在 Windows Server 2012 中,WSUS 是可安裝以管理和分配更新的服務器角色。WSUS 服務器可以作為組織內其他 WSUS 服務器的更新源。充當更新源的 WSUS 服務器被稱為上游服務器。在 WSUS 實現過程中,網絡中必須至少有一台 WSUS 服務器連接到 Microsoft 更新以獲取可用的更新信息。管理員可以根據網絡安全和配置確定其他服務器如何直接連接到 Microsoft Update。
本文提供Windows Server 2012 中的 Windows Server Update Service 部署過程。
(一)准備工作
關於WSUS 4.0部署前的准備工作可以參考以下鏈接內容:
http://technet.microsoft.com/zh-cn/library/hh852344.aspx
(二)安裝WSUS4.0服務器角色
該安裝過程僅包含使用 Windows 內部數據庫 (WID) 安裝 WSUS 的步驟。
使用作為本地 Administrators 組成員的帳戶登錄到你計划安裝 WSUS 服務器角色的服務器。
在“服務器管理器”中,單擊“儀表板”,然后單擊“添加角色和功能”。
在“開始之前”頁面上,單擊“下一步”。
在“選擇安裝類型”頁上,確認已選擇“基於角色或基於功能的安裝”選項,然后單擊“下一步”。
在“選擇目標服務器”頁上,選擇服務器所在的位置(從服務器池或虛擬硬盤中)。選擇位置后,選擇你想安裝 WSUS 服務器角色的服務器,然后單擊“下一步”。
在“選擇服務器角色”頁上,選擇“Windows Server Update Services”。
在“添加角色和功能向導”對話框中,單擊“添加功能”,然后單擊“下一步”。
在“選擇功能”頁上,保留默認選擇,然后單擊“下一步”。
重要事項
WSUS 僅需要默認的 Web Server 角色配置。如果你在設置 WSUS 時收到有關額外 Web Server 角色配置的提示,你可安全接受默認值並繼續設置 WSUS。
在“Windows Server Update Services”頁上,單擊“下一步”。
在“選擇角色服務”頁上,保留默認選擇,然后單擊“下一步”。
備注:保持默認勾選即可,不要勾選”數據庫”,否則會報下圖的錯誤.
在“內容位置選擇”頁上,鍵入有效的位置以存儲更新,然后單擊“下一步”。
在“確認安裝選擇”頁上,查看所選的選項,然后單擊“安裝”。
在“安裝進度”頁上,單擊“啟動后安裝任務”,並等到此任務順利完成,然后單擊“關閉”。
在服務器管理器中,驗證是否出現提醒你需要重新啟動的通知。根據安裝的服務器角色,這可能有所變化。如果需要重新啟動,請務必重新啟動服務器以完成安裝。
安裝成功后,如圖所示.
(三)配置WSUS 4.0
默認情況下,配置 WSUS 以將 Microsoft Update 用作獲取更新的位置。如果你在網絡上有代理服務器,則可配置 WSUS 以使用代理服務器。如果 WSUS 和 Internet 之間存有企業防火牆,你可能必須配置防火牆以確保 WSUS 可獲得更新。
如果 WSUS 和 Internet 之間存有企業防火牆,你可能必須配置防火牆以確保 WSUS 可獲得更新。若要從 Microsoft Update 獲得更新,WSUS 服務器使用適用於 HTTP 協議的端口 80 和適用於 HTTPS 協議的端口 443。雖然大多數企業防火牆允許此類流量,但由於公司的安全策略,有些公司限制從服務器訪問 Internet。如果你的公司限制訪問,你需要獲得授權才能從 WSUS 通過 Internet 訪問以下 URL 列表:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
https://*.update.microsoft.com
http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
在“服務器管理器”導航窗格中,單擊“儀表板”,單擊“工具”,然后單擊“Windows Server Update Services”。
如果出現“完整的 WSUS 安裝”對話框,請單擊“運行”。
當安裝成功完成時,在“完整的 WSUS 安裝”對話框中,單擊“關閉”。
Windows Server Update Services 向導出現在“開始之前”頁上,單擊“下一步”。
閱讀“加入 Microsoft 更新改善計划”頁上的說明,評估你是否想參與其中。如果要參與該計划,請單擊“下一步”繼續。
在“選擇上游服務器”頁上,你可選擇將更新與 Microsoft Update 或其他 WSUS 服務器同步。
-
如果你選擇從其他 WSUS 服務器同步,請指定服務器名稱以及該服務器與上游服務器通信時所在的端口。
-
若要使用 SSL,請選中“同步更新信息時使用 SSL”復選框。服務器將使用端口 443 進行同步。(確保該服務器和上游服務器支持 SSL)。
-
如果這是副本服務器,請選擇“這是上游服務器的副本”復選框。
為你的部署選擇適當選項后,單擊“下一步”繼續。
在“指定代理服務器”頁上,選中“同步時使用代理服務器”復選框,然后在對應的框中鍵入代理服務器名稱和端口號(默認是端口 80)。
重要事項
如果你確定 WSUS 需要代理服務器才能訪問 Internet,則必須完成上一步驟。
如果你希望通過使用特定用戶憑據來連接代理服務器,請選擇“使用用戶憑據連接代理服務器”復選框,然后在對應的框中鍵入用戶名稱、域和用戶密碼。如果你希望啟用已連接代理服務器的用戶的基本身份驗證,請選擇“允許基本身份驗證(以明文形式發送密碼)”對話框。
此時,你完成了代理服務器配置。單擊“下一步”轉到下一頁,這時你可以開始設置同步進程。
在“連接到上游服務器”頁上,單擊“開始連接”。
連接它時,然后單擊“下一步”繼續。
在“選擇語言”頁上,你可選擇 WSUS 將收到更新的語言 — 所有語言或語言子集。選擇語言子集將節省磁盤空間,但必須選擇此 WSUS 服務器的所有客戶端需要的所有語言。如果你選擇僅獲得特定語言的更新,請選擇“僅下載這些語言的更新”,然后選擇你希望獲得更新的語言;否則保留默認選擇。
為你的部署選擇適當語言后,單擊“下一步”繼續。
警告
如果你選擇“僅下載這些語言的更新”選項,且該服務器具有與其連接的下游 WSUS 服務器,該選項將強制下游服務器也僅使用所選的語言。
“選擇產品”頁允許你指定希望更新的產品。選擇產品類別(如 Windows)或特定產品(如 Windows Server 2008)。選擇產品類別將選擇該類別的所有產品。
為你的部署選擇適當的產品選項后,單擊“下一步”繼續。
在“選擇類別”頁上,選擇要包含的更新類別。選擇所有類別或其子集,然后單擊“下一步”繼續。
在“設置同步計划”頁上,選擇手動或自動執行同步。
-
如果你選擇“手動同步”,你必須通過 WSUS 管理控制台啟動同步過程。
-
如果你選擇“自動同步”,WSUS 服務器將每隔一段時間執行同步。
設置“第一次同步”的時間,並制定你希望該服務器執行的“每天同步”次數。例如,如果你指定每天同步四次,從上午 3:00 開始,則同步將在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 發生。
為你的部署選擇適當的產品選項后,單擊“下一步”繼續。
在“完成”頁上,你可通過選擇“開始初始同步”對話框,即時啟動同步。如果你不選擇此選項,你必須使用 WSUS 管理控制台來執行初始同步。如果你希望閱讀有關其他設置的詳細信息,請單擊“下一步”,或單擊“完成”來結束該向導並完成初始 WSUS 設置。
在單擊“完成”后,WSUS 管理控制台會出現。
(四)設置WSUS計算機組及AD策略
根據需要,在AD中新建計算機分組。如圖。
然后我們為服務器組的計算機設置組策略,以使其從WSUS獲取更新,如圖.
首選配置自動更新策略,如圖.
這里我設置的服務器組的自動更新策略為自動下載並通知安裝.如圖.
然后我們"指定intranet microsoft更新服務位置”,也就是指定WSUS服務器的位置,如圖.
配置自動更新檢測的頻率,如圖.
配置客戶端目標設置,如圖。
所謂的客戶端目標設置,就是在域里將不同部門,或者按照不同系統類型,將計算機進行分組,例如我們在域里創建了一個“銷售部計算機組”,那么我們可以在WSUS里也創建一個“銷售部計算機組”,名稱必須與域里的相同,然后我們再在域組策略設置一條“客戶端目標設置”,然后就可以將域里該計算機組里的成員自動通過組策略同步到WSUS同名的計算機組中。
當只有把WSUS控制台中:“選項”——“計算機”——“分配到組的方式”設置為“使用update services控制台”才可以“更改集合成員身份”。如果設置為“使用計算機上的組策略或者注冊表設置”則該按鈕是不能用的,計算機分組的方式將由域組策略或者本地組策略的下面條目控制:
例如:右擊銷售部WSUS GPO——編輯——計算機配置——管理模板——windows組件——windows update——允許客戶端目標設置——已啟用——此計算機的目標組名稱:銷售部計算機組
配置完成后的組策略如圖所示.
(五)其他配置
WSUS的配置不僅僅限於此,后續的很多補丁安裝審批測試工作,各種補丁安裝和審批的流程,自動審批的配置,計算機的清理向導,WSUS本身產品的補丁的升級等等都是需要我們考慮的,限於篇幅,本文不再贅述.
有問題,請留言,一起學習,共同進步.