文章內容

局域網內WSUS服務器的安裝與使用經驗

發(fā)布時間: 2012/9/16 0:28:28

WSUS（Windows Server Update Services ）是Windows操作系統(tǒng)的升級服務，通過在內部網絡中配置WSUS服務器，所有Windows的更新都能集中下載到這個服務器中，內部網絡中的客戶機就可以通過WSUS服務器得到更新。升級操作系統(tǒng)補丁的時間可以縮短到幾分鐘，效果十分明顯，且只要一臺WSUS服務器就可保證全網絡內操作系統(tǒng)的自動升級。這既節(jié)省了資源，又避免了資源浪費，并且提高了效率。

近年來，浙江省紹興市煙草專賣局在內部網絡中建成使用了WSUS系統(tǒng)，現(xiàn)在全部終端已部署完成，終端操作系統(tǒng)通過WSUS系統(tǒng)自動安裝更新補丁，有效地避免了計算機病毒的入侵，有力地保障了系統(tǒng)和網絡的安全。目前，WSUS已升級至2.0版本，支持微軟的全部更新，包括ISA、OfficeXP、Office2003、SQL Server2000、MSDE 2000和Exchange Server2003，等等。

WSUS的安裝主要分4個步驟：系統(tǒng)準備與輔助軟件的安裝；WSUS服務器的安裝；配置和管理WSUS服務器；客戶機設置。

1.系統(tǒng)準備與輔助軟件的安裝。

安裝WSUS服務器之前，要確保服務器符合SUS的最低硬件要求：奔騰III 750MHz或更高的處理器，512MB內存，8GB硬盤空間，NTFS文件系統(tǒng)格式，如需要升級的客戶機在500臺以上，對CPU的要求更高，內存應在1GB以上。

相關軟件要求如下：

①操作系統(tǒng)安裝：只有包含SP4或更高版本的Windows2000 Advanced Server（Windows2000 Server），以及Windows Server 2003才能夠作為WSUS服務器，建議采用Windows2000 Advanced Server。

②在操作系統(tǒng)上安裝Microsoft Internet Information Services （IIS）5.0。

③在操作系統(tǒng)上安裝Background Intelligent Transfer Service （BITS）2.0。

④在操作系統(tǒng)上安裝Microsoft SQL Server2000及SQL的SP4補丁。

⑤在操作系統(tǒng)上安裝Microsoft Internet Explorer 6.0 Service Pack 1。

⑥在操作系統(tǒng)上安裝Microsoft.NET Framework Version 1.1 Redistributable Package。

⑦在操作系統(tǒng)上安裝Microsoft .NET Framework 1.1 Service Pack 1。

⑧最后打好所有的系統(tǒng)補丁。

以上相關軟件到微軟的網站上下載即可。

2.安裝WSUS。

默認情況下，Windows Server操作系統(tǒng)是不包含WSUS組件的，需要在微軟下載中心下載WSUS安裝包，再安裝至服務器。

①下載WSUS安裝程序。

②打開下載的WSUSSetup.exe文件，啟動安裝程序。

③單擊“下一步”，在“最終用戶許可協(xié)議”步驟中選擇“I accept the terms in the License Agreement”，并單擊“下一步”。

④選擇存儲分區(qū)，用來存放WSUS下載的更新文件。要注意的是，這個分區(qū)必須是NTFS格式，并且最少要有6GB的自由空間。

⑤接下來是選擇安裝WMSDE數(shù)據(jù)的存儲分區(qū)，這個分區(qū)也必須是NTFS格式，以及最少要有2GB的自由空間，如果把它與存儲本地更新文件裝在同一個分區(qū)，這個分區(qū)最少要有8GB的自由空間。

⑥選擇WSUS站點的管理工具與WEB服務網站的端口，可以使用默認端口(80)或是選擇一個獨立的端口(8530)，這是不能更改的。如果服務器上面還有別的網站，建議使用8530端口來實現(xiàn)WSUS的管理以及WEB服務更新。這里使用系統(tǒng)推薦的80端口。

⑦WSUS提供了鏡像管理服務功能，它可以從網絡上的另一臺WSUS服務器中復制已批準的更新列表。

接下來就是安裝程序的自動安裝過程，大概需要15分鐘左右。

3.配置和管理WSUS服務器。

安裝完成，接下來需要進入它的管理頁面進行配置，默認情況下WSUS是不進行任何同步更新的。

從安裝時提示的管理地址進入WSUS的WEB管理界面。

點擊右上方“選項”菜單，進行系統(tǒng)設置。

①點擊“同步選項”。可以選擇手動同步服務器，查看同步狀態(tài)，指定代理服務器設置以及管理更新。也可以設置同步更新的時間，以及要求從微軟站點下載的產品、更新分類、代理服務器、更新源以及更新文件和語言。

②更新源：可以選擇讓該 WSUS服務器與 Microsoft Update 或者網絡上的某臺上游WSUS服務器同步更新信息。如果使用 SSL，請確保上游WSUS 服務器配置為支持 SSL。此服務器上的端口設置必須配置為與上游 WSUS 服務器匹配。

③自動批準選項：可以指定如何為選定組自動批準更新的安裝或檢測，以及如何批準對現(xiàn)有更新的修訂，即WSUS對同步下載的補丁是否執(zhí)行自動批準加入系統(tǒng)的分發(fā)庫的命令，并設置分發(fā)的對象即計算機組。

④更新的修訂：對于已批準的更新，有時會有更新版本發(fā)布，可以選擇是否自動批準修訂。如果不選擇自動批準修訂版本，則舊版本將繼續(xù)保持已批準狀態(tài)。

⑤WSUS更新：需要WSUS 更新，以確�？梢哉_更新計算機。如果 WSUS 更新未得到批準，則計算機可能無法正確檢測某些更新，默認是批準的。

4.客戶機設置。

如果客戶機與WSUS服務器在同一個域中，則只要通過域功能分發(fā)一下即可。如客戶機與WSUS服務器不在同一個域中，則每一臺客戶機都必須作如下設置才能起作用：

①打開“開始”菜單，點擊“運行”，輸入“Gpedit.msc”，啟動Windows策略組。

②在策略組中，點擊“管理模板”，選擇“添加/刪除模板”，點擊“添加”，選擇“wuau.adm”，再點“打開”即可。（圖一）

③雙擊“配置自動更新”，在打開窗口中，選擇“啟用”。

④雙擊“指定Internet Microsoft更新服務位置”，在打開窗口中，選擇“啟用”，并在紅色框中填上http://10.46.0.253（SUS服務器IP）即可。（圖二）

⑤為保證客戶機立即更新，要在“開始”菜單下“運行”中輸入“secedit/refreshpolicy machine_policy /enforce”，客戶機將立即與WSUS服務器連接，下載并更新補丁。