1、WSUS 全攻略之三:WSUS 操作指南在安装好 WSUS 服务器之后,你可以通过 WSUS 管理控制台来对 WSUS 服务器进行管理。WSUS管理控制台是基于 Web 浏览器的,你可以通过以下地址 3 U Z6 i; J : X- e6 3 http:/WSUS_Website_url/WSUSAdmin % 5 r7 H“ I8 f C8 Y4 : l来访问 WSUS 管理控制台,在默认情况下 WSUS Web 站点使用默认 Web 站点,WSUS 管理控制台的访问路径是 + % S“ L3 c: e9 ?http:/servername/WSUSAdmin 你必须将浏览器配置为允许活动脚
2、本和 ActiveX 控件。如果在计算机上已启用了 Internet Explorer 增强安全配置组件,你应该将 WSUS 管理控制台地址添加到受信任的站点中。 % A7 R8 P8 X! |* 6 F“ 6 t2 t9 ?WSUS 安装时将创建一个名为 WSUS Administrators 的用户组,这便于你委派用户进行 WSUS的管理。默认情况下,只有属于内建的 Administrators 组或 WSUS Administrators 组的用户可以访问 WSUS 管理控制台。 在 WSUS 管理控制台中你可以执行以下任务: 1 P ) O. O$ E; D配置 WSUS 服务器选项并
3、进行同步; 2 i: L1 e0 Y$ U3 n6 G管理计算机及计算机组; * K) % _/ d/ C7 Z$ K/ f6 L w) c) z1 g3 D点击开始,再点击管理工具中的 Microsoft Windows Server Update Services 进入 WSUS管理控制台,此时会弹出身份验证对话框,输入具有访问权限的用户账户及密码,然后点击确定,如下图所示, ( b3 ; b( e3 w8 V9 B- 由于采用了增强的 Internet Explorer 安全配置,在弹出的警告提示框中,点击添加, a9 G进入 WSUS 管理控制台后,主页界面如下图所示,在此你可以看到
4、WSUS 服务器的运行状态和提醒你需要做的待办事项。由于默认情况下 WSUS 服务器配置为手动进行同步,因此没有任何更新。首先我们需要配置 WSUS 服务器选项,点击右上角 WSUS 管理工具栏中的选项链接。 + + S, 5 B J) k$ . a0 W# 2 E7 n6 M: B, W6 5 V“ r7 B! 8 E工具:协助完成一项或一组任务的工具或功能; + U. F# D) 6 W0 功能包:通常在下一次发行时纳入产品的新功能版本; 关键更新:针对特定问题广泛发行的修补程序,旨在解决关键的非安全错误; / H. * Z1 S/ m“ s, 4 N* z3 W“ S6 V驱动程序:旨在
5、支持新硬件的软件组件。 由于选择太多的更新分类会导致下载的更新占用大量的 WSUS 数据库容量和服务器磁盘空间,所以请根据你企业网络中的实际需要,在弹出的添加/删除分类对话框上进行选择。在此我只保留安全更新程序,取消勾选关键更新程序,然后点击确定。 在下面的代理服务器框架,你可以配置同步时使用代理服务器连接到 Microsoft Update 或上游服务器。如果要使用代理服务器,则勾选同步时使用代理服务器,输入代理服务器名称及代理服务端口;如果代理服务器要求进行身份验证,则勾选使用用户凭据连接到代理服务器,然后在相应的文本框中输入用户名、域和用户密码;如果代理服务器要求用户使用基本身份验证,则
6、选中允许基本身份验证(密码以明文文本发送)。 / F6 v“ i“ E# u9 # S+ _“ F: b. l# Y( W: ( Q- u% k9 ?; k在下面的更新源框架指定 WSUS 服务器获取更新程序的位置。你可以选择 Microsoft Update 或另一台 WSUS 服务器,这取决于你的 WSUS 服务器部署方式,默认情况下 WSUS 服务器配置为从 Microsoft Update 获取更新。 5 U2 y( N7 O% q9 h如果希望 WSUS 服务器直接从 Microsoft Update 进行同步,请选择从 Microsoft Update 进行同步。如果此 WSUS
7、服务器在复制模式下运行,则此选项不可见; 如果要从其他 WSUS 服务器进行同步,请选择从上游 Windows Server Update Services 服务器进行同步,然后在服务器名文本框中输入上游服务器的服务器名称,在端口号文本框中输入上游服务器所使用的 HTTP 协议端口号;如果要在同步更新信息(仅针对同步更新程序的元数据)时使用 SSL,请在端口号中输入上游服务器用于 SSL 连接的端口号,然后勾选同步更新信息时使用 SSL。当 WSUS 服务器配置为此模式时,不能配置下面的更新文件和语言框架中的高级选项,只能继承上游 WSUS 服务器的配置。 如果 WSUS 服务器在复制模式下运
8、行,则只需在服务器名文本框中输入服务器名;上游服务器不用必须设置为此 WSUS 服务器的管理服务器,也可以是另一台复制模式服务器。 7 0 i6 S7 d4 l- a, B ?“ q0 P5 M在底部的更新文件和语言框架,点击高级按钮设置更新文件下载的方式及此 WSUS 服务器进行同步时所下载的更新程序的语言类别。由于修改高级选项将重置该 WSUS 服务器上的更新文件下载状态,在配置完成之前,客户端计算机不能从此 WSUS 服务器获得更新程序,因此,单击高级按钮时 WSUS 服务器会提醒你这一点,在警告对话框上点击确定,就出现了高级同步选项对话框,如下图所示: 在更新文件框架中,你可以配置如下
9、选项(关于这些选项的详细说明,请参见部署与规划一文): 3 X4 i0 : F B) 在此服务器上本地存储更新文件;将更新文件存储在 WSUS 服务器上,这节省了企业外部网络连接的带宽,因为客户端计算机直接从 WSUS 服务器获取更新。默认勾选只有在更新得到批准后,才会将更新文件下载到服务器,这将启用 WSUS 服务器的延迟更新下载特性:WSUS服务器进行同步时只同步更新文件的元数据,当批准更新安装时才下载更新文件,这将大大的节省了 WSUS 服务器所使用的企业外部网络的带宽,建议你总是使用这一配置。如果你想使用快速安装文件特性,则勾选下载快速安装文件,这以多消耗 WSUS 服务器所使用的企业
10、外部网络带宽为代价来节省企业内部网络中的客户端计算机从 WSUS 服务器下载更新所使用的网络带宽,请根据你的网络情况仔细考虑是否使用这一特性。 本地不存储更新;客户端从 Microsoft Update 安装;当选择此配置时,更新文件远程存储在 Microsoft Update 上。当 WSUS 服务器和 Microsoft Update 进行同步时,将只下载元数据;你可以通过 WSUS 控制台批准更新,安装时客户端计算机直接从 Microsoft Update获取更新文件。 + f! P: w9 E: _: A9 X6 A在下部的语言框架中,你可以选择以下三个选项之一: - U2 / X3
11、T( # j0 M仅下载与该服务器的区域设置匹配的那些更新;WSUS 服务器只下载和自己的区域设置语言相同的更新程序,在此我的 WSUS 服务器为中文简体版本,所以只会下载中文简体的更新程序; 5 U: M$ g1 W- D, m3 j0 p ?# # 7 _ D下载所有语言的更新,包括新语言;此选项将下载所有语言的更新程序,包括未来的新语言。虽然这是默认选项,但是你应当尽量不使用此选项。 仅下载所选语言的更新;下载你所选择的语言的更新程序,选择此项后,在下面的语言列表中勾选你想下载更新程序的语言。 当修改语言选项后,WSUS 服务器同步时不会下载基于已取消的语言的更新程序版本,但是已下载的基
12、于已取消的语言的更新程序会仍然保留;对于客户端计算机的区域语言设置不符合 WSUS 服务器上下载的更新程序语言时,WSUS 服务器将不会为该客户端计算机提供服务。当你修改同步选项中的语言选项时,微软建议你立即手动同步主服务器和复制服务器。这避免了当在主服务器上修改了语言选项时,主服务器上批准的更新程序数和复制服务器上批准的更新程序数不匹配。 在此我选择仅下载与该服务器的区域设置匹配的那些更新,然后点击确定;修改配置后记得点击页面左上角的任务列表中的保存设置连接保存修改后的配置。如果要立即开始同步,则点击立即同步链接,同步时不能修改任何同步选项。 你可以在下面的同步状态框架中或者主页的同步状态中
13、看到同步的当前状态,如下图所示:- L( 0 Z; R p8 d: # e* l1 R# b2 v# h r在同步更新的过程中,你不能修改同步选项,但是可以修改其他两个选项。 , h, V% 9 H: v1 n$ C D) s5 v% K, I; y# ?自动批准选项 + h0 O g a) $ E; e8 A8 : t* a! n! U( M2 e8 b1 你可以在主页上观察同步状态,等待同步完成。同步完成后的情况如下图所示: 5 r( G! b9 l7 G3 K) T0 根据我的配置,总共下载了 86 个更新程序(元数据),由于我已经配置了客户端计算机使用此 WSUS 服务器,所以已经有两
14、台客户端计算机连接到此 WSUS 服务器。由于默认情况下会自动对所有计算机组进行安全更新程序、关键更新程序的检测操作,所以 WSUS 服务器对这两台客户端计算机进行了检测操作,发现有 19 个更新程序是客户端计算机所需要的。你可以点击对应的链接进行详细的了解。 ! _6 + d U9 N k C) I* Y6 n现在,我们先针对客户端计算机创建计算机组,然后再对不同的计算机组进行更新的批准,这便于不同更新程序的分发以及测试更新程序。在 WSUS 中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问 WSUS 服务器时,都将被加入到这两个组中。你可以创建计算机组
15、,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。 / O5 m; n5 I9 O% m点击 WSUS 管理工具栏上的计算机链接进入计算机管理控制台,如下图所示。在此你可以在右上部看到连接到本 WSUS 服务器的客户端计算机及各自上一次进行状态报告的时间,当选择某台客户端计算机时,在右下部可以看到它的详细信息,点击状态则可以看到更新程序的安装情况,例如安装了哪些更新程序,需要哪些更新程
16、序,不需要哪些更新程序。 点击左上方任务列表中的创建计算机组链接创建计算机组,在此我将针对域控制器和域成员服务器来创建两个不同的计算机组。 . i* f2 “ U5 i6 G在弹出的创建计算机组对话框中,输入新计算机组的名称,在此我命名为 Domain Controllers,点击确定; ( S4 W“ h# ?; J此时,新创建的计算机组 Domain Controllers 出现在了左下方的计算机组列表中,在计算机列表中选择域控制器 berlin.winsvr.org,然后点击任务列表中的移动选定计算机链接。如果要选择多个连续的客户端计算机,请在选择时按住 Shift 键;要选择多个不连续
17、的客户端计算机,请在选择时按住 Ctrl 键;如果要选择列表中的全部客户端计算机,则可以使用 Ctrl A 快捷键。注意,如果你在计算机选项中采用客户端定位的方式,则不会出现移动选定计算机链接。 4 o0 T1 z1 , W8 O2 s# / f$ a. D/ u6 S # r, A0 _, ! v1 _3 q; 1 a在弹出的移动计算机对话框中,选择你要将客户端计算机移动到的计算机组,在此我选择Domain Controllers,点击确定。注意,你不能选择移动到所有计算机或者此客户端计算机属于的原计算机组。 8 x* n: Z: 6 u7 V; S6 Z按照同样的方法我创建另外一个名为 D
18、omain Members 的计算机组,并将另外一个客户端计算机 munich.winsvr.org 移动到此计算机组中,完成后的计算机管理页面如下图所示: ! T$ z7 c5 V y( _2 s- - V. D# 2 Y; N如果需要删除某个计算机组,则先点击左下方计算机组列表中的对应计算机组,然后在左上方的任务列表中点击删除选定组链接, : ! - W: s+ R. T9 K9 K c批准更新在批准更新对话框所指定的计算机组中进行安装。在批准更新时,你可以选择客户端计算机安装更新的不同方式: # q4 m1 b/ V: G) z; T$ Q使用客户端计算机的设置来决定如何安装更新。当你使
19、用此方式时,批准更新所应用到的计算机组中的客户端计算机将根据自己的设置来决定如何安装更新程序,可能会提示当前的用户进行安装,也可以根据组策略的设置自动进行安装。 8 B2 i0 n, m3 d. v9 m C: x i7 ?6 j首先在更新列表上,选择要批准安装的更新。如果要选择多个连续的更新,请在选择时按住 Shift 键;要选择多个不连续的更新,请在选择时按住 Ctrl 键;如果要选择列表中的全部更新,则可以使用 Ctrl A 快捷键。 : a“ Z; a# Y+ s# y. , S) H然后在更新任务下,根据不同的批准操作方式,点击不同的链接,如果是拒绝更新,则点击单击拒绝更新(选定单个
20、更新)或者拒绝选定的更新(选定多个更新)链接;如果是其他操作方式,点击更改批准链接。 在此我决定向 Domain Members 计算机组部署部分更新,并且想让客户端尽快安装更新。则首先选中我想要部署的更新,然后点击更改批准链接,弹出的批准更新对话框如下图所示,( U0 3 y1 a: G( U+ v0 d- o2 o9 g1 b由于我只是想为 Domain Members 计算机组部署这些更新,所以我将默认对所有计算机的选定采取仅检测的批准方式,然后点击 Domain Members 的批准方式,将其从默认的与“所有计算机”组相同修改为安装,如下图所示, - t* J% d“ G4 y6 p
21、+ a因为我想让它们尽快在客户端计算机上进行安装,所以我将最后期限设置为一个过去的时间,点击最后期限列的无,在弹出的编辑最后期限对话框中,选择按选定的日期和时间安装更新,然后输入一个过去的日期,这样会导致客户端计算机在下次访问 WSUS 服务器时立刻进行安装操作,最后点击确定按钮。 ) M _1 V) c4 l5 C点击确定按钮,由于这些更新都已经被自动批准为检测,所以 WSUS 服务器提示你替换现有的批准还是仅添加新批准项,在此我选择替换现有的批准,然后点击确定。 - # 1 L8 % “ 9 u此时,WSUS 服务器就将进行批准操作。由于 WSUS 服务器所采用延迟更新下载特性,只有当某个
22、更新被批准安装时,WSUS 服务器才会从 Windows Update 进行更新文件的下载,所以 WSUS 现在开始进行更新程序的下载,你可以在首页上看到更新下载的状态。当某个被更新批准应用到的客户端计算机下次和 WSUS 服务器进行同步时,将按照更新批准中的设置进行更新的安装。 1 f% X% b- e9 K# R G+ m2 t如下图所示,蓝色的图标表示更新文件已经下载到本地 WSUS 服务器,而灰色的图标表示更新文件并未下载到本地。批准列的值指明了批准的方式,由于我不是对所有计算机进行相同的操作,所以显示为混合式,你可以点击下半部的状态来查看此更新程序的具体批准情况。 4 W8 U, r. _+ J- Q5 p# K1 Q! B, J2 A当客户端计算机连接到 WSUS 服务器获取更新后,由于此更新批准的最后期限是过去的时间,所以客户端计算机会自动安装更新程序,如果更新程序需要重启计算机,则会强制重启计算机,如下图所示: / E k* k# a“ Z X, H t# J E9 b5 w* o, n C7 ?! B. V! j1 B. T- n+ f4、设置摘要,它可以查看已在选项中指定的所有设置(或默认设置,如果尚未更改它们的话),如下图所示,
