WSUS 概述
为了让用户的 windows 系统与其他 microsoft 产品能够更安全,更稳定,因此 microsoft 会不定期在网站上推出最新的更新程序供用户下载与安装,而用户可以通过以下方式来取得这些程序:
然而以上两种方式对企业内部来说,都可能会有以下缺点。
WSUS 是一个可以解决上述问题的产品,企业内部可以通过 WSUS 服务器集中从 Microsoft update 网站下载更新程序,并且在完成这些更新程序的测试工作,确定对企业内部计算机没有不良影响后,在通过网管审批程序,将程序部署到客户机上。
对于基本 WSUS 架构来说,WSUS 服务器与客户端计算机都必须满足适当的条件才能享受 WSUS 的好处。
可以在 windows server 2012 内通过新增角色的方式来安装 WSUS。安装 WSUS 之前,需要安装以下组件。
注:WSUS 服务器的系统分区与安装 WSUS 的磁盘分区的文件系统都必须是 NTFS。
WSUS 客户端计算机必须支持自动更新功能,Windows 2000 sp4 以后的客户端都支持。
可以利用 WSUS 服务器内置的 WSUS 管理控制台执行 WSUS 服务器的管理工作,还可以在其他计算机上管理 WSUS 服务器。不过,需要在这些计算机上安装 WSUS 控制台,但是这些计算机必须已安装下列组件:
如果能够将企业内部客户端计算机适当分组,就可以更容易与明确地将更新程序部署到指定计算机上。系统默认内置 2 个计算机组,即所有计算机与未分配的计算机,客户端计算机在第一次与 WSUS 服务器接触时,系统默认会见该计算机加入者 2 个组内。可以在添加更多的组。可以创建测试计算机组,新的补丁部署到测试计算机组,没有问题在应用到业务计算机组内。
也可以创建更复杂的 WSUS 服务器架构,也就是创建多台 WSUS 服务器,并设置让其中一台 WSUS 服务器从 microsoft 网站获取更新程序,但是其他服务器并不直接连接 Microsoft 网站,而是从上游的组服务器来获取程序,而下游服务器从上游服务器获得更新程序。
这种将 WSUS 服务器通过上下游方式串接在一起的模式有两种 "
注意,上述计算机组信息只有计算机组本身而已,并且不包含计算机组的成员,必须自行在下游服务器来管理组成员,而客户端计算机在第一次与下游 WSUS 服务器接触时,这些计算机会默认被同时加入到所有计算机和未分配计算机组内。
可以根据公司网络环境的需求采用上下游 WSUS 服务器的串接方式。
采用上下游 WSUS 服务器串接架构,还需要考虑到不同语言的更新,例如,如果上游服务器在总部,总部需要简体中文的程序,而下游架设在分公司,分公司需要的语言是英文,虽然总公司需要的语言是简体中文,当必须在中公司的上游服务器选择同事下载中文和英文版的更新程序。连接 Microsoft 网站的上游服务器必须下载所有下游服务器需要的所有语言的更新程序,否则下游服务器将无法获取所需语言的更新程序。
注:这种上下游串联的方式,建议最好不要超过 3 层(虽然理论上没有层数限制),因为每增加一层,就会增加延迟时间,因而拉长将更新程序传递到每台计算机的时间。
可以利用 Windows Server 2012 的内置数据库或 Microsoft SQL Server 2005 sp2 来构建数据库。每台 WSUS 服务器都有自己独立的数据库,这些数据库用来存储以下信息:
然而上述数据库并不会存储更新程序文件本身,必须另外选择更新程序文件的存储地点,有以下两种选择。
存储在 WSUS 服务器的本地硬盘内:此时 WSUS 服务器会从 Microsoft 网站下载更新程序,并将其存储到本地硬盘内。此种方式让客户端直接从 WSUS 服务器获取更新程序,不用到 Microsoft 网站下载,这样可以节省网络带宽。
WSUS 服务器的硬盘必须有足够空间来存储更新程序文件,最少要有 20g 的可用空间。实际需要更多的空间。
存储在 Microsoft 网站上:此时 WSUS 服务器并不会从 Microsoft 网站下载更新程序,换句话说,当执行 WSUS 服务器与 Microsoft 网站之间的同步工作时,WSUS 服务器只会从网站下载更新程度的 metadata 数据,并不会下载更新程序本身。
因此,当你审批客户端可以安装某个更新程序后,客户端是自己连接到网站下载。如果客户端计算机数量不多,或客户端与 WSUS 服务器之间的连接速度比较慢,但是与网络之间的连接速度较快时,可以选择此选项。
WSUS 允许你延期下载更新程序文件,也就是 WSUS 服务器会先下载更新程序的 metadata,之后再下载更新程序文件。更新程序文件只有在你审批该程序后才会被下载,这种方式可以节省带宽与 WSUS 服务器的硬盘空间使用量。Microsoft 建议你采用延迟下载更新的方式,也就是默认值。
客户端计算机要安装更新程序时,此计算机内可能已经有该更新文件的旧版本,这个旧文件和新更新之间的差异可能不大。如果客户端能够只下载新版与旧版之间的差异,然后利用将差异合并到旧文件的方式来更新,可以减少从 wsus 服务器下载的数据量,降低企业内部网络的负担。
不过采用这种方式,WSUS 服务器从 Microsoft 网站下载的文件会比较大,因为此文件内必须包含新更新程序和各旧版自己的差异,因此 WSUS 服务器在下载文件时会占用对外的网络带宽。
例如,假如更新程序原始大小 100mb,未使用快速安装的情况,此服务器会从 microsoft 网站下载 100mb 的文件,客户端也是从服务器下载 100mb 的数据量。使用快速安装的情况下,此文件变为比较大的 200mb(假设)。虽然 WSUS 服务器必须从 microsoft 下载的文件大小为 200mb,但是客户端从 WSUS 服务器仅下载 30mb 的数据量,系统默认未使用快速安装文件。
构建 WSUS 并不需要 AD 域环境,然而为了利用组策略来充分管理客户端的自动更新设置,建议采用 AD 域环境。
我们将利用下图所示的环境进行说明。安装一台域控 DC,WSUS 服务器为成员服务器,计算机名为 WSUS;另外,图中多台客户端可以为 win7,win8 等,我们假设他们也都加入域。
http://www.microsoft.com/zh-cn/download/details.aspx?id=35747
http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409
如果要将手动同步改成自动同步,需要设置同步计划。前面安装的所有设置,都可以通过选项界面进行更改。在同步尚未完成之前,无法存储更改的设置,需要等待同步完成后更改设置。
我们要让客户端计算机能够通过 WSUS 服务器下载更新程序,而这个设置可以通过以下两种方法来完成。
组策略: 在 AD 域环境下,可以通过组策略进行设置。
本地计算机策略:如果没有 AD 域环境,或客户端计算机未加入域,则可以通过本地计算机策略进行设置。
我们利用组策略来进行说明。在域中创建一个 GPO,WSUS 策略,然后通过这个 GPO 来设置域内的所有客户端计算机的自动更新配置。
设置完成后,必须等域内的客户端应用这个策略才能有效,而客户端计算机默认每隔 90-120 分钟应用一次。到客户端计算机上执行 gpupdate/force 命令。 应用完成后,还必须等客户机与 wsus 服务器接触后,在 wsus 管理控制台才能看到这些客户机。不过需要等待 20 分钟才会主动联系 WSUS 服务器。在客户机上执行 wuauclt/detectnow 命令。
在 wsus 管理界面可以看到所有客户端机器,如果还有机器仍为显示,可以想到这些计算机上执行组策略刷新命令。
注:如果客户端有新的更新状态可报告,而你希望立即报告,请到客户端计算机上执行 wuauclt/reportnow.
为了便于利用 WSUS 管理控制台来部署客户端计算机所需的更新程序,建议将计算机进行分组。例如要创建一个名为业务部计算机的组,并将隶属于业务部的计算机移动到此组内。
WSUS 下载的所有更新程序都要经过审批后,客户端计算机才可以安装此更新程序,此处假设要审批某个安全更新,以便让业务组计算机安装此更新。
由于 WSUS 默认会延迟下载更新程序,也就是 WSUS 服务器与 Microsoft Update 同步时仅会下载更新程序的 metadata。当我们审批更新程序后,更新程序才会下载。由于我们刚审批上述更新,WSUS 服务器正要开始下载此更新,必须等下载完成后,客户端计算机才可以开始安装此更新。
下图,审批栏目出现了安装 1/3 字样,表示当前有 3 个计算机组,只有其中一个组已经被审批安装此更新。
客户端默认每隔 17.6-22 小时才会连接服务器检查是否有更新程序下载,可利用 wuauclt/detectnow 来手动检查。检查到后根据组策略的设置来进行更新。
客户端可以通过组策略自动更新检测频率来更新检查时间。如果希望客户端计算机能够早一点自动检测,可以修改此值。
只要客户端检查到可用下载,会自动右下角提示有更新。
单击某个程序右侧的拒绝,则系统将解除其审批,同时在 WSUS 数据库内与此更新有关的报告数据都将删除,还有在此界面上也看不到此更新程序。如果要看到被拒绝的更新程序,请到审批处选择已拒绝后单击重新整理。
可以设置当 WSUS 服务器与 Windows Update 同步时,自动审批下载的更新程序。例如,如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机: 单击选项中的自动审批,在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序,请单击允许规则。
单击高级标签后,还可以更改以下设置。
本站介绍更多的关于自动更新的组策略,以便进一步管理客户端计算机与 WSUS 服务器之间的通信方式。通过另外创建 GPO 的方式进行配置,尽量不要通过内置的 Defult Domain Policy GPO 进行设置。
此策略用来配置客户端下载与安装更新的方式。
用来指定让客户端计算机从 WSUS 服务器获取更新程序。
用来设置客户端多久与服务器连接,检查是否有新更新程序。
当更新程序下载完成并且准备好安装时,会根据配置自动更新的策略来决定何时更新。启用此策略后,某些新程序会立刻安装。这些更新是指那些即不会中断 Windows 服务,也不会重新启动 Windows 系统的更新程序。
如果通过计划制定某个时间点来执行安装更新程序,但是时间到达时,客户端计算机却没有开机。此策略用来设置客户端计算机重新开机后,需要等多少时间后开始安装更新。
应用此设置的所有计算机会自动加入指定的计算机组内,不需要管理员手动加入。
下图,所有计算机会自动加入业务组计算机。
如果此策略启用,客户计算机就可以从 WSUS 服务器下载由第三方开发和签名的更新程序; 如果未启用,客户端只能下载 Microsoft 签名的更新程序。
虽然 WSUS 客户端可以通过 WSUS 服务器来进行更新,但是系统本地管理依然可以通过开始菜单的 windows 更新来私自连接 Microsoft Update 网站。为了减少这种情况发生,建议通过此策略将客户计算机的 windows update 链接删除。完成后开始菜单的连接不会显示,控制面板的更新检查更新也会失效。
用户配置 - 策略 - 管理模板 - 开始菜单和任务栏
如果启用此策略,则会禁止客户端访问 Microsoft 更新网站,例如客户端通过开始菜单的 Windows 更新链接无法访问 Windows Update 网站,直接在浏览器里输入 windows update 网页也无法访问,不过客户机依然可以通过 WSUS 来获取。
计算机配置 - 策略 - 管理模板 - 系统 - internet 通信管理 - internet 通信设置
原文地址 www.cnblogs.com