这里我们先了解下WSUS更新的途径
1、单WSUS服务器环境
企业网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序(称之为:同步),并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。如图所示:
2、链式WSUS服务器环境
WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器
3、和Internet断开的WSUS服务器环境
部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图所示。
前两种方法配置相对简单,在这里我们来针对在与外网断绝的情况下如何配置WSUS。
配置一台安装了WSUS的服务器exter_serv。
配置一台服务器(update.passmyeye.local),系统:windows server 2003 Enterprise EN SP1,IP:192.168.10.16/24。配置成域控制器,域名为:passmyeye.local。并且安装上IIS。
还需配置一台客户端(client.passmyeye.local),系统:windows XP SP2,IP:192.168.10.107。把客户端加入到域passmyeye.local中。
完成以上准备工作后,再update上安装WSUS。
先从微软网站上下载WSUS,目前最新版本是3.0。可到:http://technet.microsoft.com/en-us/wsus/default.aspx注册免费下载。
注意:安装WSUS前必须先安装上IIS6
开始安装如图:
按要求,存放补丁的空间要大于6G,否则不能正常安装上。
默认要安装桌面数据库程序。如果之前没有安装SQL,在这里就必须安装上去。
默认使用80端口。
第一次安装WSUS,这里默认选择。如果企业比较庞大,而且再次增加WSUS服务器,可以选继承父服务器,用于配置分布式WSUS。
安装完成后打开http://update/wsusadmin。显示wsus管理界面。
目前没有更新任何补丁,所以,总数显示为0。
接下来到服务器exter_serv。这台服务器直接连接外网,用于下载补丁。然后导出补丁。
如图
把所需的补丁都批准安装。这里,本人方便演示只下载windows xp的critical和security补丁。这些补丁都会被保存到安装目录中的Wsuscontent文件夹中。
单击Options,接着单击Synchronization Options。
选择需要下载何种语言的补丁。这里,我选择仅下载English。
这个细节对于一会的导入很重要。因为导入和导出的服务器在这个设置上一定要一样,而其他的设置可以不同。
对于已经更新好了补丁的服务器exter_serv来说,需要导出到磁介质中,例如光盘或移动硬盘上。
在cmd中,使用wsusutil工具导出信息元。
导出的时间据补丁的多少而定。导出后的文件为expo.cab文件。
完成命令后就要把expo.cab文件和wsuscontent文件夹一起复制到update.passmyeye.local的服务器上。
第一步,把wsuscontent文件夹中的内容全部复制到E:\wsus\wsuscontent\中。
紧接着,把expo.cab复制到E:\下
接下来开始导入
同样用到wsusutil命令。在update的cmd中输入如下:
等待一会后完成命令。结束补丁的导入工作了。
打开wsus管理器,显示补丁已经导入。
接下来就开始发布补丁。
单击Updates。选择相应的选项发布。
由于我这只同步了windows xp的 ciritical和security补丁,所以这里更新这两类补丁。
这里要说明下,注意Status页,如果补丁批准安装,需要等待一会。状态由没有安装转变到正在下载,最后到准备安装。如果wsuscontent中没有这个更新,则将不能到Ready for instanllation状态。
接下来就是修改AD的组策略。这将直接影响域内的更新服务器。如下图
如果传递完成,在域成员的升级程序中的选项将不再可用。如下图。
这个过程要一会,可以通过重启的方式加速更新组策略。
完成WSUS服务器的设置后,回到客户端电脑client.passmyeye.local。过一会就会弹出更新下载的提示泡。
这里的更新是xp自动从WSUS上获取,可以通过手动启动搜索更新。
输入wuauclt /detectnow命令即可。
这里,有必要对 .local 域名作些注解。
.local 不是一级域名。所以在上面的实验中client是不能更新的。为了能让内网更新,就要修改DNS的属性。
需要在root中添加.local。
打开DNS管理器,右击服务器update,单击属性。如图所示。
设置完成后客户端即可正常更新。
好了现在完成内部的部署。这个部署仅仅是为了了解如何在于外网隔绝的环境中实现打补丁。其中还有很多需要设置。如SSL,分组更新等。这个由读者自己实践。