局域網內WSUS服務器的安裝與使用經驗

WSUS（Windows Server Update Services ）是Windows操做系統的升級服務，經過在內部網絡中配置WSUS服務器，全部Windows的更新都能集中下載到這個服務器中，內部網絡中的客戶機就能夠經過WSUS服務器獲得更新。升級操做系統補丁的時間能夠縮短到幾分鐘，效果十分明顯，且只要一臺WSUS服務器就可保證全網絡內操做系統的自動升級。這既節省了資源，又避免了資源浪費，而且提升了效率。

在內部網絡中建成使用了WSUS系統，如今所有終端已部署完成，終端操做系統經過WSUS系統自動安裝更新補丁，有效地避免了計算機病毒的***，有力地保障了系統和網絡的安全。目前，WSUS已升級至2.0版本，支持微軟的所有更新，包括ISA、OfficeXP、Office200三、SQL Server2000、MSDE 2000和Exchange Server2003，等等。

WSUS的安裝主要分4個步驟：系統準備與輔助軟件的安裝；WSUS服務器的安裝；配置和管理WSUS服務器；客戶機設置。

   1.系統準備與輔助軟件的安裝。

安裝WSUS服務器以前，要確保服務器符合SUS的最低硬件要求：奔騰III 750MHz或更高的處理器，512MB內存，8GB硬盤空間，NTFS文件系統格式，如須要升級的客戶機在500臺以上，對CPU的要求更高，內存應在1GB以上。

相關軟件要求以下：

①操做系統安裝：只有包含SP4或更高版本的Windows2000 Advanced Server（Windows2000 Server），以及Windows Server 2003纔可以做爲WSUS服務器，建議採用Windows2000 Advanced Server。
②在操做系統上安裝Microsoft Internet Information Services （IIS）5.0。
③在操做系統上安裝Background Intelligent Transfer Service （BITS）2.0。
④在操做系統上安裝Microsoft SQL Server2000及SQL的SP4補丁。
⑤在操做系統上安裝Microsoft Internet Explorer 6.0 Service Pack 1。
⑥在操做系統上安裝Microsoft
.NET Framework Version 1.1 Redistributable Package。
⑦在操做系統上安裝Microsoft 
.NET Framework 1.1 Service Pack 1。
⑧最後打好全部的系統補丁。
以上相關軟件到微軟的網站上下載便可。

2.安裝WSUS。

默認狀況下，Windows Server操做系統是不包含WSUS組件的，須要在微軟下載中心下載WSUS安裝包，再安裝至服務器。

①下載WSUS安裝程序。
②打開下載的WSUSSetup.exe文件，啓動安裝程序。
③單擊「下一步」，在「最終用戶許可協議」步驟中選擇「I accept the terms in the License Agreement」，並單擊「下一步」。
④選擇存儲分區，用來存放WSUS下載的更新文件。要注意的是，這個分區必須是NTFS格式，而且最少要有6GB的自由空間。
⑤接下來是選擇安裝WMSDE數據的存儲分區，這個分區也必須是NTFS格式，以及最少要有2GB的自由空間，若是把它與存儲本地更新文件裝在同一個分區，這個分區最少要有8GB的自由空間。
⑥選擇WSUS站點的管理工具與WEB服務網站的端口，可使用默認端口(80)或是選擇一個獨立的端口(8530)，這是不能更改的。若是服務器上面還有別的網站，建議使用8530端口來實現WSUS的管理以及WEB服務更新。這裏使用系統推薦的80端口。
⑦WSUS提供了鏡像管理服務功能，它能夠從網絡上的另外一臺WSUS服務器中複製已批准的更新列表。
接下來就是安裝程序的自動安裝過程，大概須要15分鐘左右。

3.配置和管理WSUS服務器。

安裝完成，接下來須要進入它的管理頁面進行配置，默認狀況下WSUS是不進行任何同步更新的。
從安裝時提示的管理地址進入WSUS的WEB管理界面。
點擊右上方「選項」菜單，進行系統設置。
①點擊「同步選項」。能夠選擇手動同步服務器，查看同步狀態，指定代理服務器設置以及管理更新。也能夠設置同步更新的時間，以及要求從微軟站點下載的產品、更新分類、代理服務器、更新源以及更新文件和語言。
②更新源：能夠選擇讓該 WSUS服務器與 Microsoft Update 或者網絡上的某臺上遊WSUS服務器同步更新信息。若是使用 SSL，請確保上游WSUS 服務器配置爲支持 SSL。此服務器上的端口設置必須配置爲與上游 WSUS 服務器匹配。
③自動批准選項：能夠指定如何爲選定組自動批准更新的安裝或檢測，以及如何批准對現有更新的修訂，即WSUS對同步下載的補丁是否執行自動批准加入系統的分發庫的命令，並設置分發的對象即計算機組。
④更新的修訂：對於已批准的更新，有時會有更新版本發佈，能夠選擇是否自動批准修訂。若是不選擇自動批准修訂版本，則舊版本將繼續保持已批准狀態。
⑤WSUS更新：須要WSUS 更新，以確保能夠正確更新計算機。若是 WSUS 更新未獲得批准，則計算機可能沒法正確檢測某些更新，默認是批准的。

4.客戶機設置。

若是客戶機與WSUS服務器在同一個域中，則只要經過域功能分發一下便可。如客戶機與WSUS服務器不在同一個域中，則每一臺客戶機都必須做以下設置才能起做用：
①打開「開始」菜單，點擊「運行」，輸入「Gpedit.msc」，啓動Windows策略組。
②在策略組中，點擊「管理模板」，選擇「添加/刪除模板」，點擊「添加」，選擇「wuau.adm」，再點「打開」便可。（圖一）
③雙擊「配置自動更新」，在打開窗口中，選擇「啓用」。
④雙擊「指定Internet Microsoft更新服務位置」，在打開窗口中，選擇「啓用」，並在紅色框中填上 [url]http://10.46.0.253[/url]（SUS服務器IP）便可。（圖二）
⑤爲保證客戶機當即更新，要在「開始」菜單下「運行」中輸入「secedit/refreshpolicy machine_policy /enforce」，客戶機將當即與WSUS服務器鏈接，下載並更新補丁。
做者單位：浙江省紹興市菸草專賣局  

（圖一）

（圖二）