WSUS補丁服務器部署詳細

利用WSUS部署更新程序

來源於網絡轉載 

WSUS概述

爲了讓用戶的windows系統與其餘microsoft產品可以更安全，更穩定，所以microsoft會不按期在網站上推出最新的更新程序供用戶下載與安裝，而用戶能夠經過如下方式來取得這些程序：

• 手動鏈接microsoft update網站
• 經過windows系統的自動更新功能

然而以上兩種方式對企業內部來講，均可能會有如下缺點。

• 影響網絡效率：若是企業內部每臺計算機都自行上網更新，將會增長對外網絡的負擔。
• 與現有軟件相互干擾：若是企業內部使用的軟件與更新程序發生衝突，則用戶自行下載與安裝更新程序可能會影響該軟件或更新程序的正常運行。

WSUS是一個能夠解決上述問題的產品，企業內部能夠經過WSUS服務器集中從Microsoft update網站下載更新程序，而且在完成這些更新程序的測試工做，肯定對企業內部計算機沒有不良影響後，在經過網管審批程序，將程序部署到客戶機上。

WSUS的系統需求

對於基本WSUS架構來講，WSUS服務器與客戶端計算機都必須知足適當的條件才能享受WSUS的好處。

能夠在windows server 2012內經過新增角色的方式來安裝WSUS。安裝WSUS以前，須要安裝如下組件。

• Microsoft Report Viewer Redistributable 2008：WSUS服務器須要經過他製做各類不一樣的報告，例如更新程序狀態報告，客戶端計算機狀態報告與同步處理結果報告等。須要到microsoft 官網下載。
• Net framework 2.0: report viewer須要net framework。

注：WSUS服務器的系統分區與安裝WSUS的磁盤分區的文件系統都必須是NTFS。

WSUS客戶端計算機必須支持自動更新功能，Windows 2000 sp4之後的客戶端都支持。

能夠利用WSUS服務器內置的WSUS管理控制檯執行WSUS服務器的管理工做，還能夠在其餘計算機上管理WSUS服務器。不過，須要在這些計算機上安裝WSUS控制檯，可是這些計算機必須已安裝下列組件:

• Microsoft .NET Framework 2.0或更新版本
• Microsoft Management Console 3.0或更新版本
• Micrsoft Report Viewer Redistributable 2008或更新版本

WSUS的特性與工做方式

利用計算機組部署更新程序

若是可以將企業內部客戶端計算機適當分組，就能夠更容易與明確地將更新程序部署到指定計算機上。系統默認內置2個計算機組，即全部計算機與未分配的計算機，客戶端計算機在第一次與WSUS服務器接觸時，系統默認會見該計算機加入者2個組內。能夠在添加更多的組。能夠建立測試計算機組，新的補丁部署到測試計算機組，沒有問題在應用到業務計算機組內。

WSUS服務器的架構

也能夠建立更復雜的WSUS服務器架構，也就是建立多臺WSUS服務器，並設置讓其中一臺WSUS服務器從microsoft 網站獲取更新程序，可是其餘服務器並不直接鏈接Microsoft網站，而是從上游的組服務器來獲取程序，而下游服務器從上游服務器得到更新程序。

這種將WSUS服務器經過上下游方式串接在一塊兒的模式有兩種"

• 自治模式：上游WSUS服務器會與下游服務器共享更新程序，也就是下游服務器會從上游服務器獲取更新程序，可是並不包含更新程序的審批狀態，計算機組信息。所以下游服務器必須自行決定是否要審批這些更新程序與自行建立所需的計算機組。
• 副本模式：上游服務器會與下游服務器共享更新程序，更新審批與計算機組信息。下游服務器能夠獲取上游服務器的數據，全部能夠在上游服務器管理的項目都沒法在下游服務器自行管理，例如不能自行更改新程序的審批狀態等。

注意，上述計算機組信息只有計算機組自己而已，而且不包含計算機組的成員，必須自行在下游服務器來管理組成員，而客戶端計算機在第一次與下游WSUS服務器接觸時，這些計算機會默認被同時加入到全部計算機和未分配計算機組內。

能夠根據公司網絡環境的需求採用上下游WSUS服務器的串接方式。

採用上下游WSUS服務器串接架構，還須要考慮到不一樣語言的更新，例如，若是上游服務器在總部，總部須要簡體中文的程序，而下游架設在分公司，分公司須要的語言是英文，雖然總公司須要的語言是簡體中文，當必須在中公司的上游服務器選擇同事下載中文和英文版的更新程序。鏈接Microsoft網站的上游服務器必須下載全部下游服務器須要的全部語言的更新程序，不然下游服務器將沒法獲取所需語言的更新程序。

注：這種上下游串聯的方式，建議最好不要超過3層（雖然理論上沒有層數限制），由於每增長一層，就會增長延遲時間，於是拉長將更新程序傳遞到每臺計算機的時間。

選擇數據庫與存儲更新程序的地點

能夠利用Windows Server 2012的內置數據庫或Microsoft SQL Server 2005 sp2來構建數據庫。每臺WSUS服務器都有本身獨立的數據庫，這些數據庫用來存儲如下信息：

• WSUS服務器的設置信息。
• 描述每個更新程序的metadata。Metada內包含如下數據:

  更新程序的屬性：例如更新程序的名稱，描述，相關的knowledge base文章編號等。

  適用規則:用來判斷更新程序是否適用於某臺計算機。

  安裝信息：例如安裝時所需的命令行參數。

• 客戶端計算機與更新程序之間的關係。

然而上述數據庫並不會存儲更新程序文件自己，必須另外選擇更新程序文件的存儲地點，有如下兩種選擇。

存儲在WSUS服務器的本地硬盤內：此時WSUS服務器會從Microsoft網站下載更新程序，並將其存儲到本地硬盤內。此種方式讓客戶端直接從WSUS服務器獲取更新程序，不用到Microsoft網站下載，這樣能夠節省網絡帶寬。

WSUS服務器的硬盤必須有足夠空間來存儲更新程序文件，最少要有20g的可用空間。實際須要更多的空間。

存儲在Microsoft網站上：此時WSUS服務器並不會從Microsoft網站下載更新程序，換句話說，當執行WSUS服務器與Microsoft網站之間的同步工做時，WSUS服務器只會從網站下載更新程度的metadata數據，並不會下載更新程序自己。

所以，當你審批客戶端能夠安裝某個更新程序後，客戶端是本身鏈接到網站下載。若是客戶端計算機數量很少，或客戶端與WSUS服務器之間的鏈接速度比較慢，可是與網絡之間的鏈接速度較快時，能夠選擇此選項。

延期下載更新程序

WSUS容許你延期下載更新程序文件，也就是WSUS服務器會先下載更新程序的metadata，以後再下載更新程序文件。更新程序文件只有在你審批該程序後纔會被下載，這種方式能夠節省帶寬與WSUS服務器的硬盤空間使用量。Microsoft建議你採用延遲下載更新的方式，也就是默認值。

使用快速安裝文件

客戶端計算機要安裝更新程序時，此計算機內可能已經有該更新文件的舊版本，這個舊文件和新更新之間的差別可能不大。若是客戶端可以只下載新版與舊版之間的差別，而後利用將差別合併到舊文件的方式來更新，能夠減小從wsus服務器下載的數據量，下降企業內部網絡的負擔。

不過採用這種方式，WSUS服務器從Microsoft網站下載的文件會比較大，由於此文件內必須包含新更新程序和各舊版本身的差別，所以WSUS服務器在下載文件時會佔用對外的網絡帶寬。

例如，假如更新程序原始大小100mb，未使用快速安裝的狀況，此服務器會從microsoft網站下載100mb的文件，客戶端也是從服務器下載100mb的數據量。使用快速安裝的狀況下，此文件變爲比較大的200mb（假設）。雖然WSUS服務器必須從microsoft下載的文件大小爲200mb，可是客戶端從WSUS服務器僅下載30mb的數據量，系統默認未使用快速安裝文件。

安裝WSUS服務器

構建WSUS並不須要AD域環境，然而爲了利用組策略來充分管理客戶端的自動更新設置，建議採用AD域環境。

咱們將利用下圖所示的環境進行說明。安裝一臺域控DC，WSUS服務器爲成員服務器，計算機名爲WSUS；另外，圖中多臺客戶端能夠爲win7，win8等，咱們假設他們也都加入域。

1. 直接安裝report viewer 2012 最新版和clr typer for sql 2012

http://www.microsoft.com/zh-cn/download/details.aspx?id=35747

http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409

1. 添加功能

2. 須要net framework

3. 選擇數據庫。使用內置數據庫，若是要使用SQL數據庫，勾選數據庫。

4. 選擇存儲位置

5. Web服務器選擇默認

6. 等到安裝完成

7. 選擇讓WSUS服務器與Microsoft Update同步，讓服務器直接從Microsoft網站下載更新程序與Metabase等。

8. 若是服務器須要經過企業內部的Proxy服務器聯網，請在下圖輸入相關信息。

9. 點擊開始鏈接，以便從Windows Update網站取得更新程序相關信息。

10. 選擇下載語言

11. 選擇須要下在的更新產品。默認系統會選擇office和windows的更新，因爲是實驗環境就少選點

12. 選擇下載所需類型

13. 選擇手動或自動同步。選擇自動同步，須要設置第一次同步的時間與天天同步的次數。

14. 執行第一次同步工做

15. 能夠查看當前同步進度。

16. 若是要手動同步，選擇同步選擇中的當即同步

    若是要將手動同步改爲自動同步，須要設置同步計劃。前面安裝的全部設置，均可以經過選項界面進行更改。在同步還沒有完成以前，沒法存儲更改的設置，須要等待同步完成後更改設置。

設置客戶端的自動更新

咱們要讓客戶端計算機可以經過WSUS服務器下載更新程序，而這個設置能夠經過如下兩種方法來完成。

組策略:在AD域環境下，能夠經過組策略進行設置。

本地計算機策略：若是沒有AD域環境，或客戶端計算機未加入域，則能夠經過本地計算機策略進行設置。

咱們利用組策略來進行說明。在域中建立一個GPO，WSUS策略，而後經過這個GPO來設置域內的全部客戶端計算機的自動更新配置。

1. 新建組策略

1. 展開計算機配置-策略-管理模板-windows組件。選擇啓用配置自動更新。

• 通知下載並通知安裝：在下載更新程序前會通知已登陸的系統管理員，由他自行決定是否如今下載；下載完成後和準備安裝前也會通知系統管理員，而後由他自行決定是否如今安裝。
• 自動下載並通知安裝：自動下載更新程序，下載完成後和準備安裝前會通知已登陸的系統管理員，而後由他自行決定是否如今安裝。
• 自動下載並計劃安裝：自動下載更新程序，而且會在指定的時間自動安裝。須要指定安裝時間。
• 容許本地管理員選擇設置：此選項讓在客戶端的本地管理員能夠經過控制面板自行選擇更新方式。

1. 選擇指定intranet Microsoft更新服務位置，而後指定讓客戶端從wsus服務器獲取更新程序，同時也設置讓客戶端將更新結果報告給WSUS服務器，這兩處請輸入 http://wsus:8530。

   設置完成後，必須等域內的客戶端應用這個策略纔能有效，而客戶端計算機默認每隔90-120分鐘應用一次。到客戶端計算機上執行gpupdate/force命令。

   應用完成後，還必須等客戶機與wsus服務器接觸後，在wsus管理控制檯才能看到這些客戶機。不過須要等待20分鐘纔會主動聯繫WSUS服務器。在客戶機上執行wuauclt/detectnow 命令。

審批更新程序

在wsus管理界面能夠看到全部客戶端機器，若是還有機器仍爲顯示，能夠想到這些計算機上執行組策略刷新命令。

注：若是客戶端有新的更新狀態可報告，而你但願當即報告，請到客戶端計算機上執行wuauclt/reportnow.

建立新計算機組

爲了便於利用WSUS管理控制檯來部署客戶端計算機所需的更新程序，建議將計算機進行分組。例如要建立一個名爲業務部計算機的組，並將隸屬於業務部的計算機移動到此組內。

1. 選擇添加計算機組。

1. 將隸屬於改組的計算機從未分配的計算機組移動到剛剛建立的業務部計算機組中。

審批更新程序的安裝

WSUS下載的全部更新程序都要通過審批後，客戶端計算機才能夠安裝此更新程序，此處假設要審批某個安全更新，以便讓業務組計算機安裝此更新。

因爲WSUS默認會延遲下載更新程序，也就是WSUS服務器與Microsoft Update同步時僅會下載更新程序的metadata。當咱們審批更新程序後，更新程序纔會下載。因爲咱們剛審批上述更新，WSUS服務器正要開始下載此更新，必須等下載完成後，客戶端計算機才能夠開始安裝此更新。

下圖，審批欄目出現了安裝1/3字樣，表示當前有3個計算機組，只有其中一個組已經被審批安裝此更新。

客戶端默認每隔17.6-22小時纔會鏈接服務器檢查是否有更新程序下載，可利用wuauclt/detectnow來手動檢查。檢查到後根據組策略的設置來進行更新。

客戶端能夠經過組策略自動更新檢測頻率來更新檢查時間。若是但願客戶端計算機可以早一點自動檢測，能夠修改此值。

只要客戶端檢查到可用下載，會自動右下角提示有更新。

拒絕更新程序

單擊某個程序右側的拒絕，則系統將解除其審批，同時在WSUS數據庫內與此更新有關的報告數據都將刪除，還有在此界面上也看不到此更新程序。若是要看到被拒絕的更新程序，請到審批處選擇已拒絕後單擊從新整理。

自動審批更新程序

能夠設置當WSUS服務器與Windows Update同步時，自動審批下載的更新程序。例如，若是但願全部下載的安全更新與重要更新都可以自動審批給全部計算機:單擊選項中的自動審批，在前景圖中勾選默認的自動審批規則。若是還要將此規則應用到已經同步的更新程序，請單擊容許規則。

單擊高級標籤後，還能夠更改如下設置。

• WSUS更新：能夠用來設置是否要讓WSUS產品自己的更新程序自動被審批。
• 更新修訂

  自動審批已審批的更新的修訂：若是已審批的更新程序將來有修訂版，則自動審批此修訂版本的更新程序。

  當新修訂致使更新過去時自動拒絕更新：當將來有新修訂版本出現，而使得舊版本過時時，則自動拒絕這個過時的舊更新程序。

自動更新的組策略設置

本站介紹更多的關於自動更新的組策略，以便進一步管理客戶端計算機與WSUS服務器之間的通訊方式。經過另外建立GPO的方式進行配置，儘可能不要經過內置的Defult Domain Policy GPO進行設置。

配置自動更新

此策略用來配置客戶端下載與安裝更新的方式。

指定Intranet Microsoft更新服務位置

用來指定讓客戶端計算機從WSUS服務器獲取更新程序。

自動更新頻率

用來設置客戶端多久與服務器鏈接，檢查是否有新更新程序。

容許當即安裝自動更新

當更新程序下載完成而且準備好安裝時，會根據配置自動更新的策略來決定什麼時候更新。啓用此策略後，某些新程序會馬上安裝。這些更新是指那些即不會中斷Windows服務，也不會從新啓動Windows系統的更新程序。

從新計劃自動更新計劃的安裝

若是經過計劃制定某個時間點來執行安裝更新程序，可是時間到達時，客戶端計算機卻沒有開機。此策略用來設置客戶端計算機從新開機後，須要等多少時間後開始安裝更新。

容許客戶端目標設置

應用此設置的全部計算機會自動加入指定的計算機組內，不須要管理員手動加入。

下圖，全部計算機會自動加入業務組計算機。

容許來自Intranet Microsoft更新服務位置的簽名更新

若是此策略啓用，客戶計算機就能夠從WSUS服務器下載由第三方開發和簽名的更新程序;若是未啓用，客戶端只能下載Microsoft簽名的更新程序。

刪除到Windows更新的連接和訪問

雖然WSUS客戶端能夠經過WSUS服務器來進行更新，可是系統本地管理依然能夠經過開始菜單的windows更新來私自鏈接Microsoft Update網站。爲了減小這種狀況發生，建議經過此策略將客戶計算機的windows update連接刪除。完成後開始菜單的鏈接不會顯示，控制面板的更新檢查更新也會失效。

用戶配置-策略-管理模板-開始菜單和任務欄

關閉對全部Windows更新功能的訪問

若是啓用此策略，則會禁止客戶端訪問Microsoft更新網站，例如客戶端經過開始菜單的Windows更新連接沒法訪問Windows Update網站，直接在瀏覽器裏輸入windows update網頁也沒法訪問，不過客戶機依然能夠經過WSUS來獲取。

計算機配置-策略-管理模板-系統-internet通訊管理-internet通訊設置