您现在的位置是:首页 > 电脑技术文章 > 服务器技术 > windows2012部署wsus更新服务器和使用设置

windows2012部署wsus更新服务器和使用设置

时间:2018-09-05 16:28  来源:08绿软站  阅读次数: 分享复制 评论打赏

WSUS是一个可以解决上述问题的产品,企业内部可以通过WSUS服务器集中从Microsoft update网站下载更新程序,并且在完成这些更新程序的测试工作,确定对企业内部计算机没有不良影响后,在通过网管审批程序,将程序部署到客户机上。

构建WSUS并不需要AD域环境,然而为了利用组策略来充分管理客户端的自动更新设置,建议采用AD域环境。

windows server 2012 R2安装(WSUS服务器)

  1. 添加功能


  2. 需要net framework


  3. 选择数据库。使用内置数据库,如果要使用SQL数据库,勾选数据库。


  4. 选择存储位置


  5. Web服务器选择默认


  6. 等到安装完成


  7. 选择让WSUS服务器与Microsoft Update同步,让服务器直接从Microsoft网站下载更新程序与Metabase等。


  8. 如果服务器需要通过企业内部的Proxy服务器联网,请在下图输入相关信息。


  9. 点击开始连接,以便从Windows Update网站取得更新程序相关信息。


  10. 选择下载语言


  11. 选择需要下在的更新产品。默认系统会选择office和windows的更新,由于是实验环境就少选点


  12. 选择下载所需类型


  13. 选择手动或自动同步。选择自动同步,需要设置第一次同步的时间与每天同步的次数。


  14. 执行第一次同步工作


  15. 可以查看当前同步进度。


  16. 如果要手动同步,选择同步选择中的立即同步


    如果要将手动同步改成自动同步,需要设置同步计划。前面安装的所有设置,都可以通过选项界面进行更改。在同步尚未完成之前,无法存储更改的设置,需要等待同步完成后更改设置。


设置客户端的自动更新

我们要让客户端计算机能够通过WSUS服务器下载更新程序,而这个设置可以通过以下两种方法来完成。

组策略:在AD域环境下,可以通过组策略进行设置。

本地计算机策略:如果没有AD域环境,或客户端计算机未加入域,则可以通过本地计算机策略进行设置。

我们利用组策略来进行说明。在域中创建一个GPO,WSUS策略,然后通过这个GPO来设置域内的所有客户端计算机的自动更新配置。

  1. 新建组策略


  1. 展开计算机配置-策略-管理模板-windows组件。选择启用配置自动更新。


  • 通知下载并通知安装:在下载更新程序前会通知已登录的系统管理员,由他自行决定是否现在下载;下载完成后和准备安装前也会通知系统管理员,然后由他自行决定是否现在安装。
  • 自动下载并通知安装:自动下载更新程序,下载完成后和准备安装前会通知已登录的系统管理员,然后由他自行决定是否现在安装。
  • 自动下载并计划安装:自动下载更新程序,并且会在指定的时间自动安装。需要指定安装时间。
  • 允许本地管理员选择设置:此选项让在客户端的本地管理员可以通过控制面板自行选择更新方式。
  1. 选择指定intranet Microsoft更新服务位置,然后指定让客户端从wsus服务器获取更新程序,同时也设置让客户端将更新结果报告给WSUS服务器,这两处请输入http://wsus:8530。


    设置完成后,必须等域内的客户端应用这个策略才能有效,而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。

    应用完成后,还必须等客户机与wsus服务器接触后,在wsus管理控制台才能看到这些客户机。不过需要等待20分钟才会主动联系WSUS服务器。在客户机上执行wuauclt/detectnow 命令。

审批更新程序

在wsus管理界面可以看到所有客户端机器,如果还有机器仍为显示,可以想到这些计算机上执行组策略刷新命令。


注:如果客户端有新的更新状态可报告,而你希望立即报告,请到客户端计算机上执行wuauclt/reportnow.

创建新计算机组

为了便于利用WSUS管理控制台来部署客户端计算机所需的更新程序,建议将计算机进行分组。例如要创建一个名为业务部计算机的组,并将隶属于业务部的计算机移动到此组内。

  1. 选择添加计算机组。


  1. 将隶属于改组的计算机从未分配的计算机组移动到刚刚创建的业务部计算机组中。


审批更新程序的安装

WSUS下载的所有更新程序都要经过审批后,客户端计算机才可以安装此更新程序,此处假设要审批某个安全更新,以便让业务组计算机安装此更新。


由于WSUS默认会延迟下载更新程序,也就是WSUS服务器与Microsoft Update同步时仅会下载更新程序的metadata。当我们审批更新程序后,更新程序才会下载。由于我们刚审批上述更新,WSUS服务器正要开始下载此更新,必须等下载完成后,客户端计算机才可以开始安装此更新。

下图,审批栏目出现了安装1/3字样,表示当前有3个计算机组,只有其中一个组已经被审批安装此更新。


客户端默认每隔17.6-22小时才会连接服务器检查是否有更新程序下载,可利用wuauclt/detectnow来手动检查。检查到后根据组策略的设置来进行更新。

客户端可以通过组策略自动更新检测频率来更新检查时间。如果希望客户端计算机能够早一点自动检测,可以修改此值。


只要客户端检查到可用下载,会自动右下角提示有更新。

拒绝更新程序

单击某个程序右侧的拒绝,则系统将解除其审批,同时在WSUS数据库内与此更新有关的报告数据都将删除,还有在此界面上也看不到此更新程序。如果要看到被拒绝的更新程序,请到审批处选择已拒绝后单击重新整理。



自动审批更新程序

可以设置当WSUS服务器与Windows Update同步时,自动审批下载的更新程序。例如,如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机:单击选项中的自动审批,在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序,请单击允许规则。


单击高级标签后,还可以更改以下设置。


  • WSUS更新:可以用来设置是否要让WSUS产品本身的更新程序自动被审批。
  • 更新修订

    自动审批已审批的更新的修订:如果已审批的更新程序未来有修订版,则自动审批此修订版本的更新程序。

    当新修订导致更新过去时自动拒绝更新:当未来有新修订版本出现,而使得旧版本过期时,则自动拒绝这个过期的旧更新程序。

自动更新的组策略设置

本站介绍更多的关于自动更新的组策略,以便进一步管理客户端计算机与WSUS服务器之间的通信方式。通过另外创建GPO的方式进行配置,尽量不要通过内置的Defult Domain Policy GPO进行设置。


配置自动更新

此策略用来配置客户端下载与安装更新的方式。

指定Intranet Microsoft更新服务位置

用来指定让客户端计算机从WSUS服务器获取更新程序。

自动更新频率

用来设置客户端多久与服务器连接,检查是否有新更新程序。

允许立即安装自动更新

当更新程序下载完成并且准备好安装时,会根据配置自动更新的策略来决定何时更新。启用此策略后,某些新程序会立刻安装。这些更新是指那些即不会中断Windows服务,也不会重新启动Windows系统的更新程序。

重新计划自动更新计划的安装

如果通过计划制定某个时间点来执行安装更新程序,但是时间到达时,客户端计算机却没有开机。此策略用来设置客户端计算机重新开机后,需要等多少时间后开始安装更新。

允许客户端目标设置

应用此设置的所有计算机会自动加入指定的计算机组内,不需要管理员手动加入。

下图,所有计算机会自动加入业务组计算机。


允许来自Intranet Microsoft更新服务位置的签名更新

如果此策略启用,客户计算机就可以从WSUS服务器下载由第三方开发和签名的更新程序;如果未启用,客户端只能下载Microsoft签名的更新程序。

删除到Windows更新的链接和访问

虽然WSUS客户端可以通过WSUS服务器来进行更新,但是系统本地管理依然可以通过开始菜单的windows更新来私自连接Microsoft Update网站。为了减少这种情况发生,建议通过此策略将客户计算机的windows update链接删除。完成后开始菜单的连接不会显示,控制面板的更新检查更新也会失效。

用户配置-策略-管理模板-开始菜单和任务栏


关闭对所有Windows更新功能的访问

如果启用此策略,则会禁止客户端访问Microsoft更新网站,例如客户端通过开始菜单的Windows更新链接无法访问Windows Update网站,直接在浏览器里输入windows update网页也无法访问,不过客户机依然可以通过WSUS来获取。

计算机配置-策略-管理模板-系统-internet通信管理-internet通信设置





本站发布的以上教程,适合初次使用安装wsus的朋友,如果是老司机请自动绕过^_^

文章评论
伤不起,不评论了!