Windows Server 2008 R2部署WSUS心得

 windows server  2008 R2自帶WSUS功能，只須要在添加功能的時候，添加便可，會自動完成安裝。

幫助文檔

WSUS中文技術論壇：http://social.technet.microsoft.com/Forums/zh-CN/wsuses/threads?filter=unanswered&sort=viewsdesc
WSUS按部就班指南：http://technet.microsoft.com/zh-cn/library/dd939916(WS.10).aspx
從心開始的博客：http://ycrsjxy.blog.51cto.com/618627/203141
服務器或者客戶端對操做系統的需求：http://www.microsoft.com/downloads/zh-cn/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&displaylang=zh-cn
WSUS部署經驗分享：http://blog.csdn.net/starlee1738/archive/2005/07/06/415995.aspx

部署過程

虛擬化服務器上劃分120GB空間，安裝windows server 2008 enterprise R2，分配2G內存，加入contoso.com域，分配靜態IP爲：192.168.100.11
加入域後的WSUS服務器的FQDN：wsus.contoso.com
爲服務器開啓遠程桌面鏈接，安裝vmware tools工具。
在服務器上「添加功能」裏安裝IIS和應用程序服務器組件，添加後臺智能傳輸服務。

在安裝嚮導指定的更新下載位置爲D：\update，數據庫的存放位置爲d:\update，數據庫使用windows server 2008 R2自帶的內部數據庫
在配置嚮導指定該WSUS服務器從internet更新，不設置代理服務器。
選擇要下載的語言，更新的產品類型等信息，我選擇簡體中文
而後開始同步，下載更新（注意這裏同步的只是一個更新列表，而不是真正的更新。

通用的WSUS策略設置，能夠在較大的OU級別設置，對於比較精細的控制信息，好比設置客戶端目標，能夠在較小級別的OU設置

若是要在WSUS控制檯查看某臺計算機的狀態，須要安裝：
microsoft report viewer redistributable 2008發行包

windows XP客戶端不能顯示在WSUS列表的緣由

我新建了一臺windows XP SP2的計算機，發現WSUS發現不了這臺計算機，而關於WSUS組策略已經同步到該PC，最後發現是由於本地的automatic update服務處於中止狀態，並且該服務的狀態被配置爲自動啓動。
我嘗試啓動該服務，結果報錯：automatic update服務啓動後又中止。而後用管理員登錄該計算機，錯誤依舊。
而後查看了一下2008 R2 DC的domain級別的組策略設置，而後我收集結果的時候，發現有下面的三條設置：
default domain policy——用戶配置——策略——管理模板——系統——windows自動更新——已啓用
default domain policy——計算機配置——策略——管理模板——windows組件——windows update——配置自動更新——已禁用
default domain policy——計算機配置——windows 設置——安全設置——系統服務——windows update ——自動
以上三條策略是以前的管理員作的配置
而後我修改了上面的設置：
將「windows自動更新」配置爲「未配置」狀態
將「配置自動更新」設置爲「已啓用」狀態
將「windows update」設置爲「未定義」狀態
而後我繼續在該windows XP SP2計算機上使用gpupdate /force刷新策略，提醒我重啓計算機，我重啓計算機後，發現automatic update服務已正常啓動
而後我在客戶端執行：wuauclt.exe /detectnow
而後我回到WSUS服務器上，能夠看到WSUS已經發現該客戶端了
我在客戶端上使用下面的命令：
netstat -aon | findstr "80"
能夠看到客戶端已經和WSUS在80端口創建了連接。

其餘的一些關鍵記錄

客戶端的發現是一個緩慢的過程，通常會在客戶端從新啓動時會自動發現，而後根據域策略歸類到指定的計算機分組。
當重啓計算機後，WSUS能發現客戶端有一個很重要的前提，那就是客戶端的windows update或者automatic update更新服務是啓動狀態。
補丁通常是審批完成後，纔開始下載的。具體的配置位置是：
WSUS控制檯——選項——更新文件和語言——更新文件——選擇「將更新文件本地存儲在此服務器上」——勾選「僅當審批更新後才能將更新文件下載到此服務器上」「下載快速安裝文件」——肯定

批量啓用某個計算機組的本地automatic update服務

好比有一個叫「銷售部」的計算機組，裏面都是銷售部門的計算機，有些計算機本地的automatic update服務是禁用的或者手動啓用的狀態，這樣的話，就不可以找WSUS進行更新
方法是，爲該「銷售部」計算機組連接一個 GPO組策略，除了在組策略裏開啓該組的update和客戶端目標以外，還要設置組策略開啓這個計算機組裏全部計算機本地的automatic update服務，方法以下：
銷售部WSUS策略——計算機配置——windows 設置——安全設置——系統服務——windows update ——自動
而後在客戶端計算機刷新組策略或者等待刷新間隔到期，就會看到automatic update服務已經自動啓動

爲什麼更改集合成員身份按鈕不能用

當只有把選項——計算機——分配到組的方式設置爲「使用update services控制檯」才能夠「更改集合成員身份」。若是設置爲「使用計算機上的組策略或者註冊表設置」則該按鈕是不能用的，計算機分組的方式將由域組策略或者本地組策略的下面條目控制：
例如：右擊銷售部WSUS GPO——編輯——計算機配置——管理模板——windows組件——windows update——容許客戶端目標設置——已啓用——此計算機的目標組名稱：銷售部計算機組
所謂的客戶端目標設置，就是在域裏將不一樣部門，或者按照不一樣系統類型，將計算機進行分組，例如咱們在域裏建立了一個「銷售部計算機組」，那麼咱們能夠在WSUS裏也建立一個「銷售部計算機組」，名稱必須與域裏的相同，而後咱們再在域組策略設置一條「客戶端目標設置」，而後就能夠將域裏該計算機組裏的成員自動經過組策略同步到WSUS同名的計算機組中。

WSUS控制檯無響應

通常在重啓WSUS服務器，或者WSUS服務器沒有正常關閉的時候，會出現這種狀況。 這個時候檢查後臺關於WSUS的服務或者SQL服務是否中止，若是中止了，啓動它。