WSUS补丁服务器部署详细

利用WSUS部署更新程序

来源于网络转载 

WSUS概述

为了让用户的windows系统与其余microsoft产品可以更安全，更稳定，所以microsoft会不按期在网站上推出最新的更新程序供用户下载与安装，而用户能够经过如下方式来取得这些程序：

• 手动链接microsoft update网站
• 经过windows系统的自动更新功能

然而以上两种方式对企业内部来讲，均可能会有如下缺点。

• 影响网络效率：若是企业内部每台计算机都自行上网更新，将会增长对外网络的负担。
• 与现有软件相互干扰：若是企业内部使用的软件与更新程序发生冲突，则用户自行下载与安装更新程序可能会影响该软件或更新程序的正常运行。

WSUS是一个能够解决上述问题的产品，企业内部能够经过WSUS服务器集中从Microsoft update网站下载更新程序，而且在完成这些更新程序的测试工做，肯定对企业内部计算机没有不良影响后，在经过网管审批程序，将程序部署到客户机上。

WSUS的系统需求

对于基本WSUS架构来讲，WSUS服务器与客户端计算机都必须知足适当的条件才能享受WSUS的好处。

能够在windows server 2012内经过新增角色的方式来安装WSUS。安装WSUS以前，须要安装如下组件。

• Microsoft Report Viewer Redistributable 2008：WSUS服务器须要经过他制做各类不一样的报告，例如更新程序状态报告，客户端计算机状态报告与同步处理结果报告等。须要到microsoft 官网下载。
• Net framework 2.0: report viewer须要net framework。

注：WSUS服务器的系统分区与安装WSUS的磁盘分区的文件系统都必须是NTFS。

WSUS客户端计算机必须支持自动更新功能，Windows 2000 sp4之后的客户端都支持。

能够利用WSUS服务器内置的WSUS管理控制台执行WSUS服务器的管理工做，还能够在其余计算机上管理WSUS服务器。不过，须要在这些计算机上安装WSUS控制台，可是这些计算机必须已安装下列组件:

• Microsoft .NET Framework 2.0或更新版本
• Microsoft Management Console 3.0或更新版本
• Micrsoft Report Viewer Redistributable 2008或更新版本

WSUS的特性与工做方式

利用计算机组部署更新程序

若是可以将企业内部客户端计算机适当分组，就能够更容易与明确地将更新程序部署到指定计算机上。系统默认内置2个计算机组，即全部计算机与未分配的计算机，客户端计算机在第一次与WSUS服务器接触时，系统默认会见该计算机加入者2个组内。能够在添加更多的组。能够建立测试计算机组，新的补丁部署到测试计算机组，没有问题在应用到业务计算机组内。

WSUS服务器的架构

也能够建立更复杂的WSUS服务器架构，也就是建立多台WSUS服务器，并设置让其中一台WSUS服务器从microsoft 网站获取更新程序，可是其余服务器并不直接链接Microsoft网站，而是从上游的组服务器来获取程序，而下游服务器从上游服务器得到更新程序。

这种将WSUS服务器经过上下游方式串接在一块儿的模式有两种"

• 自治模式：上游WSUS服务器会与下游服务器共享更新程序，也就是下游服务器会从上游服务器获取更新程序，可是并不包含更新程序的审批状态，计算机组信息。所以下游服务器必须自行决定是否要审批这些更新程序与自行建立所需的计算机组。
• 副本模式：上游服务器会与下游服务器共享更新程序，更新审批与计算机组信息。下游服务器能够获取上游服务器的数据，全部能够在上游服务器管理的项目都没法在下游服务器自行管理，例如不能自行更改新程序的审批状态等。

注意，上述计算机组信息只有计算机组自己而已，而且不包含计算机组的成员，必须自行在下游服务器来管理组成员，而客户端计算机在第一次与下游WSUS服务器接触时，这些计算机会默认被同时加入到全部计算机和未分配计算机组内。

能够根据公司网络环境的需求采用上下游WSUS服务器的串接方式。

采用上下游WSUS服务器串接架构，还须要考虑到不一样语言的更新，例如，若是上游服务器在总部，总部须要简体中文的程序，而下游架设在分公司，分公司须要的语言是英文，虽然总公司须要的语言是简体中文，当必须在中公司的上游服务器选择同事下载中文和英文版的更新程序。链接Microsoft网站的上游服务器必须下载全部下游服务器须要的全部语言的更新程序，不然下游服务器将没法获取所需语言的更新程序。

注：这种上下游串联的方式，建议最好不要超过3层（虽然理论上没有层数限制），由于每增长一层，就会增长延迟时间，于是拉长将更新程序传递到每台计算机的时间。

选择数据库与存储更新程序的地点

能够利用Windows Server 2012的内置数据库或Microsoft SQL Server 2005 sp2来构建数据库。每台WSUS服务器都有本身独立的数据库，这些数据库用来存储如下信息：

• WSUS服务器的设置信息。
• 描述每个更新程序的metadata。Metada内包含如下数据:

  更新程序的属性：例如更新程序的名称，描述，相关的knowledge base文章编号等。

  适用规则:用来判断更新程序是否适用于某台计算机。

  安装信息：例如安装时所需的命令行参数。

• 客户端计算机与更新程序之间的关系。

然而上述数据库并不会存储更新程序文件自己，必须另外选择更新程序文件的存储地点，有如下两种选择。

存储在WSUS服务器的本地硬盘内：此时WSUS服务器会从Microsoft网站下载更新程序，并将其存储到本地硬盘内。此种方式让客户端直接从WSUS服务器获取更新程序，不用到Microsoft网站下载，这样能够节省网络带宽。

WSUS服务器的硬盘必须有足够空间来存储更新程序文件，最少要有20g的可用空间。实际须要更多的空间。

存储在Microsoft网站上：此时WSUS服务器并不会从Microsoft网站下载更新程序，换句话说，当执行WSUS服务器与Microsoft网站之间的同步工做时，WSUS服务器只会从网站下载更新程度的metadata数据，并不会下载更新程序自己。

所以，当你审批客户端能够安装某个更新程序后，客户端是本身链接到网站下载。若是客户端计算机数量很少，或客户端与WSUS服务器之间的链接速度比较慢，可是与网络之间的链接速度较快时，能够选择此选项。

延期下载更新程序

WSUS容许你延期下载更新程序文件，也就是WSUS服务器会先下载更新程序的metadata，以后再下载更新程序文件。更新程序文件只有在你审批该程序后才会被下载，这种方式能够节省带宽与WSUS服务器的硬盘空间使用量。Microsoft建议你采用延迟下载更新的方式，也就是默认值。

使用快速安装文件

客户端计算机要安装更新程序时，此计算机内可能已经有该更新文件的旧版本，这个旧文件和新更新之间的差别可能不大。若是客户端可以只下载新版与旧版之间的差别，而后利用将差别合并到旧文件的方式来更新，能够减小从wsus服务器下载的数据量，下降企业内部网络的负担。

不过采用这种方式，WSUS服务器从Microsoft网站下载的文件会比较大，由于此文件内必须包含新更新程序和各旧版本身的差别，所以WSUS服务器在下载文件时会占用对外的网络带宽。

例如，假如更新程序原始大小100mb，未使用快速安装的状况，此服务器会从microsoft网站下载100mb的文件，客户端也是从服务器下载100mb的数据量。使用快速安装的状况下，此文件变为比较大的200mb（假设）。虽然WSUS服务器必须从microsoft下载的文件大小为200mb，可是客户端从WSUS服务器仅下载30mb的数据量，系统默认未使用快速安装文件。

安装WSUS服务器

构建WSUS并不须要AD域环境，然而为了利用组策略来充分管理客户端的自动更新设置，建议采用AD域环境。

咱们将利用下图所示的环境进行说明。安装一台域控DC，WSUS服务器为成员服务器，计算机名为WSUS；另外，图中多台客户端能够为win7，win8等，咱们假设他们也都加入域。

1. 直接安装report viewer 2012 最新版和clr typer for sql 2012

http://www.microsoft.com/zh-cn/download/details.aspx?id=35747

http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409

1. 添加功能

2. 须要net framework

3. 选择数据库。使用内置数据库，若是要使用SQL数据库，勾选数据库。

4. 选择存储位置

5. Web服务器选择默认

6. 等到安装完成

7. 选择让WSUS服务器与Microsoft Update同步，让服务器直接从Microsoft网站下载更新程序与Metabase等。

8. 若是服务器须要经过企业内部的Proxy服务器联网，请在下图输入相关信息。

9. 点击开始链接，以便从Windows Update网站取得更新程序相关信息。

10. 选择下载语言

11. 选择须要下在的更新产品。默认系统会选择office和windows的更新，因为是实验环境就少选点

12. 选择下载所需类型

13. 选择手动或自动同步。选择自动同步，须要设置第一次同步的时间与天天同步的次数。

14. 执行第一次同步工做

15. 能够查看当前同步进度。

16. 若是要手动同步，选择同步选择中的当即同步

    若是要将手动同步改为自动同步，须要设置同步计划。前面安装的全部设置，均可以经过选项界面进行更改。在同步还没有完成以前，没法存储更改的设置，须要等待同步完成后更改设置。

设置客户端的自动更新

咱们要让客户端计算机可以经过WSUS服务器下载更新程序，而这个设置能够经过如下两种方法来完成。

组策略:在AD域环境下，能够经过组策略进行设置。

本地计算机策略：若是没有AD域环境，或客户端计算机未加入域，则能够经过本地计算机策略进行设置。

咱们利用组策略来进行说明。在域中建立一个GPO，WSUS策略，而后经过这个GPO来设置域内的全部客户端计算机的自动更新配置。

1. 新建组策略

1. 展开计算机配置-策略-管理模板-windows组件。选择启用配置自动更新。

• 通知下载并通知安装：在下载更新程序前会通知已登陆的系统管理员，由他自行决定是否如今下载；下载完成后和准备安装前也会通知系统管理员，而后由他自行决定是否如今安装。
• 自动下载并通知安装：自动下载更新程序，下载完成后和准备安装前会通知已登陆的系统管理员，而后由他自行决定是否如今安装。
• 自动下载并计划安装：自动下载更新程序，而且会在指定的时间自动安装。须要指定安装时间。
• 容许本地管理员选择设置：此选项让在客户端的本地管理员能够经过控制面板自行选择更新方式。

1. 选择指定intranet Microsoft更新服务位置，而后指定让客户端从wsus服务器获取更新程序，同时也设置让客户端将更新结果报告给WSUS服务器，这两处请输入 http://wsus:8530。

   设置完成后，必须等域内的客户端应用这个策略才能有效，而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。

   应用完成后，还必须等客户机与wsus服务器接触后，在wsus管理控制台才能看到这些客户机。不过须要等待20分钟才会主动联系WSUS服务器。在客户机上执行wuauclt/detectnow 命令。

审批更新程序

在wsus管理界面能够看到全部客户端机器，若是还有机器仍为显示，能够想到这些计算机上执行组策略刷新命令。

注：若是客户端有新的更新状态可报告，而你但愿当即报告，请到客户端计算机上执行wuauclt/reportnow.

建立新计算机组

为了便于利用WSUS管理控制台来部署客户端计算机所需的更新程序，建议将计算机进行分组。例如要建立一个名为业务部计算机的组，并将隶属于业务部的计算机移动到此组内。

1. 选择添加计算机组。

1. 将隶属于改组的计算机从未分配的计算机组移动到刚刚建立的业务部计算机组中。

审批更新程序的安装

WSUS下载的全部更新程序都要通过审批后，客户端计算机才能够安装此更新程序，此处假设要审批某个安全更新，以便让业务组计算机安装此更新。

因为WSUS默认会延迟下载更新程序，也就是WSUS服务器与Microsoft Update同步时仅会下载更新程序的metadata。当咱们审批更新程序后，更新程序才会下载。因为咱们刚审批上述更新，WSUS服务器正要开始下载此更新，必须等下载完成后，客户端计算机才能够开始安装此更新。

下图，审批栏目出现了安装1/3字样，表示当前有3个计算机组，只有其中一个组已经被审批安装此更新。

客户端默认每隔17.6-22小时才会链接服务器检查是否有更新程序下载，可利用wuauclt/detectnow来手动检查。检查到后根据组策略的设置来进行更新。

客户端能够经过组策略自动更新检测频率来更新检查时间。若是但愿客户端计算机可以早一点自动检测，能够修改此值。

只要客户端检查到可用下载，会自动右下角提示有更新。

拒绝更新程序

单击某个程序右侧的拒绝，则系统将解除其审批，同时在WSUS数据库内与此更新有关的报告数据都将删除，还有在此界面上也看不到此更新程序。若是要看到被拒绝的更新程序，请到审批处选择已拒绝后单击从新整理。

自动审批更新程序

能够设置当WSUS服务器与Windows Update同步时，自动审批下载的更新程序。例如，若是但愿全部下载的安全更新与重要更新都可以自动审批给全部计算机:单击选项中的自动审批，在前景图中勾选默认的自动审批规则。若是还要将此规则应用到已经同步的更新程序，请单击容许规则。

单击高级标签后，还能够更改如下设置。

• WSUS更新：能够用来设置是否要让WSUS产品自己的更新程序自动被审批。
• 更新修订

  自动审批已审批的更新的修订：若是已审批的更新程序将来有修订版，则自动审批此修订版本的更新程序。

  当新修订致使更新过去时自动拒绝更新：当将来有新修订版本出现，而使得旧版本过时时，则自动拒绝这个过时的旧更新程序。

自动更新的组策略设置

本站介绍更多的关于自动更新的组策略，以便进一步管理客户端计算机与WSUS服务器之间的通讯方式。经过另外建立GPO的方式进行配置，尽可能不要经过内置的Defult Domain Policy GPO进行设置。

配置自动更新

此策略用来配置客户端下载与安装更新的方式。

指定Intranet Microsoft更新服务位置

用来指定让客户端计算机从WSUS服务器获取更新程序。

自动更新频率

用来设置客户端多久与服务器链接，检查是否有新更新程序。

容许当即安装自动更新

当更新程序下载完成而且准备好安装时，会根据配置自动更新的策略来决定什么时候更新。启用此策略后，某些新程序会马上安装。这些更新是指那些即不会中断Windows服务，也不会从新启动Windows系统的更新程序。

从新计划自动更新计划的安装

若是经过计划制定某个时间点来执行安装更新程序，可是时间到达时，客户端计算机却没有开机。此策略用来设置客户端计算机从新开机后，须要等多少时间后开始安装更新。

容许客户端目标设置

应用此设置的全部计算机会自动加入指定的计算机组内，不须要管理员手动加入。

下图，全部计算机会自动加入业务组计算机。

容许来自Intranet Microsoft更新服务位置的签名更新

若是此策略启用，客户计算机就能够从WSUS服务器下载由第三方开发和签名的更新程序;若是未启用，客户端只能下载Microsoft签名的更新程序。

删除到Windows更新的连接和访问

虽然WSUS客户端能够经过WSUS服务器来进行更新，可是系统本地管理依然能够经过开始菜单的windows更新来私自链接Microsoft Update网站。为了减小这种状况发生，建议经过此策略将客户计算机的windows update连接删除。完成后开始菜单的链接不会显示，控制面板的更新检查更新也会失效。

用户配置-策略-管理模板-开始菜单和任务栏

关闭对全部Windows更新功能的访问

若是启用此策略，则会禁止客户端访问Microsoft更新网站，例如客户端经过开始菜单的Windows更新连接没法访问Windows Update网站，直接在浏览器里输入windows update网页也没法访问，不过客户机依然能够经过WSUS来获取。

计算机配置-策略-管理模板-系统-internet通讯管理-internet通讯设置