WSUS:windows server update services,是微软推出的一款补丁服务器,可以依据具体环境搭建WSUS服务器,有效解决公司内部网络中不同版本的windows客户端计算机面对众多系统补丁不知所措,同时强制客户端重启时安装补丁避免客户端计算机遭受攻击的危险,以及大量客户端下载补丁造成的带宽浪费现象。以下就WSUS及其配置使用做一简单介绍。
WSUS补丁服务器部署在企业中,可以有以下几种部署拓扑:
单服务器拓扑:利用一个WSUS服务器从微软的更新网站下载补丁,然后负责将补丁发给内网用户。为大多数中小公司的最佳选择。
链式拓扑:定义了上游服务器和下游服务器,上游服务器可以直接连接到微软的更新网站,下游服务器则只能从上游服务器下载更新。此类拓扑为总公司/分公司的管理模型中常见。考虑到性能因素,链式拓扑很少超过三层。
分离式拓扑:指与互联网隔离的网络内,WSUS服务器无法从微软网站进行补丁更新,只能先用一个能连接互联网的WSUS服务器下载所需补丁,然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁下载。此拓扑常用于保密无法连入公网单位。
对WSUS进行安装之前必须安装IIS5.0版本以上,net frame works1.1、BITS2.0(后台智能传送服务),或者安装SP1补丁(无需安装BITS和NET补丁)安装时须具备以下条件:
WSUS2.0SP1要求系统分区至少应有1G的剩余空间,WSUS的更新文件需要至少6G空间,WSUS的元文件至少需要2G空间。更新文件是安装补丁时所需要的二进制文件,元文件则负责提供更新文件的信息,更新文件存储在目录中,元文件存储在数据库中。建议将WSUS数据安装在非系统分区,且至少准备8G剩余空间。
WSUS的后台数据库为SQL2000,MSDE或WMSDE。WSUS安装时自带了WMSDE, MSDE和WMSDE的区别在于MSDE有最大不能超过2G的限制,而WMSDE没有。MSDE和WMSDE都没有提供管理工具,如需要管理工具,可以考虑安装SQL2000+SP3作为WSUS的后台数据库,也可以在WMSDE或MSDE的基础上加装一个SQL2000管理工具。建议如无特殊需求,使用WSUS自带的WMSDE数据库即可。
安装步骤:
下载补丁的设置:
安装完成后,出现下图界面;
单击页面右上角的“选项”,可以对WSUS进行设置,如图,单击“同步选项”;
在产品和分类的选项中,单击“产品‘所有windows’产品”更改,可以对需要更新的补丁进行选择;
如图所示:
单击“更新分类‘更改’”如下图所示;可以设置下载何种更新;
默认下载安全更新程序和关键更新程序。
在“同步选项”中的更新文件和语言选项中,单击“高级”,如图:
可以在里面做更详细的设置,如图所示:
对WSUS进行简单的设置之后,点击页面上的“立即同步”, 即可使用WSUS同步微软的更新补丁进行下载;
客户端补丁分发:
补丁更新完毕后,可以对客户端进行分发,可以将客户端设置成不同的分组,对不同的分组进行不同的补丁分发,单击“计算机”,默认情况下创建了两个组,所有计算机,和未指定的计算机;默认情况下每个WSUS的客户端都属于这两个组。
单击“创建计算机组”,弹出“创建计算机组”,添加到服务器中的新计算机组的名称;
单击确定,在“组”中便出现了刚创建的计算机组;然后将客户端计算机添加到“组”中,单击 选项-》计算机选项;
此处提供了两个将客户端加入到组中的方法,如图所示;
若计算机较少,则选择“使用WSUS中的移动计算机任务”,若计算机较多,则“选择组策略或注册表设置”更为有效。点击保存设置让更改生效。
使用组策略或者注册表进行设置:
域环境下,单击AD用户和计算机,右击域名属性,切换到组策略选项,如图所示;
单击default domain policy单击编辑,弹出组策略编辑器,展开计算机配置-管理模板-Windows组件-Windows Update,
编辑“配置自动更新”策略,选择启用自动更新,且将自动更新模式配置为自动下载并通知安装,在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。
编辑“指定Intranet Microsoft更新服务位置”策略,在此策略中设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载,Intranet统计服务器提供报表统计,描述服务器可以使用Netbios名称,完全合格域名或IP。
输入WSUS服务器的地址(不可输入域名)
编辑“允许客户端目标设置”策略,选择“已启用”输入WSUS客户端要加入的组;
三个策略基本可以满足WSUS客户端的配置需求。
注册表在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\ WindowsUpdate中,可以设定,如图,右击windowsupdate,单击导出,
如下图所示,将Windowsupdate分支导出成文件,
可以实现在注册表中设置客户端指定WSUS服务器,
工作组中使用此注册表导入可以实现客户端导入/导入注册表的方法对WSUS服务器的设置。实现快速对WSUS客户端的设置。
下文将介绍WSUS补丁服务器的分发补丁的过程。