利用WSUS 3.0进行补丁分发
 
 
在上一篇文章中我们完成了对WSUS3.0的安装以及其初步的配置部署,今天我们就来介绍如何利用WSUS3.0来对客户机进行补丁的分发.首先我们来看下今天的实验拓扑图:
WSUS 3.0 系列之二 补丁分发_第1张图片
如图所示FLORENCEWSUS.COM的域控制器,BEIJING WSUS3.0服务器.PERTH 为工作站.如下图所示WSUS服务器已经进行同步选项中对产品及类别进行了设置,也已完成了同步。我们接下来就要利用这个环境进行补丁分发。
WSUS 3.0 系列之二 补丁分发_第2张图片

首先我们来介绍下要完成补丁分发需要注意的几个要点
1、             WSUS对计算机的分组管理
2、             组策略的设置
3、             WSUS更新审批
了解了这些注意以后,现在我们来介绍具体的内容
WSUS分组管理
分组管理可以把WSUS客户机放入不同的组中进行管理,每个组可以有不同的补丁管理策略,这些对于管理工作的细化很有好处。如下图所示,WSUS安装时默认创建了两个组,一个是“所有计算机”组,一个是“未指定的计算机”组。默认情况下每个WSUS的客户机都会属于这两个组
WSUS 3.0 系列之二 补丁分发_第3张图片
我们来准备来创建两个组来完成今天实验。一个为TEST,一个为SYSTEM TEST 组用于测试补丁的客户机。右键点击上图中的“所有计算机”,选择‘添加计算机组’添加弹出对话框要求我们输入组名,如下图所示,我们为计算机组命名为SYSTEM。这样我们就创建出了一个计算机组,然后用同样的方法再创建一个名为“TEST”的计算机组。
WSUS 3.0 系列之二 补丁分发_第4张图片
在我们创建完计算机组后,如何来把客户机放入到我们刚才创建的两个组中呢?别着急,听我给大家慢慢道来。如下图所示,在你需要的计算机名字上右击选择‘更改计算机成员身份’就会出现和下图一样的对话框。这样就完成了计算机的分组情况
WSUS 3.0 系列之二 补丁分发_第5张图片
到目前为止,我们部署了 WSUS 服务器,创建了计算机组。但客户机如何知道哪台计算机是自己需要的 WSUS 服务器?要解决的这个问题就是我们下面要说的通过组策略来实现客户机自动从 WSUS 服务器上选择补丁更新!
 
 
组策略的设置:
如果在域环境下,用组策略是效率最高的方法。我们只要部署一个域级别的组策略,就可以轻松完成WSUS设置。在域控制器Florence上依次点击 开始-程序-管理工具-Active Directory用户和计算机,右键点击wsus.com域,选择属性。在属性中切换到组策略标签,如下图所示,选择默认组策略“Default Domain Policy”,点击编辑按钮。
WSUS 3.0 系列之二 补丁分发_第6张图片
在组策略编辑器中展开计算机配置-管理模板-Windows组件-Windows Update,如下图所示,在此我们可以进行WSUS相关策略的设置。
WSUS 3.0 系列之二 补丁分发_第7张图片
编辑“配置自动更新”策略,如下图所示,在此策略中我们选择启用自动更新,并且将自动更新模式配置为自动下载并通知安装,在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。
WSUS 3.0 系列之二 补丁分发_第8张图片
编辑“指定Intranet Microsoft更新服务位置”策略,如下图所示,在此策略中可以设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载,Intranet统计服务器提供报表统计,在此例中我们用一台服务器同时提供这两种服务。我们描述服务器可以使用Netbios名称,完全合格域名或IP
WSUS 3.0 系列之二 补丁分发_第9张图片
完成上述设置后,基本已经可以满足 WSUS 实验需求,其他策略我们就不一一列举了
 
WSUS 更新审批
做完了以上的配置现在我们就进入实质性的WSUS补丁分发管理。 上篇博文中我们对 WSUS 服务器进行的同步设置中规定了 WSUS 只能涉足 Win2003 平台下的安全更新和关键更新,这些更新必须经过 WSUS 服务器批准安装才能分发到客户机上。下图中我们可以看到已经
15 个更新的补丁得到批准安装在计算机上。那么这些操作具体是怎么进行的呢,下面我就来给大家介绍下:
WSUS 3.0 系列之二 补丁分发_第10张图片
 
如下图所示我们选中需要安装的补丁,点击右边的‘审批’选项,选择需要更新的计算机组这样就完成了补丁文件的审批工作
WSUS 3.0 系列之二 补丁分发_第11张图片
WSUS 3.0 系列之二 补丁分发_第12张图片
好了, WSUS 服务器端的设置已经基本完成,让我们去客户机上看一下吧。首先在客户机上可以运行 gpupdate /force 来加速组策略的生效,否则域成员服务器或工作站等候组策略生效可能最多需要 90 分钟。然后可以运行 wuauclt /detectnow ,这样客户机可以立即连接到 WSUS 服务器而不需要等待 20 分钟的延时,过程如下图所示。
WSUS 3.0 系列之二 补丁分发_第13张图片
做完以上的操作以后大家耐心的等待一段时间,客户机的右下角就会出现提示,告诉我们有新的更新需要安装,如下图所示客户机从WSUS服务器上找到了5个需要更新的补丁文件
WSUS 3.0 系列之二 补丁分发_第14张图片
安装过程如下图所示:
WSUS 3.0 系列之二 补丁分发_第15张图片
客户机如果想知道到底安装了哪些更新,可以输入命令systeminfo,如下图所示,客户机安装补丁的数量和名称都已经列出来了。
WSUS 3.0 系列之二 补丁分发_第16张图片
 
至此,我们完成了 WSUS 服务器的补丁分发.
 
管理员如果想了解补丁的部署情况,就可以使用WSUS3.0 强大的报表功能.由于WSUS 3.O有Microsoft Report Viewer 2005 SP1 的支持所以它的报表功能也比得2.0强大的多, 在这里我就不做过多的介绍了,大家可以在自己实验的时候多多体会!