作为企业网络管理员,大家都知道补丁的重要性,特别是Microsoft的系统,经常需要更新补丁。打补丁的方法有很多,可以通过SMS、WSUS、以及一些第三方工具软件(比如360安全卫士)。这里我想谈的是使用免费的工具WSUS进行补丁服务器的部署,之所以选择WSUS,一方面因为它免费,另一方面,因为它是Microsoft出的工具,对Microsoft的兼容性比较好。下面我们就来看看具体的操作方法:
1. WSUS的安装
WSUS 3.0 服务器平台和要求:
Windows Server 2003 Service Pack 1
SQL Server 2005 SP1、SQL Server 2005 Express SP1 或 Windows® Internal Database
Microsoft .NET Framework 2.0 (WindowsServer2003-KB867460-x86-chs-(Microsoft .NET Framework 2.0 Service Pack 1 for Windows Server 2003).EXE)
Internet 信息服务 (IIS) 6.0
后台智能传送服务 (BITS) 2.0 (WindowsServer2003-KB842773-x86-chs.exe)
WSUS 3.0 管理控制台平台和要求:
Windows XP SP1以上、Windows Vista™、Windows Server 2003
管理控制台 (MMC) 3.0 (WindowsServer2003-KB907265-x86-ENS.exe;)
Microsoft Report Viewer (Microsoft Report Viewer Redistributable 2005)
下载到的WSUS3是一个自解压并自动执行安装程序的压缩包,不过,建议先将其解压缩,这样做的好处是当执行安装程序时,如果系统检测组件有问题,我们就不必再次重新执行安装程序的解包过程。
执行安装程序自解包完成后,出现WSUS3的安装向导界面,点击“下一步”。
因为是全新安装并且要部署的是完整的WSUS3,所以默认选择“包括管理控制台的完整服务器安装”,如果网络中已经存在WSUS3,那么可以选择第二项只安装管理控制台。点击“下一步”继续。
安装向导准备安装并执行检测。
在许可协议这个界面选择“我接受许可协议条款”,并点击“下一步”继续。
配置WSUS3“本地存储更新”:按自己的实际情况选择存储位置,点击“下一步”继续。
如果网络中已经存在SQL数据库服务器可以配置“使用远程计算机上现有的数据库服务器”。 因为我使用WSUS自带的Windows internal Database服务,所以保持默认。并点击“下一步”继续。注意:如果使用远程计算机上的数据库服务,我们需要事先在数据库服务器上创建WSUS数据库。
配置WSUS网站,选择默认的“使用现有IIS默认网站(推荐)”就可以了,不过,如果安装的服务器上的IIS默认网站已经使用,那么就要选择第二项了。点“下一步”继续。
完成配置向导后,系统会弹出一个对话框显示我们刚才的配置情况,确认没有问题,点击“下一步”开始安装。
点击“完成”,安装过程结束。
2. WSUS配置
在点击完成安装后,系统会自动弹出WSUS3的配置向导,我们通过配置向导可以配置我们已经安装好的WSUS服务器,在配置向导中点击“下一步”。
在“加入Microsoft Update改善计划”对话框中选择是否加入Microsoft update改善计划,这个可以根据大家企业自身的情况进行选择。也可以不勾选“是的,我希望加入Microsoft Update改善计划(M)”。点“下一步”继续。
在“选择上游服务器”对话框中,如果企业中已经有一台wsus服务器了,那么可以指定从这台服务器进行同步,如果没有那么就要选择“从Microsoft Update进行同步”。点“下一步”继续。
在“指定代理服务器”对话框中,可以根据企业的实际情况,选择使用代理服务器。如果没有使用代理服务器则不用选择,点击“下一步”继续。
完成上述配置后,我们就可以在此界面点击“开始连接”与Microsoft Update通讯并取得下载更新信息,完成连接后点击“下一步”继续。
在“选择语言”对话框中选择我们需要下载哪种语言版本的更新,大家可以根据自己企业实际情况进行选择。点“下一步”继续。
在“选择产品”对话框中,列出了Microsoft所有产品的信息,大家可以根据自己企业的具体情况,选择需要下载的软件补丁包。 点击“下一步”继续。
在“选择分类”对话框中,可以选择我们需要下载哪些类型的补丁。点“下一步”继续。
配置同步计划,设置自动同步,考虑到带宽占用问题,所以选择晚上12:00进行同步。
OK,到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行WSUS管理管制台并自动开始初始同步。点“下一步”获得额外的信息。
在“后续步骤”对话框中,Microsoft对后续步骤进行了详细的说明,大家不妨打开这些链接看看。
3. WSUS 管理
1)打开WSUS的管理控制台,我们可以看到计算机状态信息和更新状态信息。
2)点击WSUS服务器,我们还可以看到wsus服务器的一些信息。
3)点击“更新”,可以看到补丁信息。
在“更新”目录下面,又按补丁类型进行了分类,我们可以按类别查看补丁。
4)点击“计算机”,我们可以查看客户端计算机的相关情况。
5)点击“同步”,我们可以看到wsus服务器同步的信息报告,同时也可以点击右面板上的“立即同步”进行手动同步。
6)点击“报告”,我们可以通过报告查看WSUS运行情况。
7)“选项”目录中,为我们提供了WSUS设置的相关选项,大家可以在这里对自己的WSUS进行设置,这里包含了之前我们配置向导中的所有内容。
我们可以设置规则,来执行自动审批。 不过,不建议使用自动审批,对于补丁最好还是由管理员手动审批。
我们还可以使用wsus的清理功能,解决日后磁盘空间占用的问题。
我们还可以使用电子邮件通知功能,通过它我们可以定期地将WSUS状态报告发送到管理员邮箱中,以便管理员及时了解相关信息。
4. 配置客户端计算机使用WSUS服务器进行更新
当WSUS服务器安装好以后,还需要配置客户端计算机通过WSUS服务器来进行自动更新。
我们可以通过组策略来配置客户端自动更新:
打开Active Directory 用户和计算机,右击域,选择属性,在弹出的属性对话框,点击组策略标签,新建一条组策略;将新建的组策略对象重新命名为WSUS Policy,然后点击编辑按钮;在弹出的组策略编辑器中,打开“计算机配置->管理模板->Windows组件->Windows Update”,
配置以下选项:
1. 配置自动更新。
启用自动更新,选择“自动下载并计划安装”,并设置计划安装时间。如下图:
2.指定Intranet Microsoft更新服务位置。
点击启动,并输入htt://wsus服务器名,如下图:
3. 重新计划自动更新的计划安装
由于安装程序不一定每次都能正常进行,所以需要配置“重新计划自动更新的计划安装”,点启用,并设置等待时间,如下图:
4. 计划的自动更新安装后不自动重新启动
由于按照我们预定的补丁安装时间,用户可能正常操作电脑,而很多补丁安装后是需要重新启动的,如果不进行设置,补丁安装好后,系统会自动重启,这样会导致用户数据丢失,所以我们必须启用“计划的自动更新安装后不自动重新启动”。
5.自动更新检测频率
启用“自动更新检测频率”,按默认设置为22小时就可以了。
6.允许自动更新立即安装
启用“允许自动更新立即安装”。
7. 重新提示计划安装后的重新启动
启用“重新提示计划安装后的重新启动”,并设置提示等待时间,以提醒用户系统需要重启。
8. 允许非管理员接收更新通知
因为我们广大的用户权限都为非管理员,所以需要启用“允许非管理员接收更新通知”。
OK,设置完成,关闭组策略编辑器对话框。
至此,WSUS服务器部署完成。
至此,WSUS服务器部署完成。
