1、WSUS3.0 安装配置步骤第一部分 部署前准备工作一、支持的新平台和要求 WSUS 3.0 服务器平台和要求:1.Windows Server 2003 Service Pack 12.SQL Server 2005 SP1、SQL Server 2005 Express SP1 或 Windows Internal Database3.Microsoft .NET Framework 2.0 4.Internet 信息服务 (IIS) 6.05.后台智能传送服务 (BITS) 2.0二、WSUS 3.0 管理控制台平台和要求:1.Windows XP SP1 或 SP2、Windows V
2、ista、Windows Server 2003 或 Windows Server“Longhorn”2.管理控制台 (MMC) 3.03.Microsoft Report Viewer 三、客户端计算机平台和要求:1.Windows XP SP1 或 SP2、Windows Vista、Windows Server 2003 或 Windows Server“Longhorn”2.后台智能传送服务 (BITS) 2.0第二步 安装 WSUS3.0 前的装备工作介绍一下今天的实验拓扑,如下图所示,Florence 是 域的域控制器,BEIJING 是 wsus 服务器,perth 是测试用的
3、工作站。 FLORENCE 和 PERTH 是 WINDOWS SERVER 2003 系统 而 BEIJING 则是 WINDOWS SERVER 2003 SP1 系统一 安装前的准备工作要在 Berlin 上安装 WSUS3.0,需满足下列条件。1、Internet 信息服务 (IIS) 6.02、后台智能传送服务 (BITS) 2.03、Microsoft .NET Framework 2.04、管理控制台(MMC )3.05、Microsoft Report Viewer下面是具体的安装截图1)IIS6.0由于 WSUS 客户机和服务器之间通过 Http 或 Https 传递数据,因
4、此 WSUS服务器必然需要 IIS 的支持。我们在 Berlin 上依次点击控制面板添加或删除程序添加/删除 Windows 组件应用程序服务器,在应用程序服务器选择安装 Internet 信息服务(IIS),如下图所示2)BITS20BITS 可以支持后台传输,数据压缩,断点续传等高级功能。WSUS2.0SP1 需要 BITS2.0 的支持注:由于我们用的是 WIN2003SP1 的系统所以在这里就不需要装 BITS 2.0 的补丁程序3)Microsoft .NET Framework 2.0启动安装程序,安装过程非常简单,如下图所示,在此不再赘述。4) 管理控制台 (MMC)3.05)M
5、icrosoft Report Viewer注:以上所有准备工作的安装都是傻瓜试一按到底这里就不做过多的叙述!磁盘和数据库方面也有几点1.磁盘的类型都是 NTFS。2.空闲磁盘空间至少 1GB 的系统空间至少 6GB 的空间留给 wsus 的内容,推荐空间为 30GB至少 2GB 的空间,安装 SQL Server2005 桌面版。在这里我们使用 WSUS3.0 自带的 WMSDE 数据库即可。现在所有的准备工作已经就绪,下面我们就开始 WSUS3.0 的安装第三步 WSUS3.0 安装做好安装前装备工作后我们就可以进行 WSUS 3.0 的安装了.如下图所示,启动WSUS 3.0 的安装程序
6、后出现了安装向导。接受软件许可协议 点击下一步设置存储 WSUS 更新文件的目录为 E:WSUS,更新文件至少需要 6G 磁盘空间(建议安装分区的空间要大于 20G)WSUS 后台数据库选用自带的 WMSDE,设置数据库的存储目录为E:WSUS。下图中的对话框中我使用 IIS 默认网站。(个人强烈建议使用此选项,建议在默认网站上不加载任何 WEB 应用程序。)点击”下一步 ”现在 WSUS3.0 已经完成了安装,下面我们来看 WSUS3.0 的配置以及应用第四步 WSUS 3.0 的配置及应用在完成了 WSUS 的安装后,安装程序会自动跳转到”WSUS 的配置向导”根据此向导.我们就可以完成
7、WSUS 的配置了.下图的窗口中点击下一步在这里我们选择从微软的服务器上进行同步,点击下一步继续点击开始连接(在这里选择开始连接后可能需要一段时间,这要看网络的状况而定)选择下一步选择更新语言我们在这里选择中文.下一步继续在这里我们可以根据自己的实际情况去选择一些自己需要的产品更新.(由于实验需要我选择 Windows Server 2003 的更新)下一步继续这里我们来选择更新的分类 大家可以根据自己的实际情况进行选择.下一步继续点击下一步 继续点击完成 到了这里我们就基本完成了 WSUS 3.0 的初始配置. 点击完成!OK选择开始程序管理工具Microsoft Windows Serve
8、r Update Services 3.0到此为止我们就完成了 WSUS 3.0 的部署以及配置!下面讲如何利用 WSUS 3.0 进行补丁分发在上一篇文章中我们完成了对 WSUS3.0 的安装以及其初步的配置部署,今天我们就来介绍如何利用 WSUS3.0 来对客户机进行补丁的分发.首先我们来看下今天的实验拓扑图:如图所示 FLORENCE 是 WSUS.COM 的域控制器,BEIJING 为 WSUS3.0 服务器.PERTH 为工作站.如下图所示 WSUS 服务器已经进行同步选项中对产品及类别进行了设置,也已完成了同步。我们接下来就要利用这个环境进行补丁分发。首先我们来介绍下要完成补丁分发
9、需要注意的几个要点1、 WSUS 对计算机的分组管理2、 组策略的设置3、 WSUS 更新审批了解了这些注意以后,现在我们来介绍具体的内容一 、WSUS 分组管理分组管理可以把 WSUS 客户机放入不同的组中进行管理,每个组可以有不同的补丁管理策略,这些对于管理工作的细化很有好处。如下图所示,WSUS 安装时默认创建了两个组,一个是“所有计算机”组,一个是“未指定的计算机”组。默认情况下每个 WSUS 的客户机都会属于这两个组我们来准备来创建两个组来完成今天实验。一个为 TEST,一个为 SYSTEM。TEST组用于测试补丁的客户机。右键点击上图中的“所有计算机”,选择添加计算机组添加弹出对话
10、框要求我们输入组名,如下图所示,我们为计算机组命名为 SYSTEM。这样我们就创建出了一个计算机组,然后用同样的方法再创建一个名为“TEST”的计算机组。在我们创建完计算机组后,如何来把客户机放入到我们刚才创建的两个组中呢?别着急,听我给大家慢慢道来。如下图所示,在你需要的计算机名字上右击选择更改计算机成员身份就会出现和下图一样的对话框。这样就完成了计算机的分组情况到目前为止,我们部署了 WSUS 服务器,创建了计算机组。但客户机如何知道哪台计算机是自己需要的 WSUS 服务器?要解决的这个问题就是我们下面要说的通过组策略来实现客户机自动从 WSUS 服务器上选择补丁更新!组策略的设置:如果在
11、域环境下,用组策略是效率最高的方法。我们只要部署一个域级别的组策略,就可以轻松完成 WSUS 设置。在域控制器 Florence 上依次点击 开始程序管理工具Active Directory 用户和计算机,右键点击 域,选择属性。在属性中切换到组策略标签,如下图所示,选择默认组策略“Default Domain Policy”,点击编辑按钮。在组策略编辑器中展开计算机配置管理模板Windows 组件Windows Update,如下图所示,在此我们可以进行 WSUS 相关策略的设置。编辑“配置自动更新”策略,如下图所示,在此策略中我们选择启用自动更新,并且将自动更新模式配置为自动下载并通知安
12、装,在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。编辑“指定 Intranet Microsoft 更新服务位置”策略,如下图所示,在此策略中可以设定 WSUS 更新服务器和统计服务器。Intranet 更新服务器提供补丁下载,Intranet 统计服务器提供报表统计,在此例中我们用一台服务器同时提供这两种服务。我们描述服务器可以使用 Netbios 名称,完全合格域名或 IP完成上述设置后,基本已经可以满足 WSUS 实验需求,其他策略我们就不一一列举了三 WSUS 更新审批做完了以上的配置现在我们就进入实质性的 WSUS 补丁分发管理。上篇博文中我们对 WSUS 服务器进行的同步
13、设置中规定了 WSUS 只能涉足 Win2003 平台下的安全更新和关键更新,这些更新必须经过 WSUS 服务器批准安装才能分发到客户机上。下图中我们可以看到已经有 15 个更新的补丁得到批准安装在计算机上。那么这些操作具体是怎么进行的呢,下面我就来给大家介绍下:如下图所示我们选中需要安装的补丁,点击右边的审批选项,选择需要更新的计算机组这样就完成了补丁文件的审批工作好了,WSUS 服务器端的设置已经基本完成,让我们去客户机上看一下吧。首先在客户机上可以运行 gpupdate /force 来加速组策略的生效,否则域成员服务器或工作站等候组策略生效可能最多需要 90 分钟。然后可以运行 wuauclt /detectnow,这样客户机可以立即连接到 WSUS 服务器而不需要等待 20 分钟的延时,过程如下图所示。
