bit)的版本,在安装过程中出现了版本不适用的情况,查看了sp1的支持操作系统列表好像有windows server 2008但是没有明确指出支持windows server 2008 r2,所有大家部署的时候需要关注一下版本问题。

下面我们开始部署wsus 3.0 sp2:

1、在mcitp-wsus上安装iis角色。

2、在mcitp-wsus上运行wsus安装包。

3、配置组策略。建议新建一个组策略名称叫做wsus,在计算机配置--策略--管理模板--windows组件--windows update 里设置相关选项。

 其中:配置自动更新选项可以设置自动更新方式,可以按照您当前企业需求来设置。

 

指定更新服务位置,都设置为http://mcitp-wsus.mcitp.com 请自行替换为您当前的wsus服务器域名。

 

将组策略连接到对应的ou里,一般直接连接到当前域。

4、在mcitp-wsus上设置计算机组。可以先新建一个测试组,将测试对象添加到该计算组内。测试通过后将更新应用到你新建的生产环境的计算机组。右键所有计算机--添加计算机组。

 

将计算机添加到对应的计算机组,在wusus管理台右侧找到搜索,搜索相关计算机,更该成员身份就可以添加到计算机组了。

5、同步更新,之后使用导入更新,下载您当前环境需要的最新补丁。

 

导入更新是WSUS服务器直接到windows update 网站上自己去挑选自己中意的补丁,然后将补丁放在你的“篮”中,然后导入到wsus服务器上。

 

导入即可

 

6、审核更新到特定的组。

我们找到刚才那几个导入的补丁,审核到特定的组,然后查看客户端的windows update 情况。

7、在客户端刷新组策略、检测wsus更新。

首先我们gpupdate /force刷新下组策略,使用wuauclt.exe /detectnow手动检测wsus服务器更新源。一般奥检测到审核的更新需要15分钟左右。

对于查询组策略应用还可以使用gpresult和rsop工具。

 

上图我们可以看到客户端已经检测到了更新,因为设置的更新安装方式原因所以没有自动安装。

大致的wsus的部署情况就是这样,但是在企业环境下,可能在wsus服务器和windows update之间存在代理服务器,可能在wsus服务器还存在下游服务器等等,关于这些设置问题,我们在以后的博文中来交流吧。

 

仁博五金

http:\\rainbow-hardware.com

仁博五金饰品主要经营一字铃铛;十字铃铛;虎口铃铛;喇叭铃铛;三星铃铛;东莞铃铛;厂家生产;真空电镀;烤漆;不锈钢链条;金属夹子;金属工艺品;手镯;项链;五金成品