WSUS全攻略之三WSUS操作指南.docx
《WSUS全攻略之三WSUS操作指南.docx》由会员分享,可在线阅读,更多相关《WSUS全攻略之三WSUS操作指南.docx(13页珍藏版)》请在冰豆网上搜索。
WSUS全攻略之三WSUS操作指南
WSUS全攻略之三:
WSUS把持指南之马矢奏春创作
创作时间:
二零二一年六月三十日
在装置好WSUS服务器之后,你可以通过WSUS管理控制台来对WSUS服务器进行管理.WSUS管理控制台是基于Web浏览器的,你可以通过以下地址
http:
//WSUS_Website_url/WSUSAdmin
来访问WSUS管理控制台,在默认情况下WSUSWeb站点使用默认Web站点,WSUS管理控制台的访问路径是
http:
//servername/WSUSAdmin
你必需将浏览器配置为允许活动脚本和ActiveX控件.如果在计算机上已启用了InternetExplorer增强平安配置组件,你应该将WSUS管理控制台地址添加到受信任的站点中.
WSUS装置时将创立一个名为WSUSAdministrators的用户组,这便于你委派用户进行WSUS的管理.默认情况下,只有属于内建的Administrators组或WSUSAdministrators组的用户可以访问WSUS管理控制台.
在WSUS管理控制台中你可以执行以下任务:
∙配置WSUS服务器选项并进行同步;
∙管理计算机及计算机组;
∙管理更新(批准或拒绝更新);
∙通过陈说监控WSUS服务器的实现情况.
配置WSUS服务器选项并进行同步
点击开始,再点击管理工具中的MicrosoftWindowsServerUpdateServices进入WSUS管理控制台,此时会弹出生份验证对话框,输入具有访问权限的用户账户及密码,然后点击确定,如下图所示,
由于采纳了增强的InternetExplorer平安配置,在弹出的警告提示框中,点击添加,
然后在可信站点对话框上,点击添加.这样就把WSUS管理控制台加入了到受信任的站点中,再点击关闭.
进入WSUS管理控制台后,主页界面如下图所示,在此你可以看到WSUS服务器的运行状态和提醒你需要做的待处事项.由于默认情况下WSUS服务器配置为手动进行同步,因此没有任何更新.首先我们需要配置WSUS服务器选项,点击右上角WSUS管理工具栏中的选项链接.
在选项页面中,你可以选择配置以下三种选项:
∙同步选项;在同步选项中,你可以配置同步的方式、同步的产物及分类、同步使用的代办署理服务器及更新源和下载更新的语言;
∙自动批准选项;在自动批准选项中,你可以配置是否批准更新自动进行检测以及选择哪种更新自动进行检测、是否批准更新自动进行装置以及选择哪种更新自动进行装置、是否自动批准更新的修订以及是否自动批准WSUS更新;
∙计算机选项;在计算机选项中,你可以选择如何对客户端计算机进行分组,详细信息请拜会布置与规划一文.
同步选项
首先点击同步选项链接配置同步选项,如下图所示.你可以在计划框架中选择同步的方式,默认为手动同步.你可以设置为手动同步或者每天按时同步;如果使用每天按时同步,则选择每天同步时间,再输入计划进行同步的时间.请根据你的需要来选择同步的方式;如果采纳每天按时同步,则根据自己企业的外部网络访问情况来决定何时进行同步,应计划为外部网络访问活动较少的时段,例如凌晨.在此我保管为使用手动同步.
在下面的产物和分类框架,你可以选择你想要进行同步更新的产物和更新分类,默认情况下同步所有支持自动更新的Windows产物(Windows2000家族,WindowsXP家族,Windowsserver家族及数据中心版本)的平安更新和关键更新.
点击产物下面的更改按钮进行产物类型的修改,如下图所示.在WSUS服务器未和MicrosoftUpdate进行同步前,只包括Windows产物;当和MicrosoftUpdate进行同步后,WSUS服务器还可以支持SQLServer、Exchange2000/、OfficeXP/等系统更新的同步,而且将来会支持微软全系列产物的同步.由于选择太多的产物类别会招致下载的更新占用年夜量的WSUS数据库容量和服务器磁盘空间,所以请根据你企业网络中的实际需要,在弹出的添加/删除产物对话框中进行选择.微软的产物依照条理结构显示在其所属的产物系列下,你可以选择需要服务器自动同步更新的产物或产物系列,可以一次指定同一产物系列中的多个产物;在选中父复选框的同时也就选中了其下面的所有项目.对每种选择,你也会自动选择其未来版本.在此由于我的网络中客户端计算机均为Windowsserver,因此我只保管Windowsserver家族的选择,然后点击确定;
点击更新分类下面的更改按钮进行更新分类的修改.更新分类代表更新的类型,对任何给定的产物或产物系列,都可能有多种分类的更新(例如,WindowsXP系列的关键更新和平安更新).在WSUS服务器中,支持你选择以下类另外更新:
∙ServicePack:
自产物发行以来创立的所有修补法式、平安更新、关键更新和更新的总集合,也可能包括有限多个客户请求的设计更改或功能;
∙平安更新法式:
针对特定产物广泛发行的修补法式,旨在解决平安问题;
∙更新法式:
针对特定问题广泛发行的修补法式,旨在解决非关键的非平安毛病;
∙更新汇总:
为简化布置而封装在一起的修补法式、平安更新、关键更新和更新的总集合;通常针对特定的范畴(例如,平安性)或特定的组件(例如,Internet信息服务);
∙工具:
协助完成一项或一组任务的工具或功能;
∙功能包:
通常在下一次发行时纳入产物的新功能版本;
∙关键更新:
针对特定问题广泛发行的修补法式,旨在解决关键的非平安毛病;
∙驱动法式:
旨在支持新硬件的软件组件.
由于选择太多的更新分类会招致下载的更新占用年夜量的WSUS数据库容量和服务器磁盘空间,所以请根据你企业网络中的实际需要,在弹出的添加/删除分类对话框上进行选择.在此我只保管平安更新法式,取消勾选关键更新法式,然后点击确定.
在下面的代办署理服务器框架,你可以配置同步时使用代办署理服务器连接到MicrosoftUpdate或上游服务器.如果要使用代办署理服务器,则勾选同步时使用代办署理服务器,输入代办署理服务器名称及代办署理服务端口;如果代办署理服务器要求进行身份验证,则勾选使用用户凭据连接到代办署理服务器,然后在相应的文本框中输入用户名、域和用户密码;如果代办署理服务器要求用户使用基自己份验证,则选中允许基自己份验证(密码以明文文本发送).
在下面的更新源框架指定WSUS服务器获取更新法式的位置.你可以选择MicrosoftUpdate或另一台WSUS服务器,这取决于你的WSUS服务器布置方式,默认情况下WSUS服务器配置为从MicrosoftUpdate获取更新.
∙如果希望WSUS服务器直接从MicrosoftUpdate进行同步,请选择从MicrosoftUpdate进行同步.如果此WSUS服务器在复制模式下运行,则此选项不偏见;
∙如果要从其他WSUS服务器进行同步,请选择从上游WindowsServerUpdateServices服务器进行同步,然后在服务器名文本框中输入上游服务器的服务器名称,在端口号文本框中输入上游服务器所使用的HTTP协议端口号;如果要在同步更新信息(仅针对同步更新法式的元数据)时使用SSL,请在端口号中输入上游服务器用于SSL连接的端口号,然后勾选同步更新信息时使用SSL.当WSUS服务器配置为此模式时,不能配置下面的更新文件和语言框架中的高级选项,只能继承上游WSUS服务器的配置.
∙如果WSUS服务器在复制模式下运行,则只需在服务器名文本框中输入服务器名;上游服务器不用必需设置为此WSUS服务器的管理服务器,也可以是另一台复制模式服务器.
在底部的更新文件和语言框架,点击高级按钮设置更新文件下载的方式及此WSUS服务器进行同步时所下载的更新法式的语言类别.由于修改高级选项将重置该WSUS服务器上的更新文件下载状态,在配置完成之前,客户端计算机不能从此WSUS服务器获得更新法式,因此,单击高级按钮时WSUS服务器会提醒你这一点,在警告对话框上点击确定,就呈现了高级同步选项对话框,如下图所示:
在更新文件框架中,你可以配置如下选项(关于这些选项的详细说明,请拜会布置与规划一文):
∙在此服务器上本地存储更新文件;将更新文件存储在WSUS服务器上,这节省了企业外部网络连接的带宽,因为客户端计算机直接从WSUS服务器获取更新.默认勾选只有在更新获得批准后,才会将更新文件下载到服务器,这将启用WSUS服务器的延迟更新下载特性:
WSUS服务器进行同步时只同步更新文件的元数据,当批准更新装置时才下载更新文件,这将年夜年夜的节省了WSUS服务器所使用的企业外部网络的带宽,建议你总是使用这一配置.如果你想使用快速装置文件特性,则勾选下载快速装置文件,这以多消耗WSUS服务器所使用的企业外部网络带宽为价格来节省企业内部网络中的客户端计算机从WSUS服务器下载更新所使用的网络带宽,请根据你的网络情况仔细考虑是否使用这一特性.
∙本地不存储更新;客户端从MicrosoftUpdate装置;被选择此配置时,更新文件远程存储在MicrosoftUpdate上.当WSUS服务器和MicrosoftUpdate进行同步时,将只下载元数据;你可以通过WSUS控制台批准更新,装置时客户端计算机直接从MicrosoftUpdate获取更新文件.
在下部的语言框架中,你可以选择以下三个选项之一:
∙仅下载与该服务器的区域设置匹配的那些更新;WSUS服务器只下载和自己的区域设置语言相同的更新法式,在此我的WSUS服务器为中文简体版本,所以只会下载中文简体的更新法式;
∙下载所有语言的更新,包括新语言;此选项将下载所有语言的更新法式,包括未来的新语言.虽然这是默认选项,可是你应当尽量不使用此选项.
∙仅下载所选语言的更新;下载你所选择的语言的更新法式,选择此项后,在下面的语言列表中勾选你想下载更新法式的语言.
当修改语言选项后,WSUS服务器同步时不会下载基于已取消的语言的更新法式版本,可是已下载的基于已取消的语言的更新法式会仍然保管;对客户端计算机的区域语言设置不符合WSUS服务器上下载的更新法式语言时,WSUS服务器将不会为该客户端计算机提供服务.当你修改同步选项中的语言选项时,微软建议你立即手动同步主服务器和复制服务器.这防止了当在主服务器上修改了语言选项时,主服务器上批准的更新法式数和复制服务器上批准的更新法式数不匹配.
在此我选择仅下载与该服务器的区域设置匹配的那些更新,然后点击确定;修改配置后记得点击页面左上角的任务列表中的保管设置连接保管修改后的配置.如果要立即开始同步,则点击立即同步链接,同步时不能修改任何同步选项.
你可以在下面的同步状态框架中或者主页的同步状态中看到同步的以后状态,如下图所示:
在同步更新的过程中,你不能修改同步选项,可是可以修改其他两个选项.
自动批准选项
在选项页点击自动批准选项链接进入自动批准选项设置,自动批准用于当更新法式或者更新元数据下载到WSUS服务器后自动进行批准把持,如下图所示:
批准进行检测的含义是当更新法式或更新元数据下载到WSUS服务器后,依照界说的配置(是否进行把持、对哪些分类的更新法式进行、对哪些计算机组进行)进行更新法式的自动检测把持,默认情况下自动对所有计算机组进行平安更新法式、关键更新法式的检测把持,在此我接受默认配置,你可以根据你的需求进行配置.
批准进行装置的含义当更新法式或更新元数据下载到WSUS服务器后,依照界说的配置(是否进行自动把持、对哪些分类的更新法式进行、对哪些计算机组进行)进行更新法式的自动装置把持,默认不会启用,你可以根据你的需求进行配置.
在下部的更新的修订框架,默认会选择自动批准更新的最新修订.修订是在原有更新基础上的修改,例如,原有更新可能已经过期或者EULA已经不适用.如果你取消此选项,你必需手动对新的更新法式进行批准.
最下部还有一个默认启用的选项自动批准WSUS更新,它是自动批准WSUS服务所使用的更新法式,你应该总是启用此选项.
修改配置后,记得点击左上角任务列表中的保管设置链接.
计算机选项
计算机选项中配置非常简单,默认选择为使用WindowsServerUpdateServices中的“移动计算机”任务,这代表采纳服务器端定位的计算机分组选项,你必需在WSUS管理控制台中手动将客户端计算机对象移动到分歧的计算机组中.
如果选择使用计算机上的“组战略”或注册表设置,则代表采纳客户端定位的计算机分组选项,你必需通过组战略来告知客户端计算机所加入的计算机组.
可是无论你选择哪一种定位方式,你都必需先在WSUS服务器中创立相应的计算机组.修改配置后记得点击保管设置链接.
你可以在主页上观察同步状态,等候同步完成.同步完成后的情况如下图所示:
根据我的配置,总共下载了86个更新法式(元数据),由于我已经配置了客户端计算机使用此WSUS服务器,所以已经有两台客户端计算机连接到此WSUS服务器.由于默认情况下会自动对所有计算机组进行平安更新法式、关键更新法式的检测把持,所以WSUS服务器对这两台客户端计算机进行了检测把持,发现有19个更新法式是客户端计算机所需要的.你可以点击对应的链接进行详细的了解.
管理计算机及计算机组
现在,我们先针对客户端计算机创立计算机组,然后再对分歧的计算机组进行更新的批准,这便于分歧更新法式的分发以及测试更新法式.在WSUS中内建有两个计算机组:
所有计算机和未指定的计算机.默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中.你可以创立计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创立的计算机组中,可是你不能将客户端计算机对象从所有计算机组中移动到其他组.这是因为所有计算机组是便于你指定将更新法式应用到所有的客户端计算机,而分歧的计算机组则便于你针对分歧的客户端计算机应用分歧的更新法式.
点击WSUS管理工具栏上的计算机链接进入计算机管理控制台,如下图所示.在此你可以在右上部看到连接到本WSUS服务器的客户端计算机及各自上一次进行状态陈说的时间,被选择某台客户端计算机时,在右下部可以看到它的详细信息,点击状态则可以看到更新法式的装置情况,例如装置了哪些更新法式,需要哪些更新法式,不需要哪些更新法式.
点击左上方任务列表中的创立计算机组链接创立计算机组,在此我将针对域控制器和域成员服务器来创立两个分歧的计算机组.
在弹出的创立计算机组对话框中,输入新计算机组的名称,在此我命名为DomainControllers,点击确定;
此时,新创立的计算机组DomainControllers呈现在了左下方的计算机组列表中,在计算机列表中选择域控制器berlin.winsvr.org,然后点击任务列表中的移动选定计算机链接.如果要选择多个连续的客户端计算机,请在选择时按住Shift键;要选择多个不连续的客户端计算机,请在选择时按住Ctrl键;如果要选择列表中的全部客户端计算机,则可以使用Ctrl+A快捷键.注意,如果你在计算机选项中采纳客户端定位的方式,则不会呈现移动选定计算机链接.
在弹出的移动计算机对话框中,选择你要将客户端计算机移动到的计算机组,在此我选择DomainControllers,点击确定.注意,你不能选择移动到所有计算机或者此客户端计算机属于的原计算机组.
依照同样的方法我创立另外一个名为DomainMembers的计算机组,并将另外一个客户端计算机munich.winsvr.org移动到此计算机组中,完成后的计算机管理页面如下图所示:
如果需要删除某个计算机组,则先点击左下方计算机组列表中的对应计算机组,然后在左上方的任务列表中点击删除选定组链接,
在弹出的删除计算机组对话框中,选择一个处置该计算机组所包括的客户端计算机的选项,然后点击确定即可.
其中从WindowsServerUpdateServices删除则将该计算机组中所包括的客户端计算机全部从WSUS服务器列表中删除,而移动到“未指定的计算机”组则将该计算机组中所包括的客户端计算机全部移动到未指定的计算机组中.
你同样可以删除某个客户端计算机,在右上方的计算机列表中选择某台客户端计算机,然后点击左上方任务列表中的删除选定计算机链接,如果此客户端计算机不属于未指定的计算机计算机组,则提示你选择删除此客户端计算机对象或者将此客户端计算机对象移动到未指定的计算机组中.如果将某个客户端计算机从WSUS服务器的计算机列表中删除,则WSUS服务器不再保管此客户端计算机的相关信息,此客户端计算机也不能连接到WSUS服务器获取相关更新.不外等候客户端计算机再次和WSUS服务器进行通讯后,它将再次呈现在WSUS服务器的计算机列表中,只是属于未指定计算机组.
管理更新
你可以在WSUS管理工具栏上点击更新链接进入更新管理页面.默认情况下将对更新列表进行筛选,从而只显示那些批准在客户端计算机上进行检测的关键更新和平安更新,如下图所示:
你可以在左下方的检查框架中修改筛选更新法式的方式,你可以根据更新法式的产物和分类、批准状态、同步时间或者包括文本进行筛选.其中包括文本是从更新法式的题目、描述和知识库文章号中进行检索.
在右上方选择某个更新法式后,你可以在右下方详细信息中了解此更新法式的完全属性,例如更新针对的法式、适用的把持系统等等,你也可以在状态中检查分歧计算机组对此更新法式的布置情况,例如是否已装置、是否需要等等.
当WSUS服务器同步后,将根据配置情况获得相应的更新列表.你需要对更新进行批准,以便进行装置或检测;你可以选择一个或多个更新进行批准,如果选择多个更新,那么客户端计算机会一次性进行装置.批准更新的方式有以下五种:
1、仅检测
当你批准更新只是进行检测时,更新其实不会在客户端计算机上进行装置.可是,WSUS会在批准更新对话框上所应用到的计算机组上进行检测,以确定此更新是否适合客户端计算机或者客户端计算机是否需要.此检测举措计划在当客户端计算机下次和WSUS服务器进行通讯时发生,你可以通过更新陈说状态或者在更新页面点击更新法式的状态标签来检查结果.如果显示为需要,则标明客户端计算机需要此更新.默认情况下,关键更新和平安更新将自动批准进行检测.
2、装置
批准更新在批准更新对话框所指定的计算机组中进行装置.在批准更新时,你可以选择客户端计算机装置更新的分歧方式:
∙使用客户端计算机的设置来决定如何装置更新.当你使用此方式时,批准更新所应用到的计算机组中的客户端计算机将根据自己的设置来决定如何装置更新法式,可能会提示以后的用户进行装置,也可以根据组战略的设置自动进行装置.
∙界说自动装置的最后期限.当你使用此方式,你可以指定更新法式在客户端计算机上装置的日期和时间,此设置会覆盖客户端计算机上的任何设置.你可以指定一个过去的时间,这样会招致客户端计算机在下次访问WSUS服务器时立刻进行装置把持.注意,你不能为需要用户输入的更新法式进行最后期限界说的自动装置,否则装置会失败.你可以在更新法式的详细信息中检查可能要求用户输入字段来确定更新法式是否需要用户输入,而且在批准更新时在批准更新对话框上也会有相应的提示.
3、拒绝更新
此选项只是存在于更新页面的更新任务列表中.如果你选择此选项,此更新将从可用更新列表中删除,而不再进行任何其他把持.只有在检查视图中选择检查已拒绝或者所有更新类另外更新法式时才可见.
4、删除
你可以批准某个更新进行删除,即从相应的客户端计算机上进行卸载.此选项只有更新法式支持删除时才会呈现.针对删除更新把持,你也同样可以界说最后期限,当你想让客户端计算机立即执行时,你可以指定一个过去时间为最后期限.
5、未许可
这是默认的批准选项.WSUS服务器同步更新法式后,更新法式的默认状态即为未许可.在此状态下,WSUS服务器不会对更新法式进行任何把持,客户端计算机也不能对此更新进行检测或装置,你必需手动批准更新进行装置或检测.
以上五个批准把持方式中,除拒绝更新是通过点击更新页面的更新任务列表中的拒绝更新链接来实现外,其他均通过点击更改批准链接实现.
首先在更新列表上,选择要批准装置的更新.如果要选择多个连续的更新,请在选择时按住Shift键;要选择多个不连续的更新,请在选择时按住Ctrl键;如果要选择列表中的全部更新,则可以使用Ctrl+A快捷键.
然后在更新任务下,根据分歧的批准把持方式,点击分歧的链接,如果是拒绝更新,则点击单击拒绝更新(选订单个更新)或者拒绝选定的更新(选定多个更新)链接;如果是其他把持方式,点击更改批准链接.
在此我决定向DomainMembers计算机组布置部份更新,而且想让客户端尽快装置更新.则首先选中我想要布置的更新,然后点击更改批准链接,弹出的批准更新对话框如下图所示,
由于我只是想为DomainMembers计算机组布置这些更新,所以我将默认对所有计算机的选定采用仅检测的批准方式,然后点击DomainMembers的批准方式,将其从默认的与“所有计算机”组相同修改为装置,如下图所示,
因为我想让它们尽快在客户端计算机上进行装置,所以我将最后期限设置为一个过去的时间,点击最后期限列的无,在弹出的编纂最后期限对话框中,选择按选定的日期和时间装置更新,然后输入一个过去的日期,这样会招致客户端计算机在下次访问WSUS服务器时立刻进行装置把持,最后点击确定按钮.
然后在批准更新对话框上点击确定,
点击确定按钮,由于这些更新都已经被自动批准为检测,所以WSUS服务器提示你替换现有的批准还是仅添加新批准项,在此我选择替换现有的批准,然后点击确定.
此时,WSUS服务器就将进行批准把持.由于WSUS服务器所采纳延迟更新下载特性,只有当某个更新被批准装置时,WSUS服务器才会从WindowsUpdate进行更新文件的下载,所以WSUS现在开始进行更新法式的下载,你可以在首页上看到更新下载的状态.当某个被更新批准应用到的客户端计算机下次和WSUS服务器进行同步时,将依照更新批准中的设置进行更新的装置.
如下图所示,蓝色的图标暗示更新文件已经下载到本地WSUS服务器,而灰色的图标暗示更新文件并未下载到本地.批准列的值指明了批准的方式,由于我不是对所有计算机进行相同的把持,所以显示为混合式,你可以点击下半部的状态来检查此更新法式的具体批准情况.
当客户端计算机连接到WSUS服务器获取更新后,由于此更新批准的最后期限是过去的时间,所以客户端计算机会自动装置更新法式,如果更新法式需要重启计算机,则会强制重启计算机,如下图所示:
而批准更新时没有设置最后期限或者在客户端计算机连接到WSUS服务器获取更新时没有超越最后期限,则根据组战略中客户端计算机布置更新的方式来决定如何装置更新.在此我在组战略中选择的方式是通知下载并通知装置,因此当具有适合客户端计算机的更新时,自动更新将通知该客户端计算机上登录的管理员(默认配置)或其他用户(可配置),如下图所示,
点击自动更新图标,选择你想要下载的更新,然后点击下载按钮,自动更新会自动从WSUS服务器下载选择下载的更新法式;
当下载完成后,自动更新会提醒你更新已经准备好,如下图所示,点击自动更新图标,
你可以选择装置更新的方式:
你可以简单的接受默认的选择快速装置,然后点击装置按钮;也可以点击自界说装置来决定装置哪些更新法式.
装置完成后,根据更新法式的要求,自动更新会提示你是否需要重启计算机.
通过陈说监控WSUS服务器的实现情况
为了更好的监控WSUS服务器的实现情况,WSUS服务器提供了详尽的陈说功能.点击WSUS管理工具栏上的陈说链接进入陈说页面.
你可以选择生成四种分歧的陈说:
1、更新的状态陈说,它显示每个更新法式的状态(装置与否、需要与否)等等
升级会员 