WinSrv2012R2搭建使用WSUS
一:WSUS 概述
1.为什么要使用WSUS进行系统更新:
传统Windows系统获取更新方式:
-
手动连接microsoft update网站。
-
通过windows系统的自动更新功能。
然而以上两种方式对企业内部来说,都可能会有以下缺点:
-
影响网络效率:如果企业内部每台计算机都自行上网更新,将会增加对外网络的负担。
-
与现有软件相互干扰:如果企业内部使用的软件与更新程序发生冲突,可能会影响该软件或更新程序的正常运行。
WSUS可以完美的解决上述问题:
-
WSUS服务器集中从Microsoft update网站下载更新程序,节省对外带宽并提高内网主机更新速度。
-
创建测试计算机组,将新补丁部署到测试计算机组,没有问题再应用到业务计算机组内,避免软件和更新程序冲突(通过审批程序)。
2.WSUS部署方式有哪些:
WSUS服务器可以单台部署也可以多台部署,当多台部署时架构如下:
上游WSUS服务器从microsoft 网站获取更新程序,而下游服务器是从上游的服务器来获取程序(并不直接连接Microsoft网站),此架构中WSUS服务器有两种工作模式:
-
自治模式:上游WSUS服务器会与下游服务器共享更新程序,但不共享审批状态和计算机组信息。因此下游服务器必须自行决定是否要审批这些更新程序与自行创建所需的计算机组。
-
副本模式:上游服务器会与下游服务器共享更新程序,更新审批与计算机组信息。下游服务器不能更改审批状态,计算机组等信息。
-
注意,上述计算机组信息只有计算机组本身而已,并且不包含计算机组的成员。
3.WSUS的几个工作特点:
-
延期下载更新程序:
WSUS允许你延期下载更新程序文件,也就是WSUS服务器会先下载更新程序的metadata,之后再下载更新程序文件。更新程序文件只有在你审批该程序后才会被下载,这种方式可以节省带宽与WSUS服务器的硬盘空间使用量。Microsoft建议你采用延迟下载更新的方式,也就是默认值。 -
使用快速安装文件:
客户端计算机要安装更新程序时,此计算机内可能已经有该更新文件的旧版本,这个旧文件和新更新之间的差异可能不大。如果客户端能够只下载新版与旧版之间的差异,然后利用将差异合并到旧文件的方式来更新,可以减少从wsus服务器下载的数据量,降低企业内部网络的负担。但是采用这种方式,WSUS服务器从Microsoft网站下载的文件会比较大,因为此文件内必须包含新更新程序和各旧版自己的差异,因此WSUS服务器在下载文件时会占用对外的网络带宽。
二:WSUS 搭建
1.确保服务器 IP 和 dns 配置正确,修改主机名并成功加入域:
2.使用本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。在“服务器管理器”中单击“添加角色和功能”:
3.在“服务器角色”页上选择 Windows 更新服务(勾选后会弹出“添加功能”对话框,选择添加),点击下一步继续:
4.在“选择功能”页使用默认选择即可,点击下一步继续:
5.在“WSUS角色服务”页选择“WID数据库”和“WSUS服务”选项,点击下一步继续:
6.在“内容位置选择”页上,键入有效的位置以存储更新(存储更新的位置可以是WSUS的本地路径,也可以放到UNC共享里面),然后单击下一步继续“
7.在“Web服务器角色服务”页使用默认选择即可,点击下一步继续:
8.确认你要安装的所有内容。确认无误后进行安装:
9.在“安装进度”页上,单击“启动后安装任务”,并等到此任务顺利完成,然后单击关闭:
三:WSUS 配置
1.在“服务器管理器”导航窗格中,单击“工具”,然后单击“Windows Server Update Services”:
2.在“更新服务”-“WSUS”-“选项”中选择“WSUS服务器配置向导”(WSUS第一次使用会自动弹出):
3.在配置向导的“选择上游服务器”页,可选择将更新与 Microsoft 更新或其他 WSUS 服务器同步:
4.可以根据需要来配置“代理服务器”:
5.点击“开始连接”,WSUS服务器会跟上游服务器进行通信,可能需要几分钟具体根据网络情况而定:
6.在“选择语言”页上,你可选择 WSUS 将收到更新的语言,根据实际情况这里只选择“英文”和“简体中文”:
7.在“选择产品”页,指定希望更新的产品:
8.在“选择分类”页,指定要同步的更新分类:
9.设定“同步计划”,可以配置手动同步和自动同步:
10.在“完成”页上,你可通过选择“开始初始同步”对话框,即时启动同步,单击下一步或完成来结束该向导并完成初始设置:
11.在WSUS控制台中,点击“同步”视图,可以查看同步过程如图所示:
12.可以做控制台的“选项”视图中,对WSUS服务器进行配置修改获取重新执行配置向导:
四:配置组策略自动更新(适用于加入到域的主机)
1.新建一个名称为WSUS的组策略对象GPO,并应用于整个域(或者直接修改Default Domain Policy):
2.编辑WSUS组策略,依次展开“计算机配置”—>“策略”—>“管理模板”—>“Windows 组件”—>“Windows 更新”:
3.配置自动更新:
4.指定intranet microsoft 更新服务位置,填写更新服务器地址,后面必须加上端口号(HTTP-8530,HTTPS-8531):
5.可以根据需求设置自动更新检测频率,默认22小时:
6.对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,我们可以配置启用“允许自动更新立即安装”:
7.可以启用“对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,而不会强制重启:
8.设置完成后,使用命令gpupdate/force更新组策略,但在WSUS管理控制台中还是看不到客户机,正常需要等待大约20分钟后才能看到客户机。可以在客户机上执行wuauclt/detectnow命令。
查看windows update的配置,已经显示:某些设置由你的组织来管理
在服务的计算机列表中,可以新建一个“测试组”里面包含几个不同操作系统的计算机,这样可以首先更新这些计算机,测试没问题后,再大面积审批推广更新,确保万无一失!
四:配置本地组策略自动更新(适用于没有加入域的主机)
要正常使用自动更新,您需要启用Automatic Update服务,并且不禁用Background Intelligent Transfer Service服务。
1.使用本地组策略编辑器
使用命令gpedit.msc打开本地组策略编辑器,依次展开“计算机配置”—>“策略”—>“管理模板”—>“Windows 组件”—>“Windows 更新”:
2.使用注册表自动导入(适用于没有本地组策略编辑器系统)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate/AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000002
"ScheduledInstallDay"=dword:00000000
"UseWUServer"=dword:00000001
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate]
"WUServer"="http://wsus.test.com"
"WUStatusServer"="http://wsus.test.com"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="reg"
3.启用Windows Update服务,并且不能禁用Background Intelligent Transfer Service服务:
