WSUS部署.docx
《WSUS部署.docx》由会员分享,可在线阅读,更多相关《WSUS部署.docx(18页珍藏版)》请在冰豆网上搜索。
WSUS部署
MicrosoftWindowsServerUpdateServices安装部署向导
摘要
本文提供Microsoft®WindowsServer™UpdateServices(WSUS)安装部署过程。
其中详述了在网络上部署WSUS所涉及的基本任务的说明,具体包括在MicrosoftWindows Server 2003操作系统上安装WSUS、配置WSUS以获取更新、将客户端计算机配置为从WSUS安装更新,以及批准、测试和分发更新。
尽管WSUS是一种功能丰富的更新管理解决方案,但本说明也仅提供一种完成上述所有任务的方法。
目录
MicrosoftWindowsServerUpdateServices安装部署向导1
目录2
步骤1:
复查WSUS安装要求3
软件要求3
磁盘要求和建议4
自动更新要求4
步骤2:
在服务器上安装WSUS4
步骤3:
配置网络连接9
步骤4:
同步服务器11
步骤5:
更新和配置自动更新12
步骤6:
创建计算机组14
步骤7:
批准和部署更新15
MicrosoftWindowsServerUpdateServices(WSUS)为在网络中管理更新提供了一个全面的解决方案。
本文档提供了在网络上部署WSUS时涉及的基本任务的设置过程。
使用本指南可执行以下任务:
∙在MicrosoftWindows Server 2003操作系统上安装WSUS。
∙将WSUS配置为从Microsoft获取更新。
∙将客户端计算机配置为通过WSUS安装更新。
∙批准、测试和分发更新。
步骤1:
复查WSUS安装要求
以下是使用默认选项进行安装的基本安装要求。
您可以在“部署MicrosoftWindowsServerUpdateServices”白皮书(文档可能为英文)中找到其他安装的硬件和软件要求。
对于多达500个客户端的服务器,建议使用以下硬件:
∙1GHz的处理器或更高
∙1GB的RAM或更高
软件要求
要使用默认选项安装WSUS,必须在计算机上安装以下软件。
∙MicrosoftInternet信息服务(IIS)6.0。
∙用于Windows Server 2003的Microsoft.NETFramework1.1ServicePack1。
∙BackgroundIntelligentTransferService(BITS)2.0。
注意:
尽管安装WSUS需要数据库软件,此处也并没有将其列出,原因是Windows Server 2003上的默认WSUS安装包括WindowsSQLServer™2000DesktopEngine(WMSDE)数据库软件。
磁盘要求和建议
要安装WSUS,服务器上的文件系统必须满足以下要求:
∙系统分区和安装WSUS的分区都必须使用NTFS文件系统进行格式化。
∙系统分区至少需要1GB的可用空间。
∙WSUS用于存储内容的卷至少需要6GB的可用空间,建议预留空间为30GB。
∙WSUS安装程序用于安装WindowsSQLServer2000DesktopEngine(WMSDE)的卷至少需要2GB的可用空间。
自动更新要求
自动更新是WSUS的客户端组件。
除了需要连接到网络外,自动更新没有其他的硬件要求。
您可以针对运行以下任一操作系统的计算机上的WSUS使用自动更新:
∙带有ServicePack 3(SP3)或ServicePack 4(SP4)的MicrosoftWindows 2000Professional、带有SP3或SP4的Windows 2000Server或带有SP3或SP4的Windows 2000AdvancedServer。
∙带有或不带ServicePack 1或ServicePack 2的MicrosoftWindows XPProfessional。
∙MicrosoftWindows Server 2003StandardEdition、Windows Server 2003EnterpriseEdition、Windows Server 2003DatacenterEdition或Windows Server 2003WebEdition。
步骤2:
在服务器上安装WSUS
复查安装要求之后,便可安装WSUS。
您必须使用本地Administrators组成员的帐户登录到要安装WSUS的服务器。
只有本地Administrators组的成员才能安装WSUS。
以下过程使用Windows Server 2003的默认WSUS安装选项,其中包括安装用于WSUS的WindowsSQLServer 2000DesktopEngine(WMSDE)数据库软件、在本地存储更新以及在端口80上使用IIS默认网站。
在Windows Server 2003上安装WSUS
1.双击安装程序文件“WSUSSetup.exe”。
2.在向导的“欢迎使用”页上,单击“下一步”。
3.单击“我接受许可协议中的条款”,然后单击“下一步”。
4.在“选择更新源”页上,可以指定客户端获得更新的来源。
如果选中“本地存储更新”复选框,更新便会存储在WSUS服务器上,您需要在文件系统中选择一个用于存储更新的位置。
如果不在本地存储更新,客户端计算机将连接到MicrosoftUpdate以获取已批准的更新。
保留默认选项,然后单击“下一步”。
“选择更新源”页
5.在“数据库选项”页上,选择用于管理WSUS数据库的软件。
默认情况下,如果要安装的计算机运行Windows Server 2003,WSUS安装程序将提出安装WMSDE。
如果无法使用WMSDE,则必须为WSUS提供可以使用的SQLServer实例,具体操作方法是:
单击“使用该计算机上现有的数据库服务器”,然后在“选择SQL实例名”框中键入实例名。
保留默认选项,然后单击“下一步”。
“数据库选项”页
6.在“网站选择”页上,指定WSUS将使用的网站。
此页还列出了基于此选择的两个重要URL:
将WSUS客户端计算机指向其中以获取更新的URL以及用于配置WSUS的WSUS控制台的URL。
如果端口80上已经具有某个网站,则可能需要在自定义端口上创建WSUS网站。
保留默认选项,然后单击“下一步”。
“网站选择”页
7.在“镜像更新设置”页上,可以指定此WSUS服务器的管理角色。
如果这是网络上的第一台WSUS服务器,或者您需要一个分布式管理拓扑,请跳过此屏幕。
如果需要集中管理拓扑,而且这不是网络上的第一台WSUS服务器,请选中该复选框,然后在“服务器名”框中键入其他WSUS服务器的名称。
保留默认选项,然后单击“下一步”。
“镜像更新设置”页
8.在“准备安装WindowsServerUpdateServices”页上,复查各项选择,然后单击“下一步”。
“准备安装WindowsServerUpdateServices”页
9.如果向导的最后一页确认WSUS安装已成功完成,请单击“完成”。
步骤3:
配置网络连接
安装WSUS之后,便可访问WSUS控制台,以便配置并开始使用WSUS。
默认情况下,WSUS配置为使用MicrosoftUpdate作为获取更新的位置。
如果您的网络中具有代理服务器,则可以使用WSUS控制台将WSUS配置为使用该代理服务器。
如果WSUS和Internet之间设有企业防火墙,则可能需要配置防火墙以确保WSUS能够获取更新。
步骤3包括以下过程:
∙配置防火墙以使WSUS能够获取更新。
∙打开WSUS控制台。
∙配置代理服务器设置以使WSUS能够获取更新。
配置防火墙
∙如果WSUS和Internet之间设有企业防火墙,则可能需要配置防火墙以确保WSUS能够获取更新。
要从MicrosoftUpdate获取更新,WSUS服务器将端口80用于HTTP协议,将端口443用于HTTPS协议。
该设置不可配置。
∙如果您的组织并不允许对所有地址打开这些端口和协议,则可以限制只访问以下域以使WSUS和自动更新能够与MicrosoftUpdate进行通信:
∙
∙http:
//*
∙https:
//*
∙http:
//*
∙https:
//*
∙http:
//*
∙
∙
∙http:
//*
∙
∙
注意:
上述防火墙配置步骤针对的是WSUS和Internet之间的企业防火墙。
由于WSUS的所有网络通讯都由WSUS发起,因此无需在WSUS服务器上配置Windows防火墙。
尽管MicrosoftUpdate与WSUS之间的连接要求打开端口80和443,但您可以将多台WSUS服务器配置为使用某个自定义端口进行同步。
打开WSUS控制台
∙在WSUS服务器上,单击“开始”,依次指向“所有程序”、“管理工具”,然后单击“MicrosoftWindowsServerUpdateServices”。
注意:
您必须是安装WSUS的服务器上的WSUSAdministrators或本地Administrators安全组的成员,才能使用WSUS控制台。
如果在安装WSUS之后于IIS中更改端口指定,则需要手动更新“开始”菜单上的快捷方式。
也可以输入以下URL,从网络中任意服务器或计算机上的InternetExplorer打开WSUS控制台:
http:
//WSUSservername/WSUSAdmin
指定代理服务器
1.在WSUS控制台工具栏上,单击“选项”,然后单击“同步选项”。
2.在“代理服务器”框中,选中“同步时使用代理服务器”复选框,然后在相应的框中键入代理服务器的名称和端口号(默认使用端口80)。
3.如果要使用特定的用户凭据连接到代理服务器,请选中“使用用户凭据连接到代理服务器”复选框,然后在相应的框中键入用户名、域和用户密码。
如果要对连接到代理服务器的用户启用基本身份验证,请选中“允许基本身份验证(密码以明文文本发送)”复选框。
4.在“任务”下,单击“保存设置”,然后在确认对话框中单击“确定”。
步骤4:
同步服务器
配置网络连接之后,便可获取更新。
默认情况下,WSUS配置为下载所有Microsoft产品的关键更新和安全更新。
要获取更新,必须同步WSUS服务器。
同步涉及将WSUS服务器连接到MicrosoftUpdate。
进行连接之后,WSUS将确定自上一次同步后是否又发布了新的更新。
由于这是首次同步WSUS服务器,因此所有更新均需同步,您可以批准安装它们。
注意:
本文介绍了使用默认设置进行同步,但WSUS还包括一些可在同步期间最大程度地减少带宽使用的选项。
同步WSUS服务器
1.在WSUS控制台工具栏上,单击“选项”,然后单击“同步选项”。
2.在“任务”下,单击“立即同步”。
完成同步之后,在WSUS控制台工具栏上单击“更新”便可查看更新列表。
步骤5:
更新和配置自动更新
WSUS客户端计算机要求使用兼容的自动更新版本。
WSUS安装程序会自动配置IIS,以便将自动更新的最新版本分发给连接到WSUS服务器的每台客户端计算机。
注意:
尽管大多数的自动更新版本都可以指向WSUS服务器,而且将自动自我更新到与WSUS兼容的版本,但不带任何ServicePack的WindowsXP附带的自动更新版本无法自动进行自我更新。
配置自动更新的最佳方法取决于您的网络环境。
在ActiveDirectory环境中,可以使用基于ActiveDirectory的组策略对象(GPO)。
在非ActiveDirectory环境中,可以使用本地组策略对象。
无论使用本地组策略对象还是使用域控制器上存储的GPO,都必须先将客户端计算机指向WSUS服务器,然后才能配置自动更新。
以下说明假定您的网络运行ActiveDirectory。
这些过程还假定您已经熟悉且设置了组策略,并使用组策略管理网络。
您需要新建一个包含WSUS设置的组策略对象(GPO),然后在域级链接该GPO。
步骤5包括以下过程:
∙加载WSUS管理模板。
∙配置自动更新。
∙将客户端计算机指向WSUS服务器。
∙在客户端计算机上手动启动检测。
对基于ActiveDirectory的组策略对象执行如下三个过程。
添加WSUS管理模板
1.在组策略对象编辑器中,单击任一“管理模板”节点。
2.在“操作”菜单上,单击“添加/删除模板”。
3.单击“添加”。
4.在“策略模板”对话框中,单击“wuau.adm”,然后单击“打开”。
5.在“添加/删除模板”对话框中,单击“关闭”。
配置自动更新的行为
1.在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows组件”,然后单击“WindowsUpdate”。
2.在详细信息窗格中,双击“配置自动更新”。
3.单击“已启用”,然后单击下列选项之一:
∙提醒下载并提醒安装。
该选项会在下载和安装更新之前对已登录的管理用户进行提醒。
∙自动下载并提醒安装。
该选项会自动开始下载更新,然后在安装更新之前对已登录的管理用户进行提醒。
∙自动下载并计划安装。
如果将自动更新配置为执行计划安装,那么还必须设置执行计划安装的日期和时间。
∙允许本地管理员选择设置。
如果选择该选项,则允许本地管理员使用“控制面板”中的“自动更新”来自行选择配置选项。
例如,他们可以选择自己的计划安装时间。
不允许本地管理员禁用自动更新。
4.单击“确定”。
注意:
只有当自动更新已自行更新到与WSUS兼容的版本之后,才会显示“允许本地管理员选择设置”选项。
将客户端计算机指向WSUS服务器
1.在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows组件”,然后单击“WindowsUpdate”。
2.在详细信息窗格中,双击“指定IntranetMicrosoft更新服务位置”。
3.单击“已启用”,然后在“设置检测更新的Intranet更新服务”框和“设置Intranet统计服务器”框中键入同一WSUS服务器的HTTPURL。
例如,在两个框中都键入http:
//servername。
4.单击“确定”。
注意:
如果使用本地组策略对象将此计算机指向WSUS,该设置将立即生效,而该计算机将在大约20分钟之后才能显示在WSUS管理控制台中。
您可以通过手动启动检测周期来加快该过程。
设置完客户端计算机后,该计算机需要等待数分钟才能显示在WSUS控制台中的“计算机”页上。
对于使用基于ActiveDirectory的GPO配置的客户端计算机,需要在组策略刷新(将所有新设置应用到客户端计算机)之后等待大约20分钟。
默认情况下,每隔90分钟组策略便会在后台刷新一次,刷新的时间可能随机偏移0到30分钟。
如果想要以更快的速度刷新组策略,您可以在客户端计算机上转到命令提示符下,并键入:
gpupdate/force。
对于使用本地GPO配置的客户端计算机,将立即应用组策略,而该计算机将在大约20分钟之后才能显示在WSUS控制台中。
一旦应用了组策略,便可手动启动检测。
如果执行此步骤,则不必等待20分钟便可将客户端计算机连接到WSUS服务器。
手动启动WSUS服务器检测
1.在客户端计算机上,单击“开始”,然后单击“运行”。
2.键入cmd,然后单击“确定”。
3.在命令提示符下,键入wuauclt.exe/detectnow。
此命令行选项将指示自动更新立即连接到WSUS服务器。
注:
若网络中计算机未采用域的方式进行管理,可以采用脚本或导入注册表项的方式来使客户端更新指向WSUS服务器.利用记事本编缉以下内容,保存为.reg文件,在客户端执行即可。
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http:
//10.32.159.181:
8530"
"WUStatusServer"="http:
//10.32.159.181:
8530"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:
00000000
"AUOptions"=dword:
00000003
"ScheduledInstallDay"=dword:
00000000
"ScheduledInstallTime"=dword:
00000003
"NoAutoRebootWithLoggedOnUsers"=dword:
00000001
"RescheduleWaitTimeEnabled"=dword:
00000001
"RescheduleWaitTime"=dword:
00000001
"UseWUServer"=dword:
00000001
步骤6:
创建计算机组
计算机组是WSUS部署的重要组成部分,即使对于基本部署也是如此。
使用计算机组可以将更新指向特定的计算机。
默认计算机组有两个:
“所有计算机”和“未指定的计算机”。
默认情况下,当每台客户端计算机最初连接到WSUS服务器时,WSUS服务器便会将其添加到这两个组中。
您可以创建自定义计算机组。
创建计算机组的好处之一是可以在大范围部署更新之前对更新进行测试。
如果测试进行顺利,便可将更新部署到“所有计算机”组。
您可以创建任意多个自定义组。
设置计算机组的过程包括三个步骤。
首先,指定如何为计算机组分配计算机。
可使用如下两个选项:
“服务器端定位”和“客户端定位”。
服务器端定位需要使用WSUS手动将每台计算机添加到组中。
而客户端定位使用组策略或注册表项自动添加客户端。
其次,在WSUS上创建计算机组。
最后,使用在第一步中选择的方法将计算机移入组中。
本文介绍如何使用服务器端定位以及如何使用WSUS控制台手动将计算机移入组中。
如果要为计算机组分配多台客户端计算机,则可以使用客户端定位,这样可以自动将计算机移入计算机组中。
您可以使用步骤6设置一个测试组,其中至少包含一台测试计算机。
此步骤包括以下过程:
∙指定服务器端定位。
∙创建组。
∙将计算机移入组中。
指定为组分配计算机的方法
1.在WSUS控制台工具栏上,单击“选项”,然后单击“计算机选项”。
2.在“计算机选项”框中,单击“使用WindowsServerUpdateServices中的‘移动计算机’任务”。
3.在“任务”下,单击“保存设置”,然后在出现确认对话框时单击“确定”。
创建组
1.在WSUS控制台工具栏上,单击“计算机”。
2.在“任务”下,单击“创建计算机组”。
3.在“组名”框中,键入Test,然后单击“确定”。
使用如下过程将适于测试的客户端计算机分配到Test组。
适于测试的客户端计算机是指其软件和硬件能够代表网络上大多数计算机的任意一台计算机,但不是被赋予关键角色的计算机。
通过这种方法,您可以基于测试计算机的状况判定安装批准更新后的其他计算机的运行状况。
手动将计算机添加到Test组中
1.在WSUS控制台工具栏上,单击“计算机”。
2.在“组”框中,单击要移动的计算机所属的组。
3.在计算机列表中,单击要移动的计算机。
4.在“任务”下,单击“移动选定计算机”。
5.在“计算机组”列表中,选择要将计算机移入的组,然后单击“确定”。
步骤7:
批准和部署更新
在此步骤中,将批准对测试组中的所有测试客户端计算机进行更新。
在接下来的24小时中该组中的计算机将连接到WSUS服务器。
这段时间之后,便可以使用WSUS报告功能来确定这些更新是否已部署到计算机上。
如果测试进行顺利,便可批准对组织中的其他计算机执行相同的更新。
步骤7包括以下过程:
∙批准和部署更新。
∙查看“更新的状态”报告。
批准和部署更新
1.在WSUS控制台工具栏上,单击“更新”。
默认情况下将对更新列表进行筛选,从而只显示那些批准在客户端计算机上进行检测的关键更新和安全更新。
此过程使用默认筛选条件。
2.在更新列表上,选择要批准安装的更新。
有关选定更新的信息将显示在“详细信息”选项卡上。
要选择多个连续的更新,请在选择时按住Shift键;要选择多个不连续的更新,请在选择时按住Ctrl键。
3.在“更新任务”下,单击“更改批准”。
屏幕上将出现“批准更新”对话框。
4.在“选定更新的组批准设置”列表中,单击测试组“批准”列中列表内的“安装”,然后单击“确定”。
注意:
与批准更新相关的选项有很多,例如,设置最后期限以及卸载更新。
24小时之后,您可以使用WSUS报告功能来确定这些更新是否已部署到计算机上。
查看“更新的状态”报告
1.在WSUS控制台工具栏上,单击“报告”。
2.在“报告”页上,单击“更新的状态”。
3.如果要对更新列表进行筛选,请在“查看”下选择要使用的条件,然后单击“应用”。
4.如果要先按计算机组,然后再按计算机查看更新的状态,请根据需要展开更新的视图。
5.如果要打印“更新的状态”报告,请在“任务”下,单击