Windows server 2012 R2 部署WSUS補丁服務

1、WSUS 安裝要求

一、硬件要求：

對於多達 13000 個客戶端的服務器，建議使用如下硬件：
* 4 Core E5-2609 2.1GHz 的處理器
* 8 GB 的 RAM

二、軟件要求：

要使用默認選項安裝 WSUS，必須在計算機上安裝如下軟件。

* Microsoft Internet 信息服務 (IIS) 6.0。

* 用於Windows Server 2012 R2 的 Microsoft.NET Framework 1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

三、磁盤要求：

要安裝 WSUS，服務器上的文件系統必須知足如下要求：

* 系統分區和安裝 WSUS 的分區都必須使用 NTFS 文件系統進行格式化。

* 系統分區至少須要 1 GB 的可用空間。

* WSUS 用於存儲內容的卷至少須要 60 GB 的可用空間，建議預留空間爲 40 GB。 

2、 環境描述

•    目前用於WSUS的服務器一臺，配置和功能以下：

WSUS 配置清單
操做系統版本：  Windows Server 2012 R2 Chs
ServerName： CNHZWS01
IP Address ：192.168.1.12
Mask    255.255.255.0
GateWay    192.168.1.1
DNS Server    192.168.1.10    192.168.1.11
系統盤（C）大小    1TB
PageFile位置以及大小    大家按照常規定義
備註：
所在域名名稱：vancen.com

3、 安裝服務器角色

首先，咱們檢查第一臺已經安裝Windows Server 2012 R2的服務網絡的相關配置，確保服務器IP地址、子網掩碼、默認網關的參數以下操做以下

步驟 1： 配置修改服務器的IP和DNS地址

步驟 2：修改WSUS服務器名，並將服務加入至VANCEN域

   

步驟 3：輸入加域權限的用戶名和密碼將服務器加入VANCEN域

 

步驟 4：提示服務器成功加入VANCEN域

 
步驟 5：當即重動服務器讓應用生效
  
步驟 6：使用本地 Administrators 組成員的賬戶登陸到你計劃安裝 WSUS 服務器角色的服務器。在「服務器管理器」中，單擊「儀表板」，而後單擊「添加角色和功能」

步驟 7：在「開始以前」頁面上，單擊「下一步」
 

步驟 8：在「選擇安裝類型」頁上，確認已選擇「基於角色或基於功能的安裝」選項，而後單擊「下一步」
 

步驟 9：在「選擇目標服務器」頁上，選擇服務器所在的位置（從服務器池或虛擬硬盤中）。選擇位置後，選擇你想安裝 WSUS 服務器角色的服務器，而後單擊「下一步」
 
步驟 10：服務器選擇這裏選擇默認的，假如你須要針對其它主機安裝「windows server更新服務」角色，這裏能夠選擇你須要的主機，點擊「下一步」這裏勾選「windows server 更新服務」
 
步驟 11： 當勾選這個選項時，會彈出以下對話框，點「添加功能」。
 

步驟12：在「選擇功能」頁上，保留默認選擇，而後單擊「下一步」
 
重要事項
WSUS 僅須要默認的 Web Server 角色配置。若是你在設置 WSUS 時收到有關額外 Web Server 角色配置的提示，你可安全接受默認值並繼續設置 WSUS。 
步驟 13：在「Windows Server Update Services」頁上，單擊「下一步」
 
步驟 14：在「選擇角色服務」頁上，保留默認選擇，而後單擊「下一步」
 
步驟 15：在「內容位置選擇」頁上，鍵入有效的位置以存儲更新，而後單擊「下一步」
 
存儲更新的位置能夠是WSUS的本地路徑，也能夠放到UNC共享裏面。

步驟 16：查看web服務器角色IIS的配之配置，咱們這裏保持默認便可，直接點擊下一步

步驟17：確認你要安裝的全部內容。確認無誤後點擊「下一步」

步驟18：在「安裝進度」頁上，單擊「啓動後安裝任務」，並等到此任務順利完成，而後單擊「關閉」
 
在服務器管理器中，驗證是否出現提醒你須要從新啓動的通知。根據安裝的服務器角色，這可能有所變化。若是須要從新啓動，請務必從新啓動服務器以完成安裝。
步驟19： 啓動安裝後的任務

4、使用配置嚮導

安裝完成一級WSUS服務器角色以後，第一次使用WSUS的時候會進入WSUS的配置嚮導，對WSUS作一個基本的設置。固然這個配置嚮導是集成在WSUS裏面的，能夠在任什麼時候間使用配置嚮導對WSUS進行配置。
步驟1：在「服務器管理器」導航窗格中，單擊「儀表板」，單擊「工具」，而後單擊「Windows Server Update Services」。
 
步驟2：Windows Server Update Services 嚮導出如今「開始以前」頁上，單擊「下一步」。
 
步驟3：閱讀「加入 Microsoft 更新改善計劃」頁上的說明，評估你是否想參與其中。若是要參與該計劃，請單擊「下一步」繼續。
 
在「選擇上游服務器」頁上，你可選擇將更新與 Microsoft 更新或其餘 WSUS 服務器同步。
•    若是你選擇從其餘 WSUS 服務器同步，請指定服務器名稱以及該服務器與上游服務器通訊時所在的端口。
•    若要使用 SSL，請選中「同步更新信息時使用 SSL」複選框。服務器將使用端口 443 進行同步。（確保該服務器和上游服務器支持 SSL）。
•    若是這是副本服務器，請選擇「這是上游服務器的副本」複選框。
步驟4：爲你的部署選擇適當選項後，單擊「下一步」繼續。
 
由於目前部署的是一級WSUS服務器，因此我選擇直接從microsoft進行同步。
在「指定代理服務器」頁上，選中「同步時使用代理服務器」複選框，而後在對應的框中鍵入代理服務器名稱和端口號（默認是端口 80）。
重要事項
若是你肯定 WSUS 須要代理服務器才能訪問 Internet，則必須完成上一步驟。 
若是你但願經過使用特定用戶憑據來鏈接代理服務器，請選擇「使用用戶憑據鏈接代理服務器」複選框，而後在對應的框中鍵入用戶名稱、域和用戶密碼。若是你但願啓用已鏈接代理服務器的用戶的基自己份驗證，請選擇「容許基自己份驗證（以明文形式發送密碼）」對話框。
步驟5：此時，你完成了代理服務器配置。單擊「下一步」轉到下一頁，這時你能夠開始設置同步進程。

步驟6：在「鏈接到上游服務器」頁上，單擊「開始鏈接」。

步驟7：鏈接它時，而後單擊「下一步」繼續。
這裏要求必須有internet連接。
 

在「選擇語言」頁上，你可選擇 WSUS 將收到更新的語言 — 全部語言或語言子集。選擇語言子集將節省磁盤空間，但必須選擇此 WSUS 服務器的全部客戶端須要的全部語言。若是你選擇僅得到特定語言的更新，請選擇「僅下載這些語言的更新」，而後選擇你但願得到更新的語言；不然保留默認選擇。
步驟8：爲你的部署選擇適當語言後，單擊「下一步」繼續。
中國大陸通常選擇英文和簡體中文。
 
若是你選擇「僅下載這些語言的更新」選項，且該服務器具備與其鏈接的下游 WSUS 服務器，該選項將強制下游服務器也僅使用所選的語言。
步驟9：「選擇產品」頁容許你指定但願更新的產品。選擇產品類別（如 Windows）或特定產品（如 Windows Server 2008）。選擇產品類別將選擇該類別的全部產品。
 
步驟10：爲你的部署選擇適當的產品選項後，單擊「下一步」繼續。
在「選擇類別」頁上，選擇要包含的更新類別。選擇全部類別或其子集，而後單擊「下一步」繼續。
 
步驟11：爲你的部署選擇適當的產品選項後，單擊「下一步」繼續。
 

在「設置同步計劃」頁上，選擇手動或自動執行同步。
•    若是你選擇「手動同步」，你必須經過 WSUS 管理控制檯啓動同步過程。
•    若是你選擇「自動同步」，WSUS 服務器將每隔一段時間執行同步。
設置「第一次同步」的時間，並制定你但願該服務器執行的「天天同步」次數。例如，若是你指定天天同步四次，從上午 3:00 開始，則同步將在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 發生。
步驟12：在「完成」頁上，你可經過選擇「開始初始同步」對話框，即時啓動同步。若是你不選擇此選項，你必須使用 WSUS 管理控制檯來執行初始同步。若是你但願閱讀有關其餘設置的詳細信息，請單擊「下一步」，或單擊「完成」來結束該向導並完成初始 WSUS 設置。
 
步驟13：在單擊「完成」後，WSUS 管理控制檯會出現。

步驟14：點擊同步視圖，查看同步過程如圖所示。
 
步驟15：同步完成後，如圖所示。
 
使用WSUS的配置嚮導進行初始配置以後，下面咱們將利用WSUS控制檯對WSUS服務器進行進一步的配置工做。

5、組策略配置自動更新
在default domain policy作一個影響全域計算機的自動更新策略。
步驟1：在組策略管理控制檯 (GPMC) 中，瀏覽到默認的default domain policy的 GPO，而後單擊「編輯」。
 
步驟2：在 GPMC 中，依次展開「計算機配置」—>「策略」—>「管理模板」—>「Windows 組件」—>「Windows 更新」。
 
步驟3：在詳細信息窗格中，雙擊「配置自動更新」。這裏我選擇3-自動下載並通知安裝，而後單擊「肯定」。

單擊「已啓用」，而後單擊「配置自動更新」設置下的如下選項之一：

•    下載通知和安裝通知。該選項會在你下載和安裝更新以前通知登陸的管理用戶。

•    自動下載和通知安裝。該選項將自動開始下載更新，而後在安裝更新以前通知登陸的管理用戶。

•    自動下載和計劃安裝。該選項自動開始下載更新，而後在你指定的當天和時間安裝更新。

•    容許本地管理員選擇設置。該選項可以讓本地管理員使用控制面板中的自動更新來選擇配置選項。例如，他們能夠選擇計劃的安裝時間。本地管理員不能僅用自動更新。

步驟4：在 Windows Update 詳細信息窗格中，雙擊「指定 Intranet Microsoft 更新服務位置」。

步驟5：單擊「已啓用」，而後在「設置 Intranet 更新服務以檢測更新」框和「設置 Intranet 統計服務器」框中鍵入相同 WSUS 服務器的 URL例如，在這兩個框中（其中服務器名稱是 WSUS 服務器的名稱），鍵入 http://servername，而後單擊「肯定」。

步驟6：當你鍵入 WSUS 服務器的 Intranet 地址時，確保指定準備使用哪一個端口。默認狀況下，WSUS 使用適用於 HTTP 的端口 8530 以及適用於 HTTPS 的端口 8531。例如，若是使用 HTTP，則應鍵入 http://servername:8530。 
能夠設置「自動更新檢測的頻率」，默認是22小時，咱們能夠根據實際的須要來調整間隔。如圖。

 
步驟7：能夠啓用「對於已登陸用戶的計算機，計劃的自動更新安裝不執行從新啓動」，這樣的話，當計算機存在已登陸的用戶的時候，裝完更新是否重啓取決於用戶的行爲，計算機不會強制重啓，如圖。

步驟8：對於某些不會中斷windows服務，也不會須要重啓服務器才生效的更新，咱們能夠配置啓用「容許自動更新當即安裝」，如圖。
 

全域級別的組策略設置完成後，咱們還能夠針對測試組合生產組來配置不一樣的自動更新策略。
下面咱們來爲測試服務器組配置一個自定義的GPO，該GPO的優先級會高於默認的域組策略，因此該GPO所連接到的計算機OU內的計算機客戶端都會優先應用該策略。
步驟9：右擊「測試服務器組」計算機OU，選擇「在這個域中建立GPO並在此處連接」，如圖。

步驟10：輸入新建的GPO的名稱，如圖。

步驟11：而後咱們右擊新建的GPO，選擇編輯，如圖。
 
而後咱們就能夠爲該GPO設置不一樣的自動更新策略了，全部連接到這個策略的計算機OU都會應用該策略。
通常來講：測試環境的服務器和客戶端咱們能夠配置自動下載通知安裝或者自動下載計劃安裝，對於生產環境的客戶機咱們能夠設置自動下載並計劃安裝，對於生產服務器組，若是須要手動控制打補丁的行爲和重啓時間，咱們能夠配置自動下載並通知安裝，具體要看需求。

步驟12：下圖是我爲生產客戶端計算機組設置的自動下載並計劃安裝的策略。

設置策略以後，客戶端計算機幾分鐘後，計算機將出如今 WSUS 管理控制檯中的「計算機」頁上。對於配有基於域的組策略對象的客戶端計算機，組策略將花費大約 20 分鐘才能將新的策略設置應用於客戶端計算機。默認狀況下，組策略會在後臺每隔 90 分鐘更新一次，並將時間做 0 到 30 分鐘的隨機調整。若是你但願更快地更新組策略，可在客戶端計算機上打開「命令提示符」窗口，並鍵入 gpupdate /force。

6、WSUS查看狀態報告
默認狀況下，在WSUS控制檯中是沒法查看狀態報告的，若是想正常的查看狀態報告，須要一些插件和功能的支持，下面就來看整個實現的過程。
步驟1：首先咱們隨意右擊一臺客戶端，選擇「狀態報告」，如圖。

步驟2：系統會提示咱們，此功能須要使用microsoft report viewer 2008可再分發組件，如圖。

步驟3：咱們能夠點擊上圖中的連接，打開microsoft的網站進行下載，如圖。

步驟4：而後咱們來安裝這個組件，如圖。

步驟5：安裝的過程當中，提示咱們須要.net framework的支持，如圖。

步驟6：咱們先暫停安裝，回到添加角色和功能，把.netframework 3.5.1的功能裝上，如圖所示。

步驟7：而後咱們繼續完成組件的安裝，如圖。

步驟8：以上安裝完成後，能夠順利打開狀態報告功能，如圖。

7、WSUS經常使用控制檯選項配置

一、在WSUS控制檯中，默認提供了不少選項，這些選項爲咱們更好的管理和使用WSUS提供了很好的途徑。首先，來看看「計算機清理嚮導」，通常咱們能夠每月運行一次計算機清理嚮導，來清理不須要的更新，釋放磁盤空間等等，具體清理嚮導打開的方式以下。
打開以後能夠作的清理操做以下。咱們能夠默認所有選擇，也能夠根據須要進行自定義的選擇。若是公司的環境中計算機的數目比較多，這個清理嚮導仍是頗有用處的。
 
二、另一個功能就是咱們能夠配置電子郵件通知。選擇「選項」，「電子郵件通知」。 
在電子郵件通知的常規選項卡，咱們作以下圖的設置。

能夠看到能夠經過WSUS發送新更新和狀態報告的通知。能夠配置多個收件人，配置同步頻率和時間信息。

在電子郵件服務器選項卡，能夠配置接收通知的電子郵件服務器信息，發件人信息，SMTP驗證信息。

點擊上圖的「測試」，系統提示咱們在測試以前將其保存，選擇「是」。

正在發送測試電子郵件，如圖。

咱們如今打開QQ郵箱的收件箱，能夠看到剛纔發送的測試郵件。
 

補丁服務器部署與配置結束完成。