作者:冰點陽光
網址:http://baohua.me/system-architecture/wsus-client-configure-record/
在生產環境中,一般都不會將所有的機器直接跟外網的機器進行通信的,一方面可以減少外來的攻擊,保證服務器的安全性,另一方面可以節省IP地址和帶寬資源。
在內網中搭建好了WSUS補丁更新服務器,對於加入了域的主機來說,只需要在域服務器上配置對應的組策略就可以了,而對於沒有加入域的主機,就需要單獨的配置,所以一般都建議將機器加入域來進行統一管理。
相對來說Windows server 2008的AD配置組策略要比Windows server 2003的AD組策略配置更加符合操作習慣。如果機器沒有加入域,則需要單獨的配置客戶端,接下來介紹沒有加入到域中的機器WSUS客戶端配置。
首先在運行中輸入:gpedit.msc 打開計算機本地組策略編輯器,其次選擇計算機配置,在計算機配置中選擇模板管理。
在模板管理中,選擇window組件,之后選中Windows Update組件
在Windows Update組件中選擇<配置自動更新>將其改為<已啟用>狀態
配置自動更新監測頻率,一般啟用,並設置為默認22小時即可。(可根據實際需求進行更改)
指定Intranet Microsoft更新服務位置,地址為內網搭建的WSUS服務器的IP地址,圖中僅做示例演示。
配置客戶端,允許客戶端目標設置,該選項配置之后,客戶端將自動分類到WSUS服務器端創建的計算機組中去。
配置完畢之后,使用wuauclt.exe /detectnow命令進行同步更新。
此時,我們可以在WSUS服務端看到客戶端機器。
在我們部署過程中,客戶端檢查已經完成了所有的更新,但WSUS服務端還是未能顯示百分之百全部更新。 我們可以在客戶端使用wuauclt.exe /reportnow命令進行強制刷新報告。
在Windows 2008 域中,直接在domain組策略中可根據上面步驟進行配置即可,跟單獨客戶端機器配置沒什么區別,但在Windows 2003域中,需要在域管理器中,選擇域名之后編輯組策略方可進行編輯。
一般在域中配置好組策略之后,可使用rsop.msc命令進行查看域組策略是否生效。
–EOF–