閱讀文章需要半個小時,推薦收藏閱讀或者點擊【閱讀原文】電腦上查看。
為了讓用戶的 windows 系統與其他 microsoft 產品能夠更安全,更穩定,因此 microsoft 會不定期在網站上推出最新的更新程序供用戶下載與安裝,而用戶可以通過以下方式來取得這些程序:
手動連接 microsoft update 網站
通過 windows 系統的自動更新功能
然而以上兩種方式對企業內部來說,都可能會有以下缺點。
WSUS 是一個可以解決上述問題的產品,企業內部可以通過 WSUS 伺服器集中從 Microsoft update 網站下載更新程序,並且在完成這些更新程序的測試工作,確定對企業內部計算機沒有不良影響後,在通過網管審批程序,將程序部署到客戶機上。
WSUS 的系統需求對於基本 WSUS 架構來說,WSUS 伺服器與客戶端計算機都必須滿足適當的條件才能享受 WSUS 的好處。
可以在 windows server 2012 內通過新增角色的方式來安裝 WSUS。安裝 WSUS 之前,需要安裝以下組件。
註:WSUS 伺服器的系統分區與安裝 WSUS 的磁碟分區的文件系統都必須是 NTFS。
WSUS 客戶端計算機必須支持自動更新功能,Windows 2000 sp4 以後的客戶端都支持。
可以利用 WSUS 伺服器內置的 WSUS 管理控制臺執行 WSUS 伺服器的管理工作,還可以在其他計算機上管理 WSUS 伺服器。不過,需要在這些計算機上安裝 WSUS 控制臺,但是這些計算機必須已安裝下列組件:
Microsoft .NET Framework 2.0 或更新版本
Microsoft Management Console 3.0 或更新版本
Micrsoft Report Viewer Redistributable 2008 或更新版本
WSUS 的特性與工作方式利用計算機組部署更新程序如果能夠將企業內部客戶端計算機適當分組,就可以更容易與明確地將更新程序部署到指定計算機上。系統默認內置 2 個計算機組,即所有計算機與未分配的計算機,客戶端計算機在第一次與 WSUS 伺服器接觸時,系統默認會見該計算機加入者 2 個組內。可以在添加更多的組。可以創建測試計算機組,新的補丁部署到測試計算機組,沒有問題在應用到業務計算機組內。
WSUS 伺服器的架構也可以創建更複雜的 WSUS 伺服器架構,也就是創建多臺 WSUS 伺服器,並設置讓其中一臺 WSUS 伺服器從 microsoft 網站獲取更新程序,但是其他伺服器並不直接連接 Microsoft 網站,而是從上遊的組伺服器來獲取程序,而下遊伺服器從上遊伺服器獲得更新程序。
這種將 WSUS 伺服器通過上下遊方式串接在一起的模式有兩種 "
自治模式:上遊 WSUS 伺服器會與下遊伺服器共享更新程序,也就是下遊伺服器會從上遊伺服器獲取更新程序,但是並不包含更新程序的審批狀態,計算機組信息。因此下遊伺服器必須自行決定是否要審批這些更新程序與自行創建所需的計算機組。
副本模式:上遊伺服器會與下遊伺服器共享更新程序,更新審批與計算機組信息。下遊伺服器可以獲取上遊伺服器的數據,所有可以在上遊伺服器管理的項目都無法在下遊伺服器自行管理,例如不能自行更改新程序的審批狀態等。
注意,上述計算機組信息只有計算機組本身而已,並且不包含計算機組的成員,必須自行在下遊伺服器來管理組成員,而客戶端計算機在第一次與下遊 WSUS 伺服器接觸時,這些計算機會默認被同時加入到所有計算機和未分配計算機組內。
可以根據公司網絡環境的需求採用上下遊 WSUS 伺服器的串接方式。
採用上下遊 WSUS 伺服器串接架構,還需要考慮到不同語言的更新,例如,如果上遊伺服器在總部,總部需要簡體中文的程序,而下遊架設在分公司,分公司需要的語言是英文,雖然總公司需要的語言是簡體中文,當必須在中公司的上遊伺服器選擇同事下載中文和英文版的更新程序。連接 Microsoft 網站的上遊伺服器必須下載所有下遊伺服器需要的所有語言的更新程序,否則下遊伺服器將無法獲取所需語言的更新程序。
註:這種上下遊串聯的方式,建議最好不要超過 3 層(雖然理論上沒有層數限制),因為每增加一層,就會增加延遲時間,因而拉長將更新程序傳遞到每臺計算機的時間。
選擇資料庫與存儲更新程序的地點可以利用 Windows Server 2012 的內置資料庫或 Microsoft SQL Server 2005 sp2 來構建資料庫。每臺 WSUS 伺服器都有自己獨立的資料庫,這些資料庫用來存儲以下信息:
WSUS 伺服器的設置信息。
描述每一個更新程序的 metadata。Metada 內包含以下數據:
更新程序的屬性:例如更新程序的名稱,描述,相關的 knowledge base 文章編號等。
適用規則: 用來判斷更新程序是否適用於某臺計算機。
安裝信息:例如安裝時所需的命令行參數。
客戶端計算機與更新程序之間的關係。
然而上述資料庫並不會存儲更新程序文件本身,必須另外選擇更新程序文件的存儲地點,有以下兩種選擇。
存儲在 WSUS 伺服器的本地硬碟內:此時 WSUS 伺服器會從 Microsoft 網站下載更新程序,並將其存儲到本地硬碟內。此種方式讓客戶端直接從 WSUS 伺服器獲取更新程序,不用到 Microsoft 網站下載,這樣可以節省網絡帶寬。
WSUS 伺服器的硬碟必須有足夠空間來存儲更新程序文件,最少要有 20g 的可用空間。實際需要更多的空間。
存儲在 Microsoft 網站上:此時 WSUS 伺服器並不會從 Microsoft 網站下載更新程序,換句話說,當執行 WSUS 伺服器與 Microsoft 網站之間的同步工作時,WSUS 伺服器只會從網站下載更新程度的 metadata 數據,並不會下載更新程序本身。
因此,當你審批客戶端可以安裝某個更新程序後,客戶端是自己連接到網站下載。如果客戶端計算機數量不多,或客戶端與 WSUS 伺服器之間的連接速度比較慢,但是與網絡之間的連接速度較快時,可以選擇此選項。
延期下載更新程序WSUS 允許你延期下載更新程序文件,也就是 WSUS 伺服器會先下載更新程序的 metadata,之後再下載更新程序文件。更新程序文件只有在你審批該程序後才會被下載,這種方式可以節省帶寬與 WSUS 伺服器的硬碟空間使用量。Microsoft 建議你採用延遲下載更新的方式,也就是默認值。
使用快速安裝文件客戶端計算機要安裝更新程序時,此計算機內可能已經有該更新文件的舊版本,這個舊文件和新更新之間的差異可能不大。如果客戶端能夠只下載新版與舊版之間的差異,然後利用將差異合併到舊文件的方式來更新,可以減少從 wsus 伺服器下載的數據量,降低企業內部網絡的負擔。
不過採用這種方式,WSUS 伺服器從 Microsoft 網站下載的文件會比較大,因為此文件內必須包含新更新程序和各舊版自己的差異,因此 WSUS 伺服器在下載文件時會佔用對外的網絡帶寬。
例如,假如更新程序原始大小 100mb,未使用快速安裝的情況,此伺服器會從 microsoft 網站下載 100mb 的文件,客戶端也是從伺服器下載 100mb 的數據量。使用快速安裝的情況下,此文件變為比較大的 200mb(假設)。雖然 WSUS 伺服器必須從 microsoft 下載的文件大小為 200mb,但是客戶端從 WSUS 伺服器僅下載 30mb 的數據量,系統默認未使用快速安裝文件。
安裝 WSUS 伺服器構建 WSUS 並不需要 AD 域環境,然而為了利用組策略來充分管理客戶端的自動更新設置,建議採用 AD 域環境。
我們將利用下圖所示的環境進行說明。安裝一臺域控 DC,WSUS 伺服器為成員伺服器,計算機名為 WSUS;另外,圖中多臺客戶端可以為 win7,win8 等,我們假設他們也都加入域。
直接安裝 report viewer 2012 最新版和 clr typer for sql 2012
http://www.microsoft.com/zh-cn/download/details.aspx?id=35747
http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409
添加功能
需要 net framework
選擇資料庫。使用內置資料庫,如果要使用 SQL 資料庫,勾選資料庫。
選擇存儲位置
Web 伺服器選擇默認
等到安裝完成
選擇讓 WSUS 伺服器與 Microsoft Update 同步,讓伺服器直接從 Microsoft 網站下載更新程序與 Metabase 等。
如果伺服器需要通過企業內部的 Proxy 伺服器聯網,請在下圖輸入相關信息。
點擊開始連接,以便從 Windows Update 網站取得更新程序相關信息。
選擇下載語言
選擇需要下在的更新產品。默認系統會選擇 office 和 windows 的更新,由於是實驗環境就少選點
選擇下載所需類型
選擇手動或自動同步。選擇自動同步,需要設置第一次同步的時間與每天同步的次數。
執行第一次同步工作
可以查看當前同步進度。
如果要手動同步,選擇同步選擇中的立即同步
如果要將手動同步改成自動同步,需要設置同步計劃。前面安裝的所有設置,都可以通過選項界面進行更改。在同步尚未完成之前,無法存儲更改的設置,需要等待同步完成後更改設置。
設置客戶端的自動更新我們要讓客戶端計算機能夠通過 WSUS 伺服器下載更新程序,而這個設置可以通過以下兩種方法來完成。
組策略: 在 AD 域環境下,可以通過組策略進行設置。
本地計算機策略:如果沒有 AD 域環境,或客戶端計算機未加入域,則可以通過本地計算機策略進行設置。
我們利用組策略來進行說明。在域中創建一個 GPO,WSUS 策略,然後通過這個 GPO 來設置域內的所有客戶端計算機的自動更新配置。
新建組策略
展開計算機配置 - 策略 - 管理模板 - windows 組件。選擇啟用配置自動更新。
通知下載並通知安裝:在下載更新程序前會通知已登錄的系統管理員,由他自行決定是否現在下載;下載完成後和準備安裝前也會通知系統管理員,然後由他自行決定是否現在安裝。
自動下載並通知安裝:自動下載更新程序,下載完成後和準備安裝前會通知已登錄的系統管理員,然後由他自行決定是否現在安裝。
自動下載並計劃安裝:自動下載更新程序,並且會在指定的時間自動安裝。需要指定安裝時間。
允許本地管理員選擇設置:此選項讓在客戶端的本地管理員可以通過控制面板自行選擇更新方式。
選擇指定 intranet Microsoft 更新服務位置,然後指定讓客戶端從 wsus 伺服器獲取更新程序,同時也設置讓客戶端將更新結果報告給 WSUS 伺服器,這兩處請輸入 http://wsus:8530。
設置完成後,必須等域內的客戶端應用這個策略才能有效,而客戶端計算機默認每隔 90-120 分鐘應用一次。到客戶端計算機上執行 gpupdate/force 命令。
應用完成後,還必須等客戶機與 wsus 伺服器接觸後,在 wsus 管理控制臺才能看到這些客戶機。不過需要等待 20 分鐘才會主動聯繫 WSUS 伺服器。在客戶機上執行 wuauclt/detectnow 命令。
審批更新程序在 wsus 管理界面可以看到所有客戶端機器,如果還有機器仍為顯示,可以想到這些計算機上執行組策略刷新命令。
註:如果客戶端有新的更新狀態可報告,而你希望立即報告,請到客戶端計算機上執行 wuauclt/reportnow.
創建新計算機組為了便於利用 WSUS 管理控制臺來部署客戶端計算機所需的更新程序,建議將計算機進行分組。例如要創建一個名為業務部計算機的組,並將隸屬於業務部的計算機移動到此組內。
選擇添加計算機組。
將隸屬於改組的計算機從未分配的計算機組移動到剛剛創建的業務部計算機組中。
審批更新程序的安裝WSUS 下載的所有更新程序都要經過審批後,客戶端計算機才可以安裝此更新程序,此處假設要審批某個安全更新,以便讓業務組計算機安裝此更新。
由於 WSUS 默認會延遲下載更新程序,也就是 WSUS 伺服器與 Microsoft Update 同步時僅會下載更新程序的 metadata。當我們審批更新程序後,更新程序才會下載。由於我們剛審批上述更新,WSUS 伺服器正要開始下載此更新,必須等下載完成後,客戶端計算機才可以開始安裝此更新。
下圖,審批欄目出現了安裝 1/3 字樣,表示當前有 3 個計算機組,只有其中一個組已經被審批安裝此更新。
客戶端默認每隔 17.6-22 小時才會連接伺服器檢查是否有更新程序下載,可利用 wuauclt/detectnow 來手動檢查。檢查到後根據組策略的設置來進行更新。
客戶端可以通過組策略自動更新檢測頻率來更新檢查時間。如果希望客戶端計算機能夠早一點自動檢測,可以修改此值。
只要客戶端檢查到可用下載,會自動右下角提示有更新。
拒絕更新程序單擊某個程序右側的拒絕,則系統將解除其審批,同時在 WSUS 資料庫內與此更新有關的報告數據都將刪除,還有在此界面上也看不到此更新程序。如果要看到被拒絕的更新程序,請到審批處選擇已拒絕後單擊重新整理。
自動審批更新程序可以設置當 WSUS 伺服器與 Windows Update 同步時,自動審批下載的更新程序。例如,如果希望所有下載的安全更新與重要更新都能夠自動審批給所有計算機: 單擊選項中的自動審批,在前景圖中勾選默認的自動審批規則。如果還要將此規則應用到已經同步的更新程序,請單擊允許規則。
單擊高級標籤後,還可以更改以下設置。
WSUS 更新:可以用來設置是否要讓 WSUS 產品本身的更新程序自動被審批。
更新修訂
自動審批已審批的更新的修訂:如果已審批的更新程序未來有修訂版,則自動審批此修訂版本的更新程序。
當新修訂導致更新過去時自動拒絕更新:當未來有新修訂版本出現,而使得舊版本過期時,則自動拒絕這個過期的舊更新程序。
自動更新的組策略設置本站介紹更多的關於自動更新的組策略,以便進一步管理客戶端計算機與 WSUS 伺服器之間的通信方式。通過另外創建 GPO 的方式進行配置,儘量不要通過內置的 Defult Domain Policy GPO 進行設置。
配置自動更新此策略用來配置客戶端下載與安裝更新的方式。
指定 Intranet Microsoft 更新服務位置用來指定讓客戶端計算機從 WSUS 伺服器獲取更新程序。
自動更新頻率用來設置客戶端多久與伺服器連接,檢查是否有新更新程序。
允許立即安裝自動更新當更新程序下載完成並且準備好安裝時,會根據配置自動更新的策略來決定何時更新。啟用此策略後,某些新程序會立刻安裝。這些更新是指那些即不會中斷 Windows 服務,也不會重新啟動 Windows 系統的更新程序。
重新計劃自動更新計劃的安裝如果通過計劃制定某個時間點來執行安裝更新程序,但是時間到達時,客戶端計算機卻沒有開機。此策略用來設置客戶端計算機重新開機後,需要等多少時間後開始安裝更新。
允許客戶端目標設置應用此設置的所有計算機會自動加入指定的計算機組內,不需要管理員手動加入。
下圖,所有計算機會自動加入業務組計算機。
允許來自 Intranet Microsoft 更新服務位置的籤名更新如果此策略啟用,客戶計算機就可以從 WSUS 伺服器下載由第三方開發和籤名的更新程序; 如果未啟用,客戶端只能下載 Microsoft 籤名的更新程序。
刪除到 Windows 更新的連結和訪問雖然 WSUS 客戶端可以通過 WSUS 伺服器來進行更新,但是系統本地管理依然可以通過開始菜單的 windows 更新來私自連接 Microsoft Update 網站。為了減少這種情況發生,建議通過此策略將客戶計算機的 windows update 連結刪除。完成後開始菜單的連接不會顯示,控制面板的更新檢查更新也會失效。
用戶配置 - 策略 - 管理模板 - 開始菜單和任務欄
關閉對所有 Windows 更新功能的訪問如果啟用此策略,則會禁止客戶端訪問 Microsoft 更新網站,例如客戶端通過開始菜單的 Windows 更新連結無法訪問 Windows Update 網站,直接在瀏覽器裡輸入 windows update 網頁也無法訪問,不過客戶機依然可以通過 WSUS 來獲取。
計算機配置 - 策略 - 管理模板 - 系統 - internet 通信管理 - internet 通信設置
原文地址 www.cnblogs.com