分类:
2006-08-05 11:56:57
文件:
WSUS服务器的详细配置和部署.pdf
大小:
804KB
下载:
下载
文件:
WSUS应用简介.pdf
大小:
116KB
下载:
下载
软件全称:Windows Server Update Services
文件:
WSUS.pdf
大小:
229KB
下载:
下载
软件版本:2.0正式版
软件平台:Windows 2000/2003
下载地址:
WSUS(Windows Server Update Services)是微软公司继SUS(Software Update Service)之后推出的替代SUS的产品,目前版本为2.0。使用过SUS的网管都知道,虽然可用它建立自动更新服务器,不过配置很麻烦,更新补丁的产品种类也较少,同时在实际使用中经常会因为网络带宽拥堵而造成客户机升级失败。那么WSUS具有哪些特性呢?
●支持对更多微软产品进行更新,除了Windows外,Office、Exchange、SQL等产品的补丁和更新包都可通过WSUS发布,而SUS只支持Windows系统。
●提供了中文操作界面,以前的SUS操作界面为英文,不便于操作。
●比SUS更好地利用了网络带宽。
●对客户机的管理更强大,可针对不同客户机分配不同的用户组,并分配不同的下载规则。
●在设置和管理上比SUS更简单直观。
硬件要求:如果网络中要升级的客户端计算机少于500台,那么架设WSUS服务器的硬件至少得是750MHz主频的处理器以及512MB内存,当然还需要充足的硬盘空间来保存更新程序的安装文件。
实战:部署WSUS
笔者所在公司的网络处于教育网之中,客户机连接微软官方的Update站点速度很慢,更新补丁的时间较长。为了提高公司网络的安全,加快补丁更新速度,笔者打算选择一台服务器通过WSUS建立一个公司内部的Update站点,让所有员工计算机到这个Update站点更新补丁,服务器名称为softer。
准备工作:由于软件需要很多必备组件,如果在Windows 2000 Server上安装WSUS则需要安装这些组件,不过这些组件都是默认安装在Windows 2003上的,所以笔者建议大家使用Windows 2003部署WSUS服务器,同时建议大家不要在该服务器上安装其他Web网站。
1.安装WSUS
安装WSUS之前,先要保证WSUS必需的硬件条件,还要安装相应的组件,如IIS等。
在Windows 2003中没有启用IIS服务,所以我们需要安装“应用程序服务器”组件,并把IIS添加到本地计算机。下载WSUS并双击安装程序,程序将会自动解压缩。
现在,开始安装WSUS,所有步骤和安装普通软件一样。在出现选择安装路径的界面时,需要注意的是,安装空间必须要有6GB,而且所在驱动器必须是NTFS格式的文件系统。
如果大家的Windows 2003中没有安装SQL Server,那么该软件还会在计算机上安装SQL Server桌面版。
在网站选择窗口,选择“使用现有IIS默认网站”即可,如果本地计算机还开启了其他站点服务。由于架设的是独立的升级服务器而不是其他服务器的镜像站点,所以在“镜像更新设置”中不用进行选择。现在,开始在本地计算机上安装WSUS。
2.设定补丁类型
由于微软的产品很多,我们不可能对它的所有产品都进行更新,所以需要根据公司的实际情况对补丁的类型进行设置。
WSUS安装完毕后,打开浏览器,使用地址访问WSUS的管理界面,也可直接输入计算机名或IP地址进行访问,在这里笔者输入进行访问。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。
第一次成功登录WSUS的界面后,会在下方“待做事项列表”中看到“同步服务器,现在就开始”的提示信息(图1),点击该选项开始设置WSUS。
图1
在同步选项设置界面,供我们设置的参数较多,由于篇幅有限这里不详细讲解了。平常用到最多的是“计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,我们可以在产品处选择可供更新的产品种类,除了Windows外,还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别(图2)。
图2
设置“产品和分类”与“更新分类”后,我们还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它我们可以设置更新的语言为简体中文。
至此,便完成了补丁类型及语言的设定工作,所有的前期工作已告一段落,接下来就需要对服务器和客户机进行具体操作了。
3.下载并审批补丁
我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。
在图2所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中我们不能进行任何操作,只能点击“停止同步”来结束更新操作。
大概等待2到3个小时就可完成补丁的更新,下载所用的时间是根据选择的补丁数量决定的。由于公司内网中的大部分计算机使用的都是Windows 2000操作系统,所以笔者只选择了更新Windows 2000补丁包及驱动程序。
仅仅下载完更新包还不能提供补丁更新服务,我们还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。
在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序,则不选择该补丁(图3)。
图3
----------------------------
在工作组的环境里,因为配置是需要用到管理员权限,于是就变成了逐台配置。
对单机的配置也可以用单机的组策略配置来实现,也可以采用修改注册表的方式来实现。因为单机的组策略配置反而麻烦,所以还不如修改注册表来的方便。(通过使用也发现,配置组策略也实际也是修改注册表。所以这2种方案实际是一样的。)
注册表的修改项包括:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
RescheduleWaitTime 重新计划自动更新计划后的等待时间
NoAutoRebootWithLoggedOnUsers 计划的自动更新安装后是否重新启动
NoAutoUpdate 启停自动更新
AUOptions 配置自动更新
ScheduledInstallDay 计划安装日期
ScheduledInstallTime 计划安装时间
UseWUServer 是否起用WSUS服务器
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
WUServer WSUS服务器
WUStatusServer 统计服务器
ElevateNonAdmins 是否允许普通用户审批更新
TargetGroupEnabled 是否设置目标组
TargetGroup 目标组名称
这上面简单的列举了些重要的注册表项。可能有些名称有些拗口。不过,这基本是从组策略里摘出来的,主要是为了引起一些简单的联想。实际上一看WSUS文档也就差不多了解了。
修改注册表的工作方式,完全可以采用形成一个注册表文件,然后放在单位内部网站上要求大家下载即可。
------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"RescheduleWaitTime"=dword:00000004
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000C
"UseWUServer"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"=""
"WUStatusServer"=""
