WSUS補丁服務器部署詳細

利用WSUS部署更新程序

來源於網絡轉載 

WSUS概述

為了讓用戶的windows系統與其他microsoft產品能夠更安全，更穩定，因此microsoft會不定期在網站上推出最新的更新程序供用戶下載與安裝，而用戶可以通過以下方式來取得這些程序：

• 手動連接microsoft update網站
• 通過windows系統的自動更新功能

然而以上兩種方式對企業內部來說，都可能會有以下缺點。

• 影響網絡效率：如果企業內部每台計算機都自行上網更新，將會增加對外網絡的負擔。
• 與現有軟件相互干擾：如果企業內部使用的軟件與更新程序發生沖突，則用戶自行下載與安裝更新程序可能會影響該軟件或更新程序的正常運行。

WSUS是一個可以解決上述問題的產品，企業內部可以通過WSUS服務器集中從Microsoft update網站下載更新程序，並且在完成這些更新程序的測試工作，確定對企業內部計算機沒有不良影響后，在通過網管審批程序，將程序部署到客戶機上。

WSUS的系統需求

對於基本WSUS架構來說，WSUS服務器與客戶端計算機都必須滿足適當的條件才能享受WSUS的好處。

可以在windows server 2012內通過新增角色的方式來安裝WSUS。安裝WSUS之前，需要安裝以下組件。

• Microsoft Report Viewer Redistributable 2008：WSUS服務器需要通過他制作各種不同的報告，例如更新程序狀態報告，客戶端計算機狀態報告與同步處理結果報告等。需要到microsoft 官網下載。
• Net framework 2.0: report viewer需要net framework。

注：WSUS服務器的系統分區與安裝WSUS的磁盤分區的文件系統都必須是NTFS。

WSUS客戶端計算機必須支持自動更新功能，Windows 2000 sp4以后的客戶端都支持。

可以利用WSUS服務器內置的WSUS管理控制台執行WSUS服務器的管理工作，還可以在其他計算機上管理WSUS服務器。不過，需要在這些計算機上安裝WSUS控制台，但是這些計算機必須已安裝下列組件:

• Microsoft .NET Framework 2.0或更新版本
• Microsoft Management Console 3.0或更新版本
• Micrsoft Report Viewer Redistributable 2008或更新版本

WSUS的特性與工作方式

利用計算機組部署更新程序

如果能夠將企業內部客戶端計算機適當分組，就可以更容易與明確地將更新程序部署到指定計算機上。系統默認內置2個計算機組，即所有計算機與未分配的計算機，客戶端計算機在第一次與WSUS服務器接觸時，系統默認會見該計算機加入者2個組內。可以在添加更多的組。可以創建測試計算機組，新的補丁部署到測試計算機組，沒有問題在應用到業務計算機組內。

WSUS服務器的架構

也可以創建更復雜的WSUS服務器架構，也就是創建多台WSUS服務器，並設置讓其中一台WSUS服務器從microsoft 網站獲取更新程序，但是其他服務器並不直接連接Microsoft網站，而是從上游的組服務器來獲取程序，而下游服務器從上游服務器獲得更新程序。

這種將WSUS服務器通過上下游方式串接在一起的模式有兩種"

• 自治模式：上游WSUS服務器會與下游服務器共享更新程序，也就是下游服務器會從上游服務器獲取更新程序，但是並不包含更新程序的審批狀態，計算機組信息。因此下游服務器必須自行決定是否要審批這些更新程序與自行創建所需的計算機組。
• 副本模式：上游服務器會與下游服務器共享更新程序，更新審批與計算機組信息。下游服務器可以獲取上游服務器的數據，所有可以在上游服務器管理的項目都無法在下游服務器自行管理，例如不能自行更改新程序的審批狀態等。

注意，上述計算機組信息只有計算機組本身而已，並且不包含計算機組的成員，必須自行在下游服務器來管理組成員，而客戶端計算機在第一次與下游WSUS服務器接觸時，這些計算機會默認被同時加入到所有計算機和未分配計算機組內。

可以根據公司網絡環境的需求采用上下游WSUS服務器的串接方式。

采用上下游WSUS服務器串接架構，還需要考慮到不同語言的更新，例如，如果上游服務器在總部，總部需要簡體中文的程序，而下游架設在分公司，分公司需要的語言是英文，雖然總公司需要的語言是簡體中文，當必須在中公司的上游服務器選擇同事下載中文和英文版的更新程序。連接Microsoft網站的上游服務器必須下載所有下游服務器需要的所有語言的更新程序，否則下游服務器將無法獲取所需語言的更新程序。

注：這種上下游串聯的方式，建議最好不要超過3層（雖然理論上沒有層數限制），因為每增加一層，就會增加延遲時間，因而拉長將更新程序傳遞到每台計算機的時間。

選擇數據庫與存儲更新程序的地點

可以利用Windows Server 2012的內置數據庫或Microsoft SQL Server 2005 sp2來構建數據庫。每台WSUS服務器都有自己獨立的數據庫，這些數據庫用來存儲以下信息：

• WSUS服務器的設置信息。
• 描述每一個更新程序的metadata。Metada內包含以下數據:

  更新程序的屬性：例如更新程序的名稱，描述，相關的knowledge base文章編號等。

  適用規則:用來判斷更新程序是否適用於某台計算機。

  安裝信息：例如安裝時所需的命令行參數。

• 客戶端計算機與更新程序之間的關系。

然而上述數據庫並不會存儲更新程序文件本身，必須另外選擇更新程序文件的存儲地點，有以下兩種選擇。

存儲在WSUS服務器的本地硬盤內：此時WSUS服務器會從Microsoft網站下載更新程序，並將其存儲到本地硬盤內。此種方式讓客戶端直接從WSUS服務器獲取更新程序，不用到Microsoft網站下載，這樣可以節省網絡帶寬。

WSUS服務器的硬盤必須有足夠空間來存儲更新程序文件，最少要有20g的可用空間。實際需要更多的空間。

存儲在Microsoft網站上：此時WSUS服務器並不會從Microsoft網站下載更新程序，換句話說，當執行WSUS服務器與Microsoft網站之間的同步工作時，WSUS服務器只會從網站下載更新程度的metadata數據，並不會下載更新程序本身。

因此，當你審批客戶端可以安裝某個更新程序后，客戶端是自己連接到網站下載。如果客戶端計算機數量不多，或客戶端與WSUS服務器之間的連接速度比較慢，但是與網絡之間的連接速度較快時，可以選擇此選項。

延期下載更新程序

WSUS允許你延期下載更新程序文件，也就是WSUS服務器會先下載更新程序的metadata，之后再下載更新程序文件。更新程序文件只有在你審批該程序后才會被下載，這種方式可以節省帶寬與WSUS服務器的硬盤空間使用量。Microsoft建議你采用延遲下載更新的方式，也就是默認值。

使用快速安裝文件

客戶端計算機要安裝更新程序時，此計算機內可能已經有該更新文件的舊版本，這個舊文件和新更新之間的差異可能不大。如果客戶端能夠只下載新版與舊版之間的差異，然后利用將差異合並到舊文件的方式來更新，可以減少從wsus服務器下載的數據量，降低企業內部網絡的負擔。

不過采用這種方式，WSUS服務器從Microsoft網站下載的文件會比較大，因為此文件內必須包含新更新程序和各舊版自己的差異，因此WSUS服務器在下載文件時會占用對外的網絡帶寬。

例如，假如更新程序原始大小100mb，未使用快速安裝的情況，此服務器會從microsoft網站下載100mb的文件，客戶端也是從服務器下載100mb的數據量。使用快速安裝的情況下，此文件變為比較大的200mb（假設）。雖然WSUS服務器必須從microsoft下載的文件大小為200mb，但是客戶端從WSUS服務器僅下載30mb的數據量，系統默認未使用快速安裝文件。

安裝WSUS服務器

構建WSUS並不需要AD域環境，然而為了利用組策略來充分管理客戶端的自動更新設置，建議采用AD域環境。

我們將利用下圖所示的環境進行說明。安裝一台域控DC，WSUS服務器為成員服務器，計算機名為WSUS；另外，圖中多台客戶端可以為win7，win8等，我們假設他們也都加入域。

1. 直接安裝report viewer 2012 最新版和clr typer for sql 2012

http://www.microsoft.com/zh-cn/download/details.aspx?id=35747

http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409

1. 添加功能

   

2. 需要net framework

   

3. 選擇數據庫。使用內置數據庫，如果要使用SQL數據庫，勾選數據庫。

   

4. 選擇存儲位置

   

5. Web服務器選擇默認

   

6. 等到安裝完成

   

7. 選擇讓WSUS服務器與Microsoft Update同步，讓服務器直接從Microsoft網站下載更新程序與Metabase等。

   

8. 如果服務器需要通過企業內部的Proxy服務器聯網，請在下圖輸入相關信息。

   

9. 點擊開始連接，以便從Windows Update網站取得更新程序相關信息。

   

10. 選擇下載語言

    

11. 選擇需要下在的更新產品。默認系統會選擇office和windows的更新，由於是實驗環境就少選點

    

12. 選擇下載所需類型

    

13. 選擇手動或自動同步。選擇自動同步，需要設置第一次同步的時間與每天同步的次數。

    

14. 執行第一次同步工作

    

15. 可以查看當前同步進度。

    

16. 如果要手動同步，選擇同步選擇中的立即同步

    

    如果要將手動同步改成自動同步，需要設置同步計划。前面安裝的所有設置，都可以通過選項界面進行更改。在同步尚未完成之前，無法存儲更改的設置，需要等待同步完成后更改設置。

    

設置客戶端的自動更新

我們要讓客戶端計算機能夠通過WSUS服務器下載更新程序，而這個設置可以通過以下兩種方法來完成。

組策略:在AD域環境下，可以通過組策略進行設置。

本地計算機策略：如果沒有AD域環境，或客戶端計算機未加入域，則可以通過本地計算機策略進行設置。

我們利用組策略來進行說明。在域中創建一個GPO，WSUS策略，然后通過這個GPO來設置域內的所有客戶端計算機的自動更新配置。

1. 新建組策略

1. 展開計算機配置-策略-管理模板-windows組件。選擇啟用配置自動更新。

   

• 通知下載並通知安裝：在下載更新程序前會通知已登錄的系統管理員，由他自行決定是否現在下載；下載完成后和准備安裝前也會通知系統管理員，然后由他自行決定是否現在安裝。
• 自動下載並通知安裝：自動下載更新程序，下載完成后和准備安裝前會通知已登錄的系統管理員，然后由他自行決定是否現在安裝。
• 自動下載並計划安裝：自動下載更新程序，並且會在指定的時間自動安裝。需要指定安裝時間。
• 允許本地管理員選擇設置：此選項讓在客戶端的本地管理員可以通過控制面板自行選擇更新方式。

1. 選擇指定intranet Microsoft更新服務位置，然后指定讓客戶端從wsus服務器獲取更新程序，同時也設置讓客戶端將更新結果報告給WSUS服務器，這兩處請輸入 http://wsus:8530。

   

   設置完成后，必須等域內的客戶端應用這個策略才能有效，而客戶端計算機默認每隔90-120分鍾應用一次。到客戶端計算機上執行gpupdate/force命令。

   應用完成后，還必須等客戶機與wsus服務器接觸后，在wsus管理控制台才能看到這些客戶機。不過需要等待20分鍾才會主動聯系WSUS服務器。在客戶機上執行wuauclt/detectnow 命令。

審批更新程序

在wsus管理界面可以看到所有客戶端機器，如果還有機器仍為顯示，可以想到這些計算機上執行組策略刷新命令。

注：如果客戶端有新的更新狀態可報告，而你希望立即報告，請到客戶端計算機上執行wuauclt/reportnow.

創建新計算機組

為了便於利用WSUS管理控制台來部署客戶端計算機所需的更新程序，建議將計算機進行分組。例如要創建一個名為業務部計算機的組，並將隸屬於業務部的計算機移動到此組內。

1. 選擇添加計算機組。

1. 將隸屬於改組的計算機從未分配的計算機組移動到剛剛創建的業務部計算機組中。

   

審批更新程序的安裝

WSUS下載的所有更新程序都要經過審批后，客戶端計算機才可以安裝此更新程序，此處假設要審批某個安全更新，以便讓業務組計算機安裝此更新。

由於WSUS默認會延遲下載更新程序，也就是WSUS服務器與Microsoft Update同步時僅會下載更新程序的metadata。當我們審批更新程序后，更新程序才會下載。由於我們剛審批上述更新，WSUS服務器正要開始下載此更新，必須等下載完成后，客戶端計算機才可以開始安裝此更新。

下圖，審批欄目出現了安裝1/3字樣，表示當前有3個計算機組，只有其中一個組已經被審批安裝此更新。

客戶端默認每隔17.6-22小時才會連接服務器檢查是否有更新程序下載，可利用wuauclt/detectnow來手動檢查。檢查到后根據組策略的設置來進行更新。

客戶端可以通過組策略自動更新檢測頻率來更新檢查時間。如果希望客戶端計算機能夠早一點自動檢測，可以修改此值。

只要客戶端檢查到可用下載，會自動右下角提示有更新。

拒絕更新程序

單擊某個程序右側的拒絕，則系統將解除其審批，同時在WSUS數據庫內與此更新有關的報告數據都將刪除，還有在此界面上也看不到此更新程序。如果要看到被拒絕的更新程序，請到審批處選擇已拒絕后單擊重新整理。

自動審批更新程序

可以設置當WSUS服務器與Windows Update同步時，自動審批下載的更新程序。例如，如果希望所有下載的安全更新與重要更新都能夠自動審批給所有計算機:單擊選項中的自動審批，在前景圖中勾選默認的自動審批規則。如果還要將此規則應用到已經同步的更新程序，請單擊允許規則。

單擊高級標簽后，還可以更改以下設置。

• WSUS更新：可以用來設置是否要讓WSUS產品本身的更新程序自動被審批。
• 更新修訂

  自動審批已審批的更新的修訂：如果已審批的更新程序未來有修訂版，則自動審批此修訂版本的更新程序。

  當新修訂導致更新過去時自動拒絕更新：當未來有新修訂版本出現，而使得舊版本過期時，則自動拒絕這個過期的舊更新程序。

自動更新的組策略設置

本站介紹更多的關於自動更新的組策略，以便進一步管理客戶端計算機與WSUS服務器之間的通信方式。通過另外創建GPO的方式進行配置，盡量不要通過內置的Defult Domain Policy GPO進行設置。

配置自動更新

此策略用來配置客戶端下載與安裝更新的方式。

指定Intranet Microsoft更新服務位置

用來指定讓客戶端計算機從WSUS服務器獲取更新程序。

自動更新頻率

用來設置客戶端多久與服務器連接，檢查是否有新更新程序。

允許立即安裝自動更新

當更新程序下載完成並且准備好安裝時，會根據配置自動更新的策略來決定何時更新。啟用此策略后，某些新程序會立刻安裝。這些更新是指那些即不會中斷Windows服務，也不會重新啟動Windows系統的更新程序。

重新計划自動更新計划的安裝

如果通過計划制定某個時間點來執行安裝更新程序，但是時間到達時，客戶端計算機卻沒有開機。此策略用來設置客戶端計算機重新開機后，需要等多少時間后開始安裝更新。

允許客戶端目標設置

應用此設置的所有計算機會自動加入指定的計算機組內，不需要管理員手動加入。

下圖，所有計算機會自動加入業務組計算機。

允許來自Intranet Microsoft更新服務位置的簽名更新

如果此策略啟用，客戶計算機就可以從WSUS服務器下載由第三方開發和簽名的更新程序;如果未啟用，客戶端只能下載Microsoft簽名的更新程序。

刪除到Windows更新的鏈接和訪問

雖然WSUS客戶端可以通過WSUS服務器來進行更新，但是系統本地管理依然可以通過開始菜單的windows更新來私自連接Microsoft Update網站。為了減少這種情況發生，建議通過此策略將客戶計算機的windows update鏈接刪除。完成后開始菜單的連接不會顯示，控制面板的更新檢查更新也會失效。

用戶配置-策略-管理模板-開始菜單和任務欄

關閉對所有Windows更新功能的訪問

如果啟用此策略，則會禁止客戶端訪問Microsoft更新網站，例如客戶端通過開始菜單的Windows更新鏈接無法訪問Windows Update網站，直接在瀏覽器里輸入windows update網頁也無法訪問，不過客戶機依然可以通過WSUS來獲取。

計算機配置-策略-管理模板-系統-internet通信管理-internet通信設置