實測Windows server 2012 配置WSUS

WSUS ,全稱 Windows server update services，是微軟在其網絡結構中提供的關於系統補丁更新的一個解決方案，徹底免費，如今最新的版本是WSUS 3.0 SP2，在生產環境中部署WSUS的應用價值主要是提升網絡資源的利用率，節省帶寬，同時對於客戶端計算機來講呢，更新效率也更高一些。

在平常你們都習慣了用第三方工具給系統打補丁，局域網的PC數量少了便罷，若是多於50臺，只是給系統以及微軟產品打補丁這一項工做對於網絡資源的佔用就不可小覷，在Windows server 2003之前，WSUS須要單獨安裝，從Windows server 2008開始，server版操做系統就集成了WSUS，在這個陽光暖暖的週末，懶懶的宅在家裏無有出行的邀約，順便作一個在Windows server 2012下配置WSUS的實測攻略給你們。

一、添加角色

二、選擇「基於角色或基於功能的安裝」選項

三、在選擇目標服務器界面中找到須要安裝WSUS角色的服務器，本示例中只有一臺SERVER，其實能夠管理更多的服務器哦

四、點擊「下一步」後進入角色選擇界面，當點擊「Windows Server 更新服務」前面的複選框時，便可彈出添加功能的界面，

點擊「添加功能」按鈕後完成角色選擇。

五、添加功能，在功能列表中，系統會默認複選WSUS須要的功能組件，如.net 4.5、Windows process activation service、內部數據庫，在這個界面中保存默認勾選就能夠了，無須變動選項。

六、選擇角色服務，其中WID數據庫和數據庫只能二選其一。

七、選擇存儲更新補丁的位置，在這頁面中有兩個注意事項：第一是存放更新的驅動器分區格式必須是NTFS格式，最小可用空間是6G，第二就是有兩種狀況沒必要選擇存放的本地，一是從微軟官方直接下載，但客戶端下載的速度將會降低，二是從上游WSUS服務器更新下載時，一樣會下降客戶端的下載速度。

八、選擇WEB服務器角色（IIS）

九、點擊下一步按鈕進入WEB角色服務的選項，保存默認勾選就能夠了。

十、確認選項 ，在這個頁面中，我勾選了重啓服務器，彈出一個友好的提示窗口，肯定並關閉它，這時候就能夠點擊【安裝】按鈕開始安裝WSUS了。

十一、開始安裝。在安裝界面的左下角有導出配置設置的連接，

十二、以上的步驟都是安裝的介紹，安裝WSUS仍是蠻簡單的，只要根據安裝嚮導的提示點擊「下一步」就能夠了，只不過有些細節和注意事項要閱讀一下。

接下來就是配置WSUS了。

1三、啓動安裝後的配置，在服務器管理器界面中的左側根目錄下找到WSUS，點擊後在右側的內容欄內會有一個淺×××的提醒任務欄，點擊「更多」鏈接彈出任務通知界面，在通知欄中的「操做」項內運行「啓動安裝後配置」

配置過程可能會長一點，這時候能夠坐下來喝杯咖啡休息一下了。

1四、配置完成後，接下來就是添加Windows server 更新服務的管理單元了，選擇任務欄中的WIN2K12，在其右鍵菜單中打開「Windows server 更新服務」啓動WSUS配置嚮導，

1五、配置完成後，接下來就是添加Windows server 更新服務的管理單元了，選擇任務欄中的WIN2K12，在其右鍵菜單中打開「Windows server 更新服務」啓動WSUS配置嚮導，

1六、開始以前檢測網絡環境，特別要說明的就是鏈接端口爲8530和8531，在防火牆中要開啓，

1七、越過Windows 更新改善計劃的界面，進入選擇上游服務器的界面，WIN2K12是AD中的第一臺WSUS，因此選擇從Microsoft更新同步。

   在部署第二臺WSUS時咱們就須要選擇第二個選項了。

1八、代理服務器選項，網絡中沒有代理服務器，無須作選擇，直接點擊下一步按鈕，

1九、點擊「開始鏈接」按鈕測試鏈接，鏈接是速度直接取決於網速，等一等。

20、選擇語音版本的頁面中固然選擇中文簡體，若將來規劃中須要使用英文或其餘語言的微軟產品時，這裏就須要一併勾選上，

2一、選擇「產品」，在產品列表中會列出微軟全部的產品，只需選擇局域網內須要的產品便可，

2二、選擇「分類」，我這裏沒有勾選所有，我們能夠根據規劃進行勾選

2三、選擇同步更新的時間，手動同步會佔用管理員的工做時間，因此能夠設置「自動同步」，同步時間能夠設置在使用網絡的空閒時間，不佔用正常的網絡資源使用，

2四、初始化同步

2五、初始化同步完成之後要作什麼呢，系統給了咱們一個很友好的嚮導，

2六、如今咱們能夠點擊「完成」按鈕，進行初始化同步了，接下來看看完成配置後的界面。

2七、在安裝WSUS過程當中會遇到啓動配置失敗的問題，

解決方法有二：一是檢查存放更新補丁位置（步驟5）的磁盤的權限，如everyone是拒絕的權限，就須要修改了，二是檢查WSUS服務器的時間是否同步，暫時沒有沒有發現配置失敗的其餘緣由，你們有碰到的能夠補充上來。

以上解釋的是WSUS的安裝過程，按照安裝嚮導一步一步的安裝就能夠了，接下來就要和你們分享如何配置WSUS了。

28、首先配置域策略，建立一個WSUS的GPO，運行MMC打開控制檯，把【組策略管理】單元添加進來，

2九、在【組策略】管理單元裏，依次展開2K12DC.com，右鍵點擊域2k12dc.com，在右鍵菜單中選擇「在這個域中建立GPO並在此處連接」，在彈出的新建GPO的視圖中，建立一個【WSUS策略】的GPO，

30、建立完成後，右鍵打開剛纔建立的WSUS策略，選擇「編輯」打開【組策略管理編輯器】，在【組策略管理編輯器】的視圖中，展開【計算機配置】-----【策略】----【管理模版】----【Windows組件】中的【Windows更新】

3一、打開【Windows更新】後的視圖以下圖所示，咱們要對右邊內容項中的【配置自動更新】和【指定intranet Microsoft更新服務位置】進行配置

3二、打開配置自動更新項，啓用這個策略，在配置自動更新列表中，共有4個選擇項，咱們能夠根據不一樣的要求進行選擇，示例中，我選擇了第3個：自動下載並通知安裝

3三、在【指定Intranet Microsoft更新服務位置】的視圖中，咱們仍是要先啓動這個策略，而後在選項中指定客戶端得到更新程序的地址，示例中的IntranetUpd01是WSUS服務器的計算機名，因此在選項中咱們輸入完成的DC的計算機名，其中8530是WSUS網站的端口號。

3四、設置完後就要等待域策略生效了，或者咱們可使用命令 gpupdate /foces刷新域安全策略，

返回WSUS管理控制檯，在未分配的計算機列表中能夠看到鏈接上來的客戶端計算機，同時現實客戶端計算機的名稱、IP地址、操做系統版本、客戶端上次報告更新程序的時間，還有已安裝/不適用的更新比例，

3五、建立計算機組

  若是咱們的局域網內計算機數量較多，若是大於50臺，建議你們能夠創建計算機組進行分組管理，在上圖所示的「未分配計算機」節點上，打開右鍵菜單，建立一個新的計算機組，這裏姑且起名爲之：銷售部計算機。

建立完成後的工做固然就是把未分配的計算機移動的指定的計算機組裏面了，在未分配的計算機列表中找到對應的計算機，而後點擊更改爲員身份打開「設置計算機組成員的身份」，我這裏只建立了一個工做組，因此只能看到一個工做組，勾選中它便可。

3六、審批更新程序的安裝

 在經過審批之後，客戶端計算機默認是22小時後纔來鏈接一次WSUS服務器檢查是否有新的安裝程序可供下載，咱們能夠經過更改Windows 更新服務選項中的「自動更新檢測頻率」（步驟23）選項

在生產環境中，咱們固然不會喜歡客戶端計算機頻繁的到WSUS服務器上檢測有沒有更新程序，因此咱們能夠把間隔時間適當的延長。

接下來就是審批更新，咱們以安全更新中的用於Windows7上的IE8爲例，選擇它，而後在右側的操做欄中點擊「審批」按鈕彈出審批更新的視圖，在這個視圖中咱們要須要繼續選擇須要安裝這個更新的計算機組，這裏咱們選擇的銷售組的計算機，

選擇「已審批進行安裝」後彈出「審批進度」的狀態提醒，在結果狀態欄中，咱們能夠看「成功」的狀態了。

拒絕更新程序的操做和審批更新相同。

3七、若是每條更新程序都須要逐一申請，對於系統管理員簡直如同噩夢，因此咱們設置默認自動審批，在WSUS控制檯視圖中的【選項】菜單下打開「自動審批項目」，打開後咱們勾選中「默認的自動審批規則」，在規則屬性中繼續對更新程序和計算機組進行選擇。

固然，咱們也能夠根據不一樣的管理須要創建不一樣的審批規則，這就要看咱們企業內部的IT環境了。

返回到客戶端計算機來驗證一下,這是剛纔在WSUS服務器上我手動審批過的3個安全更新，都在這裏windows update列表裏了,確認無誤。

針對客戶端更新的策略配置項都在Windows 更新策略中（見步驟23），這裏咱們就不一一展開說明了，到此爲止咱們就作完了在Windows server 2012平臺下部署WSUS的實測，不少細化功能在工做中咱們未必都用的到，因此大部分其實都是可使用默認配置的，實測Windows server 2012繼續進行中，下一期繼續準備。