作为市工信局两化重点融合的项目企业,其中申报了一项wsus系统,下面就该系统的搭建实战进行描述(文章里面参考了51CTO中的部分文章,再结合我的实战情况,进行描述)。
一、 WSUS安装前的准备
WSUS 3.0 服务器平台和要求:
Windows Server 2003 Service Pack 1或以上—必须
SQL Server 2005 SP1、SQL Server 2005 Express SP1 或 Windows® Internal Database(wsus安装的时候自带该数据库)
Microsoft .NET Framework 2.0 或以上--必须
Internet 信息服务 (IIS) 6.0或以上—必须
后台智能传送服务 (BITS) 2.0 (WindowsServer2003-KB842773-x86-chs.exe)--必须(服务)
Microsoft Management Console 3.0 Microsoft Report Viewer Redistributable 2008—必须
服务器要求能够上外网、内网
客户端要求:
Windows Server 2008 R2, Windows Server 2008 SP1 or later versions,
Windows Server 2003 SP2 or later versions, Windows Small Business Server 2003, 2005, or 2008, Windows Vista, Windows XP Professional RTM, SP1, SP2, SP3, or later versions, Windows 2000 SP4, or Windows 7 client.
二、 安装WSUS
下载到的WSUS3是一个自解压并自动执行安装程序的压缩包,不过,建议先将其解压缩,这样做的好处是当执行安装程序时,如果系统检测组件有问题,我们就不必再次重新执行安装程序的解包过程。
执行安装程序自解包完成后,出现WSUS3的安装向导界面,点击“下一步”。
因为是全新安装并且要部署的是完整的WSUS3,所以默认选择“包括管理控制台的完整服务器安装”,如果网络中已经存在WSUS3,那么可以选择第二项只安装管理控制台。点击“下一步”继续。
安装向导准备安装并执行检测。
在许可协议这个界面选择“我接受许可协议条款”,并点击“下一步”继续。
配置WSUS3“本地存储更新”:按自己的实际情况选择存储位置,点击“下一步”继续。
如果网络中已经存在SQL数据库服务器可以配置“使用远程计算机上现有的数据库服务器”。 因为我使用WSUS自带的Windows internal Database服务,所以保持默认。并点击“下一步”继续。注意:如果使用远程计算机上的数据库服务,我们需要事先在数据库服务器上创建WSUS数据库。
配置WSUS网站,选择默认的“使用现有IIS默认网站(推荐)”就可以了,不过,如果安装的服务器上的IIS默认网站已经使用,那么就要选择第二项了。点“下一步”继续。(iis不需要额外配置)
完成配置向导后,系统会弹出一个对话框显示我们刚才的配置情况,确认没有问题,点击“下一步”开始安装。
点击“完成”,安装过程结束。
三、 WSUS配置
在点击完成安装后,系统会自动弹出WSUS3的配置向导,我们通过配置向导可以配置我们已经安装好的WSUS服务器,在配置向导中点击“下一步”。
在“加入Microsoft Update改善计划”对话框中选择是否加入Microsoft update改善计划,这个可以根据大家企业自身的情况进行选择。也可以不勾选“是的,我希望加入Microsoft Update改善计划(M)”。点“下一步”继续。
在“选择上游服务器”对话框中,如果企业中已经有一台wsus服务器了,那么可以指定从这台服务器进行同步,如果没有那么就要选择“从Microsoft Update进行同步”。点“下一步”继续。
在“指定代理服务器”对话框中,可以根据企业的实际情况,选择使用代理服务器。如果没有使用代理服务器则不用选择,点击“下一步”继续。
完成上述配置后,我们就可以在此界面点击“开始连接”与Microsoft Update通讯并取得下载更新信息,完成连接后点击“下一步”继续。
在“选择语言”对话框中选择我们需要下载哪种语言版本的更新,大家可以根据自己企业实际情况进行选择。点“下一步”继续。
在“选择产品”对话框中,列出了Microsoft所有产品的信息,大家可以根据自己企业的具体情况,选择需要下载的软件补丁包。 点击“下一步”继续。
在“选择分类”对话框中,可以选择我们需要下载哪些类型的补丁。点“下一步”继续。
配置同步计划,设置自动同步,考虑到带宽占用问题,所以选择晚上12:00进行同步。
OK,到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行WSUS管理管制台并自动开始初始同步。点“下一步”获得额外的信息。
在“后续步骤”对话框中,Microsoft对后续步骤进行了详细的说明,大家不妨打开这些链接看看。
四、 WSUS 管理
1)打开WSUS的管理控制台,我们可以看到计算机状态信息和更新状态信息。
2)点击WSUS服务器,我们还可以看到wsus服务器的一些信息。
3)点击“更新”,可以看到补丁信息。
在“更新”目录下面,又按补丁类型进行了分类,我们可以按类别查看补丁。
4)点击“计算机”,我们可以查看客户端计算机的相关情况。
5)点击“同步”,我们可以看到wsus服务器同步的信息报告,同时也可以点击右面板上的“立即同步”进行手动同步。
6)点击“报告”,我们可以通过报告查看WSUS运行情况。
7)“选项”目录中,为我们提供了WSUS设置的相关选项,大家可以在这里对自己的WSUS进行设置,这里包含了之前我们配置向导中的所有内容。
我们可以设置规则,来执行自动审批。 不过,不建议使用自动审批,对于补丁最好还是由管理员手动审批。
我们还可以使用wsus的清理功能,解决日后磁盘空间占用的问题。
我们还可以使用电子邮件通知功能,通过它我们可以定期地将WSUS状态报告发送到管理员邮箱中,以便管理员及时了解相关信息。
五、 配置客户端计算机使用WSUS服务器进行更新
我们这是工作组状态,当WSUS服务器安装好以后,还需要配置客户端计算机通过WSUS服务器来进行自动更新。
需要在每台终端上运行gpedit.msc来启动组策略,进入“计算机配置->管理模板->Windows组件->Windows Update”。
配置以下选项:
1. 配置自动更新。
启用自动更新,选择“自动下载并计划安装”,并设置计划安装时间。如下图:
2.指定Intranet Microsoft更新服务位置。
点击启动,并输入htt://wsus服务器名或ip,如下图:
3.自动更新检测频率
启用“自动更新检测频率”,按默认设置为22小时就可以了。
OK,设置完成,关闭组策略编辑器对话框,运行gpupdate /force进行组策略的更新。
注:工作组的环境里,因为配置是需要用到管理员权限,于是就变成了逐台配置。
对单机的配置也可以用单机的组策略配置来实现,也可以采用修改注册表的方式来实现。因为单机的组策略配置反而麻烦,所以还不如修改注册表来的方便。(通过使用也发现,配置组策略也实际也是修改注册表。所以这2种方案实际是一样的。)
注册表的修改项包括:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
RescheduleWaitTime 重新计划自动更新计划后的等待时间
NoAutoRebootWithLoggedOnUsers 计划的自动更新安装后是否重新启动
NoAutoUpdate 启停自动更新
AUOptions 配置自动更新
ScheduledInstallDay 计划安装日期
ScheduledInstallTime 计划安装时间
UseWUServer 是否起用WSUS服务器
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
WUServer WSUS服务器
WUStatusServer 统计服务器
ElevateNonAdmins 是否允许普通用户审批更新
TargetGroupEnabled 是否设置目标组
TargetGroup 目标组名称
这上面简单的列举了些重要的注册表项。可能有些名称有些拗口。不过,这基本是从组策略里摘出来的,主要是为了引起一些简单的联想。实际上一看WSUS文档也就差不多了解了。
修改注册表的工作方式,完全可以采用形成一个注册表文件,然后放在单位内部网站上要求大家下载即可。
在客户端运新一下命令,客户端启动WSUS需要的2个服务
net start wuauserv ---启动windows自动更新服务(客户端如果不启动该项,在wsus服务端看不到该计算机)
net start bits ---启动后台传送服务Background Intelligent Transfer Service
至此,WSUS服务器及客户端部署完成。
六、 测试更新
为了测试更新效果,我们首先打开控制面版中的添加删除程序,选择显示更新,发现此时OFFICE2003没有更新。同时打开c:\windows\windowsupdate.log日志将其它清空。
在命令提示符下运行wuauclt /detectnow立即进行手动更新,点击右下角的提示图标,开始更新
等待更新结束。再打开控制面版,查看OFFICE2003更新,发现如下图
打开c:\windows\windowsupdate.log文件,发现如下类似信息
Success Software Synchronization Windows Update Client successfully detected 28 updates
BITS job initialized, JobId = {0342530B-5A84-4BC0-9318-1E6C27C0991E}2009-07-10 09:17:07:921 1048 630 DnldMgr * Downloading from http://wsusserver01/Content/94/7F113C5542B55AC1124DB50EDA51F9ADD9AD8A94.CAB to C:\WINDOWS\SoftwareDistribution\Download\026f98957a927869be143186a9cc58eb\RICHED20.CAB (full file).
也可以通过服务器上的WSUS管理控制台来查看有关信息。