WSUS 3.0的安装和使用

WSUS 3.0的安装和使用

一．WSUS服务器的安装

Wsus 3.0服务器的安装，建议安装在windows2003上，打SP1补丁，安装IIS服务器和BITS

在win2003上需要安装一些组件，否则在安装过程中会有提示，或者某些功能不正常。

所以首先安装需要的组件

1． Framework 2.0 2．ReportViewer.exe——报表查看器可再发行组件2005 3．WindowsServer2003更新（KB907265）

然后开始安装WSUS服务器：

一般都选择本地存储更新，如果不选本地存储，则批准某个更新后，客户端直接通过Internet 连接Microsoft Update，下载更新。

推荐使用默认网站，并使用80端口。

二．配置WSUS

1．服务器配置

安装完成马上开始WSUS的配置向导，可以不用向导配置，进入系统进行配置。

打开所有程序——〉管理工具——〉Microsoft Windows Server Update Services 3.0，进入WSUS 管理界面

进入“选项”页，进行服务器的配置

更新源和代理服务器

如果网内只有一台wsus服务器，选择“从Microsoft Update进行同步”，“从其他wsus服务器同步”适用于多台服务器的链式结构。

选择产品与分类，产品页指定要升级的windows产品，wsus3.0除了更新系统补丁，还可以更新office、exchange、SQL server等产品。

更新文件的下载和存储。

●将更新文件本地存储在此服务器上，则下载并存储在本地。这节省了企业外部网络连接

的带宽，因为客户端计算机直接从WSUS服务器获取更新。

选择“仅当审批更新后才将更新文件下载到此服务器上”，则某个更新被批准后，才下载到服务器，这将启用WSUS服务器的延迟更新下载特性：WSUS服务器进行同步时只同步更新文件的元数据，当批准更新安装时才下载更新文件，这将大大的节省了WSUS服务器所使用的企业外部网络的带宽

如果不勾选此项，则不管批准与否，所选产品和分类的所有更新都会下载并存储到服务器，适于不能上网的单位，联网下载服务器和更新服务器分开的情况。

选择“下载快速安装文件”，则下载更新文件的差异部分，但下载量比较大，牺牲了wan 的速度和带宽，但是对客户端的更新速度快，节省了lan的资源和效率，以多消耗WSUS 服务器所使用的企业外部网络带宽为代价来节省企业内部网络中的客户端计算机从WSUS 服务器下载更新所使用的网络带宽。

●不本地存储更新文件；更新文件远程存储在Microsoft Update上。当WSUS服务器和

Microsoft Update进行同步时，将只下载元数据（即补丁列表）；你可以通过WSUS控制台批准更新，安装时客户端计算机直接从Microsoft Update获取更新文件。

为了减少下载和存储空间大小，可以选定语言。

可制定从Microsoft Update或上游服务器的同步计划。

2．客户端配置

客户端配置需：win2000 sp3以上；winxp sp1以上；win2003；

如果是域环境，可以在组策略里设置，如果是工作组环境，客户端点击开始——〉运行，输入gpedit.msc，进入组策略编辑器，选择管理模板——〉windows组件——〉windows update 配置自动更新，选择3；

指定Intranet Microsoft更新服务位置，设置为启用，并设置wsus服务器

自动更新检测频率，默认为22小时，即每天检测一次，可以更改，最少为1小时

其他可按照默认配置。最后可以进入命令行模式，输入“wuauclt.exe /detectnow”命令启动更新，客户机会立刻连接WSUS服务器下载并安装补丁。

设置好一台客户端后，可以进入注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate，

右键导出一个客户端文件，然后在其他客户端双击，即可配置好其他客户端。

注意：Wsus服务器可以与防水墙服务器安装在一起，客户端也可以安装在一起，

但客户端策略不能封服务器IP，TCP 80端口，和http服务。

三．使用WSUS为系统打补丁

设置好客户端后，就可以在服务器端看到此客户端，将客户端加入相应的组，根据需要为计算机打补丁。

需要对刚刚下载的“安全和关键更新”进行复查和批准，经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在“更新”界面中可将所有补丁选中，选择完毕点击左侧“更新任务”栏中的“更改批准”，这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序，则不选择该补丁。点击“更改批准”后会进入“批准更新”窗口，可在批准下拉选项中选择“安装”，然后点击“确定”。同时可以设定某个补

丁安装的时间，如果设定的时间是过去的某个时间，则立即批准并安装补丁。现在，所有客户端就可下载并安装刚刚批准下载的补丁程序了，至此服务器上的所有设置完毕。

四．在服务器离线情况下使用WSUS

在wsus实施案例中，有这样一种情况，用户实际环境是物理隔离的局域网，不允许上Internet 网，但是需要使用wsus对客户端进行补丁管理。

这种环境下，在非上网区安装WSUS服务器，同时必须在可上网区域加装一台WSUS服务器，用于下载更新，下载完更新后，导出元数据（即补丁列表），备份或拷贝所有更新至内网WSUS服务器，即可在非上网区域对客户端进行更新。

1．步骤一

首先安装外网wsus服务器，配置两个地方

设置产品与分类：