WSUS 30的安装和使用

WSUS 3.0 的安装和使用一.WSUS服务器的安装Wsus 3.0服务器的安装，建议安装在windows2003上，打SP1补丁，安装IIS服务器和BITS在 win2003 上需要安装一些组件，否则在安装过程中会有提示，或者某些功能不正常。所以首先安装需要的组件1 Microsoft.NET Framework 2.02. ReportViewer.ex报表查看器可再发行组件20053. WindowsServer2003 更新（KB907265） 然后开始安装WSUS服务器:一般都选择本地存储更新，如果不选本地存储，则批准某个更新后，客户端直接通过 Internet 连接Microsoft Update，下载更新。推荐使用默认网站，并使用80 端口。二配置 WSUS1服务器配置安装完成马上开始WSUS的配置向导，可以不用向导配置，进入系统进行配置。打开所有程序管理工具Microsoft Windows Server Update Services 3.0,进入 WSUS管理界面n文件E)操作)查看辺更%E-:S-曹CSS-UUCHA1TG器#机服新算游步告项 更计下同报选 3心坊够遇CSS-LIUCHASG使用此管理单元可快速且可靠地将堀新更新部署到计算机上.待办爭项要能够查看可用更新，您需要先同步服务器.默认情况下，将同步所有语言的Windows关键更新和安全更新但是，在同步之前，可以在选 项页上选择所需的产品和语言.计算机状态同步状态包含错误的计算机：0状态：空闲需要更新的计算机：LI立即同步(N)已安装更新/更新不适用的计算机：0上次同步时更:丛不运行上次同步结果:从不运行更新状态下载状态包含错误的更新：0需要文件的更新：0计算机需要的更新：0!已安装/不适用的更新:0巌务磊统计信息连接未经审批的更新：0类型：本地/SSL审批的更新：0端口 ：80拒绝的更新：0用尸角色：管理员计算机：0服务器版本:3.0.6000. 374计算机组：0操作CSS-LIUCHAMGP搜索从控制台中删除幺) 导入更新a).查看从此处新建窗口0刷新S帮助Q wsus主页曲wsirs社区B WSUS技术槻述Q WSUS隐私声明Microsoft Update 目录进入“选项”页，进行服务器的配置 更新源和代理服务器如果网内只有一台 wsus 服务器，选择“从 Microsoft Update 进行同步”，“从其他 wsus 服务 器同步”适用于多台服务器的链式结构。选择产品与分类，产品页指定要升级的windows产品，wsus3.0除了更新系统补丁，还可以 更新 office、exchange、SQL server 等产品。更新文件的下载和存储。 将更新文件本地存储在此服务器上，则下载并存储在本地。这节省了企业外部网络连接 的带宽，因为客户端计算机直接从WSUS服务器获取更新。选择“仅当审批更新后才将更新文件下载到此服务器上”，则某个更新被批准后，才下 载到服务器，这将启用WSUS服务器的延迟更新下载特性：WSUS服务器进行同步时只同 步更新文件的元数据，当批准更新安装时才下载更新文件，这将大大的节省了 WSUS 服务 器所使用的企业外部网络的带宽如果不勾选此项，则不管批准与否，所选产品和分类的所有更新都会下载并存储到服务 器，适于不能上网的单位，联网下载服务器和更新服务器分开的情况。选择“下载快速安装文件”，则下载更新文件的差异部分，但下载量比较大，牺牲了 wan 的速度和带宽，但是对客户端的更新速度快，节省了 lan 的资源和效率，以多消耗 WSUS 服务器所使用的企业外部网络带宽为代价来节省企业内部网络中的客户端计算机从 WSUS 服务器下载更新所使用的网络带宽。 不本地存储更新文件；更新文件远程存储在 Microsoft Update 上。当 WSUS 服务器和 Microsoft Update 进行同步时，将只下载元数据（即补丁列表）；你可以通过 WSUS 控 制台批准更新，安装时客户端计算机直接从Microsoft Update获取更新文件。为了减少下载和存储空间大小，可以选定语言。可制定从 Microsoft Update 或上游服务器的同步计划。2客户端配置客户端配置需：win2000 sp3以上；winxp spl以上；win2003；如果是域环境，可以在组策略里设置，如果是工作组环境，客户端点击开始运行，输入gpedit.msc,进入组策略编辑器，选择管理模板windows组件windows update配置自动更新，选择 3；指定 Intranet Microsoft 更新服务位置，设置为启用，并设置 wsus 服务器自动更新检测频率，默认为22小时，即每天检测一次，可以更改，最少为1 小时其他可按照默认配置。最后可以进入命令行模式，输入“wuauclt.exe /detectnow”命令启动更 新，客户机会立刻连接WSUS服务器下载并安装补丁。设置好一台客户端后，可以进入注册表： HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate， 右键导出一个客户端文件，然后在其他客户端双击，即可配置好其他客户端。注意：Wsus服务器可以与防水墙服务器安装在一起，客户端也可以安装在一起, 但客户端策略不能封服务器IP，TCP 80端口，和http服务。三使用wsus为系统打补丁设置好客户端后，就可以在服务器端看到此客户端，将客户端加入相应的组，根据需要 为计算机打补丁。需要对刚刚下载的“安全和关键更新”进行复查和批准，经过批准的补丁才能让客户端下 载（实际上批准过程就是服务器对下载补丁进行检查的过程）。在“更新”界面中可将所有补丁 选中，选择完毕点击左侧“更新任务”栏中的“更改批准”，这样就会批准安装刚才下载的所有 补丁。如果你不希望客户端下载某个补丁程序，则不选择该补丁。点击“更改批准”后会进入 “批准更新”窗口，可在批准下拉选项中选择“安装”，然后点击“确定”。同时可以设定某个补 丁安装的时间，如果设定的时间是过去的某个时间，则立即批准并安装补丁。现在，所有客 户端就可下载并安装刚刚批准下载的补丁程序了，至此服务器上的所有设置完毕。四在服务器离线情况下使用 WSUS在 wsus 实施案例中，有这样一种情况，用户实际环境是物理隔离的局域网，不允许上 Internet 网，但是需要使用WSUS对客户端进行补丁管理。这种环境下，在非上网区安装WSUS服务器，同时必须在可上网区域加装一台WSUS服务 器，用于下载更新，下载完更新后，导出元数据（即补丁列表），备份或拷贝所有更新至内 网 WSUS 服务器，即可在非上网区域对客户端进行更新。1步骤一首先安装外网 WSuS 服务器，配置两个地方设置产品与分类：然后设置更新文件和语言：设置成“将更新文件本地存储在此服务器上”，其他不选。设置语言：只设置这些项就可以了，然后点击“立即同步”，开始从微软下载更新文件。2步骤二下载结束后，在命令行里导出数据元文件。在wsus的安装路径下，C:Program FilesUpdate ServicesTools,找到wsusutil.exe文件，在命令行下运行此命令，将元文件导出到b.cab文件。Export运行的语法如下所示：wsusutil export package logfile比女口 wsusutil export A.cab A.log其中参数定义package导出到的文件名（不含路径则为当前目录，建议加上.cab 后缀）。logfile创建的日志文件名（不含路径则为当前目录）然后使用 ntbackup 命令，备份 wsus 存储路径下的 WsusContent 目录。可以使用增量备份。备份方法参见相关文档。3步骤三安装内网wsus服务器，安装内网WSUS，设置同外网WSUS相同的设置项 先将备份补丁拷入，或者使用ntbackup恢复备份，再用命令倒入元数据。Import运行的语法如下所示：wsusutil import package logfile比女口 wsusutil import A.cab A.log其中参数定义package导入的文件名（不含路径则为当前目录）logfile创建的日志文件名（不含路径则为当前目录）