1、Microsoft Windows Server Update Services 安装与配置教程珠江期货广州总部技术部修改日期:2010 年 09 月 03 日摘要本文提供 Microsoft Windows Server Update Services (WSUS) 入门的分步指导。其中详述了在网络上部署 WSUS 所涉及的基本任务的说明,具体包括在 Microsoft Windows Server 2003 操作系统上安装 WSUS、配置 WSUS 以获取更新、将客户端计算机配置为从 WSUS 安装更新,以及批准、测试和分发更新。在“ 部署 Microsoft Windows Server
2、 Update Services”白皮书(文档可能为英文)中可以找到有关内容的更为全面的阐述。2目录Microsoft Windows Server Update Services 入门循序渐进指南 .3步骤 1:WSUS 安装要求 .3硬件要求 3磁盘要求 4软件要求 4步骤 2:在服务器上安装 WSUS.6步骤 3:部署 WSUS.19服务器端的部署 19客户端的部署 21客户端组策略的配置 21客户端注册表的修改 26步骤 4:使用 WSUS.28发现客户端 28同步更新 31客户端更新 323Microsoft Windows Server Update Services安装与配置教程
3、 WSUS 为在网络中管理更新提供了一个全面的解决方案。本文档提供了在网络上部署 WSUS 时涉及的基本任务的分步指导。使用本指南可执行以下任务: 在 Microsoft Windows Server 2003 操作系统上安装 WSUS。 将 WSUS 配置为从 Microsoft 获取更新。 将客户端计算机配置为通过 WSUS 安装更新。 批准、测试和分发更新。步骤 1:WSUS 安装要求 硬件要求建议使用以下硬件: 2 GHz 的处理器 最少 1 GB 的 RAM磁盘要求要安装 WSUS,服务器上的文件系统必须满足以下要求: 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进
4、行格式化。 系统分区至少需要 10 GB 的可用空间。 WSUS 用于存储内容的卷至少需要 6 GB 的可用空间,建议预留空间为 30 GB。注意:WSUS 更新的系统补丁占用空间很大,可以将更新目录设置为其他盘符软件要求安装 WSUS 之前,需要确认操作系统版本以及相应补丁是否安装:操作系统要求使用 windows 2003 server SP2 版4注意:使用 windows 2000 版也可以安装 WSUS,但安装需要的补丁和配置比较多,这里强烈建议使用 windows 2003 server SP2 版(SP2 补丁一定要打上,否则安装不能进行) Microsoft Internet
5、信息服务 (IIS) 6.0。安装方法:“开始”“控制面板”“添加或删除程序”“添加或删除 windows 组件”“应用程序服务器”“详细信息”选择“Internet 信息服务(IIS) ”,点击确定,然后点击下一步进行安装。5完成安装 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。下载网址为:http:/ wsus 安装包(wsus_install.rar)中,是 dotnetfx.exe 文件) Background Intelligent Transfer Service (BITS) 2.0。这
6、个无需下载,装好的 windows 2003 server SP2 版自带 ReportViewer2008这个文件在 wsus_install.rar 安装包中也有步骤 2:在服务器上安装 WSUS WSUS 3.0 SP2 中文版可以去微软官方网站下载,下载地址为:http:/ WSUS3 的系统要求,事先安装好 IIS、Microsoft .NET Framework 1.1、Microsoft Report Viewer,数据库使用 WSUS3 自带的 Windows Internal Database。 安装与配置:6下载到的 WSUS3 是一个自解压并自动执行安装程序的压缩包,我们
7、可以使用解压缩软件事先将其解开,这样做的好处就是当执行安装程序时,如果系统检测组件有问题,我们不必再次重新执行安装程序经历时间较长的解包过程。 7执行安装程序自解包完成后,出现 WSUS3 的安装向导界面,点击“下一步”。 因为是全新安装并且要部署的是完整的 WSUS3,所以默认选择“包括管理控制台的完整服务器安装”,如果你的环境内已经存在 WSUS3,那么可以选择第二项只安装管理控制台。点击“下一步”继续。 安装向导准备安装并执行检测。 8在许可协议这个界面选择“我接受许可协议条款”,并点击“下一步”继续。 配置 WSUS3“本地存储更新”(注意:安装的地方,尽量磁盘空间尽量大些) ,如果你
8、已经准备好额外的分区,那么这里会默认配置到额外分区上,确定无误后点击“下一步”继续。 9数据库选项,因为我们使用 WSUS 自带的 Windows internal Database 服务,所以保持默认。并点击“下一步” 继续。配置 WSUS 网站,这里有两个选项可供选择:“使用现有 IIS 默认网站”用到的是 80 端口“创建 WSUS 3.0 网站”注意看下面的提示,用的是 8530 端口这两个网站选项都已经通过了测试,推荐使用创建 WSUS 3.0 网站 ,也就是 8530 端口,根据需要自选即可10注意:这里的设置一定要记住,因为后面配置客户端组策略的时候,需要用到!完成配置向导后,我
9、们就可以正式开始安装 WSUS3,确认我们的配置,点击“下一步”开始安装。 11安装过程中会先安装配置 Windows Internal Database,接下来会将 WSUS3 安装到我们的系统最后执行 ASP.NET 环境的配置等等,整个过程耗时大概 5 分钟左右。 12至此,我们就完成了 WSUS 的全新安装。 在点击完成安装后,系统会自动弹出 WSUS3 的配置向导,我们通过配置向导可以配置我们已经安装好的 WSUS 服务器,为此点击“下一步”。 13选择是否加入 Microsoft update 改善计划,根据自己的需要选择。配置 WSUS3 的上游服务器,如果这台服务器是环境中的第
10、一台 WSUS3 服务器,那么你应当选择 Microsoft Update 作为你的上游服务器,否则请正确地配置此台服务器所要连接环境中已经存在的上游 WSUS3 服务器。 14如果你的 WSUS3 使用代理方式与外网连接,比如:你的网络出口一是台以代理方式运行的 ISA 服务器,那么你就需要在这里正确地为你的 WSUS3 配置使用代理服务器,并点击“下一步”继续。 15完成上述配置后,我们就可以在此界面点击“开始连接”与 Microsoft Update 通讯并取得下载更新信息,完成连接后点击“下一步”继续。 选择我们需要下载那种语言版本的更新注意:为了减小磁盘空间的占用,这里我们只选择中文
11、。 16选择我们需要下载更新的产品,在这里我们几乎可以选择到微软所有的主流产品,选择自己需要的更新产品即可,一般为 office 2003,windows XP,windows 2003 server 等选择我们需要下载的更新分类,根据需求配置。 17配置同步计划,如果你希望减轻服务器的负担你可以选择手工同步,如果你希望减轻自己的负担就配置为自动同步即可。值得注意的是在配置自动同步时,我们应该将自动同步的时间安排在半夜,这样以来,服务器的同步过程中的压力就小得多,而且也不会影响到你的网络质量。 OK,到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行 WSUS 管理管制台并自动开始初
12、始同步。之后我们可以选择“下一步”获得额外的信息,当然你也可以直接点击“完成”。如果是第一次安装 WSUS3,我强烈建议在这里选择点击“下一步”。 18这个界面为我们准备了非常有用的产品使用帮助链接,不妨先看看这些帮助。 注意:安装完毕以后,WSUS 不会在桌面上生成快捷方式,在程序中也不会显示新添加的程序,需要从控制面板管理工具Microsoft windows server update serverces 3.0 打开步骤 3:部署 WSUS 部署 WSUS 主要分为两个部分: 服务器端的部署 客户端的部署服务器端的部署开始运行 gpedit.msc计算机配置管理模板windows 组件
13、windows update19这里有很多设置,服务器端只需要设置“允许非管理员用户接收更新通知”选择“已启用” ,确定即可20客户端的部署客户端的部署可以有 2 种方法: 方法一:客户端组策略的配置 方法二:客户端注册表的修改注意:客户端组策略的配置也可以通过修改注册表来实现,所以选择其中一种方法就可以啦,推荐使用方法二,易于操作客户端组策略的配置开始运行 gpedit.msc计算机配置管理模板windows 组件windows update21这里我们从“配置自动更新”开始22这里选择“已启用” , “自动下载并计划安装” , “每星期一 17:00” ,表示每周一的 17:00分客户端会
14、自动从服务器端下载更新并自动安装,安装后会提示是否要重启。(这里只是举例,具体操作可以根据实际需求来配置)配置完,这一项,点击“下一设置”这里选择“已启用” , “为检测更新设置 Internet 更新服务”按照图示设置为服务器端的 IP地址,格式为:http:/WSUS 的服务器地址:端口号23是否需要在 IP 地址后面添加端口号,取决于之前安装 WSUS 网站首选项的设置,如果为IIS 默认,则不需要添加端口号;如果为创建,则需要添加端口号 8530(不能改动)点击“下一设置”这里可以先选择“未配置” ,点击“下一设置”这里保持默认,点击“下一设置”24这里选择“已启用” ,点击“下一设置
15、”这里选择“已启用” , “间隔(小时)检查更新”默认为 22 个小时,意思是客户端每隔 22个小时才会访问服务器端,查看是否有适合自己的新的更新,所以我们这里可以设置的小一点,比如 5 个小时。点击“下一设置”25这里选择“已启用” ,点击“下一设置”到此为止,客户端组策略的设置基本完成了,其中的一些细节需要自己在使用的过程中进行修改。客户端注册表的修改当客户端为 administration 权限时,客户端是不需要修改注册表就可以进行更新程序的,在我们实际使用中,很多用户都属于 user 组权限,当客户端属于 user 组时(并非 guest 组) ,需要对注册表进行以下修改才可以进行更新
16、。Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate“ElevateNonAdmins“=dword:00000001设置为 1 时,非管理组成员才可以为计算机打补丁“TargetGroupEnabled“=dword:00000001只有设置了这个,客户端的计算机才能被 wsus 的服务器检测到!“TargetGroup“=“目标组就是客户端自动注册到 wsus 服务器的哪个计算机组,可以为空。注意:以上三项都是需要手动添加的,注意前两个需要新建
17、为 dword 值,后一个需要26新建为字符串值到此,客户端的设置就完成了建议:当你设置完组策略后,可以到HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU这两个目录下查看注册表发生了哪些变化,就可以发现组策略跟注册表之间的关系了,具体实施时,就不需要每台电脑单独设置组策略,只要写好一个修改注册表的文件就可以了。以下是注册表的部分介绍,仅供参考!具体见“部署 Microsoft Window
18、s Server Update Services”白皮书(文档可能为英文)中可以找到有关内容的更为全面的阐述:HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU“NoAutoUpdate“=dword:00000000设置为 0,表明自动升级“AUOptions“=dword:00000004设置为 4,表示下载后自动安装。3 是提醒安装“ScheduledInstallDay“=dword:00000000设置为 0,表示每天都检测升级“ScheduledInstallTime“=dword:0000000a设置
19、安装补丁的时间,因为 AUOptions 设置为 4,所以这里设置自动安装的时间为 a,也就是十进制的上午十点,到上午十点,自动安装补丁。“UseWUServer“=dword:00000001/表明使用 wsusserver,也就是你自己搭建的 wsus 服务器,而不是去微软公司的网站升级。“AutoInstallMinorUpdates“=dword:00000001设置为 1,表明后台安装,就是悄悄地,补丁已经打上了。“RebootRelaunchTimeoutEnabled“=dword:00000001/设置为 1 才可以设置下面的参数“RebootRelaunchTimeout“=
20、dword:00000014表明提示重启动间隔时间,这里设置为 20 分钟,十六进制“DetectionFrequencyEnabled“=dword:00000001这里设置为 1,下面的参数才有效“DetectionFrequency“=dword:00000005设置检测的频率,这里为了测试用,所以频率设置为了 5,应该设置为 22 即可,一天一次“NoAutoRebootWithLoggedOnUser“=dword:0000000127设置为 1,表明用户可以选择是否等一会在重新启动,设置为 0 的话,5 分钟之内重启动“RebootWarningTimeout“=dword:000
21、00010安装计划的升级后,提示重启的时间“RebootWarningTimeoutEnabled“=dword:00000001设置为 1,上面的健设置才有效。设置为 0 的话,默认为 10 分钟“RescheduleWaitTime“=dword:00000005如果一个更新错过了安装时间后,下次开机提示的时间,比如,你上午十点的时候没开机,自然没安装,设置这个参数后,表示开机 5 分钟以后,提示你安装。“RescheduleWaitTimeEnabled“=dword:00000001在附近中,会提供 客户端使用注册表的实例步骤 4:使用 WSUS发现客户端WSUS 的界面以及使用操作延
22、续了 Microsoft 的风格,人性化,好操作,容易懂!运行 WSUS 程序:控制面板管理工具Microsoft windows server update serverces 3.0 打开28打开 WSUS 的管理控制台,整体界面非常的直观,在默认页我们可以看到 WSUS3 简洁的报告。 展开我们的 WSUS3 服务器,可以看到相关的操作和功能。 29点击“更新”,在界面的中间窗体就会显示相关的信息报告,非常的直观。 通过选择“所有更新” 、 “关键更新 ”或“安全更新”,我们可以针对性地对其进行管理,如审批更新、拒绝更新,或获取更新的详细信息等等。 30计算机下我们可以监视或管理受 WSUS 支持的客户端。 这里可以看到四台已经监视到的计算机,前面的感叹号表示客户端还没有将更新的信息上报给服务器端。你可以添加一些分组,比如我这里添加了财务部,风控部,技术部,结算部,将相应的客户端放进各自分组便于管理。注意:这是检查客户端设置是否正确的第一步,服务器端不会立刻将客户端读取上来,一般要等 5 到 10 分钟时间,如果依然读取不到客户端,请检查客户端组策略中“指定intranet Microsoft 更新服务位置”处是否设置正确(IP 地址和端口)!同步更新同步时可以进行手动的“立即同步” ,同步后的补丁信息会在窗口显示出来
