实测Windows server 2012 配置WSUS

WSUS ,全称 Windows server update services，是微软在其网络结构中提供的关于系统补丁更新的一个解决方案，彻底免费，如今最新的版本是WSUS 3.0 SP2，在生产环境中部署WSUS的应用价值主要是提升网络资源的利用率，节省带宽，同时对于客户端计算机来讲呢，更新效率也更高一些。

在平常你们都习惯了用第三方工具给系统打补丁，局域网的PC数量少了便罢，若是多于50台，只是给系统以及微软产品打补丁这一项工做对于网络资源的占用就不可小觑，在Windows server 2003之前，WSUS须要单独安装，从Windows server 2008开始，server版操做系统就集成了WSUS，在这个阳光暖暖的周末，懒懒的宅在家里无有出行的邀约，顺便作一个在Windows server 2012下配置WSUS的实测攻略给你们。

一、添加角色

二、选择“基于角色或基于功能的安装”选项

三、在选择目标服务器界面中找到须要安装WSUS角色的服务器，本示例中只有一台SERVER，其实能够管理更多的服务器哦

四、点击“下一步”后进入角色选择界面，当点击“Windows Server 更新服务”前面的复选框时，便可弹出添加功能的界面，

点击“添加功能”按钮后完成角色选择。

五、添加功能，在功能列表中，系统会默认复选WSUS须要的功能组件，如.net 4.5、Windows process activation service、内部数据库，在这个界面中保存默认勾选就能够了，无须变动选项。

六、选择角色服务，其中WID数据库和数据库只能二选其一。

七、选择存储更新补丁的位置，在这页面中有两个注意事项：第一是存放更新的驱动器分区格式必须是NTFS格式，最小可用空间是6G，第二就是有两种状况没必要选择存放的本地，一是从微软官方直接下载，但客户端下载的速度将会降低，二是从上游WSUS服务器更新下载时，一样会下降客户端的下载速度。

八、选择WEB服务器角色（IIS）

九、点击下一步按钮进入WEB角色服务的选项，保存默认勾选就能够了。

十、确认选项 ，在这个页面中，我勾选了重启服务器，弹出一个友好的提示窗口，肯定并关闭它，这时候就能够点击【安装】按钮开始安装WSUS了。

十一、开始安装。在安装界面的左下角有导出配置设置的连接，

十二、以上的步骤都是安装的介绍，安装WSUS仍是蛮简单的，只要根据安装向导的提示点击“下一步”就能够了，只不过有些细节和注意事项要阅读一下。

接下来就是配置WSUS了。

1三、启动安装后的配置，在服务器管理器界面中的左侧根目录下找到WSUS，点击后在右侧的内容栏内会有一个浅×××的提醒任务栏，点击“更多”链接弹出任务通知界面，在通知栏中的“操做”项内运行“启动安装后配置”

配置过程可能会长一点，这时候能够坐下来喝杯咖啡休息一下了。

1四、配置完成后，接下来就是添加Windows server 更新服务的管理单元了，选择任务栏中的WIN2K12，在其右键菜单中打开“Windows server 更新服务”启动WSUS配置向导，

1五、配置完成后，接下来就是添加Windows server 更新服务的管理单元了，选择任务栏中的WIN2K12，在其右键菜单中打开“Windows server 更新服务”启动WSUS配置向导，

1六、开始以前检测网络环境，特别要说明的就是链接端口为8530和8531，在防火墙中要开启，

1七、越过Windows 更新改善计划的界面，进入选择上游服务器的界面，WIN2K12是AD中的第一台WSUS，因此选择从Microsoft更新同步。

   在部署第二台WSUS时咱们就须要选择第二个选项了。

1八、代理服务器选项，网络中没有代理服务器，无须作选择，直接点击下一步按钮，

1九、点击“开始链接”按钮测试链接，链接是速度直接取决于网速，等一等。

20、选择语音版本的页面中固然选择中文简体，若将来规划中须要使用英文或其余语言的微软产品时，这里就须要一并勾选上，

2一、选择“产品”，在产品列表中会列出微软全部的产品，只需选择局域网内须要的产品便可，

2二、选择“分类”，我这里没有勾选所有，我们能够根据规划进行勾选

2三、选择同步更新的时间，手动同步会占用管理员的工做时间，因此能够设置“自动同步”，同步时间能够设置在使用网络的空闲时间，不占用正常的网络资源使用，

2四、初始化同步

2五、初始化同步完成之后要作什么呢，系统给了咱们一个很友好的向导，

2六、如今咱们能够点击“完成”按钮，进行初始化同步了，接下来看看完成配置后的界面。

2七、在安装WSUS过程当中会遇到启动配置失败的问题，

解决方法有二：一是检查存放更新补丁位置（步骤5）的磁盘的权限，如everyone是拒绝的权限，就须要修改了，二是检查WSUS服务器的时间是否同步，暂时没有没有发现配置失败的其余缘由，你们有碰到的能够补充上来。

以上解释的是WSUS的安装过程，按照安装向导一步一步的安装就能够了，接下来就要和你们分享如何配置WSUS了。

28、首先配置域策略，建立一个WSUS的GPO，运行MMC打开控制台，把【组策略管理】单元添加进来，

2九、在【组策略】管理单元里，依次展开2K12DC.com，右键点击域2k12dc.com，在右键菜单中选择“在这个域中建立GPO并在此处连接”，在弹出的新建GPO的视图中，建立一个【WSUS策略】的GPO，

30、建立完成后，右键打开刚才建立的WSUS策略，选择“编辑”打开【组策略管理编辑器】，在【组策略管理编辑器】的视图中，展开【计算机配置】-----【策略】----【管理模版】----【Windows组件】中的【Windows更新】

3一、打开【Windows更新】后的视图以下图所示，咱们要对右边内容项中的【配置自动更新】和【指定intranet Microsoft更新服务位置】进行配置

3二、打开配置自动更新项，启用这个策略，在配置自动更新列表中，共有4个选择项，咱们能够根据不一样的要求进行选择，示例中，我选择了第3个：自动下载并通知安装

3三、在【指定Intranet Microsoft更新服务位置】的视图中，咱们仍是要先启动这个策略，而后在选项中指定客户端得到更新程序的地址，示例中的IntranetUpd01是WSUS服务器的计算机名，因此在选项中咱们输入完成的DC的计算机名，其中8530是WSUS网站的端口号。

3四、设置完后就要等待域策略生效了，或者咱们可使用命令 gpupdate /foces刷新域安全策略，

返回WSUS管理控制台，在未分配的计算机列表中能够看到链接上来的客户端计算机，同时现实客户端计算机的名称、IP地址、操做系统版本、客户端上次报告更新程序的时间，还有已安装/不适用的更新比例，

3五、建立计算机组

  若是咱们的局域网内计算机数量较多，若是大于50台，建议你们能够创建计算机组进行分组管理，在上图所示的“未分配计算机”节点上，打开右键菜单，建立一个新的计算机组，这里姑且起名为之：销售部计算机。

建立完成后的工做固然就是把未分配的计算机移动的指定的计算机组里面了，在未分配的计算机列表中找到对应的计算机，而后点击更改为员身份打开“设置计算机组成员的身份”，我这里只建立了一个工做组，因此只能看到一个工做组，勾选中它便可。

3六、审批更新程序的安装

 在经过审批之后，客户端计算机默认是22小时后才来链接一次WSUS服务器检查是否有新的安装程序可供下载，咱们能够经过更改Windows 更新服务选项中的“自动更新检测频率”（步骤23）选项

在生产环境中，咱们固然不会喜欢客户端计算机频繁的到WSUS服务器上检测有没有更新程序，因此咱们能够把间隔时间适当的延长。

接下来就是审批更新，咱们以安全更新中的用于Windows7上的IE8为例，选择它，而后在右侧的操做栏中点击“审批”按钮弹出审批更新的视图，在这个视图中咱们要须要继续选择须要安装这个更新的计算机组，这里咱们选择的销售组的计算机，

选择“已审批进行安装”后弹出“审批进度”的状态提醒，在结果状态栏中，咱们能够看“成功”的状态了。

拒绝更新程序的操做和审批更新相同。

3七、若是每条更新程序都须要逐一申请，对于系统管理员简直如同噩梦，因此咱们设置默认自动审批，在WSUS控制台视图中的【选项】菜单下打开“自动审批项目”，打开后咱们勾选中“默认的自动审批规则”，在规则属性中继续对更新程序和计算机组进行选择。

固然，咱们也能够根据不一样的管理须要创建不一样的审批规则，这就要看咱们企业内部的IT环境了。

返回到客户端计算机来验证一下,这是刚才在WSUS服务器上我手动审批过的3个安全更新，都在这里windows update列表里了,确认无误。

针对客户端更新的策略配置项都在Windows 更新策略中（见步骤23），这里咱们就不一一展开说明了，到此为止咱们就作完了在Windows server 2012平台下部署WSUS的实测，不少细化功能在工做中咱们未必都用的到，因此大部分其实都是可使用默认配置的，实测Windows server 2012继续进行中，下一期继续准备。