WSUS概述

為了讓用戶的windows系統(tǒng)與其他microsoft產(chǎn)品能夠更安全，更穩(wěn)定，因此microsoft會不定期在網(wǎng)站上推出最新的更新程序供用戶下載與安裝，而用戶可以通過以下方式來取得這些程序：

• 手動連接microsoft update網(wǎng)站
• 通過windows系統(tǒng)的自動更新功能

然而以上兩種方式對企業(yè)內(nèi)部來說，都可能會有以下缺點。

• 影響網(wǎng)絡(luò)效率 ：如果企業(yè)內(nèi)部每臺計算機都自行上網(wǎng)更新，將會增加對外網(wǎng)絡(luò)的負(fù)擔(dān)。
• 與現(xiàn)有軟件相互干擾 ：如果企業(yè)內(nèi)部使用的軟件與更新程序發(fā)生沖突，則用戶自行下載與安裝更新程序可能會影響該軟件或更新程序的正常運行。

WSUS是一個可以解決上述問題的產(chǎn)品，企業(yè)內(nèi)部可以通過WSUS服務(wù)器集中從Microsoft update網(wǎng)站下載更新程序，并且在完成這些更新程序的測試工作，確定對企業(yè)內(nèi)部計算機沒有不良影響后，在通過網(wǎng)管審批程序，將程序部署到客戶機上。

WSUS的系統(tǒng)需求

對于基本W(wǎng)SUS架構(gòu)來說，WSUS服務(wù)器與客戶端計算機都必須滿足適當(dāng)?shù)臈l件才能享受WSUS的好處。

可以在windows server 2012內(nèi)通過新增角色的方式來安裝WSUS。安裝WSUS之前，需要安裝以下組件。

• Microsoft Report Viewer Redistributable 2008 ：WSUS服務(wù)器需要通過他制作各種不同的報告，例如更新程序狀態(tài)報告，客戶端計算機狀態(tài)報告與同步處理結(jié)果報告等。需要到microsoft 官網(wǎng)下載。
• Net framework 2.0 : report viewer需要net framework。

注：WSUS服務(wù)器的系統(tǒng)分區(qū)與安裝WSUS的磁盤分區(qū)的文件系統(tǒng)都必須是NTFS。

WSUS客戶端計算機必須支持自動更新功能，Windows 2000 sp4以后的客戶端都支持。

可以利用WSUS服務(wù)器內(nèi)置的WSUS管理控制臺執(zhí)行WSUS服務(wù)器的管理工作，還可以在其他計算機上管理WSUS服務(wù)器。不過，需要在這些計算機上安裝WSUS控制臺，但是這些計算機必須已安裝下列組件:

• Microsoft .NET Framework 2.0或更新版本
• Microsoft Management Console 3.0或更新版本
• Micrsoft Report Viewer Redistributable 2008或更新版本

WSUS的特性與工作方式

利用計算機組部署更新程序

如果能夠?qū)⑵髽I(yè)內(nèi)部客戶端計算機適當(dāng)分組，就可以更容易與明確地將更新程序部署到指定計算機上。系統(tǒng)默認(rèn)內(nèi)置2個計算機組，即所有計算機與未分配的計算機，客戶端計算機在第一次與WSUS服務(wù)器接觸時，系統(tǒng)默認(rèn)會見該計算機加入者2個組內(nèi)。可以在添加更多的組。可以創(chuàng)建測試計算機組，新的補丁部署到測試計算機組，沒有問題在應(yīng)用到業(yè)務(wù)計算機組內(nèi)。

WSUS服務(wù)器的架構(gòu)

也可以創(chuàng)建更復(fù)雜的WSUS服務(wù)器架構(gòu)，也就是創(chuàng)建多臺WSUS服務(wù)器，并設(shè)置讓其中一臺WSUS服務(wù)器從microsoft 網(wǎng)站獲取更新程序，但是其他服務(wù)器并不直接連接Microsoft網(wǎng)站，而是從上游的組服務(wù)器來獲取程序，而下游服務(wù)器從上游服務(wù)器獲得更新程序。

這種將WSUS服務(wù)器通過上下游方式串接在一起的模式有兩種"

• 自治模式 ：上游WSUS服務(wù)器會與下游服務(wù)器共享更新程序，也就是下游服務(wù)器會從上游服務(wù)器獲取更新程序，但是并不包含更新程序的審批狀態(tài)，計算機組信息。因此下游服務(wù)器必須自行決定是否要審批這些更新程序與自行創(chuàng)建所需的計算機組。
• 副本模式 ：上游服務(wù)器會與下游服務(wù)器共享更新程序，更新審批與計算機組信息。下游服務(wù)器可以獲取上游服務(wù)器的數(shù)據(jù)，所有可以在上游服務(wù)器管理的項目都無法在下游服務(wù)器自行管理，例如不能自行更改新程序的審批狀態(tài)等。

注意，上述計算機組信息只有計算機組本身而已，并且不包含計算機組的成員，必須自行在下游服務(wù)器來管理組成員，而客戶端計算機在第一次與下游WSUS服務(wù)器接觸時，這些計算機會默認(rèn)被同時加入到所有計算機和未分配計算機組內(nèi)。

可以根據(jù)公司網(wǎng)絡(luò)環(huán)境的需求采用上下游WSUS服務(wù)器的串接方式。

采用上下游WSUS服務(wù)器串接架構(gòu)，還需要考慮到不同語言的更新，例如，如果上游服務(wù)器在總部，總部需要簡體中文的程序，而下游架設(shè)在分公司，分公司需要的語言是英文，雖然總公司需要的語言是簡體中文，當(dāng)必須在中公司的上游服務(wù)器選擇同事下載中文和英文版的更新程序。連接Microsoft網(wǎng)站的上游服務(wù)器必須下載所有下游服務(wù)器需要的所有語言的更新程序，否則下游服務(wù)器將無法獲取所需語言的更新程序。

注：這種上下游串聯(lián)的方式，建議最好不要超過3層（雖然理論上沒有層數(shù)限制），因為每增加一層，就會增加延遲時間，因而拉長將更新程序傳遞到每臺計算機的時間。

選擇數(shù)據(jù)庫與存儲更新程序的地點

可以利用Windows Server 2012的內(nèi)置數(shù)據(jù)庫或Microsoft SQL Server 2005 sp2來構(gòu)建數(shù)據(jù)庫。每臺WSUS服務(wù)器都有自己獨立的數(shù)據(jù)庫，這些數(shù)據(jù)庫用來存儲以下信息：

• WSUS服務(wù)器的設(shè)置信息。
• 描述每一個更新程序的metadata。Metada內(nèi)包含以下數(shù)據(jù):

  更新程序的屬性 ：例如更新程序的名稱，描述，相關(guān)的knowledge base文章編號等。

  適用規(guī)則 :用來判斷更新程序是否適用于某臺計算機。

  安裝信息 ：例如安裝時所需的命令行參數(shù)。

• 客戶端計算機與更新程序之間的關(guān)系。

然而上述數(shù)據(jù)庫并不會存儲更新程序文件本身，必須另外選擇更新程序文件的存儲地點，有以下兩種選擇。

存儲在WSUS服務(wù)器的本地硬盤內(nèi) ：此時WSUS服務(wù)器會從Microsoft網(wǎng)站下載更新程序，并將其存儲到本地硬盤內(nèi)。此種方式讓客戶端直接從WSUS服務(wù)器獲取更新程序，不用到Microsoft網(wǎng)站下載，這樣可以節(jié)省網(wǎng)絡(luò)帶寬。

WSUS服務(wù)器的硬盤必須有足夠空間來存儲更新程序文件，最少要有20g的可用空間。實際需要更多的空間。

存儲在Microsoft網(wǎng)站上 ：此時WSUS服務(wù)器并不會從Microsoft網(wǎng)站下載更新程序，換句話說，當(dāng)執(zhí)行WSUS服務(wù)器與Microsoft網(wǎng)站之間的同步工作時，WSUS服務(wù)器只會從網(wǎng)站下載更新程度的metadata數(shù)據(jù)，并不會下載更新程序本身。

因此，當(dāng)你審批客戶端可以安裝某個更新程序后，客戶端是自己連接到網(wǎng)站下載。如果客戶端計算機數(shù)量不多，或客戶端與WSUS服務(wù)器之間的連接速度比較慢，但是與網(wǎng)絡(luò)之間的連接速度較快時，可以選擇此選項。

延期下載更新程序

WSUS允許你延期下載更新程序文件，也就是WSUS服務(wù)器會先下載更新程序的metadata，之后再下載更新程序文件。更新程序文件只有在你審批該程序后才會被下載，這種方式可以節(jié)省帶寬與WSUS服務(wù)器的硬盤空間使用量。Microsoft建議你采用延遲下載更新的方式，也就是默認(rèn)值。

使用快速安裝文件

客戶端計算機要安裝更新程序時，此計算機內(nèi)可能已經(jīng)有該更新文件的舊版本，這個舊文件和新更新之間的差異可能不大。如果客戶端能夠只下載新版與舊版之間的差異，然后利用將差異合并到舊文件的方式來更新，可以減少從wsus服務(wù)器下載的數(shù)據(jù)量，降低企業(yè)內(nèi)部網(wǎng)絡(luò)的負(fù)擔(dān)。

不過采用這種方式，WSUS服務(wù)器從Microsoft網(wǎng)站下載的文件會比較大，因為此文件內(nèi)必須包含新更新程序和各舊版自己的差異，因此WSUS服務(wù)器在下載文件時會占用對外的網(wǎng)絡(luò)帶寬。

例如，假如更新程序原始大小100mb，未使用快速安裝的情況，此服務(wù)器會從microsoft網(wǎng)站下載100mb的文件，客戶端也是從服務(wù)器下載100mb的數(shù)據(jù)量。使用快速安裝的情況下，此文件變?yōu)楸容^大的200mb（假設(shè)）。雖然WSUS服務(wù)器必須從microsoft下載的文件大小為200mb，但是客戶端從WSUS服務(wù)器僅下載30mb的數(shù)據(jù)量，系統(tǒng)默認(rèn)未使用快速安裝文件。

安裝WSUS服務(wù)器

構(gòu)建WSUS并不需要AD域環(huán)境，然而為了利用組策略來充分管理客戶端的自動更新設(shè)置，建議采用AD域環(huán)境。

我們將利用下圖所示的環(huán)境進(jìn)行說明。安裝一臺域控DC，WSUS服務(wù)器為成員服務(wù)器，計算機名為WSUS；另外，圖中多臺客戶端可以為win7，win8等，我們假設(shè)他們也都加入域。

1. 直接安裝report viewer 2012 最新版和clr typer for sql 2012

http://www.microsoft.com/zh-cn/download/details.aspx?id=35747

http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409

1. 添加功能

   

2. 需要net framework

   

3. 選擇數(shù)據(jù)庫。使用內(nèi)置數(shù)據(jù)庫，如果要使用SQL數(shù)據(jù)庫，勾選數(shù)據(jù)庫。

   

4. 選擇存儲位置

   

5. Web服務(wù)器選擇默認(rèn)

   

6. 等到安裝完成

   

7. 選擇讓W(xué)SUS服務(wù)器與Microsoft Update同步，讓服務(wù)器直接從Microsoft網(wǎng)站下載更新程序與Metabase等。

   

8. 如果服務(wù)器需要通過企業(yè)內(nèi)部的Proxy服務(wù)器聯(lián)網(wǎng)，請在下圖輸入相關(guān)信息。

   

9. 點擊開始連接，以便從Windows Update網(wǎng)站取得更新程序相關(guān)信息。

   

10. 選擇下載語言

    

11. 選擇需要下在的更新產(chǎn)品。默認(rèn)系統(tǒng)會選擇office和windows的更新，由于是實驗環(huán)境就少選點

    

12. 選擇下載所需類型

    

13. 選擇手動或自動同步。選擇自動同步，需要設(shè)置第一次同步的時間與每天同步的次數(shù)。

    

14. 執(zhí)行第一次同步工作

    

15. 可以查看當(dāng)前同步進(jìn)度。

    

16. 如果要手動同步，選擇同步選擇中的立即同步

    

    如果要將手動同步改成自動同步，需要設(shè)置同步計劃。前面安裝的所有設(shè)置，都可以通過選項界面進(jìn)行更改。在同步尚未完成之前，無法存儲更改的設(shè)置，需要等待同步完成后更改設(shè)置。

    

設(shè)置客戶端的自動更新

我們要讓客戶端計算機能夠通過WSUS服務(wù)器下載更新程序，而這個設(shè)置可以通過以下兩種方法來完成。

組策略 :在AD域環(huán)境下，可以通過組策略進(jìn)行設(shè)置。

本地計算機策略 ：如果沒有AD域環(huán)境，或客戶端計算機未加入域，則可以通過本地計算機策略進(jìn)行設(shè)置。

我們利用組策略來進(jìn)行說明。在域中創(chuàng)建一個GPO，WSUS策略，然后通過這個GPO來設(shè)置域內(nèi)的所有客戶端計算機的自動更新配置。

1. 新建組策略

1. 展開計算機配置-策略-管理模板-windows組件。選擇啟用配置自動更新。

   

• 通知下載并通知安裝 ：在下載更新程序前會通知已登錄的系統(tǒng)管理員，由他自行決定是否現(xiàn)在下載；下載完成后和準(zhǔn)備安裝前也會通知系統(tǒng)管理員，然后由他自行決定是否現(xiàn)在安裝。
• 自動下載并通知安裝 ：自動下載更新程序，下載完成后和準(zhǔn)備安裝前會通知已登錄的系統(tǒng)管理員，然后由他自行決定是否現(xiàn)在安裝。
• 自動下載并計劃安裝 ：自動下載更新程序，并且會在指定的時間自動安裝。需要指定安裝時間。
• 允許本地管理員選擇設(shè)置 ：此選項讓在客戶端的本地管理員可以通過控制面板自行選擇更新方式。

1. 選擇指定intranet Microsoft更新服務(wù)位置，然后指定讓客戶端從wsus服務(wù)器獲取更新程序，同時也設(shè)置讓客戶端將更新結(jié)果報告給WSUS服務(wù)器，這兩處請輸入 http://wsus:8530 。

   

   設(shè)置完成后，必須等域內(nèi)的客戶端應(yīng)用這個策略才能有效，而客戶端計算機默認(rèn)每隔90-120分鐘應(yīng)用一次。到客戶端計算機上執(zhí)行g(shù)pupdate/force命令。

   應(yīng)用完成后，還必須等客戶機與wsus服務(wù)器接觸后，在wsus管理控制臺才能看到這些客戶機。不過需要等待20分鐘才會主動聯(lián)系WSUS服務(wù)器。在客戶機上執(zhí)行wuauclt/detectnow 命令。

審批更新程序

在wsus管理界面可以看到所有客戶端機器，如果還有機器仍為顯示，可以想到這些計算機上執(zhí)行組策略刷新命令。

注：如果客戶端有新的更新狀態(tài)可報告，而你希望立即報告，請到客戶端計算機上執(zhí)行wuauclt/reportnow.

創(chuàng)建新計算機組

為了便于利用WSUS管理控制臺來部署客戶端計算機所需的更新程序，建議將計算機進(jìn)行分組。例如要創(chuàng)建一個名為業(yè)務(wù)部計算機的組，并將隸屬于業(yè)務(wù)部的計算機移動到此組內(nèi)。

1. 選擇添加計算機組。

1. 將隸屬于改組的計算機從未分配的計算機組移動到剛剛創(chuàng)建的業(yè)務(wù)部計算機組中。

   

審批更新程序的安裝

WSUS下載的所有更新程序都要經(jīng)過審批后，客戶端計算機才可以安裝此更新程序，此處假設(shè)要審批某個安全更新，以便讓業(yè)務(wù)組計算機安裝此更新。

由于WSUS默認(rèn)會延遲下載更新程序，也就是WSUS服務(wù)器與Microsoft Update同步時僅會下載更新程序的metadata。當(dāng)我們審批更新程序后，更新程序才會下載。由于我們剛審批上述更新，WSUS服務(wù)器正要開始下載此更新，必須等下載完成后，客戶端計算機才可以開始安裝此更新。

下圖，審批欄目出現(xiàn)了安裝1/3字樣，表示當(dāng)前有3個計算機組，只有其中一個組已經(jīng)被審批安裝此更新。

客戶端默認(rèn)每隔17.6-22小時才會連接服務(wù)器檢查是否有更新程序下載，可利用wuauclt/detectnow來手動檢查。檢查到后根據(jù)組策略的設(shè)置來進(jìn)行更新。

客戶端可以通過組策略自動更新檢測頻率來更新檢查時間。如果希望客戶端計算機能夠早一點自動檢測，可以修改此值。

只要客戶端檢查到可用下載，會自動右下角提示有更新。

拒絕更新程序

單擊某個程序右側(cè)的拒絕，則系統(tǒng)將解除其審批，同時在WSUS數(shù)據(jù)庫內(nèi)與此更新有關(guān)的報告數(shù)據(jù)都將刪除，還有在此界面上也看不到此更新程序。如果要看到被拒絕的更新程序，請到審批處選擇已拒絕后單擊重新整理。

自動審批更新程序

可以設(shè)置當(dāng)WSUS服務(wù)器與Windows Update同步時，自動審批下載的更新程序。例如，如果希望所有下載的安全更新與重要更新都能夠自動審批給所有計算機:單擊選項中的自動審批，在前景圖中勾選默認(rèn)的自動審批規(guī)則。如果還要將此規(guī)則應(yīng)用到已經(jīng)同步的更新程序，請單擊允許規(guī)則。

單擊高級標(biāo)簽后，還可以更改以下設(shè)置。

• WSUS更新 ：可以用來設(shè)置是否要讓W(xué)SUS產(chǎn)品本身的更新程序自動被審批。
• 更新修訂

  自動審批已審批的更新的修訂 ：如果已審批的更新程序未來有修訂版，則自動審批此修訂版本的更新程序。

  當(dāng)新修訂導(dǎo)致更新過去時自動拒絕更新 ：當(dāng)未來有新修訂版本出現(xiàn)，而使得舊版本過期時，則自動拒絕這個過期的舊更新程序。

自動更新的組策略設(shè)置

本站介紹更多的關(guān)于自動更新的組策略，以便進(jìn)一步管理客戶端計算機與WSUS服務(wù)器之間的通信方式。通過另外創(chuàng)建GPO的方式進(jìn)行配置，盡量不要通過內(nèi)置的Defult Domain Policy GPO進(jìn)行設(shè)置。

配置自動更新

此策略用來配置客戶端下載與安裝更新的方式。

指定Intranet Microsoft更新服務(wù)位置

用來指定讓客戶端計算機從WSUS服務(wù)器獲取更新程序。

自動更新頻率

用來設(shè)置客戶端多久與服務(wù)器連接，檢查是否有新更新程序。

允許立即安裝自動更新

當(dāng)更新程序下載完成并且準(zhǔn)備好安裝時，會根據(jù)配置自動更新的策略來決定何時更新。啟用此策略后，某些新程序會立刻安裝。這些更新是指那些即不會中斷Windows服務(wù)，也不會重新啟動Windows系統(tǒng)的更新程序。

重新計劃自動更新計劃的安裝

如果通過計劃制定某個時間點來執(zhí)行安裝更新程序，但是時間到達(dá)時，客戶端計算機卻沒有開機。此策略用來設(shè)置客戶端計算機重新開機后，需要等多少時間后開始安裝更新。

允許客戶端目標(biāo)設(shè)置

應(yīng)用此設(shè)置的所有計算機會自動加入指定的計算機組內(nèi)，不需要管理員手動加入。

下圖，所有計算機會自動加入業(yè)務(wù)組計算機。

允許來自Intranet Microsoft更新服務(wù)位置的簽名更新

如果此策略啟用，客戶計算機就可以從WSUS服務(wù)器下載由第三方開發(fā)和簽名的更新程序;如果未啟用，客戶端只能下載Microsoft簽名的更新程序。

刪除到Windows更新的鏈接和訪問

雖然WSUS客戶端可以通過WSUS服務(wù)器來進(jìn)行更新，但是系統(tǒng)本地管理依然可以通過開始菜單的windows更新來私自連接Microsoft Update網(wǎng)站。為了減少這種情況發(fā)生，建議通過此策略將客戶計算機的windows update鏈接刪除。完成后開始菜單的連接不會顯示，控制面板的更新檢查更新也會失效。

用戶配置-策略-管理模板-開始菜單和任務(wù)欄

關(guān)閉對所有Windows更新功能的訪問

如果啟用此策略，則會禁止客戶端訪問Microsoft更新網(wǎng)站，例如客戶端通過開始菜單的Windows更新鏈接無法訪問Windows Update網(wǎng)站，直接在瀏覽器里輸入windows update網(wǎng)頁也無法訪問，不過客戶機依然可以通過WSUS來獲取。

計算機配置-策略-管理模板-系統(tǒng)-internet通信管理-internet通信設(shè)置

利用WSUS部署更新程序