作为企业网络管理员,大家都知道补丁的重要性,特别是Microsoft的系统,经常需要更新补丁。打补丁的方法有很多,可以通过SMS、WSUS、以及一些第三方工具软件(比如360安全卫士)。这里我想谈的是使用免费的工具WSUS进行补丁服务器的部署,之所以选择WSUS,一方面因为它免费,另一方面,因为它是Microsoft出的工具,对Microsoft的兼容性比较好。下面我们就来看看具体的操作方法:
1.
WSUS
的安装
WSUS 3.0
服务器平台和要求:
Windows Server 2003 Service Pack 1
SQL Server 2005 SP1
、
SQL Server 2005 Express SP1
或
Windows® Internal Database
Microsoft .NET Framework 2.0
(
WindowsServer2003-KB867460-x86-chs-(Microsoft .NET Framework 2.0 Service Pack 1 for Windows Server 2003).EXE
)
Internet
信息服务
(IIS) 6.0
后台智能传送服务
(BITS) 2.0
(
WindowsServer2003-KB842773-x86-chs.exe
)
WSUS 3.0
管理控制台平台和要求:
Windows XP SP1
以上、
Windows Vista™
、
Windows Server 2003
管理控制台
(MMC) 3.0
(
WindowsServer2003-KB907265-x86-ENS.exe
;)
Microsoft Report Viewer
(
Microsoft Report Viewer Redistributable 2005
)
下载到的 WSUS3 是一个自解压并自动执行安装程序的压缩包,不过,建议先将其解压缩,这样做的好处是当执行安装程序时,如果系统检测组件有问题,我们就不必再次重新执行安装程序的解包过程。
执行安装程序自解包完成后,出现 WSUS3 的安装向导界面,点击 “ 下一步 ” 。
因为是全新安装并且要部署的是完整的 WSUS3 ,所以默认选择 “ 包括管理控制台的完整服务器安装 ” ,如果网络中已经存在 WSUS3 ,那么可以选择第二项只安装管理控制台。点击 “ 下一步 ” 继续。
安装向导准备安装并执行检测。
在许可协议这个界面选择 “ 我接受许可协议条款 ” ,并点击 “ 下一步 ” 继续。
配置 WSUS3“ 本地存储更新 ” :按自己的实际情况选择存储位置,点击 “ 下一步 ” 继续。
如果网络中已经存在
SQL
数据库服务器可以配置
“
使用远程计算机上现有的数据库服务器
”
。
因为我使用
WSUS
自带的
Windows internal Database
服务,所以保持默认。并点击
“
下一步
”
继续。注意:如果使用远程计算机上的数据库服务,我们需要事先在数据库服务器上创建
WSUS
数据库。
配置 WSUS 网站,选择默认的“使用现有 IIS 默认网站 ( 推荐 ) ”就可以了,不过,如果安装的服务器上的 IIS 默认网站已经使用,那么就要选择第二项了。点“下一步”继续。
完成配置向导后,系统会弹出一个对话框显示我们刚才的配置情况,确认没有问题,点击 “ 下一步 ” 开始安装。
点击“完成”,安装过程结束。
2. WSUS
配置
在点击完成安装后,系统会自动弹出 WSUS3 的配置向导,我们通过配置向导可以配置我们已经安装好的 WSUS 服务器,在配置向导中点击 “ 下一步 ” 。
在“加入 Microsoft Update 改善计划”对话框中选择是否加入 Microsoft update 改善计划,这个可以根据大家企业自身的情况进行选择。也可以不勾选“是的,我希望加入 Microsoft Update 改善计划 (M) ”。点“下一步”继续。
在“选择上游服务器”对话框中,如果企业中已经有一台 wsus 服务器了,那么可以指定从这台服务器进行同步,如果没有那么就要选择“从 Microsoft Update 进行同步”。点“下一步”继续。
在“指定代理服务器”对话框中,可以根据企业的实际情况,选择使用代理服务器。如果没有使用代理服务器则不用选择,点击“下一步”继续。
完成上述配置后,我们就可以在此界面点击 “ 开始连接 ” 与 Microsoft Update 通讯并取得下载更新信息,完成连接后点击 “ 下一步 ” 继续。
在“选择语言”对话框中选择我们需要下载哪种语言版本的更新,大家可以根据自己企业实际情况进行选择。点“下一步”继续。
在“选择产品”对话框中,列出了 Microsoft 所有产品的信息,大家可以根据自己企业的具体情况,选择需要下载的软件补丁包。 点击“下一步”继续。
在“选择分类”对话框中,可以选择我们需要下载哪些类型的补丁。点“下一步”继续。
配置同步计划,设置自动同步,考虑到带宽占用问题,所以选择晚上 12 : 00 进行同步。
OK ,到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行 WSUS 管理管制台并自动开始初始同步。点 “ 下一步 ” 获得额外的信息。
在“后续步骤”对话框中, Microsoft 对后续步骤进行了详细的说明,大家不妨打开这些链接看看。
3. WSUS
管理
1)打开
WSUS
的管理控制台,我们可以看到计算机状态信息和更新状态信息。
2
)点击
WSUS
服务器,我们还可以看到
wsus
服务器的一些信息。
3
)点击
“
更新
”
,可以看到补丁信息。
在“更新”目录下面,又按补丁类型进行了分类,我们可以按类别查看补丁。
4 )点击“计算机”,我们可以查看客户端计算机的相关情况。
5 )点击“同步”,我们可以看到 wsus 服务器同步的信息报告,同时也可以点击右面板上的“立即同步”进行手动同步。
6 )点击“报告”,我们可以通过报告查看 WSUS 运行情况。
7 )“选项”目录中,为我们提供了 WSUS 设置的相关选项,大家可以在这里对自己的 WSUS 进行设置,这里包含了之前我们配置向导中的所有内容。
我们可以设置规则,来执行自动审批。 不过,不建议使用自动审批,对于补丁最好还是由管理员手动审批。
我们还可以使用 wsus 的清理功能,解决日后磁盘空间占用的问题。
我们还可以使用电子邮件通知功能,通过它我们可以定期地将 WSUS 状态报告发送到管理员邮箱中,以便管理员及时了解相关信息。
4.
配置客户端计算机使用
WSUS
服务器进行更新
当
WSUS
服务器安装好以后,还需要配置客户端计算机通过
WSUS
服务器来进行自动更新。
我们可以通过组策略来配置客户端自动更新:
打开
Active Directory
用户和计算机,右击域,选择属性,在弹出的属性对话框,点击组策略标签,新建一条组策略;
将新建的组策略对象重新命名为
WSUS Policy
,然后点击编辑按钮;
在弹出的组策略编辑器中,打开“计算机配置
->
管理模板
->Windows
组件
->Windows Update
”,
配置以下选项:
1.
配置自动更新。
启用自动更新,选择“自动下载并计划安装”,并设置计划安装时间。如下图:
2.
指定
Intranet Microsoft
更新服务位置。
点击启动,并输入
htt://wsus
服务器名,如下图:
3
.
重新计划自动更新的计划安装
由于安装程序不一定每次都能正常进行,所以需要配置“重新计划自动更新的计划安装”,点启用,并设置等待时间,如下图:
4.
计划的自动更新安装后不自动重新启动
由于按照我们预定的补丁安装时间,用户可能正常操作电脑,而很多补丁安装后是需要重新启动的,如果不进行设置,补丁安装好后,系统会自动重启,这样会导致用户数据丢失,所以我们必须启用“计划的自动更新安装后不自动重新启动”。
5.
自动更新检测频率
启用“自动更新检测频率”,按默认设置为
22
小时就可以了。
6.
允许自动更新立即安装
启用“允许自动更新立即安装”。
7.
重新提示计划安装后的重新启动
启用“重新提示计划安装后的重新启动”,并设置提示等待时间,以提醒用户系统需要重启。
8.
允许非管理员接收更新通知
因为我们广大的用户权限都为非管理员,所以需要启用“允许非管理员接收更新通知”。
OK
,设置完成,关闭组策略编辑器对话框。
至此, WSUS 服务器部署完成。
至此, WSUS 服务器部署完成。
本文转自Tonyguo 51CTO博客,原文链接:,http://blog.51cto.com/tonyguo/174261如需转载请自行联系原作者
