作为企业网络管理员,大家都知道补丁的重要性,特别是 Microsoft 的系统,经常需要更新补丁。打补丁的方法有很多,可以通过 SMS WSUS 、以及一些第三方工具软件(比如 360 安全卫士)。这里我想谈的是使用免费的工具 WSUS 进行补丁服务器的部署,之所以选择 WSUS ,一方面因为它免费,另一方面,因为它是 Microsoft 出的工具,对 Microsoft 的兼容性比较好。下面我们就来看看具体的操作方法:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.       WSUS 的安装

WSUS 3.0 服务器平台和要求:

Windows Server 2003 Service Pack 1

SQL Server 2005 SP1 SQL Server 2005 Express SP1 Windows® Internal Database

Microsoft .NET Framework 2.0 WindowsServer2003-KB867460-x86-chs-(Microsoft .NET Framework 2.0 Service Pack 1 for Windows Server 2003).EXE

Internet 信息服务 (IIS) 6.0

后台智能传送服务 (BITS) 2.0 WindowsServer2003-KB842773-x86-chs.exe

 

WSUS 3.0 管理控制台平台和要求:

Windows XP SP1 以上、 Windows Vista™ Windows Server 2003

管理控制台 (MMC) 3.0 WindowsServer2003-KB907265-x86-ENS.exe ;)

Microsoft Report Viewer Microsoft Report Viewer Redistributable 2005

 


 下载到的 WSUS3 是一个自解压并自动执行安装程序的压缩包,不过,建议先将其解压缩,这样做的好处是当执行安装程序时,如果系统检测组件有问题,我们就不必再次重新执行安装程序的解包过程。


执行安装程序自解包完成后,出现 WSUS3 的安装向导界面,点击 下一步


因为是全新安装并且要部署的是完整的 WSUS3 ,所以默认选择 包括管理控制台的完整服务器安装 ,如果网络中已经存在 WSUS3 ,那么可以选择第二项只安装管理控制台。点击 下一步 继续。


安装向导准备安装并执行检测。


在许可协议这个界面选择 我接受许可协议条款 ,并点击 下一步 继续。


配置 WSUS3“ 本地存储更新 :按自己的实际情况选择存储位置,点击 下一步 继续。

如果网络中已经存在 SQL 数据库服务器可以配置 使用远程计算机上现有的数据库服务器 因为我使用 WSUS 自带的 Windows internal Database 服务,所以保持默认。并点击 下一步 继续。注意:如果使用远程计算机上的数据库服务,我们需要事先在数据库服务器上创建 WSUS 数据库。


配置 WSUS 网站,选择默认的“使用现有 IIS 默认网站 ( 推荐 ) ”就可以了,不过,如果安装的服务器上的 IIS 默认网站已经使用,那么就要选择第二项了。点“下一步”继续。


完成配置向导后,系统会弹出一个对话框显示我们刚才的配置情况,确认没有问题,点击 下一步 开始安装。

点击“完成”,安装过程结束。

 

2. WSUS 配置


在点击完成安装后,系统会自动弹出 WSUS3 的配置向导,我们通过配置向导可以配置我们已经安装好的 WSUS 服务器,在配置向导中点击 下一步


在“加入 Microsoft Update 改善计划”对话框中选择是否加入 Microsoft update 改善计划,这个可以根据大家企业自身的情况进行选择。也可以不勾选“是的,我希望加入 Microsoft Update 改善计划 (M) ”。点“下一步”继续。


在“选择上游服务器”对话框中,如果企业中已经有一台 wsus 服务器了,那么可以指定从这台服务器进行同步,如果没有那么就要选择“从 Microsoft Update 进行同步”。点“下一步”继续。


在“指定代理服务器”对话框中,可以根据企业的实际情况,选择使用代理服务器。如果没有使用代理服务器则不用选择,点击“下一步”继续。


完成上述配置后,我们就可以在此界面点击 开始连接 Microsoft Update 通讯并取得下载更新信息,完成连接后点击 下一步 继续。


在“选择语言”对话框中选择我们需要下载哪种语言版本的更新,大家可以根据自己企业实际情况进行选择。点“下一步”继续。
在“选择产品”对话框中,列出了 Microsoft 所有产品的信息,大家可以根据自己企业的具体情况,选择需要下载的软件补丁包。 点击“下一步”继续。


在“选择分类”对话框中,可以选择我们需要下载哪些类型的补丁。点“下一步”继续。


配置同步计划,设置自动同步,考虑到带宽占用问题,所以选择晚上 12 00 进行同步。


OK ,到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行 WSUS 管理管制台并自动开始初始同步。点 下一步 获得额外的信息。
在“后续步骤”对话框中, Microsoft 对后续步骤进行了详细的说明,大家不妨打开这些链接看看。

 

3. WSUS 管理

1)打开 WSUS 的管理控制台,我们可以看到计算机状态信息和更新状态信息。

2 )点击 WSUS 服务器,我们还可以看到 wsus 服务器的一些信息。

3 )点击 更新 ,可以看到补丁信息。

在“更新”目录下面,又按补丁类型进行了分类,我们可以按类别查看补丁。


4 )点击“计算机”,我们可以查看客户端计算机的相关情况。


5 )点击“同步”,我们可以看到 wsus 服务器同步的信息报告,同时也可以点击右面板上的“立即同步”进行手动同步。


6 )点击“报告”,我们可以通过报告查看 WSUS 运行情况。


7 )“选项”目录中,为我们提供了 WSUS 设置的相关选项,大家可以在这里对自己的 WSUS 进行设置,这里包含了之前我们配置向导中的所有内容。


我们可以设置规则,来执行自动审批。 不过,不建议使用自动审批,对于补丁最好还是由管理员手动审批。


我们还可以使用 wsus 的清理功能,解决日后磁盘空间占用的问题。


我们还可以使用电子邮件通知功能,通过它我们可以定期地将 WSUS 状态报告发送到管理员邮箱中,以便管理员及时了解相关信息。



4. 配置客户端计算机使用 WSUS 服务器进行更新

WSUS 服务器安装好以后,还需要配置客户端计算机通过 WSUS 服务器来进行自动更新。

我们可以通过组策略来配置客户端自动更新:

打开 Active Directory 用户和计算机,右击域,选择属性,在弹出的属性对话框,点击组策略标签,新建一条组策略; 将新建的组策略对象重新命名为 WSUS Policy ,然后点击编辑按钮; 在弹出的组策略编辑器中,打开“计算机配置 -> 管理模板 ->Windows 组件 ->Windows Update ”,

配置以下选项:

1. 配置自动更新。

启用自动更新,选择“自动下载并计划安装”,并设置计划安装时间。如下图:

 

2. 指定 Intranet Microsoft 更新服务位置。

点击启动,并输入 htt://wsus 服务器名,如下图:

3 重新计划自动更新的计划安装

由于安装程序不一定每次都能正常进行,所以需要配置“重新计划自动更新的计划安装”,点启用,并设置等待时间,如下图:

4. 计划的自动更新安装后不自动重新启动

由于按照我们预定的补丁安装时间,用户可能正常操作电脑,而很多补丁安装后是需要重新启动的,如果不进行设置,补丁安装好后,系统会自动重启,这样会导致用户数据丢失,所以我们必须启用“计划的自动更新安装后不自动重新启动”。

5. 自动更新检测频率

启用“自动更新检测频率”,按默认设置为 22 小时就可以了。

6. 允许自动更新立即安装

启用“允许自动更新立即安装”。

7. 重新提示计划安装后的重新启动

启用“重新提示计划安装后的重新启动”,并设置提示等待时间,以提醒用户系统需要重启。

8. 允许非管理员接收更新通知

因为我们广大的用户权限都为非管理员,所以需要启用“允许非管理员接收更新通知”。

OK ,设置完成,关闭组策略编辑器对话框。
至此, WSUS 服务器部署完成。