一:WSUS 概述
1.為什么要使用WSUS進行系統更新:
傳統Windows系統獲取更新方式:
-
手動連接microsoft update網站。
-
通過windows系統的自動更新功能。
然而以上兩種方式對企業內部來說,都可能會有以下缺點:
-
影響網絡效率:如果企業內部每台計算機都自行上網更新,將會增加對外網絡的負擔。
-
與現有軟件相互干擾:如果企業內部使用的軟件與更新程序發生沖突,可能會影響該軟件或更新程序的正常運行。
WSUS可以完美的解決上述問題:
-
WSUS服務器集中從Microsoft update網站下載更新程序,節省對外帶寬並提高內網主機更新速度。
-
創建測試計算機組,將新補丁部署到測試計算機組,沒有問題再應用到業務計算機組內,避免軟件和更新程序沖突(通過審批程序)。
2.WSUS部署方式有哪些:
WSUS服務器可以單台部署也可以多台部署,當多台部署時架構如下:
上游WSUS服務器從microsoft 網站獲取更新程序,而下游服務器是從上游的服務器來獲取程序(並不直接連接Microsoft網站),此架構中WSUS服務器有兩種工作模式:
-
自治模式:上游WSUS服務器會與下游服務器共享更新程序,但不共享審批狀態和計算機組信息。因此下游服務器必須自行決定是否要審批這些更新程序與自行創建所需的計算機組。
-
副本模式:上游服務器會與下游服務器共享更新程序,更新審批與計算機組信息。下游服務器不能更改審批狀態,計算機組等信息。
-
注意,上述計算機組信息只有計算機組本身而已,並且不包含計算機組的成員。
3.WSUS的幾個工作特點:
-
延期下載更新程序:
WSUS允許你延期下載更新程序文件,也就是WSUS服務器會先下載更新程序的metadata,之后再下載更新程序文件。更新程序文件只有在你審批該程序后才會被下載,這種方式可以節省帶寬與WSUS服務器的硬盤空間使用量。Microsoft建議你采用延遲下載更新的方式,也就是默認值。 -
使用快速安裝文件:
客戶端計算機要安裝更新程序時,此計算機內可能已經有該更新文件的舊版本,這個舊文件和新更新之間的差異可能不大。如果客戶端能夠只下載新版與舊版之間的差異,然后利用將差異合並到舊文件的方式來更新,可以減少從wsus服務器下載的數據量,降低企業內部網絡的負擔。但是采用這種方式,WSUS服務器從Microsoft網站下載的文件會比較大,因為此文件內必須包含新更新程序和各舊版自己的差異,因此WSUS服務器在下載文件時會占用對外的網絡帶寬。
二:WSUS 搭建
1.確保服務器 IP 和 dns 配置正確,修改主機名並成功加入域:
2.使用本地 Administrators 組成員的帳戶登錄到你計划安裝 WSUS 服務器角色的服務器。在“服務器管理器”中單擊“添加角色和功能”:
3.在“服務器角色”頁上選擇 Windows 更新服務(勾選后會彈出“添加功能”對話框,選擇添加),點擊下一步繼續:
4.在“選擇功能”頁使用默認選擇即可,點擊下一步繼續:
5.在“WSUS角色服務”頁選擇“WID數據庫”和“WSUS服務”選項,點擊下一步繼續:
6.在“內容位置選擇”頁上,鍵入有效的位置以存儲更新(存儲更新的位置可以是WSUS的本地路徑,也可以放到UNC共享里面),然后單擊下一步繼續“
7.在“Web服務器角色服務”頁使用默認選擇即可,點擊下一步繼續:
8.確認你要安裝的所有內容。確認無誤后進行安裝:
9.在“安裝進度”頁上,單擊“啟動后安裝任務”,並等到此任務順利完成,然后單擊關閉:
三:WSUS 配置
1.在“服務器管理器”導航窗格中,單擊“工具”,然后單擊“Windows Server Update Services”:
2.在“更新服務”-“WSUS”-“選項”中選擇“WSUS服務器配置向導”(WSUS第一次使用會自動彈出):
3.在配置向導的“選擇上游服務器”頁,可選擇將更新與 Microsoft 更新或其他 WSUS 服務器同步:
4.可以根據需要來配置“代理服務器”:
5.點擊“開始連接”,WSUS服務器會跟上游服務器進行通信,可能需要幾分鍾具體根據網絡情況而定:
6.在“選擇語言”頁上,你可選擇 WSUS 將收到更新的語言,根據實際情況這里只選擇“英文”和“簡體中文”:
7.在“選擇產品”頁,指定希望更新的產品:
8.在“選擇分類”頁,指定要同步的更新分類:
9.設定“同步計划”,可以配置手動同步和自動同步:
10.在“完成”頁上,你可通過選擇“開始初始同步”對話框,即時啟動同步,單擊下一步或完成來結束該向導並完成初始設置:
11.在WSUS控制台中,點擊“同步”視圖,可以查看同步過程如圖所示:
12.可以做控制台的“選項”視圖中,對WSUS服務器進行配置修改獲取重新執行配置向導:
四:配置組策略自動更新(適用於加入到域的主機)
1.新建一個名稱為WSUS的組策略對象GPO,並應用於整個域(或者直接修改Default Domain Policy):
2.編輯WSUS組策略,依次展開“計算機配置”—>“策略”—>“管理模板”—>“Windows 組件”—>“Windows 更新”:
3.配置自動更新:
4.指定intranet microsoft 更新服務位置,填寫更新服務器地址,后面必須加上端口號(HTTP-8530,HTTPS-8531):
5.可以根據需求設置自動更新檢測頻率,默認22小時:
6.對於某些不會中斷windows服務,也不會需要重啟服務器才生效的更新,我們可以配置啟用“允許自動更新立即安裝”:
7.可以啟用“對於已登錄用戶的計算機,計划的自動更新安裝不執行重新啟動”,這樣當計算機存在已登錄的用戶的時候,裝完更新是否重啟取決於用戶的行為,而不會強制重啟:
8.設置完成后,使用命令gpupdate/force更新組策略,但在WSUS管理控制台中還是看不到客戶機,正常需要等待大約20分鍾后才能看到客戶機。可以在客戶機上執行wuauclt/detectnow命令。
查看windows update的配置,已經顯示:某些設置由你的組織來管理
在服務的計算機列表中,可以新建一個“測試組”里面包含幾個不同操作系統的計算機,這樣可以首先更新這些計算機,測試沒問題后,再大面積審批推廣更新,確保萬無一失!
四:配置本地組策略自動更新(適用於沒有加入域的主機)
要正常使用自動更新,您需要啟用Automatic Update服務,並且不禁用Background Intelligent Transfer Service服務。
1.使用本地組策略編輯器
使用命令gpedit.msc打開本地組策略編輯器,依次展開“計算機配置”—>“策略”—>“管理模板”—>“Windows 組件”—>“Windows 更新”:
2.使用注冊表自動導入(適用於沒有本地組策略編輯器系統)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate/AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000002
"ScheduledInstallDay"=dword:00000000
"UseWUServer"=dword:00000001
[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate]
"WUServer"="http://wsus.test.com"
"WUStatusServer"="http://wsus.test.com"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="reg"
3.啟用Windows Update服務,並且不能禁用Background Intelligent Transfer Service服務:
