在上一篇博文中我们学习了WSUS3.0的具体部署方法,在那之后又看了不少文档,对WSUS3.0有了新的认识。
今天我们来具体看看WSUS3.0是如何进行补丁分发的,实验环境采用上篇博文中已经部署好的WSUS环境。实验拓扑图如下:
![01](https://i-blog.csdnimg.cn/blog_migrate/9557fcd9799f0e21e00173239420f358.jpeg)
要完成更新补丁的分发,我们需要注意一下三点:
- WSUS分组管理
- 组策略或注册表设置
- WSUS更新批准
一、WSUS分组管理
WSUS分组管理的好处在于,将客户机归于不同的组内,根据实际生产环境为每个组设置不同的补丁更新策略,这样对于管理工作的细化是很有好处的。
我们都知道,微软的产品会每隔一段时间就推出新的更新补丁,这其中有的是针对产品的漏洞修复、有的则是对产品的功能上进行优化……但是对于一个企业来说并不是实时的安装这些更新补丁就是最好的,安装它们有时会对以往的安装的其它软件产生影响。在这个时候我们就可以使用WSUS的分组管理来解决这个问题。因此我们有必要对WSUS的组进行设置。
点击开始菜单—管理工具—打开WSUS3.0控制界面,从下图中我们可以看到,已经同步完成
![02](https://i-blog.csdnimg.cn/blog_migrate/8fda472f235dcd9ccfcf23769655a9df.jpeg)
双击Shanghai—计算机,我们可以看到,WSUS默认组分别为:所有计算机和未分配的计算机
![03](https://i-blog.csdnimg.cn/blog_migrate/ab6e34d07a59b7953f044f0511a7c157.jpeg)
创建两个名为ITET和TEST的组,单击所有计算机点击右侧添加计算机组,弹出的对话框要求输入组名,填写ITET点击添加即可创建ITET组,用同样的方法再创建一个TEST组
![04](https://i-blog.csdnimg.cn/blog_migrate/81be8345f6ba15e07c4597488607b631.jpeg)
计算机组创建完成后,如何将客户机加入到组中呢?WSUS提供了两种方法供管理员选择使用,点击选项—计算机,在计算机分配选项中我们可以看到两种选择,一种是用组策略或注册表决定客户机加入哪个计算机组,一种是用Update Server控制台将计算机移动到相应的计算机组。
如果客户机数量较少,移动计算机的操作是比较简单的;但如果客户机数量较多,显然还是组策略更有效率。在此我们选择利用组策略或注册表进行设置,点击确定使之设置生效。
![05](https://i-blog.csdnimg.cn/blog_migrate/755bd38cf96c45d216e82200d6dd4319.jpeg)
二、组策略或注册表的设置
到目前为止,我们部署了WSUS服务器,创建了计算机组。但客户机如何才能知道哪台计算机才是自己所需要的WSUS服务器,客户机应该加入哪个计算机组呢?这些设置可以通过组策略或注册表来完成。
1.使用组策略
在域的环境下,显然使用组策略来配置效率是最高的。我们只需要部署一个域级别的组策略,就可以很轻松的完成WSUS的配置。在域控制器Beijing上依次点击 开始-管理工具-Active Directory用户和计算机,右键点击wsustest.com域,选择属性。在属性中切换到组策略标签,如下图所示,选择默认组策略“Default Domain Policy”,点击编辑按钮。
![06](https://i-blog.csdnimg.cn/blog_migrate/21e1184f1729ac3cae88097df8619f64.jpeg)
在组策略编辑器中展开 计算机配置-管理模板-Windows组件-Windows Update,如下图所示,在此我们可以进行WSUS相关策略的设置。
![07](https://i-blog.csdnimg.cn/blog_migrate/cb5647d0d26798f4f9e36da4e4f2e67d.jpeg)
编辑“配置自动更新”策略,如下图所示,在此策略中我们选择启用自动更新,并且将自动更新模式配置为自动下载并通知安装,在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。
![08](https://i-blog.csdnimg.cn/blog_migrate/fca09aa44e402e205f0fb4dbcf44f296.jpeg)
编辑“指定Intranet Microsoft更新服务位置”策略,如下图所示,在此策略中可以设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载,Intranet统计服务器提供报表统计,在此例中我们用一台服务器同时提供这两种服务。我们描述服务器可以使用Netbios名称,完全合格域名或IP。
![18](https://i-blog.csdnimg.cn/blog_migrate/35d9a12b794e331f3313d8625314ff43.jpeg)
编辑“允许客户端目标设置”策略,如下图所示,在此策略中我们可以设置客户机加入的WSUS计算机组,我们将计算机的目标组设置为刚创建的“ITET”
![10](https://i-blog.csdnimg.cn/blog_migrate/475001c9ae7c040759fabd852ec655c9.jpeg)
经过上述设置后,基本上已经可以满足WSUS实验需求了。
2.使用注册表
在工作组环境下,显然没有在域环境下部署WSUS来得快。在客户机上一一设置组策略或是注册表显得的费力不讨好,解决办法是在一台客户机上的注册表里编辑好WSUS所需要的设置,将此设置导出成文件,再将此文件分别导入到其它客户机即可完成部署。
在Beijing服务器上,点击开始菜单—运行,在弹出的对话框中输入regedit点击确定,打开注册表编辑器。依次展开以下几项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate我们右侧的键值已经是刚才使用组策略编辑好了的,将此键值导出成文件,然后再在其他客户机上执行导入操作即可。我们在WindowsUpdate上点击右键,选择“导出”
![11](https://i-blog.csdnimg.cn/blog_migrate/48a0fcd42951770fd028977ce0efe568.jpeg)
如下图所示,我们选择将Windowsupdate分支导出成文件,文件名为C:\WSUS.REG。
![12](https://i-blog.csdnimg.cn/blog_migrate/ec3c5eb9bb6723c7a3edabb8313f65c3.jpeg)
然后我们只需将WSUS.REG文件利用电子邮件或文件服务器分发给其他用户,每个用户双击此注册表文件进行导入操作即可。
三、WSUS更新审批
好了,该配置的都已经差不多了,剩下的就差WSUS更新审批工作啦。默认情况下审批分为自动审批和手动审批两种方式,不论是那种审批方式都提供了很好的解决方案。
我们先来看看自动审批为我们提供的灵活的审批方式,在WSUS服务器主界面上点击双击Shanghai—选项—自动审批,即可看到自动审批的编辑界面
![13](https://i-blog.csdnimg.cn/blog_migrate/0fafef323ca30a9cf190f7b18d7d536b.jpeg)
我们可以根据实际生产环境很轻松的使用新建规则来编辑出新的自动审批规则
![14](https://i-blog.csdnimg.cn/blog_migrate/dd7add7279a8b7c9053f426bdb60b0c6.jpeg)
再来看看手动审批方式,点击更新,在中间界面的审批一项中选择未经审批,在状态一项中选择任何,点击刷新,稍等片刻我们会看到很多未经审批的更新补丁,任选其中一个,点击右侧的审批,在弹出的审批更新对话框中,我们可以看到,对每个组可以采取不同的管理策略,例如有的组批准安装,有的组只批准检测以及设置执行日期,管理起来非常灵活。
![15](https://i-blog.csdnimg.cn/blog_migrate/4b31ec92976afd07c907c733ca337547.jpeg)
![16](https://i-blog.csdnimg.cn/blog_migrate/183d706d85d20440c3bac0ba1368b2ad.jpeg)
好了,WSUS服务器端的设置已经基本完成,让我们去客户机上看一下吧。首先在客户机上可以运行gpupdate /force来加速组策略的生效,否则域成员服务器或工作站等候组策略生效可能最多需要90分钟。然后可以运行wuauclt /detectnow,这样客户机可以立即连接到WSUS服务器而不需要等待20分钟的延时,过程如下图所示。
![17](https://i-blog.csdnimg.cn/blog_migrate/9391810a7c14aead1e6152d4e023c356.jpeg)
等待一段时间后,客户机的右下角出现提示,告诉我们有一些更新需要安装,如下图所示,O(∩_∩)O哈哈~,WSUS开始工作了。
![19](https://i-blog.csdnimg.cn/blog_migrate/dc03cf511c7b9f9ee7fda7eb7332ebc3.jpeg)
安装过程如下图所示
![20](https://i-blog.csdnimg.cn/blog_migrate/ecc18daea8a90f065ad0ee4e86bec402.jpeg)
打开运行,输入CMD,打开命令提示符,输入systeminfo指令,我们可以查看刚刚安装的跟新补丁
![21](https://i-blog.csdnimg.cn/blog_migrate/74601b6b31ab84fe978f5e5740b74dd5.jpeg)
我们还可以再WSUS服务器上使用报表服务查看补丁的部署情况,点击报告我们可以在主界面中看到在更新报告一栏中有报表功能供我们使用
![22](https://i-blog.csdnimg.cn/blog_migrate/3735e5a0e8dd3add814f04d82eac2e49.jpeg)
我们选择其中任意一项,在弹出的报告页面中点击运行报告
![23](https://i-blog.csdnimg.cn/blog_migrate/5671d475c355fc400077c62712341180.jpeg)
稍等片刻就会为我们生成报告
![24](https://i-blog.csdnimg.cn/blog_migrate/28907f8341edf168d2821019ca33531a.jpeg)
WSUS的报告功能还有很多用法,在此我们就不一一列举了。
到此我们完成了WSUS的补丁分发,了解了WSUS的报表的使用。
转载于:https://blog.51cto.com/cyr520/162501