局域网如何架设WSUS系统补丁升级服务器：

network

局域网如何架设WSUS系统补丁升级服务器：
环境：局域网内一台电脑，系统需要win2003或其他服务器系统，

WSUS（Microsoft? Windows? Server Update Services）是微软推出的免费的 Windows更新管理服务，目前最新版本为2.0.0.2472，除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。

微软推出了WSUS服务器，它是免费向大家提供的。




安装需求
硬件安装需求
对于安装WSUS服务的计算机硬件配置具有以下要求，关于它们的详细描述，请参见部署与规划一文：
• 系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式；
• 系统分区至少有1G的剩余空间；
• 进行本地存储时，存储WSUS更新文件内容的分区至少需要6G剩余空间，推荐30G，详见部署与规划一文；
• 安装WMSDE的分区至少要求有2GB的剩余空间。
• 应根据服务的客户端数量来决定服务器的硬件配置，对于服务500个客户计算机的WSUS服务器，推荐采用至少为CPU 1G/内存 1G的硬件配置。
　
软件安装需求
WSUS服务器只能在Windows 2000服务器或者Windows server 2003上进行安装。在不同的操作系统上进行安装时，WSUS所要求的已安装软件略为不同，具体为：
在Windows server 2003上进行安装时，要求已安装以下软件：
• Internet信息服务（IIS）6.0；
• 后台智能传输服务（BITS）2.0；
• Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003，下载；
安装 WSUS需要安装数据库软件，但是此处并没有将其列出，原因是在Windows Server 2003安装WSUS时默认会包括Windows SQL Server? 2000 Desktop Engine (WMSDE) 数据库软件，关于WMSDE的详细描述，请参见部署与规划一文。对于最新的Windows server 2003 SP1，已经满足上述要求，你只需要添加应用程序服务器中的启用网络COM+访问和IIS组件中的万维网服务即可，其他组件在安装WSUS时会自动进行配置。
在Windows 2000服务器上进行安装时，要求已安装以下软件：
• Windows 2000 Server Service Pack 4
• Internet信息服务（IIS）5.0；
• 后台智能传输服务（BITS）2.0；
• 和Microsoft SQL完全兼容的数据库软件，推荐使用MSDE，
• Microsoft Internet Explorer 6.0 Service Pack 1；
• Microsoft .NET Framework Version 1.1 可再发行组件包；
• Microsoft .NET Framework 1.1 Service Pack 1；
在Windows 2000上进行安装时，要求IIS中必须具有Web站点，否则WSUS会安装失败。
　
强烈推荐大家在Windows server 2003上安装WSUS服务器。在安装WSUS服务器之前，你应该做好服务器的安全配置，关于WSUS服务器的安全配置，我将另文阐述。
默认情况下，WSUS Web站点会使用IIS中的默认站点，也建议大家这样做。WSUS会在现有默认Web站点中添加部分文件和虚拟目录，但是不会影响原有Web站点的运行。你可以按照修改普通Web站点属性那样来修改WSUS Web站点的属性，例如主机名头、站点绑定的IP地址等等，只要确保客户端计算机可以通过组策略中配置的Intranet更新服务位置正常访问WSUS Web站点即可。但是不应修改WSUS Web站点的虚拟目录和目录结构，并且修改目录访问权限之前必须仔细考虑。
你可以在独立服务器上安装WSUS服务器，也可以在域成员服务器、域控制器上安装WSUS。但是如果想修改域中安装了WSUS的服务器的级别，例如从域成员服务器提升为域控制器或者从域控制器降级为域成员服务器，你必须先卸载WSUS服务器，进行提升或降级操作后再安装WSUS服务器。并且对于将安装了 WSUS服务器的域控制器降级为域成员服务器的场景，在完成降级操作后，你还需要完成以下步骤：
• 创建一个名为 ASPNET 的用户帐户；
• 在命令提示符下，运行aspnet_regiis -i。
然后再安装WSUS服务器。
安装WSUS
你可以从微软免费下载WSUS服务器，目前最新版本为2.0.0.2472，大小为124M，下载地址为
http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
在服务器满足以上条件之后，双击下载的WSUSSetup.exe进行安装。在此我是在一台操作系统为Windows server 2003 SP1的服务器上进行安装，此服务器为WinSVR.ORG域的域控制器。
在欢迎使用WSUS安装程序向导页，点击下一步；


在许可协议页，在查看许可协议后，点击我接受许可协议中的条款，点击下一步；


在选择更新源页，根据你的需要选择是否本地存储更新，详细说明请参见部署与规划一文；在此我选择本地存储更新，然后选择本地存储路径，此存储路径所对应的驱动器必须采用NTFS文件系统格式并且至少具有6G剩余空间，点击下一步


在数据库选项页，选择你使用的数据库类型。在Windows server 2003上安装时默认使用WMSDE数据库，也推荐你使用它。如果你想使用本地服务器上现有的SQL Server数据库服务器，那么选择使用该计算机上现有的数据库服务器并选择数据库服务器实例。在此我接受默认的在该计算机上安装SQL Server Desktop Engine（Windows），然后选择存储数据库文件的本地路径。此路径对应的驱动器必须要求采用NTFS文件系统格式以及具有2G以上剩余空间；如果和存储更新文件的本地驱动器相同，那么此驱动器必须至少具有8G以上剩余空间，选择好后点击下一步；




在网站选择页，你可以选择使用端口TCP 80的默认Web站点，也可以选择创建一个使用端口TCP 8530的Web站点。当使用自定义Web站点时，必须把端口号包含在提供给客户端计算机的更新位置地址中；并且为了实现自动更新客户端的自我更新，你必须在使用端口TCP 80的Web站点中创建自我更新目录，详细说明请参见部署与规划一文。强烈建议你选择使用现有IIS默认Web网站。注意看下部文本框中提供的WSUS管理控制台访问地址和客户端计算机访问更新的位置，点击下一步；



在镜像更新设置页，选择这台服务器担当的角色。根据WSUS管理模式的不同，WSUS服务器可以担当的角色也不同。在分布管理模式中，WSUS服务器只能作为独立管理的服务器；在集中管理模式中，WSUS服务器可以作为独立管理的服务器（主服务器），也可以作为复制主服务器配置的复制服务器，详细说明请参见部署与规划一文。如果你要将此WSUS服务器配置为复制服务器，则选择该服务器应继承来自以下服务器的设置并输入服务器名和端口号，此服务器就将配置为目标服务器的复制服务器。此配置只能在安装WSUS服务器时进行，安装完成后不能修改。在此我将此WSUS服务器安装为独立管理服务器，不选择任何选项，点击下一步；



在准备安装Microsoft Windows Server Update Service页，回顾你所选择的配置，然后点击下一步



此时，WSUS开始进行安装，稍等片刻后，安装完成，在正在完成Microsoft Windows Server Update Services安装程序向导页，勾选启动Web管理工具，点击完成。



此时，WSUS服务器的安装就完成了。然后登录进入WSUS管理页面，输入电脑的用户名和密码登录，然后与服务器同步，第一次同步的时间可能比较长。


WSUS客户端电脑－更新和配置自动更新方法


WSUS 客户端计算机要求使用兼容的自动更新版本。WSUS 安装程序会自动配置 IIS，以便将自动更新的最新版本分发给连接到 WSUS 服务器的每台客户端计算机。

注意：
尽管大多数的自动更新版本都可以指向 WSUS 服务器，而且将自动自我更新到与 WSUS 兼容的版本，但不带任何 Service Pack 的 Windows XP 附带的自动更新版本无法自动进行自我更新。如果您的环境中安装了不带任何 Service Pack 的 Windows XP，而且您从未使用过 Software Update Services (SUS)，请参阅“部署 Microsoft Windows Server Update Services”白皮书（文档可能为英文）了解有关详细信息。

配置自动更新的最佳方法取决于您的网络环境。在 Active Directory 环境中，可以使用基于 Active Directory 的组策略对象 (GPO)。在非 Active Directory 环境中，可以使用本地组策略对象。无论使用本地组策略对象还是使用域控制器上存储的 GPO，都必须先将客户端计算机指向 WSUS 服务器，然后才能配置自动更新。

以下说明假定您的网络运行 Active Directory。这些过程还假定您已经熟悉且设置了组策略，并使用组策略管理网络。您需要新建一个包含 WSUS 设置的组策略对象 (GPO)，然后在域级链接该 GPO。

有关组策略的详细信息，请参阅组策略页，网址为：http://go.microsoft.com/fwlink/?LinkID=47375。

步骤 5 包括以下过程：

• 加载 WSUS 管理模板。
• 配置自动更新。
• 将客户端计算机指向 WSUS 服务器。
• 在客户端计算机上手动启动检测。

对基于 Active Directory 的组策略对象执行如下三个过程。

添加 WSUS 管理模板
1. 在组策略对象编辑器中，单击任一“管理模板”节点。

2. 在“操作”菜单上，单击“添加/删除模板”。

3. 单击“添加”。

4. 在“策略模板”对话框中，单击“wuau.adm”，然后单击“打开”。

5. 在“添加/删除模板”对话框中，单击“关闭”。


配置自动更新的行为
1. 在组策略对象编辑器中，依次展开“计算机配置”、“管理模板”、“Windows 组件”，然后单击“Windows Update”。

2. 在详细信息窗格中，双击“配置自动更新”。

3. 单击“已启用”，然后单击下列选项之一：

• 提醒下载并提醒安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。

• 自动下载并提醒安装。该选项会自动开始下载更新，然后在安装更新之前对已登录的管理用户进行提醒。

• 自动下载并计划安装。如果将自动更新配置为执行计划安装，那么还必须设置执行计划安装的日期和时间。

• 允许本地管理员选择设置。如果选择该选项，则允许本地管理员使用“控制面板”中的“自动更新”来自行选择配置选项。例如，他们可以选择自己的计划安装时间。不允许本地管理员禁用自动更新。

4. 单击“确定”。


注意：
只有当自动更新已自行更新到与 WSUS 兼容的版本之后，才会显示“允许本地管理员选择设置”选项。

将客户端计算机指向 WSUS 服务器
1. 在组策略对象编辑器中，依次展开“计算机配置”、“管理模板”、“Windows 组件”，然后单击“Windows Update”。

2. 在详细信息窗格中，双击“指定 Intranet Microsoft 更新服务位置”。

3. 单击“已启用”，然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中键入同一 WSUS 服务器的 HTTP URL。例如，在两个框中都键入 http://servername。

4. 单击“确定”。


注意：
如果使用本地组策略对象将此计算机指向 WSUS，该设置将立即生效，而该计算机将在大约 20 分钟之后才能显示在 WSUS 管理控制台中。您可以通过手动启动检测周期来加快该过程。

设置完客户端计算机后，该计算机需要等待数分钟才能显示在 WSUS 控制台中的“计算机”页上。对于使用基于 Active Directory 的 GPO 配置的客户端计算机，需要在组策略刷新（将所有新设置应用到客户端计算机）之后等待大约 20 分钟。默认情况下，每隔 90 分钟组策略便会在后台刷新一次，刷新的时间可能随机偏移 0 到 30 分钟。如果想要以更快的速度刷新组策略，您可以在客户端计算机上转到命令提示符下，并键入：gpupdate /force。

对于使用本地 GPO 配置的客户端计算机，将立即应用组策略，而该计算机将在大约 20 分钟之后才能显示在 WSUS 控制台中。

一旦应用了组策略，便可手动启动检测。如果执行此步骤，则不必等待 20 分钟便可将客户端计算机连接到 WSUS 服务器。

手动启动 WSUS 服务器检测
1. 在客户端计算机上，单击“开始”，然后单击“运行”。

2. 键入 cmd，然后单击“确定”。

3. 在命令提示符下，键入 wuauclt.exe /detectnow。此命令行选项将指示自动更新立即连接到 WSUS 服务器。

network

WSUS的作用：
我们日常使用的微软系列软件，如操作系统（Windows 2000，XP等）、办公软件（Office 2000/XP/2003）、SQL Server数据库、Exchange等，经常发布升级补丁。这些补丁通过对系统的安全或重大缺陷进行修正，提高系统的安全性和稳定性。一些病毒和黑客程序正是利用系统的缺陷侵入系统的。所以及时升级系统补丁是保证系统安全的重要环节。
一般可以通过微软的升级服务器获得补丁。但是这些升级服务器多数架设在国外，公司内每台电脑都通过外网访问升级服务器，不仅速度慢、效率低，如果公司内部有大量电脑使用，每台电脑都通过外网更新补丁就会造成公司Internet带宽的浪费；此外，并不是所有的补丁都需要去升级，而对每个用户来说，很难判断哪些补丁适合于自己的电脑。
微软提供了一个免费的补丁升级系统Windows Server Update Services，简称WSUS，2007年发布了3.0版本，非常适合于中小规模的企业部署使用。
WSUS系统需要在局域网内设置企业的WSUS服务器，通过它与微软的升级服务器联系，并将所需补丁及时推送给企业局域网内的每台电脑。下面简介配置及部署过程
一、WSUS系统的安装要求
1、硬件要求需要一台服务器，要求配置：
CPU：1.0GHz以上
内存：1GB以上
目前大多数服务器均可满足要求；
2、磁盘要求要安装 WSUS，服务器上的文件系统必须满足以下要求：
* 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。
* 系统分区至少需要 1 GB 的可用空间。
* WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间大于30 GB。
* WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。
3、软件要求：要使用默认选项安装 WSUS，必须在计算机上安装以下软件。
*操作系统：Windows 2000 Server ＋ SP4，建议使用Windows Server 2003。
Windows Server 2003 Service Pack 2（32 位 x86）
* Microsoft Internet 信息服务 (IIS) 6.0。
* 用于 Windows Server 2003 的 Microsoft .NET work 1.1 Service Pack 1。
用于后台智能传输服务 (BITS) 2.0 和 WinHTTP 5.1 Windows Server 2003 的更新程序
用于 Windows Server 2003 的 Microsoft 管理控制台 3.0
用于 Windows XP 的 Microsoft 管理控制台 3.0（使用Windows XP系统管理WSUS系统时需要）
Microsoft Report Viewer Redistributable 2005 SP1
以上软件均可以从微软网站下载。安装WSUS前，应确保上述软件安装完毕。
4、客户端的要求接受自动更新管理的客户端应启动其自动更新 WSUS客户端组件。
除了需要连接到网络外，客户端自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新：
Windows 2000系列：需带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。
Microsoft Windows XP Professional。
Microsoft Windows Server 2003系列。

WSUS服务器端安装
1、下载WSUS3.0软件32位版本的下载地址：
http://download.microsoft.com/download/1/a/7/1a745ad1-0b08-4703-b876-4575411af74b/WSUS3Setupx86.exe。
64位版本的下载地址：
http://download.microsoft.com/download/1/a/7/1a745ad1-0b08-4703-b876-4575411af74b/WSUS3Setupx64.exe。
2、双击安装程序文件“WSUSSetup.exe”。 3、在向导的“欢迎使用”页上，单击“下一步”。4、仔细阅读许可协议的条款，单击“我接受许可协议中的条款”，然后单击“下一步”。 5、选择更新源在“选择更新源”页上，可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框，更新便会存储在 WSUS 服务器上，您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新，客户端计算机将连接到 Microsoft Update 以获取已批准的更新。
建议选择“本地存储更新”并将存储更新目录设置在系统盘C以外，如“D:\WSUS”，然后单击“下一步”。
6、数据库选项在“数据库选项”页上，选择用于管理 WSUS 数据库的软件。默认情况下，如果要安装的计算机运行 Windows Server 2003，WSUS 安装程序将提出安装 WMSDE。如果无法使用 WMSDE，则必须为 WSUS 提供可以使用的 SQL Server 实例，具体操作方法是：单击“使用该计算机上现有的数据库服务器”，然后在“选择 SQL 实例名”框中键入实例名。然后“下一步”。
建议使用WMSDE。并将数据库安装在前面选择的目录（D:\WSUS）中。

7、网站选项用于指定WSUS服务的网站，客户端根据这个参数配置，以获得更新服务。
有两个选择：
一是“使用现有IIS默认网站”，——本服务器没有其它IIS网站时选择，端口将为80。客户端配置时使用：http://<服务器名>。
另一种选择“创建Windows Server Update Services 3.0网站”，将使用8530端口，不改变原有的IIS网站设置。客户端配置时使用：http://<服务器名>:8530。

WSUS系统服务器端配置
1、开始配置前准备安装完毕后，将启动WSUS配置向导。开始配置前，应做到：
l 服务器防火墙配置为允许客户端访问；
l WSUS服务器应配置成能访问Internet，以便从微软Update服务网站获得更新；
2、Microsoft Update改善计划没有精力的话就不要选择参与改善计划；
3、选择上游服务器这里应该选择“从Microsoft Update进行同步”。
4、选择代理服务器对于WSUS服务器通过代理访问Internet的，需要设置。
在接下来的界面中，点击“开始连接”。等待连接完成。
5、选择语言连接过程中，系统会下载可选的语言等内容，时间较长。连接完成后，进入“选择语言”。
建议选择“简体中文”以及英文就可以了。
6、选择产品可以根据公司现有使用的微软公司产品选择。如果WSUS服务器的硬盘容量足够大，可以选择所有产品。
一般来说，应当选择Office、SQL Server、Windows等常用程序。
7、选择分来这是系统补丁的分类。建议选择全部。
8、配置同步这里配置WSUS服务器与微软的Windows Update服务器的同步，建议配置成自动同步，同步时间设置在每天的深夜，这样可以利用Internet带宽空闲的时候同步。
9、完成配置完成配置后，选择“启动Windows Server Update Services管理控制台”以及“开始初始同步”。

WSUS系统其它配置
1、配置审批WSUS系统可以选择对某些分类的补丁执行自动审批。建议选择“默认的自动审批规则”，即对“安全更新程序”、“关键更新程序”执行自动审批。而对其它类型的更新程序，建议管理员进行必要的测试后再审批给客户端安装。
2、选择“下载快速安装文件”“下载快速安装文件”可以在计算机上更快地进行下载和安装。

WSUS系统客户端的配置与管理
1、使用域策略公司建有域的，如果所有电脑都加入域，可以在域中设置WSUS的计算机策略，使得每台加入域的电脑都可以接受WSUS补丁。
新建一个WSUS域策略于所有受管理计算机账户，该策略设置下列参数：
在WSUS策略的“计算机配置/管理模板/Windows组件/Windows Update”中：
l 启用“配置自动更新”
l 启用“指定Intranet Microsoft更新的位置”，并设置“为检测更新设置Intranet更新服务：”及“设置Intranet统计服务器”为WSUS服务器：http://<服务器名>，如是新创建的IIS站点，为：http://<服务器名>:8530。
2、使用本地策略在“运行”中输入gpedit.msc，进行“本地计算机”设置，设置参数同上。
3、日常管理注意问题WSUS服务器配置好以后，系统会自动与微软的升级服务器同步，并按照既定审批规则，推送到客户端。
管理员可以在Windows XP客户端中安装管理控制台，远程管理WSUS服务器。
网络内客户端数量较大的，可以对客户端进行分组管理，执行不同的审批规则。
WSUS 3.0增加了“服务器清理向导”，可以执行删除“未使用的更新”、“没有联系服务器的计算机”、“不需要的更新文件”、“过期的更新”、“被取代的更新”等，保持服务器的效率。