WSUS服务器设置解析(一)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WSUS服务器设置解析(一)
WSUS:windows server update services,是微软推出的一款补丁服务器,可以依据具体环境搭建WSUS服务器,有效解决公司内部网络中不同版本的windows客户端计算机面对众多系统补丁不知所措,同时强制客户端重启时安装补丁避免客户端计算机遭受攻击的危险,以及大量客户端下载补丁造成的带宽浪费现象。以下就WSUS及其配置使用做一简单介绍。WSUS补丁服务器部署在企业中,可以有以下几种部署拓扑:单服务器拓扑:利用一个WSUS服务器从微软的更新网站下载补丁,然后负责将补丁发给内网用户。为大多数中小公司的最佳选择。链式拓扑:定义了上游服务器和下游服务器,上游服务器可以直接连接到微软的更新网站,下游服务器则只能从上游服务器下载更新。此类拓扑为总公司/分公司的管理模型中常见。考虑到性能因素,链式拓扑很少超过三层。分离式拓扑:指与互联网隔离的网络内,WSUS 服务器无法从微软网站进行补丁更新,只能先用一个能连接互联网的WSUS服务器下载所需补丁,然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁下载。此拓扑常用于保密无法连入公网单位。对WSUS进行安装之前必须安装IIS5.0版本以上,net frame works1.1、BITS2.0(后台智能传送服务),或者安装SP1补
丁(无需安装BITS和NET补丁)安装时须具备以下条件:WSUS2.0SP1要求系统分区至少应有1G的剩余空间,WSUS 的更新文件需要至少6G空间,WSUS的元文件至少需要2G 空间。更新文件是安装补丁时所需要的二进制文件,元文件则负责提供更新文件的信息,更新文件存储在目录中,元文件存储在数据库中。建议将WSUS数据安装在非系统分区,且至少准备8G剩余空间。WSUS的后台数据库为SQL2000,MSDE或WMSDE。WSUS安装时自带了WMSDE,MSDE 和WMSDE的区别在于MSDE有最大不能超过2G的限制,而WMSDE没有。MSDE和WMSDE都没有提供管理工具,如需要管理工具,可以考虑安装SQL2000+SP3作为WSUS 的后台数据库,也可以在WMSDE或MSDE的基础上加装一个SQL2000管理工具。建议如无特殊需求,使用WSUS 自带的WMSDE数据库即可。安装步骤:下载补丁的设置:安装完成后,出现下图界面;单击页面右上角的“选项”,可以对WSUS进行设置,如图,单击“同步选项”;在产品和分类的选项中,单击“产品‘所有windows’产品”更改,可以对需要更新的补丁进行选择;如图所示:单击“更新分类‘更改’”如下图所示;可以设置下载何种更新;默认下载安全更新程序和关键更新程序。在“同步选项”中的更新文件和语言选项中,单击“高级”,如图:可以在里面做更详细的设置,如图所示:对WSUS进行简单的设置之后,点
击页面上的“立即同步”,即可使用WSUS同步微软的更新补丁进行下载;客户端补丁分发:补丁更新完毕后,可以对客户端进行分发,可以将客户端设置成不同的分组,对不同的分组进行不同的补丁分发,单击“计算机”,默认情况下创建了两个组,所有计算机,和未指定的计算机;默认情况下每个WSUS的客户端都属于这两个组。单击“创建计算机组”,弹出“创建计算机组”,添加到服务器中的新计算机组的名称;单击确定,在“组”中便出现了刚创建的计算机组;然后将客户端计算机添加到“组”中,单击选项-》计算机选项;此处提供了两个将客户端加入到组中的方法,如图所示;若计算机较少,则选择“使用WSUS中的移动计算机任务”,若计算机较多,则“选择组策略或注册表设置”更为有效。点击保存设置让更改生效。使用组策略或者注册表进行设置:域环境下,单击AD用户和计算机,右击域名属性,切换到组策略选项,如图所示;单击default domain policy单击编辑,弹出组策略编辑器,展开计算机配置-管理模板-Windows组件-Windows Update,编辑“配置自动更新”策略,选择启用自动更新,且将自动更新模式配置为自动下载并通知安装,在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。编辑“指定Intranet Microsoft更新服务位置”策略,在此策略中设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载,Intranet统计服务器提供
报表统计,描述服务器可以使用Netbios名称,完全合格域名或IP。输入WSUS服务器的地址(不可输入域名)编辑“允许客户端目标设置”策略,选择“已启用”输入WSUS客户端要加入的组;三个策略基本可以满足WSUS客户端的配置需求。注册表在
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ windows\ WindowsUpdate中,可以设定,如图,右击windowsupdate,单击导出,如下图所示,将Windowsupdate 分支导出成文件,可以实现在注册表中设置客户端指定WSUS服务器,工作组中使用此注册表导入可以实现客户端导入/导入注册表的方法对WSUS服务器的设置。实现快速对WSUS客户端的设置。下文将介绍WSUS补丁服务器的分发补丁的过程。