管理WSUS-->备份WSUS: 工具-->NTBACKUP
备份内容-->WSUS数据库: 更新元数据 WSUS服务器配置信息 客户计算机,更新的相关信息 %systemdrive%\WSUS\MSSQL$WSUS\Data %systemdrive%\WSUS\MSSQL$WSUS\Log
更新文件-->若存储于Microsoft Update,无须备份。 %systemdrive%\WSUS\WSUSContent
如何将WSUS服务器上的WsusContent这个文件夹从旧位置(C:\WSUS)移动到新位置(D:\)呢?
在命令提示符里面输入cd \按回车键--输入cd "Program Files"按回车键--输入cd Update Services按回车键--输入cd Tools按回车键--输入wsusutil movecontent d:\ d:\move.log按回车键--打开D盘--可以看到WsusContent这个文件已经被移动过来了 但是它不并删除C:\WSUS里面的WsusContent这个文件夹 你需要手动删除它
设计WSUS部署: 选择管理类型-->见下图:
加固WSUS部署: 加固运行WSUS的Windows Server 2003-->加固Windows Server 2003 组件,如: IIS...
加固SQL Server 2000
添加AD域环境中链接的WSUS服务器间的身份验证: 创建身份验证列表-->%Program Files%\Update Services\WebServices\Serversyncwebservice\Web.config
配置IIS虚拟目录 - ServerSyncWebService - 集成Windows 身份验证
<configuration>
<system.web>
<authorization>
<allow
user="domain\computer_name,domain\computer_name"/>
<deny users="*"/>
</authorization>
</configuration>
</system.web>
SSL: SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
WSUSAdmin
ClientWebService
Content
ReportingWebService
SelfUpdate
配置WSUS客户端: 客户端组件需求-->Windows 2000 Professional + SP3/SP4 Windows 2000 Server + SP3/SP4 Windows 2000 Advanced Server + SP3/SP4 Windows XP Professional/ + SP1/ +SP2 Windows Server 2003, Standard Edition Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition Windows Server 2003, Web Edition/ + SP1
更新WAU(Windows Automatic Update): 更新到WSUS Client-->Windows XP SP2 自动更新(Windows 2000 + SP3/SP4, Windows XP + SP1/SP2, Windows Server 2003/ + SP1)
配置WAU的方法: AD域环境-->GP
(非AD域)工作组环境: Gpedit.msc-->Wuau.adm
Regedit.exe
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
使用注册表配置WAU: TargetGroupEnabled Reg_DWORD 1|0
-->TargetGroup Reg_String
WUServer Reg_String
WUStatusServer Reg_String
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate Reg_DWORD 0|1
AUOptions Reg_DWORD 2|3|4|5
-->ScheduledlnstallDay Reg_DWORD
0|1|2|3|4|5|6|7
ScheduledInstallTime Reg_DWORD 0~23
DetectionFrequencyEnabled Reg_DWORD 0|1
-->DetectionFrequency Reg_DWORD 1~22
NoAutoRebootWithLoggedOnUsers
Reg_DWORD 0|1
配置WSUS客户端: wuauclt.exe-->wuauclt.exe /detectnow
wuauclt.exe /resetauthorization /detectnow
迁移SUS到WSUS-->概览: 不可升级SUS到WSUS
可以利用WSUS计算机组功能,整合SUS服务器;
更新及批准可迁移
工具-->WSUS install drive: \Program Files\Update Services\Tools\Wsusutil migratesus
迁移SUS到WSUS: 两种迁移情景-->见下图:
迁移SUS到WSUS-->注意事项: 迁移前同步WSUS 语言选项一致 迁移是单向的 迁移会覆盖掉当前WSUS服务器上的批准更新 迁移操作时,SUS处于非同步状态 执行远程迁移时,应共享Contents所在文件夹,并赋予相应权限。
不使用网络连接的情况下同步WSUS服务器-->操作步骤: Step 1: 匹配高级同步选项-->快速安装文件 语言
Step 2: 复制更新文件系统-->WSUSInstallationDrive:\WSUS\WSUSContent Ntbackup.exe或其它备份工具
Step 3: 复制元数据-->Wsusutil.exe-->Export Import(wsusutil export e:\e.cab e:\e.log 把e.cag文件从可以更新的WSUS服务器上拷贝到不可以更新的WSUS服务器上 然后执行Import e:\e.cab e:\e.lob这个命令就ok了)
不使用网络连接的情况下同步WSUS服务器-->注意事项: 以复制模式运行的WSUS服务器不可以执行导入 文件系统的复制先于元数据的导入操作(将有更新的WSUS服务器上的WsusContent这个文件夹覆盖到没有更新的WSUS服务器上的WsusContent这个文件夹里面) 若源WSUS服务器搭建在Windows 2000上,目标WSUS服务器搭建于Windows Server 2003上,需赋"Full Control"权限给"Network Service"; 导入信任源数据 需要时间可能较长(3~4小时),应有耐心。
WSUS排错: 安装问题-->确认软、硬件满足安装需求:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx
使用WMSDE安装WSUS(RC)时,可能失败:
http://go.microsoft.com/fwlink/?Linkld=48007
"Server"服务未运行将导致安装失败:
http://go.microsoft.com/fwlink/?Linkld=48009
WSUS排错: 不能够访问WSUS控制台: "拒绝访问"-->Stand-Alone Server/Member Server: 管理员组成员或WSUS管理员组成员
DC-->域管理员组
超过错误消息-->Antivirus software对WSUS Contents的实时监控
WSUS排错: 更新存储问题: 罗列在WSUS控制台中的更新与本地文件夹中的Contents不匹配-->Wsusutil reset
WSUS排错: 同步问题: 检查代理服务器设定
检查上游WSUS服务器的名称-->拼写错误 名称解析问题
检查更新存储选项的一致性
确认用户及网络服务对本地更新存储目录至少有读权限
检查上游WSUS服务器上更新的有效性
确认BITS服务启动。
WSUS排错: 更新批准问题: 客户端没有拿到新的批准-->新的批准大约一分钟后有效
WSUS管理服务器同以复制模式运行的WSUS服务器上的更新批准不一致-->Wsusutil listinactiveapprovals Wsusutil removeinactiveapprovals
WSUS排错: 客户端计算机未出现于WSUS控制台: AU未更新-->约20分钟
WSUS排错: 服务问题-->SQL Service Web Service Update Service BITS
WSUS排错: 确认客户端软件可以自动更新
确认客户端指向WSUS服务器
检查WSUS服务器上的selfupdate树-->TCP 80 Web Site
cscript WSUSInstallationDrive:\program files\updateservices\setup\InstallSelfupdateOnPort80.vbs
查看IIS日志-->%systemroot%\system32\LogFiles\W3SVC1
检查网络客户端同WSUS服务器的连通性-->http://WSUSServerName/iuident.cab
http://WSUSServerName/selfupdate/AU/x86/osvariable/languagevariable/wuaucomp.cab
查看客户端更新日志-->%windir%\windows update.log
WSUS排错: 计算机没有出现在相应的计算机组-->确认目标计算机名与WSUS上的计算机组名一致
等待1小时或使用wuauclt.exe /resetauthorization /detectnow
本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/161325