《[计算机]架设WSUS服务器.doc》由会员分享,可在线阅读,更多相关《[计算机]架设WSUS服务器.doc(7页珍藏版)》请在三一文库上搜索。
1、架设WSUS服务器准备工作准备1台服务器,也可以用高性能PC机来充当,要求满足以下条件:1GHz以上的处理器512MB以上的内存操作系统推荐使用Windows3002 Server分区都必须使用NTFS文件系统进行格式化安装WSUS的分区至少需要30GB的可用空间必须安装IIS组件,并且只留给WSUS使用有上Internet网的权限以上条件满足后登录微软补丁升级网站,为这台服务器打全所有补丁。安装WSUS双击从微软官方网站下载的WSUS安装程序,出现中文版的安装向导,如果能够领会前面所做准备工作的意图,那么整个安装过程相对比较容易。和安装普通软件一样,基本上按照默认设置多次点击“下一步”就可以
2、完成。之后,有两种方式可以打开WSUS控制台:1在WSUS服务器上,单击“开始所有程序管理工具Microsoft Windows Server Update Services”。2在网络中的任意服务器或计算机上,打开InternetExplorer,输入以下URL http:/WSUS服务器的IP地址或计算机名/WSUSAdmin。配置WSUS接下来,根据局域网接入Internet的方式以及使用微软产品的实际情况,进入WSUS控制台的选项进行配置。这里笔者提供一种参考配置,请根据实际情况加以调整:设置每天同步,时间点选在凌晨,勾选所需的产品和分类,语言中选择中文(简体),自动批准所有计算机进行
3、检测和安装。其他设置都可以使用默认值。可能您的局域网中使用的微软产品更多,另外可能还有英文版的Windows,那么就要勾选更多的微软产品和语言包。可以多选一些,只要服务器硬盘空间足够就行,只不过增加了每次WSUS的同步时间和下载量而已。另外,WSUS有“组”的要概念,可以将客户端按操作系统分组,进行针对性推送。也可以将客户端按行政归属分组,加强组织管理。笔者认为客户端较少时使用WSUS的组并没有多大用处,万一某个组遗漏了自动批准安装补丁反而不好。当然,随着客户端大量的加入,都入在“所有计算机”中检索起来很不方便,到那时候分组还是有用的。至此,服务器上配置WSUS已经告一段落。接下来,在WSUS
4、控制台的主页中点击“立即同步”。根据服务器访问Internet的速度以及需要下载的补丁量,WSUS第一次同步花费的时间可能会很长。同步完成后就等待一个个客户端的加入,马上就可以实现自动打补丁了。客户端设置如果您的网络环境是Active Directory,只要在域控制器上设置基于Active Directory的组策略对象(GPO)。就可以一次性实现所有域用户的客户端设置。如果是非Active Directory环境,就必须在每个客户端上设置本地组策略对象。无论使用本地组策略对象还是使用域控制器上存储的GPO,完成的功能是相同的 即把客户端计算机指向WSUS服务器,默认从WSUS服务器下载微软
5、补丁。设置后客户端依然可以登录微软补丁升级网站打补丁,两者并不冲突。非AD环境的客户端设置步骤如下:1点击“开始运行”,输入gpedit.msc后点确定,打开组策略编辑器。2点击“本地计算机策略计算机配置管理模板Windows组件Windows Update”。3分别设置“配置自动更新”和“指定Intranet Microsoft更新服务位置”,只需要设置这两项就可以了。打开“配置自动更新”,选择“已启用”,“4-自动下载并计划安装”,“0-每天”,“14:00”。这样就可以自动下载最新补丁,并于每天14:00自动安装。打开“指定Intranet Microsoft更新服务位置”,选择“已启用
6、”,两处都填入http:/WSUS服务器的IP地址或计算机名。4重新启动电脑,组策略会自动刷新,在WSUS服务器上就能看到这台客户端了。如果客户端是台服务器,不方便重新启动的话,可以使用组策略刷新命令:gpupdate /force( 适用于WindowsXP/、Windows 2003),secedit/refreshpolicy/enforc(适用于Windows2000)。AD环境的客户端设置步骤:在域控制器上点击“开始程序管理工具Active Direc-tory用户与计算机”,右击域名,选择“属性组策略”,可以新建一个“WSUS”组策略模板并编辑它,接下来的设置和非AD环境是完全不一
7、样的。WSUS注册表研究前面提到,如果是非Active Directory环境,就必须在每个客户端上设置本地组策略对像。当客户端数量非常多,繁琐的重复设置就显得很麻烦,工作量也非常大。再加上有些客户端是WindowsXP Home版的,根本就没有gpedit.msc组策略编辑器,我们应该如何快速的进行客户端设置呢 导入注册表是非常好的方法之一。以下这段内容是注册表范例,把这段文本存成reg注册表文件,通过内部Web页、软盘、U盘或者E-mail等各种方式拷贝到客户端,直接双击导入注册表,同样实现了上面多个步骤才完成的工作。Windows Registry Editor Version5.00H
8、KEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateWUServer=http:/172.25.11.10WUStatusServer=http:/172.25.11.10HKEY_LOCAL_MACHINESOFTWSREPoliciesMicrosoftWindowsWindows UpdateAUUseWUServer=dword:00000001NoAutoUpdate=dword:00000000AUOptions=dword:00000004ScheduledInstallDay=dwprd:00000000S
9、cheduledInstallTime=dwprd:0000000e另外,您可以根据自己局域网的具体情况,编辑最适合您自己的完美注册表文件。笔者认为不需要设置太复杂的注册表文件,前面的范例就足够了。WSUS问题及解决方法笔者在实际使用WSUS的过程中,按照正常设置,出现过以下三类问题:1在WSUS服务器上看不见客户端。2在WSUS服务器上只看见一台“百变客户端”(实际上应该有多台)。3在WSUS服务器上看见客户端,但等了好几天后,没有下载到任何补丁。问题导致的结果都是客户端无法正常打补丁,经过分析研究,笔者发现三类问题的原因各不相同,但都是客户端引起的。下面是出现以上三类问题的原因及解决方法:
10、问题1:原因是客户端使用的操作系统比较老,没有包含WSUS客户端。Windows2000SP3以下和WindowsXPSP1以下的操作系统都会发生这种情况。解决方法是登录微软网站下载相应版本的WSUS客户端并安装,或者打上相应更高版本的SP补丁。问题2:原因是SID重复,WSUS服务器是根据SID识别客户端的。有些电脑公司装机采用了Ghost克隆的操作系统,这些客户端共用一个SID,哪台电脑最晚开机接入局域网,WSUS服务器上就留下它的IP地址和名称,所以出现了“百变客户端”。解决方法是通过工具修改SID,或者采用重新封装、封装时重新自动生成SID的方法(笔者不推荐使用那些电脑公司Ghost克
11、隆的操作系统,最好格式化后重新安装。利用Ghost技术快速重新安装操作系统的同时,必须采用重新封装技术,这样的Ghost版操作系统才可以在局域网中放心使用。)问题3:原因是缺少Background Intelligent Transfer Services(BITS)2.更新程序。笔者在两台Windows2000Advanced Server SP4的服务器上遇到这个问题,照理说SP4已经包含了WSUS客户端,但等了好几天后,没有下载到任何补丁。最后手工安装了用于后台智能传输服务(BITS)2。0和WinHTTP5.1的更新程序(KB842773),单独只打了这一个补丁,重启后就完全正常了。至此,在局域网中架设微软补丁升级服务器已经完成,客户端会自动进行微软补丁升级。在我们体验WSUS强大功能的同时,计算机网络的安全性也得到了较大的提高。