WSUS3.0安装手记
         很难得有这样的机会能够在企业的生产环境中架设WSUS3.0,之所以这一次能够架设成功,主要是由于前端时间的病毒爆发,就在架设的前几天,总公司也爆发了病毒攻击,查出来是host.exe进程受到感染的,导致公司的网站无法使用,包括Domino在内的服务器也受到了影响
        在这之前,我的一位前任同事曾经架设过WSUS2.0,他的那个只是在客户端做了设置的,在局域网内是无法进行大规模部署的,这一次我使用的是域策略的部署方式,之前我在小用WSUS2.0的使用,就已经存在了两个潜在的问题,一个是客户端能够收到补丁,但是无法在控制端发现,还有一个就是WSUS在更新的过程中,对于补丁的管理方面的东西
          准备架设之前,我也有到网络上看了许多关于这方面的文章,说的是挺详细的,有截图,但是真正有用的不多,可能都是一些不是很实用的东西,这是我在整个职业生涯中第一次大规模架设一个应用,虽然不是很重要,但是有压力,不能栽在我手上呀
         架设的过程我就说的简单一点吧,先是软件准备,然后安装,服务器端安装好了然后进行同步,处理,这边有个问题,WSUS update Agent无法通过ISA执行更新,这个要到网上搞搞呢,这个问题是我的一个同事负责的,他搞了半天,没什么名堂出来,后来只能通过总公司的ISA出口来进行更新了
       服务器端架设好了之后,就到了要在网域内部署了,我采用的使用常规办法,没有使用脚本或者批处理之类的,主要考验到我们公司的客户端有的电脑是没有Administrator的权限的,脚本之类的是无法写入注册表的,我就直接在域策略里面的计算机设置下进行了设置,这样做是可行的
        等这些都做完了,接下来就是等着客户端来发现了,我们这边有六百多台电脑,等过了两天之后,就发现只能发现到300台多一点,判断服务器没什么问题,我把服务器上面的补丁都已经打全了,问题出在客户端,我到Microsoft官网上看了一下文章,有一点介绍:[url]http://go.microsoft.com/fwlink/?linkid=41777[/url]  后来我到网上找到了客户端测试软件clientdiag..exe,网络上也有服务器端测试软件,不是很好用,wsus server debug tool.exe ,用clientdiag发现N多的win2K的电脑的自动更新服务没有启动,发现这个问题后,在组策略中设置net start wuauserv 服务,这个果然有效,呵呵,然后还有的电脑就是出现能够自动更新,但是无法在控制台中发现,这个问题是搞了很久的,这是根据以前在的文章的积累,我怀疑是Ghost做出来的问题,要修改系统的SID,在XP中这个问题很常见,我现在了Newsid.exe,用了之后感觉效果不大,后来就找到了一个批处理:
net stop wuauserv
net stop bits
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\ /v SusClientId /f
reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\ /v SusClientIdValidation /f

net start wuauserv
net start bits
wuauclt.exe /resetauthorization
wuauclt.exe /detectnow
wuauclt.exe /downloadnow
wuauclt.exe /reportnow
 
这个批处理在win2K中同样使用,不过win2K下不支持reg命令,只能通过手工删除的,
还有一些常用的问题,如无法更新导致无法发现该主机的问题,有测试方法:
 在客户端浏览器输入:[url]http://wsussuzhou/iuident.cab[/url][url]http://wususuzhou/selfupdate/wuident.cab[/url] ,看看能不能下载文档,还有看客户端的windowsupdate.log文件
        总结了一下心得:在这次部署的过程中,对组策略是有要求的,同时对客户端的services.msc也是要要求的,不过最重要的还是继续要掌握Microsoft的KB的使用