Microsoft Windows Server Update Services (WSUS) 为在网络中管理更新提供了一个全面的解决方案。本文档提供了在网络上部署 WSUS 时涉及的基本任务的分步指导。使用本指南可执行以下任务:
· 在 Microsoft Windows Server 2003 操作系统上安装 WSUS。
· 将 WSUS 配置为从 Microsoft 获取更新。
· 将客户端计算机配置为通过 WSUS 安装更新。
· 批准、测试和分发更新。
步骤 1:复查 WSUS 安装要求对于多达 500 个客户端的服务器,建议使用以下硬件:
· 1 GHz 的处理器
· 1 GB 的 RAM
软件要求· Microsoft Internet 信息服务 (IIS) 6.0
· 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1
· Background Intelligent Transfer Service (BITS) 2.0。
尽管安装 WSUS 需要数据库软件,此处也并没有将其列出,原因是 Windows Server 2003 上的默认 WSUS 安装包括 Windows SQL Server? 2000 Desktop Engine (WMSDE) 数据库软件。
磁盘要求和建议要安装 WSUS,服务器上的文件系统必须满足以下要求:
· 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。
· 系统分区至少需要 1 GB 的可用空间。
· WSUS 用于存储内容的卷至少需要 6 GB 的可用空间,建议预留空间为 30 GB。
· WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。
自动更新要求自动更新是 WSUS 的客户端组件。除了需要连接到网络外,自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新:
· 带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、带有 SP3 或 SP4 的 Windows 2000 Server 或带有 SP3 或 SP4 的 Windows 2000 Advanced Server。
· 带有或不带 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。
· Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。
步骤 2:在服务器上安装 WSUS复查安装要求之后,便可安装 WSUS。您必须使用本地 Administrators 组成员的帐户登录到要安装 WSUS 的服务器。只有本地 Administrators 组的成员才能安装 WSUS。
以下过程使用 Windows Server 2003 的默认 WSUS 安装选项,其中包括安装用于 WSUS 的 Windows SQL Server 2000 Desktop Engine (WMSDE) 数据库软件、在本地存储更新以及在端口 80 上使用 IIS 默认网站。
在 Windows Server 2003 上安装 WSUS
1. 双击安装程序文件“WSUSSetup.exe”。 2. 在向导的“欢迎使用”页上,单击“下一步”。 3. 仔细阅读许可协议的条款,单击“我接受许可协议中的条款”,然后单击“下一步”。 4. 在“选择更新源”页上,可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框,更新便会存储在 WSUS 服务器上,您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新,客户端计算机将连接到 Microsoft Update 以获取已批准的更新。 保留默认选项,然后单击“下一步”。 “选择更新源”页 5. 在“数据库选项”页上,选择用于管理 WSUS 数据库的软件。默认情况下,如果要安装的计算机运行 Windows Server 2003,WSUS 安装程序将提出安装 WMSDE。 如果无法使用 WMSDE,则必须为 WSUS 提供可以使用的 SQL Server 实例,具体操作方法是:单击“使用该计算机上现有的数据库服务器”,然后在“选择 SQL 实例名”框中键入实例名。 保留默认选项,然后单击“下一步”。 “数据库选项”页 6. 在“网站选择”页上,指定 WSUS 将使用的网站。此页还列出了基于此选择的两个重要 URL:将 WSUS 客户端计算机指向其中以获取更新的 URL 以及用于配置 WSUS 的 WSUS 控制台的 URL。 如果端口 80 上已经具有某个网站,则可能需要在自定义端口上创建 WSUS 网站。 保留默认选项,然后单击“下一步”。 “网站选择”页 7. 在“镜像更新设置”页上,可以指定此 WSUS 服务器的管理角色。如果这是网络上的第一台 WSUS 服务器,或者您需要一个分布式管理拓扑,请跳过此屏幕。 如果需要集中管理拓扑,而且这不是网络上的第一台 WSUS 服务器,请选中该复选框,然后在“服务器名”框中键入其他 WSUS 服务器的名称。 保留默认选项,然后单击“下一步”。 “镜像更新设置”页 8. 在“准备安装 Windows Server Update Services”页上,复查各项选择,然后单击“下一步”。 “准备安装 Windows Server Update Services”页 9. 如果向导的最后一页确认 WSUS 安装已成功完成,请单击“完成”。 |
安装 WSUS 之后,便可访问 WSUS 控制台,以便配置并开始使用 WSUS。默认情况下,WSUS 配置为使用 Microsoft Update 作为获取更新的位置。如果您的网络中具有代理服务器,则可以使用 WSUS 控制台将 WSUS 配置为使用该代理服务器。如果 WSUS 和 Internet 之间设有企业防火墙,则可能需要配置防火墙以确保 WSUS 能够获取更新。
尽管必须具有 Internet 连接才能从 Microsoft Update 下载更新,但借助 WSUS 却可将更新导入未连接到 Internet 的网络。
步骤 3 包括以下过程:
· 配置防火墙以使 WSUS 能够获取更新。
· 打开 WSUS 控制台。
· 配置代理服务器设置以使 WSUS 能够获取更新。
· 如果 WSUS 和 Internet 之间设有企业防火墙,则可能需要配置防火墙以确保 WSUS 能够获取更新。要从 Microsoft Update 获取更新,WSUS 服务器将端口 80 用于 HTTP 协议,将端口 443 用于 HTTPS 协议。该设置不可配置。 · 如果您的组织并不允许对所有地址打开这些端口和协议,则可以限制只访问以下域以使 WSUS 和自动更新能够与 Microsoft Update 进行通信: · http://windowsupdate.microsoft.com · http://*.windowsupdate.microsoft.com · https://*.windowsupdate.microsoft.com · http://*.update.microsoft.com · https://*.update.microsoft.com · http://*.windowsupdate.com · http://download.windowsupdate.com · http://download.microsoft.com · http://*.download.windowsupdate.com · http://wustat.windows.com · http://ntservicepack.microsoft.com 上述防火墙配置步骤针对的是 WSUS 和 Internet 之间的企业防火墙。由于 WSUS 的所有网络通讯都由 WSUS 发起,因此无需在 WSUS 服务器上配置 Windows 防火墙。 尽管 Microsoft Update 与 WSUS 之间的连接要求打开端口 80 和 443,但您可以将多台 WSUS 服务器配置为使用某个自定义端口进行同步 |
· 在 WSUS 服务器上,单击“开始”,依次指向“所有程序”、“管理工具”,然后单击“Microsoft Windows Server Update Services”。 您必须是安装 WSUS 的服务器上的 WSUS Administrators 或本地 Administrators 安全组的成员,才能使用 WSUS 控制台。 如果没有将 http://<WSUS 网站名称> 添加到 Windows Server 2003 上 Internet Explorer 的本地 Intranet 区域的网站列表中,每次打开 WSUS 控制台时都可能会提示您提供凭据。 如果在安装 WSUS 之后于 IIS 中更改端口指定,则需要手动更新“开始”菜单上的快捷方式。 也可以输入以下 URL,从网络中任意服务器或计算机上的 Internet Explorer 打开 WSUS 控制台:http://WSUSservername/WSUSAdmin |
1. 在 WSUS 控制台工具栏上,单击“选项”,然后单击“同步选项”。 2. 在“代理服务器”框中,选中“同步时使用代理服务器”复选框,然后在相应的框中键入代理服务器的名称和端口号(默认使用端口 80)。 3. 如果要使用特定的用户凭据连接到代理服务器,请选中“使用用户凭据连接到代理服务器”复选框,然后在相应的框中键入用户名、域和用户密码。如果要对连接到代理服务器的用户启用基本身份验证,请选中“允许基本身份验证(密码以明文文本发送)”复选框。 4. 在“任务”下,单击“保存设置”,然后在确认对话框中单击“确定”。 |
配置网络连接之后,便可获取更新。默认情况下,WSUS 配置为下载所有 Microsoft 产品的关键更新和安全更新。要获取更新,必须同步 WSUS 服务器。
同步涉及将 WSUS 服务器连接到 Microsoft Update。进行连接之后,WSUS 将确定自上一次同步后是否又发布了新的更新。由于这是首次同步 WSUS 服务器,因此所有更新均需同步,您可以批准安装它们。
本文介绍了使用默认设置进行同步,但 WSUS 还包括一些可在同步期间最大程度地减少带宽使用的选项。
1. 在 WSUS 控制台工具栏上,单击“选项”,然后单击“同步选项”。 2. 在“任务”下,单击“立即同步”。 |
完成同步之后,在 WSUS 控制台工具栏上单击“更新”便可查看更新列表。
步骤 5:更新和配置自动更新WSUS 客户端计算机要求使用兼容的自动更新版本。WSUS 安装程序会自动配置 IIS,以便将自动更新的最新版本分发给连接到 WSUS 服务器的每台客户端计算机。
尽管大多数的自动更新版本都可以指向 WSUS 服务器,而且将自动自我更新到与 WSUS 兼容的版本,但不带任何 Service Pack 的 Windows XP 附带的自动更新版本无法自动进行自我更新。如果您的环境中安装了不带任何 Service Pack 的 Windows XP,
配置自动更新的最佳方法取决于您的网络环境。在 Active Directory 环境中,可以使用基于 Active Directory 的组策略对象 (GPO)。在非 Active Directory 环境中,可以使用本地组策略对象。无论使用本地组策略对象还是使用域控制器上存储的 GPO,都必须先将客户端计算机指向 WSUS 服务器,然后才能配置自动更新。
以下说明假定您的网络运行 Active Directory。这些过程还假定您已经熟悉且设置了组策略,并使用组策略管理网络。您需要新建一个包含 WSUS 设置的组策略对象 (GPO),然后在域级链接该 GPO。
步骤 5 包括以下过程:
· 加载 WSUS 管理模板。
· 配置自动更新。
· 将客户端计算机指向 WSUS 服务器。
· 在客户端计算机上手动启动检测。
对基于 Active Directory 的组策略对象执行如下三个过程。
1. 在组策略对象编辑器中,单击任一“管理模板”节点。 2. 在“操作”菜单上,单击“添加/删除模板”。 3. 单击“添加”。 4. 在“策略模板”对话框中,单击“wuau.adm”,然后单击“打开”。 5. 在“添加/删除模板”对话框中,单击“关闭”。 |
1. 在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。 2. 在详细信息窗格中,双击“配置自动更新”。 3. 单击“已启用”,然后单击下列选项之一: · 提醒下载并提醒安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。 · 自动下载并提醒安装。该选项会自动开始下载更新,然后在安装更新之前对已登录的管理用户进行提醒。 · 自动下载并计划安装。如果将自动更新配置为执行计划安装,那么还必须设置执行计划安装的日期和时间。 · 允许本地管理员选择设置。如果选择该选项,则允许本地管理员使用“控制面板”中的“自动更新”来自行选择配置选项。例如,他们可以选择自己的计划安装时间。不允许本地管理员禁用自动更新。 4. 单击“确定”。 只有当自动更新已自行更新到与 WSUS 兼容的版本之后,才会显示“允许本地管理员选择设置”选项。 |
1. 在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。 2. 在详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。 3. 单击“已启用”,然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中键入同一 WSUS 服务器的 HTTP URL。例如,在两个框中都键入 http://servername。 4. 单击“确定”。 如果使用本地组策略对象将此计算机指向 WSUS,该设置将立即生效,而该计算机将在大约 20 分钟之后才能显示在 WSUS 管理控制台中。您可以通过手动启动检测周期来加快该过程。 |
设置完客户端计算机后,该计算机需要等待数分钟才能显示在 WSUS 控制台中的“计算机”页上。对于使用基于 Active Directory 的 GPO 配置的客户端计算机,需要在组策略刷新(将所有新设置应用到客户端计算机)之后等待大约 20 分钟。默认情况下,每隔 90 分钟组策略便会在后台刷新一次,刷新的时间可能随机偏移 0 到 30 分钟。如果想要以更快的速度刷新组策略,您可以在客户端计算机上转到命令提示符下,并键入:gpupdate /force。
对于使用本地 GPO 配置的客户端计算机,将立即应用组策略,而该计算机将在大约 20 分钟之后才能显示在 WSUS 控制台中。
一旦应用了组策略,便可手动启动检测。如果执行此步骤,则不必等待 20 分钟便可将客户端计算机连接到 WSUS 服务器。
1. 在客户端计算机上,单击“开始”,然后单击“运行”。 2. 键入 cmd,然后单击“确定”。 3. 在命令提示符下,键入 wuauclt.exe /detectnow。此命令行选项将指示自动更新立即连接到 WSUS 服务器。 |
计算机组是 WSUS 部署的重要组成部分,即使对于基本部署也是如此。使用计算机组可以将更新指向特定的计算机。默认计算机组有两个:“所有计算机”和“未指定的计算机”。默认情况下,当每台客户端计算机最初连接到 WSUS 服务器时,WSUS 服务器便会将其添加到这两个组中。
您可以创建自定义计算机组。创建计算机组的好处之一是可以在大范围部署更新之前对更新进行测试。如果测试进行顺利,便可将更新部署到“所有计算机”组。您可以创建任意多个自定义组。
设置计算机组的过程包括三个步骤。首先,指定如何为计算机组分配计算机。可使用如下两个选项:“服务器端定位”和“客户端定位”。服务器端定位需要使用 WSUS 手动将每台计算机添加到组中。而客户端定位使用组策略或注册表项自动添加客户端。其次,在 WSUS 上创建计算机组。最后,使用在第一步中选择的方法将计算机移入组中。
本文介绍如何使用服务器端定位以及如何使用 WSUS 控制台手动将计算机移入组中。如果要为计算机组分配多台客户端计算机,则可以使用客户端定位,这样可以自动将计算机移入计算机组中。
您可以使用步骤 6 设置一个测试组,其中至少包含一台测试计算机。
此步骤包括以下过程:
· 指定服务器端定位。
· 创建组。
· 将计算机移入组中。
1. 在 WSUS 控制台工具栏上,单击“选项”,然后单击“计算机选项”。 2. 在“计算机选项”框中,单击“使用 Windows Server Update Services 中的‘移动计算机’任务”。 3. 在“任务”下,单击“保存设置”,然后在出现确认对话框时单击“确定”。 |
1. 在 WSUS 控制台工具栏上,单击“计算机”。 2. 在“任务”下,单击“创建计算机组”。 3. 在“组名”框中,键入 Test,然后单击“确定”。 |
使用如下过程将适于测试的客户端计算机分配到 Test 组。适于测试的客户端计算机是指其软件和硬件能够代表网络上大多数计算机的任意一台计算机,但不是被赋予关键角色的计算机。通过这种方法,您可以基于测试计算机的状况判定安装批准更新后的其他计算机的运行状况。
1. 在 WSUS 控制台工具栏上,单击“计算机”。 2. 在“组”框中,单击要移动的计算机所属的组。 3. 在计算机列表中,单击要移动的计算机。 4. 在“任务”下,单击“移动选定计算机”。 5. 在“计算机组”列表中,选择要将计算机移入的组,然后单击“确定”。 |
在此步骤中,将批准对测试组中的所有测试客户端计算机进行更新。在接下来的 24 小时中该组中的计算机将连接到 WSUS 服务器。这段时间之后,便可以使用 WSUS 报告功能来确定这些更新是否已部署到计算机上。如果测试进行顺利,便可批准对组织中的其他计算机执行相同的更新。
步骤 7 包括以下过程:
· 批准和部署更新。
· 查看“更新的状态”报告。
1. 在 WSUS 控制台工具栏上,单击“更新”。默认情况下将对更新列表进行筛选,从而只显示那些批准在客户端计算机上进行检测的关键更新和安全更新。此过程使用默认筛选条件。 2. 在更新列表上,选择要批准安装的更新。有关选定更新的信息将显示在“详细信息”选项卡上。要选择多个连续的更新,请在选择时按住 Shift 键;要选择多个不连续的更新,请在选择时按住 Ctrl 键。 3. 在“更新任务”下,单击“更改批准”。屏幕上将出现“批准更新”对话框。 4. 在“选定更新的组批准设置”列表中,单击测试组“批准”列中列表内的“安装”,然后单击“确定”。 |
与批准更新相关的选项有很多,例如,设置最后期限以及卸载更新。在“Microsoft Windows Server Update Services 操作指南”白皮书(文档可能为英文)中可以找到有关这些选项的详细描述。
24 小时之后,您可以使用 WSUS 报告功能来确定这些更新是否已部署到计算机上。
1. 在 WSUS 控制台工具栏上,单击“报告”。 2. 在“报告”页上,单击“更新的状态”。 3. 如果要对更新列表进行筛选,请在“查看”下选择要使用的条件,然后单击“应用”。 4. 如果要先按计算机组,然后再按计算机查看更新的状态,请根据需要展开更新的视图。 5. 如果要打印“更新的状态”报告,请在“任务”下,单击“打印报告”。 |
如果更新已成功部署到测试组中,便可批准对组织中的其他计算机执行相同的更新。