Windows Server WSUS.docx
- 文档编号:10418859
- 上传时间:2023-02-11
- 格式:DOCX
- 页数:25
- 大小:5.32MB
Windows Server WSUS.docx
《Windows Server WSUS.docx》由会员分享,可在线阅读,更多相关《Windows Server WSUS.docx(25页珍藏版)》请在冰豆网上搜索。
WindowsServerWSUS
在“服务器管理器”中,单击“仪表板”,然后单击“添加角色和功能”。
在“开始之前”页面上,单击“下一步”。
在“选择安装类型”页上,确认已选择“基于角色或基于功能的安装”选项,然后单击“下一步”。
在“选择目标服务器”页上,选择服务器所在的位置(从服务器池或虚拟硬盘中)。
选择位置后,选择你想安装WSUS服务器角色的服务器,然后单击“下一步”
在“选择服务器角色”页上,选择“WindowsServerUpdateServices”。
在“添加角色和功能向导”对话框中,单击“添加功能”,然后单击“下一步”。
在“选择功能”页上,保留默认选择,然后单击“下一步”。
重要事项
WSUS仅需要默认的WebServer角色配置。
如果你在设置WSUS时收到有关额外WebServer角色配置的提示,你可安全接受默认值并继续设置WSUS。
在“WindowsServerUpdateServices”页上,单击“下一步”。
在“选择角色服务”页上,保留默认选择,然后单击“下一步”。
这里我使用的是WID内部数据库,因为环境比较少,用这个数据库就足够了,如果比较大的环境或者想做WSUS的高可用,也可以考虑选择使用SQLserver数据库。
在“内容位置选择”页上,键入有效的位置以存储更新,然后单击“下一步”。
存储更新的位置可以是WSUS的本地路径,也可以放到UNC共享里面。
在“确认安装选择”页上,查看所选的选项,然后单击“安装”。
在“安装进度”页上,单击“启动后安装任务”,并等到此任务顺利完成,然后单击“关闭”。
2.当我们安装完成一级WSUS服务器角色之后,第一次使用WSUS的时候会进入WSUS的配置向导,对WSUS做一个基本的设置。
当然这个配置向导是集成在WSUS里面的,可以在任何时间使用配置向导对WSUS进行配置。
在“服务器管理器”导航窗格中,单击“仪表板”,单击“工具”,然后单击“WindowsServerUpdateServices”。
WindowsServerUpdateServices向导出现在“开始之前”页上,单击“下一步”
“加入Microsoft更新改善计划”页上的说明,评估你是否想参与其中。
如果要参与该计划,请单击“下一步”继续。
在“选择上游服务器”页上,你可选择将更新与Microsoft更新或其他WSUS服务器同步。
如果你选择从其他WSUS服务器同步,请指定服务器名称以及该服务器与上游服务器通信时所在的端口。
若要使用SSL,请选中“同步更新信息时使用SSL”复选框。
服务器将使用端口443进行同步。
(确保该服务器和上游服务器支持SSL)。
如果这是副本服务器,请选择“这是上游服务器的副本”复选框。
为你的部署选择适当选项后,单击“下一步”继续
目前部署的是一级WSUS服务器,所以我选择直接从microsoft进行同步。
在“指定代理服务器”页上,选中“同步时使用代理服务器”复选框,然后在对应的框中键入代理服务器名称和端口号(默认是端口80)。
Important重要事项
如果你确定WSUS需要代理服务器才能访问Internet,则必须完成上一步骤。
如果你希望通过使用特定用户凭据来连接代理服务器,请选择“使用用户凭据连接代理服务器”复选框,然后在对应的框中键入用户名称、域和用户密码。
如果你希望启用已连接代理服务器的用户的基本身份验证,请选择“允许基本身份验证(以明文形式发送密码)”对话框。
此时,你完成了代理服务器配置。
单击“下一步”转到下一页,这时你可以开始设置同步进程。
由于测试环境中没有代理服务器,所以不勾选。
在“连接到上游服务器”页上,单击“开始连接”
这里要求必须有internet链接。
在“选择语言”页上,你可选择WSUS将收到更新的语言—所有语言或语言子集。
选择语言子集将节省磁盘空间,但必须选择此WSUS服务器的所有客户端需要的所有语言。
如果你选择仅获得特定语言的更新,请选择“仅下载这些语言的更新”,然后选择你希望获得更新的语言;否则保留默认选择。
为你的部署选择适当语言后,单击“下一步”继续。
中国大陆一般选择英文和简体中文。
如果你选择“仅下载这些语言的更新”选项,且该服务器具有与其连接的下游WSUS服务器,该选项将强制下游服务器也仅使用所选的语言。
“选择产品”页允许你指定希望更新的产品。
选择产品类别(如Windows)或特定产品(如WindowsServer2008,Windows8)。
选择产品类别将选择该类别的所有产品
为你的部署选择适当的产品选项后,单击“下一步”继续。
在“选择类别”页上,选择要包含的更新类别。
选择所有类别或其子集,然后单击“下一步”继续
在“设置同步计划”页上,选择手动或自动执行同步。
如果你选择“手动同步”,你必须通过WSUS管理控制台启动同步过程。
如果你选择“自动同步”,WSUS服务器将每隔一段时间执行同步。
设置“第一次同步”的时间,并制定你希望该服务器执行的“每天同步”次数。
例如,如果你指定每天同步四次,从上午3:
00开始,则同步将在上午3:
00、上午9:
00、下午3:
00和下午9:
00发生。
为你的部署选择适当的产品选项后,单击“下一步”继续。
在“完成”页上,你可通过选择“开始初始同步”对话框,即时启动同步。
如果你不选择此选项,你必须使用WSUS管理控制台来执行初始同步。
如果你希望阅读有关其他设置的详细信息,请单击“下一步”,或单击“完成”来结束该向导并完成初始WSUS设置。
点击完成;
组策略配置自动更新
如果公司具备域环境的话,我们可以根据不同的计算机组的要求,来配置不同的WSUS的自动更新策略。
比如测试机器链接一套GPO,生产服务器链接一套GPO,针对于测试环境和生产环境的服务器和客户端的策略都是不一样,可以进行自定义设置的。
当然如果机器比较少,环境比较简单,也可以直接新建一个覆盖全域的GPO,来做WSUS的策略。
(在我的一级WSUS服务器上,我新建了4个计算机组,这四个计算机组都对应到AD中相应的计算机的OU(关于计算机组的设置和客户端目标的设置将在下篇文章介绍),)我们可以为域级别、测试计算机组OU和生产计算机组OU来制定不同的WSUS组策略。
首先我们来在defaultdomainpolicy做一个影响全域计算机的自动更新策略。
在组策略管理控制台(GPMC)中,浏览到默认的defaultdomainpolicy的GPO,然后单击“编辑”
在GPMC中,依次展开“计算机配置”、“策略”、“管理模本”和“Windows组件”,然后单击“Windows更新”。
在详细信息窗格中,双击“配置自动更新”。
单击“已启用”,然后单击“配置自动更新”设置下的以下选项之一:
1 下载通知和安装通知。
该选项会在你下载和安装更新之前通知登录的管理用户。
2 自动下载和通知安装。
该选项将自动开始下载更新,然后在安装更新之前通知登录的管理用户。
3 自动下载和计划安装。
该选项自动开始下载更新,然后在你指定的当天和时间安装更新。
4 允许本地管理员选择设置。
该选项可让本地管理员使用控制面板中的自动更新来选择配置选项。
例如,他们可以选择计划的安装时间。
本地管理员不能仅用自动更新。
计算机配置->策略->管理模本->Windows组件->windowsupdate点击“指定intranetMicrosoft更新服务位置”
单击“已启用”,然后在“设置Intranet更新服务以检测更新”框和“设置Intranet统计服务器”框中键入相同WSUS服务器的URL例如,在这两个框中(其中服务器名称是WSUS服务器的名称),键入http:
//servername,然后单击“确定”
如图所示:
当你键入WSUS服务器的Intranet地址时,确保指定准备使用哪个端口。
默认情况下,WSUS使用适用于HTTP的端口8530以及适用于HTTPS的端口8531。
例如,如果使用HTTP,则应键入http:
//servername:
8530。
可以设置“自动更新检测的频率”,默认是22小时,我们可以根据实际的需要来调整间隔。
如图。
可以启用“对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样的话,当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,计算机不会强制重启,如图。
对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,我们可以配置启用“允许自动更新立即安装”,如图。
全域级别的组策略设置完成后,我们还可以针对测试组合生产组来配置不同的自动更新策略。
下面我们来为技术部配置一个自定义的GPO,该GPO的优先级会高于默认的域组策略,所以该GPO所链接到的计算机OU内的计算机客户端都会优先应用该策略。
右击“技术部”计算机OU,选择“在这个域中创建GPO并在此处链接”,如图。
输入新建GPO对象如图:
打开新编辑的GPO对象,右键“编辑”,如下图:
然后我们就可以为该GPO设置不同的自动更新策略了,所有链接到这个策略的计算机OU都会应用该策略。
一般来说:
技术部组服务器和客户端我们可以配置自动下载通知安装或者自动下载计划安装,这里也可以根据各部门安装软件需求,来装,如果需要手动控制打补丁的行为和重启时间,我们可以配置自动下载并通知安装,具体要看需求。
设置策略之后,客户端计算机几分钟后,计算机将出现在WSUS管理控制台中的“计算机”页上。
对于配有基于域的组策略对象的客户端计算机,组策略将花费大约20分钟才能将新的策略设置应用于客户端计算机。
默认情况下,组策略会在后台每隔90分钟更新一次,并将时间作0到30分钟的随机调整。
如果你希望更快地更新组策略,可在客户端计算机上打开“命令提示符”窗口,并键入gpupdate/force。
配置计算机组和客户端目标
对于WSUS来说,配置计算机的方式有两个出发点,一个是使用updateservices控制台来配置计算机组,计算机分组的管理都需要手动维护,第二种是使用计算机上的组策略和注册表设置,可以利用组策略中自动更新策略中的客户端目标设置,来让应用到组策略的用户自动被分配到对应的计算机组里,这两种方;
首先我们来看第一种,使用updateservice控制台来设置和维护计算机组。
默认情况下只有一个未分配计算机组,如图。
输入计算机组的名称,如图。
按照上面同样的方式,我分别创建了二个计算机组,如图。
这个时候在WSUS控制台——选项——计算机设置中,要选择“使用updateservices控制台”,如图。
在使用上面的配置情况下,默认WSUS收到的客户端会被放到未分配计算机组里面,我们可以右击某一台计算机,选择“更改成员身份”,将其手动挪到其他计算机组里面,如果有多个机器的话,也可以按住CRTL键进行多选。
上面我们说了第一种情况,现在开始说另外一种情况,另外一种情况就是我们可以在配置WSUS控制台——选项——计算机设置中,选择“使用计算机上的组策略或注册表设置”,如图。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows Server WSUS