WSUS(Windows Server Update Services )是Windows操作系统的升级服务,通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中,内部网络中的客户机就可以通过WSUS服务器得到更新。升级操作系统补丁的时间可以缩短到几分钟,效果十分明显,且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。这既节省了资源,又避免了资源浪费,并且提高了效率。
近年来,浙江省绍兴市烟草专卖局在内部网络中建成使用了WSUS系统,现在全部终端已部署完成,终端操作系统通过WSUS系统自动安装更新补丁,有效地避免了计算机病毒的入侵,有力地保障了系统和网络的安全。目前,WSUS已升级至2.0版本,支持微软的全部更新,包括ISA、OfficeXP、Office2003、SQL Server2000、MSDE 2000和Exchange Server2003,等等。
WSUS的安装主要分4个步骤:系统准备与辅助软件的安装;WSUS服务器的安装;配置和管理WSUS服务器;客户机设置。
1.系统准备与辅助软件的安装。
安装WSUS服务器之前,要确保服务器符合SUS的最低硬件要求:奔腾III 750MHz或更高的处理器,512MB内存,8GB硬盘空间,NTFS文件系统格式,如需要升级的客户机在500台以上,对CPU的要求更高,内存应在1GB以上。
相关软件要求如下:
①操作系统安装:只有包含SP4或更高版本的Windows2000 Advanced Server(Windows2000 Server),以及Windows Server 2003才能够作为WSUS服务器,建议采用Windows2000 Advanced Server。
②在操作系统上安装Microsoft Internet Information Services (IIS)5.0。 ③在操作系统上安装Background Intelligent Transfer Service (BITS)2.0。 ④在操作系统上安装Microsoft SQL Server2000及SQL的SP4补丁。 ⑤在操作系统上安装Microsoft Internet Explorer 6.0 Service Pack 1。 ⑥在操作系统上安装Microsoft .NET Framework Version 1.1 Redistributable Package。 ⑦在操作系统上安装Microsoft .NET Framework 1.1 Service Pack 1。 ⑧最后打好所有的系统补丁。 以上相关软件到微软的网站上下载即可。 2.安装WSUS。
默认情况下,Windows Server操作系统是不包含WSUS组件的,需要在微软下载中心下载WSUS安装包,再安装至服务器。
①下载WSUS安装程序。
②打开下载的WSUSSetup.exe文件,启动安装程序。 ③单击“下一步”,在“最终用户许可协议”步骤中选择“I accept the terms in the License Agreement”,并单击“下一步”。 ④选择存储分区,用来存放WSUS下载的更新文件。要注意的是,这个分区必须是NTFS格式,并且最少要有6GB的自由空间。 ⑤接下来是选择安装WMSDE数据的存储分区,这个分区也必须是NTFS格式,以及最少要有2GB的自由空间,如果把它与存储本地更新文件装在同一个分区,这个分区最少要有8GB的自由空间。 ⑥选择WSUS站点的管理工具与WEB服务网站的端口,可以使用默认端口(80)或是选择一个独立的端口(8530),这是不能更改的。如果服务器上面还有别的网站,建议使用8530端口来实现WSUS的管理以及WEB服务更新。这里使用系统推荐的80端口。 ⑦WSUS提供了镜像管理服务功能,它可以从网络上的另一台WSUS服务器中复制已批准的更新列表。 接下来就是安装程序的自动安装过程,大概需要15分钟左右。 3.配置和管理WSUS服务器。
安装完成,接下来需要进入它的管理页面进行配置,默认情况下WSUS是不进行任何同步更新的。
从安装时提示的管理地址进入WSUS的WEB管理界面。 点击右上方“选项”菜单,进行系统设置。 ①点击“同步选项”。可以选择手动同步服务器,查看同步状态,指定代理服务器设置以及管理更新。也可以设置同步更新的时间,以及要求从微软站点下载的产品、更新分类、代理服务器、更新源以及更新文件和语言。 ②更新源:可以选择让该 WSUS服务器与 Microsoft Update 或者网络上的某台上游WSUS服务器同步更新信息。如果使用 SSL,请确保上游WSUS 服务器配置为支持 SSL。此服务器上的端口设置必须配置为与上游 WSUS 服务器匹配。 ③自动批准选项:可以指定如何为选定组自动批准更新的安装或检测,以及如何批准对现有更新的修订,即WSUS对同步下载的补丁是否执行自动批准加入系统的分发库的命令,并设置分发的对象即计算机组。 ④更新的修订:对于已批准的更新,有时会有更新版本发布,可以选择是否自动批准修订。如果不选择自动批准修订版本,则旧版本将继续保持已批准状态。 ⑤WSUS更新:需要WSUS 更新,以确保可以正确更新计算机。如果 WSUS 更新未得到批准,则计算机可能无法正确检测某些更新,默认是批准的。 4.客户机设置。
如果客户机与WSUS服务器在同一个域中,则只要通过域功能分发一下即可。如客户机与WSUS服务器不在同一个域中,则每一台客户机都必须作如下设置才能起作用: ①打开“开始”菜单,点击“运行”,输入“Gpedit.msc”,启动Windows策略组。 ②在策略组中,点击“管理模板”,选择“添加/删除模板”,点击“添加”,选择“wuau.adm”,再点“打开”即可。(图一) ③双击“配置自动更新”,在打开窗口中,选择“启用”。 ④双击“指定Internet Microsoft更新服务位置”,在打开窗口中,选择“启用”,并在红色框中填上http://10.46.0.253(SUS服务器IP)即可。(图二) ⑤为保证客户机立即更新,要在“开始”菜单下“运行”中输入“secedit/refreshpolicy machine_policy /enforce”,客户机将立即与WSUS服务器连接,下载并更新补丁。 作者单位:浙江省绍兴市烟草专卖局 |
局域网内WSUS服务器的安装与使用经验
原创Donge10319 ©著作权
©著作权归作者所有:来自51CTO博客作者Donge10319的原创作品,请联系作者获取转载授权,否则将追究法律责任
上一篇:linux操作系统的备份方法介绍
下一篇:紧急处理Web服务器访问失败问题
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
windows域控IIS 证书申请,下载,发布使用
证书申请
IIS 服务器 重启 -
不加入域不能访问域资源
不加入域不能访问域资源。能不能做到?客户机没有加入域,即使有域帐户和密码,也不能访问域中的资源(例如共享文件夹是可以通过拒绝访问权限来做,我希望基于计算机来做)。回答:根据您的描述,我对这个问题的理解是:您想禁止用户从非域的计算机访问域内的资源,即使用户知道域账户密码。由于当计算机未加入域时,活动目录内是没有存储此计算机的对象的。 我们无法通过限制计算机的方式限制这些来在非域用户的访问。如果您需要禁止用户从非域的计算机访问域内的所有资源,我建议您可以尝试使用IP security来实现这个目的。
加入域拒绝访问 不能访问网络资源 域安全策略 网络访问保护服务 网络访问保护nap -
WSUS系列之三:WSUS配置
WSUS配置
Windows Server AD WSUS -
wsus微软更新服务 debug工具使用
wsus微软更新服务 debug工具使用
职场 WSUS 休闲 debug工具