Windows Server 2008 R2部署WSUS心得

 windows server  2008 R2自带WSUS功能，只须要在添加功能的时候，添加便可，会自动完成安装。

帮助文档

WSUS中文技术论坛：http://social.technet.microsoft.com/Forums/zh-CN/wsuses/threads?filter=unanswered&sort=viewsdesc
WSUS按部就班指南：http://technet.microsoft.com/zh-cn/library/dd939916(WS.10).aspx
从心开始的博客：http://ycrsjxy.blog.51cto.com/618627/203141
服务器或者客户端对操做系统的需求：http://www.microsoft.com/downloads/zh-cn/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&displaylang=zh-cn
WSUS部署经验分享：http://blog.csdn.net/starlee1738/archive/2005/07/06/415995.aspx

部署过程

虚拟化服务器上划分120GB空间，安装windows server 2008 enterprise R2，分配2G内存，加入contoso.com域，分配静态IP为：192.168.100.11
加入域后的WSUS服务器的FQDN：wsus.contoso.com
为服务器开启远程桌面链接，安装vmware tools工具。
在服务器上“添加功能”里安装IIS和应用程序服务器组件，添加后台智能传输服务。

在安装向导指定的更新下载位置为D：\update，数据库的存放位置为d:\update，数据库使用windows server 2008 R2自带的内部数据库
在配置向导指定该WSUS服务器从internet更新，不设置代理服务器。
选择要下载的语言，更新的产品类型等信息，我选择简体中文
而后开始同步，下载更新（注意这里同步的只是一个更新列表，而不是真正的更新。

通用的WSUS策略设置，能够在较大的OU级别设置，对于比较精细的控制信息，好比设置客户端目标，能够在较小级别的OU设置

若是要在WSUS控制台查看某台计算机的状态，须要安装：
microsoft report viewer redistributable 2008发行包

windows XP客户端不能显示在WSUS列表的缘由

我新建了一台windows XP SP2的计算机，发现WSUS发现不了这台计算机，而关于WSUS组策略已经同步到该PC，最后发现是由于本地的automatic update服务处于中止状态，并且该服务的状态被配置为自动启动。
我尝试启动该服务，结果报错：automatic update服务启动后又中止。而后用管理员登录该计算机，错误依旧。
而后查看了一下2008 R2 DC的domain级别的组策略设置，而后我收集结果的时候，发现有下面的三条设置：
default domain policy——用户配置——策略——管理模板——系统——windows自动更新——已启用
default domain policy——计算机配置——策略——管理模板——windows组件——windows update——配置自动更新——已禁用
default domain policy——计算机配置——windows 设置——安全设置——系统服务——windows update ——自动
以上三条策略是以前的管理员作的配置
而后我修改了上面的设置：
将“windows自动更新”配置为“未配置”状态
将“配置自动更新”设置为“已启用”状态
将“windows update”设置为“未定义”状态
而后我继续在该windows XP SP2计算机上使用gpupdate /force刷新策略，提醒我重启计算机，我重启计算机后，发现automatic update服务已正常启动
而后我在客户端执行：wuauclt.exe /detectnow
而后我回到WSUS服务器上，能够看到WSUS已经发现该客户端了
我在客户端上使用下面的命令：
netstat -aon | findstr "80"
能够看到客户端已经和WSUS在80端口创建了连接。

其余的一些关键记录

客户端的发现是一个缓慢的过程，通常会在客户端从新启动时会自动发现，而后根据域策略归类到指定的计算机分组。
当重启计算机后，WSUS能发现客户端有一个很重要的前提，那就是客户端的windows update或者automatic update更新服务是启动状态。
补丁通常是审批完成后，才开始下载的。具体的配置位置是：
WSUS控制台——选项——更新文件和语言——更新文件——选择“将更新文件本地存储在此服务器上”——勾选“仅当审批更新后才能将更新文件下载到此服务器上”“下载快速安装文件”——肯定

批量启用某个计算机组的本地automatic update服务

好比有一个叫“销售部”的计算机组，里面都是销售部门的计算机，有些计算机本地的automatic update服务是禁用的或者手动启用的状态，这样的话，就不可以找WSUS进行更新
方法是，为该“销售部”计算机组连接一个 GPO组策略，除了在组策略里开启该组的update和客户端目标以外，还要设置组策略开启这个计算机组里全部计算机本地的automatic update服务，方法以下：
销售部WSUS策略——计算机配置——windows 设置——安全设置——系统服务——windows update ——自动
而后在客户端计算机刷新组策略或者等待刷新间隔到期，就会看到automatic update服务已经自动启动

为什么更改集合成员身份按钮不能用

当只有把选项——计算机——分配到组的方式设置为“使用update services控制台”才能够“更改集合成员身份”。若是设置为“使用计算机上的组策略或者注册表设置”则该按钮是不能用的，计算机分组的方式将由域组策略或者本地组策略的下面条目控制：
例如：右击销售部WSUS GPO——编辑——计算机配置——管理模板——windows组件——windows update——容许客户端目标设置——已启用——此计算机的目标组名称：销售部计算机组
所谓的客户端目标设置，就是在域里将不一样部门，或者按照不一样系统类型，将计算机进行分组，例如咱们在域里建立了一个“销售部计算机组”，那么咱们能够在WSUS里也建立一个“销售部计算机组”，名称必须与域里的相同，而后咱们再在域组策略设置一条“客户端目标设置”，而后就能够将域里该计算机组里的成员自动经过组策略同步到WSUS同名的计算机组中。

WSUS控制台无响应

通常在重启WSUS服务器，或者WSUS服务器没有正常关闭的时候，会出现这种状况。 这个时候检查后台关于WSUS的服务或者SQL服务是否中止，若是中止了，启动它。