Windows server 2012 R2 部署WSUS補丁服務
一、WSUS 安裝要求
1、硬件要求:
對於多達 13000 個客戶端的服務器,建議使用以下硬件:
* 4 Core E5-2609 2.1GHz 的處理器
* 8 GB 的 RAM
2、軟件要求:
要使用默認選項安裝 WSUS,必須在計算機上安裝以下軟件。
* Microsoft Internet 信息服務 (IIS) 6.0。
* 用於Windows Server 2012 R2 的 Microsoft.NET Framework 1.1 Service Pack 1。
* Background Intelligent Transfer Service (BITS) 2.0。
3、磁盤要求:
要安裝 WSUS,服務器上的文件系統必須滿足以下要求:
* 系統分區和安裝 WSUS 的分區都必須使用 NTFS 文件系統進行格式化。
* 系統分區至少需要 1 GB 的可用空間。
* WSUS 用於存儲內容的卷至少需要 60 GB 的可用空間,建議預留空間為 40 GB。
二、 環境描述
• 目前用於WSUS的服務器一台,配置和功能如下:
WSUS 配置清單
操作系統版本: Windows Server 2012 R2 Chs
ServerName: CNHZWS01
IP Address :192.168.1.12
Mask 255.255.255.0
GateWay 192.168.1.1
DNS Server 192.168.1.10 192.168.1.11
系統盤(C)大小 1TB
PageFile位置以及大小 你們按照常規定義
備注:
所在域名名稱:vancen.com
三、 安裝服務器角色
首先,我們檢查第一台已經安裝Windows Server 2012 R2的服務網絡的相關配置,確保服務器IP地址、子網掩碼、默認網關的參數如下操作如下
步驟 1: 配置修改服務器的IP和DNS地址
步驟 2:修改WSUS服務器名,並將服務加入至VANCEN域
步驟 3:輸入加域權限的用戶名和密碼將服務器加入VANCEN域
步驟 4:提示服務器成功加入VANCEN域
步驟 5:立即重動服務器讓應用生效
步驟 6:使用本地 Administrators 組成員的帳戶登錄到你計划安裝 WSUS 服務器角色的服務器。在“服務器管理器”中,單擊“儀表板”,然后單擊“添加角色和功能”
步驟 7:在“開始之前”頁面上,單擊“下一步”
步驟 8:在“選擇安裝類型”頁上,確認已選擇“基於角色或基於功能的安裝”選項,然后單擊“下一步”
步驟 9:在“選擇目標服務器”頁上,選擇服務器所在的位置(從服務器池或虛擬硬盤中)。選擇位置后,選擇你想安裝 WSUS 服務器角色的服務器,然后單擊“下一步”
步驟 10:服務器選擇這里選擇默認的,假如你需要針對其它主機安裝“windows server更新服務”角色,這里可以選擇你需要的主機,點擊“下一步”這里勾選“windows server 更新服務”
步驟 11: 當勾選這個選項時,會彈出如下對話框,點“添加功能”。
步驟12:在“選擇功能”頁上,保留默認選擇,然后單擊“下一步”
重要事項
WSUS 僅需要默認的 Web Server 角色配置。如果你在設置 WSUS 時收到有關額外 Web Server 角色配置的提示,你可安全接受默認值並繼續設置 WSUS。
步驟 13:在“Windows Server Update Services”頁上,單擊“下一步”
步驟 14:在“選擇角色服務”頁上,保留默認選擇,然后單擊“下一步”
步驟 15:在“內容位置選擇”頁上,鍵入有效的位置以存儲更新,然后單擊“下一步”
存儲更新的位置可以是WSUS的本地路徑,也可以放到UNC共享里面。
步驟 16:查看web服務器角色IIS的配之配置,我們這里保持默認即可,直接點擊下一步
步驟17:確認你要安裝的所有內容。確認無誤后點擊“下一步”
步驟18:在“安裝進度”頁上,單擊“啟動后安裝任務”,並等到此任務順利完成,然后單擊“關閉”
在服務器管理器中,驗證是否出現提醒你需要重新啟動的通知。根據安裝的服務器角色,這可能有所變化。如果需要重新啟動,請務必重新啟動服務器以完成安裝。
步驟19: 啟動安裝后的任務
四、使用配置向導
安裝完成一級WSUS服務器角色之后,第一次使用WSUS的時候會進入WSUS的配置向導,對WSUS做一個基本的設置。當然這個配置向導是集成在WSUS里面的,可以在任何時間使用配置向導對WSUS進行配置。
步驟1:在“服務器管理器”導航窗格中,單擊“儀表板”,單擊“工具”,然后單擊“Windows Server Update Services”。
步驟2:Windows Server Update Services 向導出現在“開始之前”頁上,單擊“下一步”。
步驟3:閱讀“加入 Microsoft 更新改善計划”頁上的說明,評估你是否想參與其中。如果要參與該計划,請單擊“下一步”繼續。
在“選擇上游服務器”頁上,你可選擇將更新與 Microsoft 更新或其他 WSUS 服務器同步。
• 如果你選擇從其他 WSUS 服務器同步,請指定服務器名稱以及該服務器與上游服務器通信時所在的端口。
• 若要使用 SSL,請選中“同步更新信息時使用 SSL”復選框。服務器將使用端口 443 進行同步。(確保該服務器和上游服務器支持 SSL)。
• 如果這是副本服務器,請選擇“這是上游服務器的副本”復選框。
步驟4:為你的部署選擇適當選項后,單擊“下一步”繼續。
因為目前部署的是一級WSUS服務器,所以我選擇直接從microsoft進行同步。
在“指定代理服務器”頁上,選中“同步時使用代理服務器”復選框,然后在對應的框中鍵入代理服務器名稱和端口號(默認是端口 80)。
重要事項
如果你確定 WSUS 需要代理服務器才能訪問 Internet,則必須完成上一步驟。
如果你希望通過使用特定用戶憑據來連接代理服務器,請選擇“使用用戶憑據連接代理服務器”復選框,然后在對應的框中鍵入用戶名稱、域和用戶密碼。如果你希望啟用已連接代理服務器的用戶的基本身份驗證,請選擇“允許基本身份驗證(以明文形式發送密碼)”對話框。
步驟5:此時,你完成了代理服務器配置。單擊“下一步”轉到下一頁,這時你可以開始設置同步進程。
步驟6:在“連接到上游服務器”頁上,單擊“開始連接”。
步驟7:連接它時,然后單擊“下一步”繼續。
這里要求必須有internet鏈接。
在“選擇語言”頁上,你可選擇 WSUS 將收到更新的語言 — 所有語言或語言子集。選擇語言子集將節省磁盤空間,但必須選擇此 WSUS 服務器的所有客戶端需要的所有語言。如果你選擇僅獲得特定語言的更新,請選擇“僅下載這些語言的更新”,然后選擇你希望獲得更新的語言;否則保留默認選擇。
步驟8:為你的部署選擇適當語言后,單擊“下一步”繼續。
中國大陸一般選擇英文和簡體中文。
如果你選擇“僅下載這些語言的更新”選項,且該服務器具有與其連接的下游 WSUS 服務器,該選項將強制下游服務器也僅使用所選的語言。
步驟9:“選擇產品”頁允許你指定希望更新的產品。選擇產品類別(如 Windows)或特定產品(如 Windows Server 2008)。選擇產品類別將選擇該類別的所有產品。
步驟10:為你的部署選擇適當的產品選項后,單擊“下一步”繼續。
在“選擇類別”頁上,選擇要包含的更新類別。選擇所有類別或其子集,然后單擊“下一步”繼續。
步驟11:為你的部署選擇適當的產品選項后,單擊“下一步”繼續。
在“設置同步計划”頁上,選擇手動或自動執行同步。
• 如果你選擇“手動同步”,你必須通過 WSUS 管理控制台啟動同步過程。
• 如果你選擇“自動同步”,WSUS 服務器將每隔一段時間執行同步。
設置“第一次同步”的時間,並制定你希望該服務器執行的“每天同步”次數。例如,如果你指定每天同步四次,從上午 3:00 開始,則同步將在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 發生。
步驟12:在“完成”頁上,你可通過選擇“開始初始同步”對話框,即時啟動同步。如果你不選擇此選項,你必須使用 WSUS 管理控制台來執行初始同步。如果你希望閱讀有關其他設置的詳細信息,請單擊“下一步”,或單擊“完成”來結束該向導並完成初始 WSUS 設置。
步驟13:在單擊“完成”后,WSUS 管理控制台會出現。
步驟14:點擊同步視圖,查看同步過程如圖所示。
步驟15:同步完成后,如圖所示。
使用WSUS的配置向導進行初始配置之后,下面我們將利用WSUS控制台對WSUS服務器進行進一步的配置工作。
五、組策略配置自動更新
在default domain policy做一個影響全域計算機的自動更新策略。
步驟1:在組策略管理控制台 (GPMC) 中,瀏覽到默認的default domain policy的 GPO,然后單擊“編輯”。
步驟2:在 GPMC 中,依次展開“計算機配置”—>“策略”—>“管理模板”—>“Windows 組件”—>“Windows 更新”。
步驟3:在詳細信息窗格中,雙擊“配置自動更新”。這里我選擇3-自動下載並通知安裝,然后單擊“確定”。
單擊“已啟用”,然后單擊“配置自動更新”設置下的以下選項之一:
• 下載通知和安裝通知。該選項會在你下載和安裝更新之前通知登錄的管理用戶。
• 自動下載和通知安裝。該選項將自動開始下載更新,然后在安裝更新之前通知登錄的管理用戶。
• 自動下載和計划安裝。該選項自動開始下載更新,然后在你指定的當天和時間安裝更新。
• 允許本地管理員選擇設置。該選項可讓本地管理員使用控制面板中的自動更新來選擇配置選項。例如,他們可以選擇計划的安裝時間。本地管理員不能僅用自動更新。
步驟4:在 Windows Update 詳細信息窗格中,雙擊“指定 Intranet Microsoft 更新服務位置”。
步驟5:單擊“已啟用”,然后在“設置 Intranet 更新服務以檢測更新”框和“設置 Intranet 統計服務器”框中鍵入相同 WSUS 服務器的 URL例如,在這兩個框中(其中服務器名稱是 WSUS 服務器的名稱),鍵入 http://servername,然后單擊“確定”。
步驟6:當你鍵入 WSUS 服務器的 Intranet 地址時,確保指定准備使用哪個端口。默認情況下,WSUS 使用適用於 HTTP 的端口 8530 以及適用於 HTTPS 的端口 8531。例如,如果使用 HTTP,則應鍵入 http://servername:8530。
可以設置“自動更新檢測的頻率”,默認是22小時,我們可以根據實際的需要來調整間隔。如圖。
步驟7:可以啟用“對於已登錄用戶的計算機,計划的自動更新安裝不執行重新啟動”,這樣的話,當計算機存在已登錄的用戶的時候,裝完更新是否重啟取決於用戶的行為,計算機不會強制重啟,如圖。
步驟8:對於某些不會中斷windows服務,也不會需要重啟服務器才生效的更新,我們可以配置啟用“允許自動更新立即安裝”,如圖。
全域級別的組策略設置完成后,我們還可以針對測試組合生產組來配置不同的自動更新策略。
下面我們來為測試服務器組配置一個自定義的GPO,該GPO的優先級會高於默認的域組策略,所以該GPO所鏈接到的計算機OU內的計算機客戶端都會優先應用該策略。
步驟9:右擊“測試服務器組”計算機OU,選擇“在這個域中創建GPO並在此處鏈接”,如圖。
步驟10:輸入新建的GPO的名稱,如圖。
步驟11:然后我們右擊新建的GPO,選擇編輯,如圖。
然后我們就可以為該GPO設置不同的自動更新策略了,所有鏈接到這個策略的計算機OU都會應用該策略。
一般來說:測試環境的服務器和客戶端我們可以配置自動下載通知安裝或者自動下載計划安裝,對於生產環境的客戶機我們可以設置自動下載並計划安裝,對於生產服務器組,如果需要手動控制打補丁的行為和重啟時間,我們可以配置自動下載並通知安裝,具體要看需求。
步驟12:下圖是我為生產客戶端計算機組設置的自動下載並計划安裝的策略。
設置策略之后,客戶端計算機幾分鍾后,計算機將出現在 WSUS 管理控制台中的“計算機”頁上。對於配有基於域的組策略對象的客戶端計算機,組策略將花費大約 20 分鍾才能將新的策略設置應用於客戶端計算機。默認情況下,組策略會在后台每隔 90 分鍾更新一次,並將時間作 0 到 30 分鍾的隨機調整。如果你希望更快地更新組策略,可在客戶端計算機上打開“命令提示符”窗口,並鍵入 gpupdate /force。
六、WSUS查看狀態報告
默認情況下,在WSUS控制台中是無法查看狀態報告的,如果想正常的查看狀態報告,需要一些插件和功能的支持,下面就來看整個實現的過程。
步驟1:首先我們隨意右擊一台客戶端,選擇“狀態報告”,如圖。
步驟2:系統會提示我們,此功能需要使用microsoft report viewer 2008可再分發組件,如圖。
步驟3:我們可以點擊上圖中的鏈接,打開microsoft的網站進行下載,如圖。
步驟4:然后我們來安裝這個組件,如圖。
步驟5:安裝的過程中,提示我們需要.net framework的支持,如圖。
步驟6:我們先暫停安裝,回到添加角色和功能,把.netframework 3.5.1的功能裝上,如圖所示。
步驟7:然后我們繼續完成組件的安裝,如圖。
步驟8:以上安裝完成后,可以順利打開狀態報告功能,如圖。
七、WSUS常用控制台選項配置
1、在WSUS控制台中,默認提供了很多選項,這些選項為我們更好的管理和使用WSUS提供了很好的途徑。首先,來看看“計算機清理向導”,一般我們可以每個月運行一次計算機清理向導,來清理不需要的更新,釋放磁盤空間等等,具體清理向導打開的方式如下。
打開之后可以做的清理操作如下。我們可以默認全部選擇,也可以根據需要進行自定義的選擇。如果公司的環境中計算機的數目比較多,這個清理向導還是很有用處的。
2、另外一個功能就是我們可以配置電子郵件通知。選擇“選項”,“電子郵件通知”。
在電子郵件通知的常規選項卡,我們做如下圖的設置。
可以看到可以通過WSUS發送新更新和狀態報告的通知。可以配置多個收件人,配置同步頻率和時間信息。
在電子郵件服務器選項卡,可以配置接收通知的電子郵件服務器信息,發件人信息,SMTP驗證信息。
點擊上圖的“測試”,系統提示我們在測試之前將其保存,選擇“是”。
正在發送測試電子郵件,如圖。
我們現在打開QQ郵箱的收件箱,可以看到剛才發送的測試郵件。
補丁服務器部署與配置結束完成。