Windows 2008 R2 SP1部署WSUS 3.0 SP2

1 实验环境

1)域:
域名为fengxja.com;

网段:192.168.0网段,不连接外网。
域功能级别和林功能级别为Windows server 2003模式。

2)DC服务器:
域控制器;
Windows2008 R2 SP1企业版;

主机名:DC01

5个操作主机角色服务器;

证书服务器;

DNS服务器IP地址为192.168.0.101;

IP地址为192.168.0.101。

3)WSUS服务器:

Windows2008 R2 SP1企业版;

主机名:WSUS01;

不加入fengxja.com域;

主机双网卡:

网卡一的IP地址为192.168.0.108;

网卡二的IP地址为DHCP自动分配,连接外网。

4)客户端:

Windows7企业版X86;

主机名:WIN701;

加入fengxja.com域;

DNS服务器IP地址为192.168.0.101;

IP地址为192.168.0.103。

2 安装WSUS SP2准备

1) 以本地管理登陆WSUS01服务器。

2) 安装Microsoft Report Viewer Redistributable 2008,下载链接:
http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=6ae0aa19-3e6c-474c-9d57-05b2347456b1

3) 运行Report Viewer.exe文件,下一步。
clip_p_w_picpath001

4) 接受协议,选择“安装”。
clip_p_w_picpath002

5) 选择“完成”。

6) 安装IIS组件。

7) 打开“服务器管理器”,选择“角色---添加角色”,选中“Web服务器(IIS)”,下一步。
clip_p_w_picpath004

8) 如果您要安装 Web 服务器 IIS,则在“Web 服务器 (IIS)”页中,单击“下一步”。在“Web 服务器 (IIS) 角色服务”页中,除了选中的默认设置外,还请选择“ASP.NET”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”。如果出现“添加角色向导”窗口,请单击“添加必需的角色服务”。单击“下一步”。
clip_p_w_picpath006

9) 选择“安装”。

3 安装WSUS

1) 下载WSUS30-KB972455-x64补丁包,执行安装。

下载链接:http://www.microsoft.com/downloads/en/details.aspx?FamilyID=A206AE20-2695-436C-9578-3403A7D46E40

2) 运行WSUS30-KB972455-x64安装包。

3) 下一步。
clip_p_w_picpath007

4) 选择“包括管理控制台和完整服务器安装”,下一步。
clip_p_w_picpath009

5) 接受协议,下一步。
clip_p_w_picpath011

6) 选择“本地存储补丁”,默认存储本地C:\WSUS,下一步。
注意:如果更新的补丁较多,建议放在一个单独分区中。
clip_p_w_picpath013

7) 选择“在此计算机安装windows Internal Database”,下一步。
clip_p_w_picpath015

备注:

①在“数据库选项”页中,选择用于管理 WSUS 3.0 数据库的软件。默认情况下,此安装向导将安装 Windows 内部数据库。

②如果不希望使用 Windows 内部数据库,需选择“使用此计算机上的现有数据库”或“使用远程计算机上的现有数据库服务器”为 WSUS 提供要使用的 SQL Server 实例。在相应的框内键入实例名。该实例名应显示为 <serverName>\<instanceName>,其中 serverName 是服务器的名称,instanceName 是 SQL 实例的名称。进行选择,然后单击“下一步”。然后在出现“连接到 SQL Server 实例”页中,WSUS 将尝试连接到指定的 SQL Server 实例。当它已成功连接后,单击“下一步”继续。

8) 网站首选项,选择使用现有IIS默认网站,下一步。

说明:在“网站选择”页中,指定 WSUS 将使用的网站。如果希望在端口 80 上使用默认网站,则选择“使用现有 IIS 默认网站”。如果端口 80 上已有一个网站,可以通过选择“创建一个 Windows Server Update Services 3.0 SP2 网站”,在端口 8530 上创建一个备用网站。单击“下一步”。
clip_p_w_picpath017

9) 下一步。
clip_p_w_picpath019

10) 等待安装完成,点击完成。

4 同步WSUS

1) 安装完成后,自动打开配置向导,点击下一步。
clip_p_w_picpath021
注意:
配置前网络准备:

① 检查WSUS服务器的防火墙配置为允许客户端访问服务器

②WSUS连接到上游服务器(如 Microsoft Update)。

③如果需要设置代理服务器,是否需要名称和用户凭据

④如果 WSUS 和 Internet 之间设有企业防火墙,要从 Microsoft Update 获取更新,WSUS 服务器将端口 80 用于 HTTP 协议,而将端口 443 用于 HTTPS 协议,需要保证这些端口可以访问,可以加入以下微软更新网站:

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

2) 选择“不加入客户端体验计划”,下一步。

clip_p_w_picpath023

3) 保持默认,下一步。
clip_p_w_picpath025

4) 保持默认,下一步。
clip_p_w_picpath027

5) 选择“开始连接”。
clip_p_w_picpath029

6) 等待连接完成后,选择下一步。

7) 选择要适用的语言,这里选择“中文(简体)”点击“下一步”。
clip_p_w_picpath031

8) 选择需要更新的产品(这里为了测试,只选择Office2010和Window 7),然后“下一步”。
clip_p_w_picpath033

9) 选择要下载的更新分类(这里按默认即可),点击下一步。
clip_p_w_picpath035

10) 选择手动同步(真实部署环境可以选择自动同步,单独设置同步周期),下一步。
clip_p_w_picpath037

11) 保持默认,下一步。
clip_p_w_picpath039

12) 点击“完成”。
clip_p_w_picpath041

13) 完成后,自动打开WSUS界面,可以查看同步进度(等待同步100%后)。
clip_p_w_picpath043

5 配置域用户WSUS服务器

注意:本步骤为域用户通过组策略统一设置WSUS服务器。如果不是域用户,而是单独的工作组用户,可以通过本地组策略来设置。

1) 以域管理登陆DC01服务器。

2) 打开“Active Directory 用户和计算机”。

3) 右键选择新建“组织单元”。
clip_p_w_picpath045

4) 新建名为WSUS的组织单元。
clip_p_w_picpath046

5) 找到“计算机(Computer)”中需要设置策略计算机名,这里为WIN701,右键选择“移动”。
clip_p_w_picpath048

6) 选择“WSUS”,确定。
clip_p_w_picpath049

7) 打开“管理工具---组策略管理”,找到“林---域---fengxja.com---WSUS”
clip_p_w_picpath051

8) 单击WSUS,右键选择“在这个域中创建GPO并在此处连接”
clip_p_w_picpath053

9) 输入新建GPO名称,点击确定。
clip_p_w_picpath055

10) 右键选择新建的GPO,然后选择“编辑”。
clip_p_w_picpath057

11) 在 GPMC 中,依次展开“计算机配置---策略---管理模板---Windows 组件”,然后单击“Windows Update”。
clip_p_w_picpath059

12) 在详细信息窗格中,双击“配置自动更新”。
clip_p_w_picpath061

13) 单击“已启用”,选择更新日期和时间,然后确定。
clip_p_w_picpath063
说明:

①通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。

②自动下载并通知安装。该选项自动开始下载更新,然后在安装更新之前通知已登录的管理用户。

③自动下载并计划安装。此选项自动开始下载更新,并在您指定的日期和时间安装更新。

④允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如,他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。

14) 在“Windows Update”详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。
clip_p_w_picpath065

15) 单击“已启用”,然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中统一键入WSUS 服务器的 HTTP URL,这里都为http://WSUS01/
clip_p_w_picpath067

16) 选择“自动检索更新的频率”,将“间隔”设置为默认22小时,设置为“已启用”。
clip_p_w_picpath069

17) 选择“允许自动更新立即安装”。
clip_p_w_picpath071

18) 选择“启用”,确定。
clip_p_w_picpath073

19) 以域用户身份登陆客户端WIN701主机。

20) 在运行中输入“gpupdate /force”,强制刷新组策略。

21) 打开“Windows update----更改设置”,查看当前状态。如下图,说明组策略已经生效。
clip_p_w_picpath075

6 管理更新补丁

1) 以本地管理员登陆WSUS01服务器。

2) 打开“管理工具---Windows Server Update Services”。

6.1 创建和管理计算机组

注意:此步骤,可以将客户端进行分组,用于区分客户端不同操作系统版本、不用用途等。(可选)

1) 选择“Updtae Services---WSS01---计算机”,右键单击“所有计算机”,选择“添加计算机组”。
clip_p_w_picpath077

2) 输入组名,然后点击“添加”。
clip_p_w_picpath079

3) 选择“Updtae Services---WSS01---计算机---所有计算机---未分配的计算机”,右键选择需要更新补丁的客户端主机名,这里为win701.fengxja.com,选择“更改成员身份”。
clip_p_w_picpath081

4) 选择“WIN7”组,确定。
clip_p_w_picpath082

6.2更新补丁

1) 选择“Updtae Services---WSS01---更新---所有更新”,在“所有更新”详细信息页面,选择“未经审批”和“任何”,然后点击“刷新”。
clip_p_w_picpath084

2) 根据需要选择需要更新的补丁,然后选择WIN7组。
clip_p_w_picpath085

3) 选择“已审批进行安装”
clip_p_w_picpath086

4) 点击“确定”。
clip_p_w_picpath087

5) 点击关闭。
clip_p_w_picpath088

注意:以上步骤执行完成后,客户端不会立即安装补丁,而是按组策略规定时间安装补丁。