物理隔离内网wsus部署方法
WSUS(Windows Server Update Services 3.0)是微软公司面向其软件产品提供的软件升级更新解决方案,它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。[1][2]目前很多高校通过在内部网络中部署WSUS系统,较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。[2]
很多安全保密级别较高的内部网络不但与因特网物理隔离,而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据,只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。在这种内部网络环境中,WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级,而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新,[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统,并建立及时高效的WSUS服务器持续更新方案。
1 内部网络WSUS部署方案
1.1 WSUS服务的一般部署方案
如果能够访问因特网,则WSUS部署较为简单,WSUS服务器安装后即可自动连接微软公司网站下载更新程序,以后也基本不需进行维护,内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。[2][3]
1.2 内部网络中WSUS的安装部署
在隔离的内部网络中部署WSUS方法相同,但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。如果手工下载补丁对WSUS服务器进行更新,非常困难,未见有成功方案。很多单位在建立了隔离的内部网网络的同时,也有与因特网连接的网络,解决信息查询等问题。因此,我们采用在与因特网连接的外部网络(以下简称外网)和与因特网隔离的内部网络(以下简称内网)中各部署一套WSUS系统,外网WSUS服务器自动获取更新程序,供外网计算机进行更新,并定期导出更新数据,通过刻录光盘等方法,对内网WSUS服务器进行更新,实现内网计算机的持续更新。方法如图1所示。
2 内网WSUS服务器的首次更新
2.1 WSUS服务器中更新的数据构成
WSUS服务器中的更新数据包含两部分:
WSUS元数据,包含更新补丁的作用、容量、发布时间等属性,由外网WSUS 服务器通过因特网从微软WSUS更新源获取,存储在数据库中。元数据是WSUS 更新数据的关键内容,没有元数据描述则更新程序也无法使用。使用WSUS自带的wsusutil.exe可以讲元数据完全导出,导出内容包括一个数据文件和一个日志文件,两个文件共约(20-30)MB,其中包含了WSUS服务器中所有更新补丁文件的元数据。随着元数据的更新,导出文件体积可能会有增长,但增量通常非常小。
更新程序安装文件,是更新补丁安装的实体,由WSUS服务器自动下载,位于服务器中WSUS安装目录下的WsusContent文件夹下分类存放,其结构较为复杂,视更新产品和语言不同,容量可达80 GB以上,超过200个子文件夹。
2.2 内部网络中WSUS更新的基本方法
将因特网中部署的WSUS与微软WSUS更新源定期同步,同步后将外网中WSUS服务器的元数据使用wsusutil.exe导出,连同WsusContent文件夹下所有子文件夹及更新补丁文件全部刻录到光盘,然后再使用wsusutil.exe将光盘中的元数据导入到内网中的WSUS,最后复制WsusContent文件夹覆盖内网中WSUS 的同名文件夹。这样,就完成了一次内部网络WSUS更新补丁数据的更新。
3 内部网络中WSUS持续更新方案的实现与优化
3.1 改进内部网络中WSUS更新方案的原因
由于内部网络中对存储设备的严格限制,只能使用刻录光盘作为存储介质将WSUS元数据和更新补丁安装文件复制到内部网络。按照仅提供Windows系列操作系统关键更新和安全更新计算,WsusContent文件夹的大小约为16GB,数据量超过三张D5标准的DVD刻录光盘容量。而且随着新的更新补丁的不断发放,WsusContent文件夹的体积还将越来越大。因此,我们还需要对内部网络中WSUS更新的基本方法进行完善和改进,寻求一种高效、便捷的内部网络WSUS 持续更新方案。
3.2 实现内部网络中WSUS更新优化的具体方法
上述的基本方法是复制了全部的更新补丁文件,显然仅适合第一次做完全导入时使用。在后续的WSUS更新中,新增的更新补丁数量通常在一个到上百个不等,容量在几MB到几百MB之间。如果能只对新增的更新补丁文件进行复
制,可以大大减少复制的数据量。这样,每次只需要耗费少量的时间与刻录光盘即可将新增的更新导入到内部网络WSUS中,从而实现内部网络WSUS高效的持续更新。
我们假设接入因特网的WSUS已经进行了第n次更新补丁的同步,而在内部网络中的WSUS则还处于上一次的更新补丁同步后的状态,即第(n-1)次更新补丁同步后的状态。准备一个用于参照的更新补丁文件夹,在其中存放着因特网中WSUS进行第n次更新补丁同步之前整个WsusContent文件夹的备份,也就是说该文件夹里的所有子文件夹和更新补丁文件与内部网络中WSUS相应的文件夹的内容是完全一致的。现在需要将因特网中WSUS第n次同步获取的新增更新补丁单独提取并复制,再添加到内部网络中的WSUS。具体方法示意图如第一步:首先使用wsusutil.exe工具导出因特网中WSUS的元数据,然后比较其WsusContent文件夹和参照的更新补丁文件夹中的WsusContent文件夹,通过整个文件夹的对比提取出第n次同步新增的更新补丁文件(包含文件夹的目录结构)。
第二步:将导出的元数据和第n次同步新增的更新补丁文件复制到刻录光盘。
第三步:将刻录光盘上的元数据用wsusutil.exe工具导入到内部网络的WSUS,并复制刻录光盘上的新增更新补丁文件到内部网络中WSUS下的WsusContent文件夹。
第四步:将因特网中WSUS第n次同步新增的更新补丁文件复制到参照的更新补丁文件夹中,使该文件夹中的WsusContent文件夹和因特网中WSUS一致,为下一次即第(n+1)次更新补丁同步后的再次进行文件夹对比做准备。
3.3 持续更新的关键——新增更新补丁的自动提取
将新增更新补丁导入内部网络的步骤中,第一步中提取新增更新补丁文件是所有步骤中的关键和难点。如果新增的补丁一次更新上百个(WSUS包含的更新产品类型较多,这种情况时常出现),要人工将如此多的更新补丁文件从超过200个子文件夹中分别提取出来并保持其原有的文件夹目录结构,将会是非常大的工作量,而且人工提取还不能保证其准确性。因此,我们需要一种能够实现文件夹差异比较并且将新增文件自动提取的方法或工具,在这里以第三方软件Beyond Compare为例进行说明。
Beyond Compare是一套文件及文件夹比较软件,可以快速比较出两个文件夹的不同之处,并能够对比较的结果进行处理,支持脚本命令。假设在接入外网的WSUS服务器中,Beyond Compare的安装路径为“D:\Program Files\Beyond Compare 2”,更新补丁文件夹的位置是“D:\WSUS\WsusContent\”,参照更新更新补丁文件夹的位置是“\\192.168.0.88\wsusbackup\WsusContent\”。在服务器上新建任意一个txt文本,例如“D:\CopyWsusContent.txt”,再将以下脚本代码写入该文本中:
optionconfirm:yes-to-all
criteria timestamp size
load "D:\WSUS\WsusContent\" "\\192.168.0.88\wsusbackup\WsusContent\"
expand all
selectleft.newerleft.orphan
copytoltpath:base D:\WSUS_compare\
脚本编辑完后保存,在命令行模式中输入以下命令:
“D:\Program Files\Beyond Compare 2\BC2.exe” @D:\CopyWsusContent.txt
执行该命令便可以将外网中WSUS服务器本地的“D:\WSUS\WsusContent\”文件夹与存储备份服务器上的“\\192.168.0.88\wsusbackup\WsusContent\”文件夹进行对比,从对比结果中提取出第n次同步后新增的更新补丁文件,并按照原有文件夹的目录结构复制到“D:\WSUS_compare\”文件夹下,这样就实现了自动提取新增更新补丁文件的工作,从而避免人工提取的巨大工作量及可能出现的疏漏。
4 小结
利用在因特网中WSUS部署,及时发现、获取微软的更新补丁,再使用Beyond Compare软件实现新增更新补丁的自动提取,然后通过刻录光盘,将更新补丁导入到内部网络中,实现了内部网络中WSUS的更新并向所有客户端计算机分发最新的更新补丁,及时的修补了内部网络中计算机的系统漏洞。在此基础上,再配合防火墙和防病毒软件,可以有效地避免因系统漏洞引起的病毒爆发和恶意攻击,从而确保了内部网中的计算机与网络信息安全,[4]保障了教育信息化应用的顺利推进
部署wsus链式拓扑 (上下游服务器)#sh run作品
部署WSUS(Windows Server Update Services 3.0) 链式拓扑部署实战(工作组环境) 链式拓扑。如下图所示,链式拓扑定义了上游服务器和下游服务器,上游服务器可以直接连接到微软的更新网站,下游服务器则只能从上游服务器下载更新。这种拓扑在总公司/分公司的管理模型中比较常见。考虑到性能因素,链式拓扑很少超过三层。 实验环境: server A上游服务器 IP:192.168.1.30 工作组 serverB下游服务器 IP:192.168.1.230工作组 server A client :windows xp 192.168.1.4 server B client:windows server 2003 192.168.1.5 一安装前的准备工作 要在server A上游服务器和下游服务器serverB上安装WSUS3. 0,需满足下列条件。 1.安装Windows server 2003 sp1以上的补丁
2.安装应用程序服务器中的Internet信息服务(IIS)和IIS详细信息中的后 台智能传送服务(BITS) 3.安装https://www.360docs.net/doc/792699782.html, Framework 2.0 补丁
4.安装Microsoft Report Viewer 2005 SP1补丁
5. 6.
5磁盘空间 WSUS3.0要求系统分区至少应有1G的剩余空间,WSUS的更新文件需要至少6G空间,WSUS的元文件至少需要2G空间。 6数据库 WSUS的后台数据库可以是SQL2005,MSDE或WMSDE。WSUS安装时自带了WMSDE,MSDE是大家很熟悉的数据库桌面引擎,MSDE和WMSDE的区别在于MSDE有最大不能超过2G的限制,而WMSDE没有。MSDE和WM SDE都没有提供管理工具,如果你需要管理工具,可以考虑安装SQL2005作为WSUS的后台数据库,也可以在WMSDE或MSDE的基础上加装一个SQL 2005管理工具。建议如无特殊需求,使用WSUS自带的WMSDE数据库即可。在server A上游服务器 IP:192.168.1.30 工作组 开始安装 Windows Server Update Services 3.0
WSUS配置分解
配置WSUS3.0服务器给客户机分发补丁 本文中介绍配置WSUS服务器后给客户机分发补丁。还是使用上篇博文中的拓扑结构BEIJING做DC和DNS服务器,GUANGZHOU做WSUS服务器,NANJING做客户机,IP 地址如图中一样。 1、WSUS服务器分组 2、给组分配计算机 3、审批更新补丁 4、共享WSUS文件夹 5、客户机测试 下面开始今天的实验: 一、在WSUS服务器上分组 打开GUANGZHOU也就是WSUS服务器,在程序→管理工具→找到Microsoft Windows Server Update Services 3.0打开。
我们就看到WSUS服务器的管理对话框,选择计算机我们可能性看到域内的所有计算机,都属于“所有计算机”这个组。我们为了管理补丁方便可以创建几个组,这样管理就会更加灵活。 选择计算机后在右边的操作中可以看到有添加计算机组,单击后打开添加计算机组对话框,我在这里添加两个组,分别为test1和test2。输入test1添加,第一个组就创建完成,用同样的方法创建好test2组。
现在两个组都创建完成,现在我们需要把计算机指定到组中,选择选项中的计算机。 二、给组分配计算机 单击计算机在常规里可以看到有两种指定的方法,一种是使用Update Services控制台,一种是使用计算机上的组策略或注册表设置。因为现在我们有域环境,选择第二种更加方便。
在域控制器上从程序→管理工具→打开“Active Directory用户和计算机” 右击“https://www.360docs.net/doc/792699782.html,”属性
选择组策略,选择当前的组策略对象链接,单击编辑
WUSU完整部署
步骤1:WSUS 3.0 安装需求 安装WSUS 3.0之前,你需要在你的机器上安装以下组件。当安装完成需要重新启动的时候,请在安装WSUS之前重启。 在Windows server 2003 系列上的WSUS 3.0安装需求 a. Windows Server 2003 Service Pack 1 b. Microsoft Internet Information Services (IIS) 6.0 c. Update for Background Intelligent Transfer Service (BITS) 2.0 and WinHTTP 5.1 Windows Server 2003. d. Microsoft .NET Framework Version 2.0 Redistributable Package (x86) e. Microsoft Report Viewer Redistributable 2005 f. Microsoft Management Console 3.0 for Windows Server 2003 (KB907265) 在Windows Server Longhorn系列上的WSUS 3.0安装需求 a.Microsoft Internet Information Services (IIS) 7.0 b.Windows Authentication(Windows 身份验证) https://www.360docs.net/doc/792699782.html, d. 6.0 Management Compatibility(6.0管理兼容性) e.IIS MetabaseCompatibility(IIS元数据库的兼容性) f.Microsoft Report Viewer Redistributable 2005 g.Microsoft SQL Server? 2005 Service Pack 1 .NET Framework 2.0 and BITS 2.0是Windows Server "Longhorn"操作系统自带组件,无需安装 磁盘空间需求和建议 安装WSUS 3.0的服务器系统必须满足以下需求: a.至少两个系统分区,并且安装WSUS 3.0的分区格式必须为NTFS b.推荐为系统分区至少保留1GB空间 c.在WSUS 3.0所在分区至少保留20GB 的剩余空间,建议为30GB剩余空间 d.在安装WSUS 内部数据库的分区,至少保留2GB剩余空间
在局域网内实现windows补丁自动分发实现(WSUS部署与安装)
在局域网内实现windows补丁自动分发实现(WSUS部署与安装) 2007-02-06 11:04 一.前言 WSUS软件升级服务,是用来在内部网络中提供Windows补丁升级服务。 通过在内部网络中配置WSUS服务,所有Windows的更新都从上一级WSUS服务器集中下载到内部网的WSUS服务器中,而网络中的客户机通过本地WSUS 服务器来得到更新。 为了提高效率,节省网络带宽资源,公务网大型局域网接入用户可以部署自己的WSUS服务器(以管理中心WSUS补丁服务器为上一级服务器),为本局域网用户提供补丁升级服务。本文则讲述了如何在网络中安装、配置和使用WSUS服务。 二.复查 WSUS 安装要求 1.以下是使用默认选项进行安装的基本硬件安装要求: 500客户端以下 500客户端以上 CPU 300M--1G 1G--2G RAM 256M--1G 1G--1G 硬盘容量 9G--30G 系统盘与补丁存放盘必须是NTFS文件系统。 2.软件要求: 要使用默认选项安装 WSUS,必须在计算机上安装以下软件。如果任意一项更新要求在安装完成后重新启动计算机,则应在安装 WSUS 之前重新启动服务器。 Microsoft Internet 信息服务 (IIS) 6.0。 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。(WindowsServer2003-KB867460-x86-CHS) Background Intelligent Transfer Service (BITS) 2.0。 (WindowsServer2003-KB842773-x86-chs.exe) 注:如果您的win2003安装了SP1补丁,那么WindowsServer2003-KB867460-x86-CHS和WindowsServer2003-KB842773-x86-chs.exe两个补丁程序您将不需要安装。 3.客户端要求:
WSUS3.0安装部署步骤
WSUS3.0安装配置步骤 一、安装前的准备 1、安装https://www.360docs.net/doc/792699782.html, Framework 3.5 SP1 2、安装SQL Server 2005以及最新的Service Pack(当前是SP4) 3、确认已经安装IIS6.0,如果没有安装请先从控制面板中的“添加或删除程序”->“添 加/删除Windows组件”中添加“应用程序服务器”中的“Internet信息服务(IIS)” 组件。 4、安装Microsoft Report Viewer 5、注意WSUS的补丁可能超过100G,甚至200G,因此需要给存放WSUS补丁的分 区分配尽可能大的空间。 二、安装配置WSUS3.0 SP2 1、运行WSUS3.0 SP2的安装程序WSUS30-KB972455-x86.exe 2、安装模式,选择“包括管理控制台的完整服务器安装” 3、选择更新源,使用“本地存储更新”,并设置本地目录。注意这个目录用于存放WSUS 的补丁,空间要求大,根据所需补丁种类及语言的不同,可能需要高达100-200G 的空间。
4、数据库选项,默认情况下WSUS会安装一个简化版的SQL 2005 Express(即Windows Internal Database)。这里建议使用完整版本的SQL 2005,并在安装WSUS前,先安装好SQL2005。因此这里的数据库可以选择“使用此计算机上现有的数据库服务器”,如果本机没有安装SQL2005,也可以使用其他服务器上的SQL2005 5、网站选择,建议“使用现有IIS默认网站(推荐)” 6、完成WSUS安装后,根据提示进入WSUS设置向导。
Windows 2008 R2详细部署WSUS要点
Windows 2008 R2 SP1部署WSUS 3.0 SP2 1 实验环境 1)域: 域名为https://www.360docs.net/doc/792699782.html,; 网段:192.168.0网段,不连接外网。 域功能级别和林功能级别为Windows server 2003模式。 2)DC服务器: 域控制器; Windows2008 R2 SP1企业版; 主机名:DC01 5个操作主机角色服务器; 证书服务器; DNS服务器IP地址为192.168.0.101; IP地址为192.168.0.101。 3)WSUS服务器: Windows2008 R2 SP1企业版; 主机名:WSUS01; 不加入https://www.360docs.net/doc/792699782.html,域; 主机双网卡: 网卡一的IP地址为192.168.0.108; 网卡二的IP地址为DHCP自动分配,连接外网。 4)客户端: Windows7企业版X86; 主机名:WIN701; 加入https://www.360docs.net/doc/792699782.html,域; DNS服务器IP地址为192.168.0.101; IP地址为192.168.0.103。 2 安装WSUS SP2准备 1) 以本地管理登陆WSUS01服务器。 2) 安装Microsoft Report Viewer Redistributable 2008,下载链接: https://www.360docs.net/doc/792699782.html,/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyI D=6ae0aa19-3e6c-474c-9d57-05b2347456b1 3) 运行Report Viewer.exe文件,下一步。
4) 接受协议,选择“安装”。
WSUS规划部署(二)WSUS控制台说明
WSUS规划部署(二)WSUS控制台说明 在安装了WSUS之后,那么需要开始配置。安装过程很简单,就是需要点击鼠标几次,真正需要做的就是后期如何管理维护WSUS服务器。管理之前就需要先熟悉界面。 与上一个版本想对比,wsus 3.0 取消了web,使用了c/s的方式,在服务器上面做的控制台。 如上图。打开控制台,默认连接的是当前的服务器,如果需要添加另外一个WSUS服务器,那么可以做如下操作:
首先在Update Services上面右键,选择添加服务器,之后就会弹出窗体,输入服务器名称,与端口号。 添加服务器之后,看下面的节点,会看到分为更新、计算机、下游服务器、同步、报告与选择。 更新:也就是所有与官方同步的更新。其下分为几个选项,所有更新,关键更新,安全更新与WSUS更新。点击选项卡,进入页面。
这里可能开始的时候不是特别的熟悉,上面的下拉列表中的每个选项很详细,从这一点来说很人性化。 之后看下面的计算机。
开始安装结束的界面,没有下面的Windows 7选项卡的,这是将计算机进行分组,方便管理,同时,可以自己根据实际情况定义,比如以客户端的操作系统就是一种方式。管理很简单。下游服务器:对于下游服务器,在安装的时候就已经涉及,一般情况都是仅仅存在一台补丁服务器。可以如果实际情况中有需要内外网隔离的,那么就有可能需要下游服务器,下游服务器所在网络可能不能与外网直接相连,那么就需要通过与能连接外网的WSUS进行同步复制。之后提供补丁分发功能。
同步:当选择为手动同步的时候,那么可以在该选项上右键,选择手动同步。这样就会开始与上游服务器,下游服务器,客户端进行同步。这里面可能有人会发现,客户端收到了补丁,同时也安装了,可是服务器端确没有反馈。这时不要迷惑,只要再进行同步一次就可以。报告:能够将当前状态等等信息进行整理,生成一份报告,方便查阅。 选项:这是整个WSUS控制台重要的地方,大多数配置都是在这里的。 切换到“选项” 可以看到上面选项。根据实际情况进行配置。比如代理的设置。 另外,某些产品新添加过来,需要提供补丁服务,而开始安装时候又没有设置,那么就选择产品和分类,来进行选择。 同步计划一定要设置,一般情况下,会将同步计划设置为周末。
WSUS3.0 详细部署
WSUS3.0 详细部署之一 2009-06-02 03:22:46 标签:部署 wsus server 是微软推出一款为企业打补丁用的,是免费的,如果企业的每一台电脑都不跑到微软官方网站上去!一个电脑占用一点带宽,电脑多了对企业的带宽是很的的消耗!如果把补丁下载到一台服务器上,别的电脑不在跑到微软官方网站去下载补丁,节约了带宽资源,局域网的网速也很快,当微软有补丁的时候可以测试用! 如果那个更新的软件不好用的话,可以不安装,有的时候新的不一定如旧的,有很多新的软件都不稳定,说了这么多废话,现在该进入正题了 准备条件: 1.必须是windows server 2003 sp1 windows server 2000一下可不支持哦! 2.wsus需要8g 以上的硬盘,内存 256m以上, 3.iis(iis信息服务)bits后台智能传输服务 https://www.360docs.net/doc/792699782.html, framework 2.0以上。管理控制台(mmc3.0)。microsoftvewer 2005 sp1 (microsoft 报表查看器) beijing是dc服务器 dns ,beijing是wsus server 上海是客户机
iis的安装 由于wsus server在http或https上运行的所以必须安装iis 。开始--设置--控制面板--添加/删除windows组件--应用程序服务器--Internet 信息服务(iis)
iis组件安装完了
net framework 2.0(补丁)。管理控制台(mmc3.0)(补丁)。microsoftvewer 2005 sp1 (microsoft 报表查看器)(补丁) https://www.360docs.net/doc/792699782.html,/downloads/thankyou.aspx?familyId=0856eacb-4362-4b0d-8edd-aab15c5e04f5&disp layLang=zh-cn(net framework 2.0微软网址) mmc3.0补丁
物理隔离内网wsus部署方法
WSUS(Windows Server Update Services 3.0)是微软公司面向其软件产品提供的软件升级更新解决方案,它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。[1][2]目前很多高校通过在内部网络中部署WSUS系统,较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。[2] 很多安全保密级别较高的内部网络不但与因特网物理隔离,而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据,只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。在这种内部网络环境中,WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级,而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新,[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统,并建立及时高效的WSUS服务器持续更新方案。 1 内部网络WSUS部署方案 1.1 WSUS服务的一般部署方案 如果能够访问因特网,则WSUS部署较为简单,WSUS服务器安装后即可自动连接微软公司网站下载更新程序,以后也基本不需进行维护,内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。[2][3] 1.2 内部网络中WSUS的安装部署 在隔离的内部网络中部署WSUS方法相同,但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。如果手工下载补丁对WSUS服务器进行更新,非常困难,未见有成功方案。很多单位在建立了隔离的内部网网络的同时,也有与因特网连接的网络,解决信息查询等问题。因此,我们采用在与因特网连接的外部网络(以下简称外网)和与因特网隔离的内部网络(以下简称内网)中各部署一套WSUS系统,外网WSUS服务器自动获取更新程序,供外网计算机进行更新,并定期导出更新数据,通过刻录光盘等方法,对内网WSUS服务器进行更新,实现内网计算机的持续更新。方法如图1所示。 2 内网WSUS服务器的首次更新 2.1 WSUS服务器中更新的数据构成 WSUS服务器中的更新数据包含两部分:
内网WSUS服务器部署
内网WSUS服务器部署 1)在内网的WSUS Server上,使用和外网WSUS安装时相同的选项安装,并配置WSUS (保证高级同步选项要一致) 2)在外网WSUS Server上通过命令行工具wsusutil.exe,将原有的WSUS更新元数据 导出( wsusutil.exe,缺省位于“C:\Program Files\Update Services\Tools”目 录中):wsusutil export 例:C:\Program Files\Update Services\Tools>wsusutil export d:\wsus080120.cab d:\wsus080120.log 3)将外网WSUS的存放更新源文件(wsuscontent)的目录备份下来。复制wsuscontent 文件夹即可。 4)将从外网WSUS的备份出来的WSUScontent文件夹的内容,复制到内网WSUSContent 文件夹内。 5)在内网WSUS Server通过命令行工具wsusutil.exe,将已经导出的WSUS更新元数 据导入:wsusutil import 例:C:\Program Files\Update Services\Tools>wsusutil Import d:\wsus080120.cab d:\wsus080120.log 6)运行WSUSutil Reset
此命令用于检查WSUS数据库中每一个元数据是否具有本地存储对应的更新文件, 如果更新文件丢失或者被损坏,WSUS将再次下载更新文件。此命令在你刚恢复WSUS 备份数据或者排除更新批准故障时非常有用。 维护操作 1)移动更新文件 当WSUS服务器用于本地存储更新文件的硬盘空间不足或者出现故障时,你可能需 要将更新文件移动到另外的磁盘上进行存储。而Movecontent命令正是用于实现这 一需求。运行此命令时,WSUSUtil.exe执行以下操作: 将更新文件从源位置复制到目的存储位置; 更新WSUS数据库中的本地存储位置以及IIS中的虚拟目录映射。 更新文件存放的目的存储位置必须是NTFS文件格式;如果目的存储位置中更新文 件已经存在,则WSUSUtil.exe将不会复制相应的文件;并且WSUSUtil.exe将会设 置目的存储位置的NTFS权限和源位置一致。 你可以使用其他方式,例如xcopy或者备份工具来将更新文件复制到目的存储位 置,然后在WSUSUtil.exe运行时指定skipcopy参数不复制更新文件。 运行的语法如下所示: wsusutil movecontentcontentpath logfile[-skipcopy] 其中参数 contentpath 目的存储位置的路径,此路径必须存在 logfile 创建的日志文件名(不含路径则为当前目录) -skipcopy 可选,只更新WSUS数据库中的本地存储位置,不进行更新文件复制操作 2)deleteunneededrevisions
WSUS服务器安装与配置手册
Microsoft Windows Server Update Services 安装与配置教程 珠江期货广州总部技术部 修改日期:2010 年09 月03 日 摘要 本文提供Microsoft? Windows Server? Update Services (WSUS) 入门的分步指导。其中详述了在网络上部署WSUS 所涉及的基本任务的说明,具体包括在Microsoft Windows Server 2003 操作系统上安装WSUS、配置WSUS 以获取更新、将客户端计算机配置为从WSUS 安装更新,以及批准、测试和分发更新。在“部署Microsoft Windows Server Update Services”白皮书(文档可能为英文)中可以找到有关内容的更为全面的阐述。
目录 Microsoft Windows Server Update Services 入门循序渐进指南 (3) 步骤1:WSUS 安装要求 (3) 硬件要求 (3) 磁盘要求 (3) 软件要求 (3) 步骤2:在服务器上安装WSUS (5) 步骤3:部署WSUS (19) 服务器端的部署 (19) 客户端的部署 (21) 客户端组策略的配置 (21) 客户端注册表的修改 (26) 步骤4:使用WSUS (28) 发现客户端 (28) 同步更新 (31) 客户端更新 (32)
Microsoft Windows Server Update Services 安装与配置教程 WSUS为在网络中管理更新提供了一个全面的解决方案。本文档提供了在网络上部署WSUS 时涉及的基本任务的分步指导。使用本指南可执行以下任务: ? 在 Microsoft Windows Server 2003 操作系统上安装 WSUS。 ? 将 WSUS 配置为从 Microsoft 获取更新。 ? 将客户端计算机配置为通过 WSUS 安装更新。 ? 批准、测试和分发更新。 步骤 1:WSUS 安装要求 硬件要求 建议使用以下硬件: ? 2 GHz 的处理器 ? 最少1 GB 的 RAM 磁盘要求 要安装WSUS,服务器上的文件系统必须满足以下要求: ? 系统分区和安装 WSUS 的分区都必须使用 NTFS文件系统进行格式化。 ? 系统分区至少需要 10 GB 的可用空间。 ? WSUS 用于存储内容的卷至少需要 6 GB 的可用空间,建议预留空间为 30 GB。 注意:WSUS更新的系统补丁占用空间很大,可以将更新目录设置为其他盘符 软件要求 安装WSUS之前,需要确认操作系统版本以及相应补丁是否安装: ? 操作系统要求 使用windows 2003 server SP2版
WSUS服务器的详细配置和部署
WSUS服务器的详细配置和部署 WSUS服务器的详细配置和部署 一、WSUS 安装要求 1、硬件要求: 对于多达500 个客户端的服务器,建议使用以下硬件: * 1 GHz 的处理器 * 1 GB 的RAM 2、软件要求: 要使用默认选项安装WSUS,必须在计算机上安装以下软件。 * Microsoft Internet 信息服务(IIS) 6.0。 * 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。 * Background Intelligent Transfer Service (BITS) 2.0。 3、磁盘要求: 要安装WSUS,服务器上的文件系统必须满足以下要求: * 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。 * 系统分区至少需要1 GB 的可用空间。 * WSUS 用于存储内容的卷至少需要6 GB 的可用空间,建议预留空间为30 GB。 * WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。 4、自动更新要求: 自动更新是WSUS 的客户端组件。除了需要连接到网络外,自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新: * 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。
WSUS系统维护手册
WSUS系统简介(必看) 由于网管网是与外界隔离的独立内网,无法连到微软下载补丁。所以采用在网管网部署一台二级WSUS补丁服务器,供各windows终端、服务器下载补丁。另自己安装一台一级WSUS补丁服务器,用于通过internet连到微软下载补丁,这台服务器可以是自己的笔记本电脑或者上面的虚拟机,然后每周一再把这台一级WSUS补丁服务器接入网管网,与二级WSUS补丁服务器进行补丁同步。以达到网管网的windows终端,服务器能够及时有最新的补丁可能下载安装,减少系统漏洞,保证网络安全。 服务器资源 二级服务器:网管网部署了一台IBM的服务器用于做二级WSUS服务器,位于西得胜主机楼5F,数据02机房C01机柜,IP地址为132.97.31.10 一级服务器:一级WSUS服务器采用自带手提电脑安装虚拟机Win2003Server。先通过internet(可以在家或者通过OA网连接internet)从微软下载补丁,再接入网管网与二级WSUS 服务器同步补丁。 补丁分发流程 互 互 互
一级WSUS服务器配置 1、更新源,先择从Microsoft Update 进行同步,代理服务器填OA网的代理,因为通过OA 网接入的
2、产品与分类,选择要更新的产品,在这里选WinXP,Win03Server,分类选安全更新,如下图: 3、更新语言,先择简体中文
4、下载补丁 点击“立即同步”就开始同步,先同步数据 库,同步完会显示完成100%,但还要等“下 载状态”显示补丁下载完才真正完成 二级服务器补丁同步 1.将下载了补丁的笔记本或者虚拟机的IP地址改为13 2.97.32.131,然后拔下连接网管网 的网管终端上的网线接入网管网。 2.如果是第一次设定二级补丁升级服务器需要做下面的操作,否则可以跳过这一步骤:通 过笔记本或者虚拟机上的MSTSC远程桌面联到二级WSUS服务器,这里采用的地址是1.1.1.10:10080(ISG防火墙映射为132.97.31.10:3389)做如下关键位置配置:更新源,一级WSUS服务器地址132.97.32.131,端口80
如何在网域内部署WSUS服务20050906
如何在網域內部署WSUS服務........................................................... 错误!未定义书签。 一.安裝前的準備 .......................................................................... 错误!未定义书签。首先,要安裝WSUS的電腦必須加入網域,在安裝過程中必須用域管理員的帳號登陸到要安裝WSUS的電腦................................................................................ 错误!未定义书签。 1.如果WSUS Server是Windows Server 2000的操作系統,必需具備一下條件: (2) 2.如果WSUS Server是Windows Server 2003的操作系統....... 错误!未定义书签。 二.安裝WSUS,新建一個組策略,並對其進行配置 .......................... 错误!未定义书签。 1.如何安裝WSUS................................................................... 错误!未定义书签。 2.配置WSUS的各項參數 ....................................................... 错误!未定义书签。 3.創建一個WSUS Policy,並對其逕行設置................................ 错误!未定义书签。
WSUS微软补丁服务器详细配置
WSUS微软补丁服务器详细配置 WSUS补丁服务器的优点: 是微软免费为公司、企事业单位提供内部网的补丁分发,可以为没有联接外部网的系统进行升级与更新。主要包括:Windows2000、XP、2003、VISTA系列系统,Office 2002及以上版本,Windows live、Windows Small Business Server、MSSQL 2000及以上版本的数据库系统、Windows Exchange 2000及以上版本、ISA、Forefront、Microsoft Codename Max、Microsoft System Center Data Protection Manager。 通过选择的方式将更新程序(包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等)可选择从Microsoft Update下载至本地安装源,节省企业外部网络带宽。 对更新程序进行管理,控制更新程序的分发;你可以批准更新在客户端计算机上进行安装,或者仅仅是检测客户端计算机是否需要此更新,你也可以拒绝此更新程序; 对网络中的客户端计算机进行分组,控制更新程序在不同客户端计算机上的分发。 安装要求 硬件安装要求: 系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式; 系统分区至少有2G的剩余空间; 进行本地存储时,存储WSUS更新文件内容的分区至少需要6G剩余空间, 安装WMSDE的分区至少要求有2GB的剩余空间。如果WMSDE和WSUS安装在同一分区,至少需要8G剩余空间。 根据公司情况,个人建议服务器配置:CPU 2.0以上,内存:512MB,硬盘最少80G。 软件要求:必需安装在Window 2000及Windows 2003 Server版系统上Windows 2000 Server版必需安装以下组件: ●安装SP4补丁 ●Internet信息服务(IIS)5.0,建立默认站点,以及配置好Web服务 ●后台智能传输服务(BITS) 2.0 下载地址: https://www.360docs.net/doc/792699782.html,/downloads/details.aspx?familyid=3ee866a0-3a09- 4fdf-8bdb-c906850ab9f2&displaylang=zh-cn ●Microsoft SQL完全兼容的数据库软件,推荐使用MSDE,下载地址: https://www.360docs.net/doc/792699782.html,/downloads/details.aspx?displaylang=zh-cn&Famil yID=413744d1-a0bc-479f-bafa-e4b278eb9147 ●安装IE6.0 sp1 ●Microsoft .NET Framework Version 1.1 下载地址: https://www.360docs.net/doc/792699782.html,/downloads/details.aspx?displaylang=zh-cn&Famil yID=262d25e3-f589-4842-8157-034d1e7cf3a3 ●Microsoft .NET Framework 1.1 Service Pack 1 下载地址: https://www.360docs.net/doc/792699782.html,/downloads/details.aspx?displaylang=zh-cn&Famil yID=a8f5654f-088e-40b2-bbdb-a83353618b38 Windows 2003 Server 版必需安装以下组件: ●Internet信息服务(IIS)6.0, 建立默认站点,以及配置好Web服务 ●后台智能传输服务(BITS) 2.0 下载地址:
WSUS客户端补丁自动更新配置
在办公电脑上配置自动更新因为有部分电脑启用自动更新服务会出现错误。 所以我将排错步骤一起写进配置文档里。 第一步,在“运行”里输入%windir%找到微软补丁服务的文件夹 16刃 理戶 誉乐 rescache?O1&/2;12 17:15 R-crsources 20CE/7/1+ 13;3 2 SchCachi?23W/7/14 1>33 j.2009/7/14 13S? 2510/11/22 3 34 Service Profil e2'J(?/7/14 12:45 servicing2010/11/22 5 2? Setup2009/7/14 li45哀{悻 SoftwareD tglri butio n玄件龙 h Speech2O1W1V?2 ? ??站吐 systew20?/7/14 li>Jb主1帜 ■SyEtenn S 2201S/3/27 1&19M夹 2D10/a/2? 1A0? TAPI20?/7jl4 U57立《 2018/2/12 4TF A Tuinp251B73/27 2LO2 traang2^111/2/11 2Z0? 找到Softwaredistribution这个文件夹,将它删除掉。 如果直接删除,可能会提示有程序正在使用它。 删除Softwaredistribution文件夹的方法如下: 以管理员的身份启动命令行管理器。
位置:开始-->程序-->附件-->命令提示符 右键点击,选择“以管理员身份运行” f Update 11 打开阿 + ■ -- E 管理足身伯迄行iA) F r 和开之件常爭T > p rM ? 密; 劭勺印欽i 止放n I Cl ifffl 彳弱杀禹 歸爭卜停严1) 戈率立件赭门幵曲」棊单妙 £應 m 叙粧除 学 g 心寸F -飙扳呈」血痔 阳口&期二Up 强切际 3tO^2 中 T afftisew? ■'1 帰m ? ft 八忘仝自* tlzf 丄等件 ■W 健科讦衿前i jkdn: it] ^trfttar fflft _g Fine ■艸5: ■|计耳蛊 J 记丰本 前F .T) 亘刮I : 州岳期 ■谆鼻剽J K"±型 二三事标 远程点五逹榕 回国fj fin&w 土 T c*tj : Sl.tll 卑松浙可 系堺工具 冒理工具 启幼 S1F 控制面顿 荃竜和和印机 営埋丄且 制貼和古持 童行 |斂程库和更岸 ,呻主肖?] 使用net stop wuauserv 命令将更新服务程序停止掉。 C : \UindobJS \sj^s t yindovis Update Uindous Update : P -止 ta ¥ £鸟 et 在成 >n 正」wuausepu [G : \ymdoibj :s\g 艸 然后就可以删除掉 Softwaredistribution 文件夹。 之后,在使用net start wuauserv 命令启动更新服务程序。 C= SUi.ndau?^£^E ;t&n32>net wuau^erM UiinilDwx Update 思毎止?左启葫- Wihd tfw5 IM?t C 眼务已经启动成功匸 IC:sS/Xnd4WVM¥VCPn33> 然后还需要确定一次 windows update 这个服务是否已经启动了。
WSUS全攻略之三:WSUS操作指南
WSUS全攻略之三:WSUS操作指南 在安装好WSUS服务器之后,你可以通过WSUS管理控制台来对WSUS服务器进行管理。WSUS管理控制台是基于Web浏览器的,你可以通过以下地址 http://WSUS_Website_url/WSUSAdmin 来访问WSUS管理控制台,在默认情况下WSUS Web站点使用默认Web站点,WSUS管理控制台的访问路径是 http://servernam e/WSUSAdmin 你必须将浏览器配置为允许活动脚本和ActiveX控件。如果在计算机上已启用了Internet Explorer增强安全配置组件,你应该将WSUS管理控制台地址添加到受信任的站点中。 WSUS安装时将创建一个名为WSUS Administrators的用户组,这便于你委派用户进行WSUS的管理。默认情况下,只有属于内建的Administrators组或WSUS Administrators组的用户可以访问WSUS管理控制台。 在WSUS管理控制台中你可以执行以下任务: ?配置WSUS服务器选项并进行同步; ?管理计算机及计算机组; ?管理更新(批准或拒绝更新); ?通过报告监控WSUS服务器的实现情况。
配置WSUS服务器选项并进行同步 点击开始,再点击管理工具中的Microsoft Windows Server Update Services进入WSUS管理控制台,此时会弹出身份验证对话框,输入具有访问权限的用户账户及密码,然后点击确定,如下图所示, 由于采用了增强的Internet Explorer安全配置,在弹出的警告提示框中,点击添加,
然后在可信站点对话框上,点击添加。这样就把WSUS管理控制台加入了到受信任的站点中,再点击关闭。
WSUS客户端部署
WSUS客户端部署 Windows 系统可以在组策略里配置Windows update策略,也可以通过注册表来配置。当前公司办公用的Windows 操作系统,除了XP之外,还有Vista,Windows 7。但Vista,Windows 7 home版没有组策略,故采取修改注册表方式比较方便快捷。 Windows XP注册表修改如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windo wsUpdate] "WUServer"="http://IP:8530" "WUStatusServer"="http://IP:8530" "ElevateNonAdmins"=dword:00000001 "TargetGroupEnabled"=dword:00000001 "TargetGroup"="Windows XP" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windo wsUpdate\AU] "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:0000000c "UseWUServer"=dword:00000001 "AutoInstallMinorUpdates"=dword:00000001 "NoAutoRebootWithLoggedOnUser"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run] "WSUS Update"="wuauclt.exe /detectnow" 如果是Windows Vista系统,则"TargetGroup"="Windows Vista"; 如果是Windows Vista系统,则"TargetGroup"="Windows 7" 注册表文件说明如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindows Update]
Windows Server 2008 WSUS安装部署
Windows Server 2008 WSUS安装部署 一、WSUS 3.0 SP2 安装需求 1、服务器平台和要求 Windows Server 2008 R2 Windows Server 2008 SP1 或以上版本 Windows Server 2003 SP1 或以上版本 Windows Small Business Server 2008 Windows Small Business Server 2003 IIS 6.0 或以上版本 The Microsoft .NET Framework 2.0 或以上版本 数据库引擎:Microsoft SQL Server 2008 Express, Standard, or Enterprise Edition SQL Server 2005 SP2 Windows Internal Database Microsoft Management Console 3.0 Microsoft Report Viewer Redistributable 2008 2、管理控制台要求 Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 SP2 or later versions, Windows Small Business Server 2008 or 2003, Windows Vista, or Windows XP SP2 Microsoft .NET Framework 2.0 或以上版本 Microsoft Management Console 3.0 Microsoft Report Viewer Redistributable 2008 3、客户端要求 Windows Server 2008 R2, Windows Server 2008 SP1 or later versions, Windows Server 2003 SP2 or later versions, Windows Small Business Server 2003, 2005, or 2008, Windows Vista, Windows XP Professional RTM, SP1, SP2, SP3, or later versions, Windows 2000 SP4, or Windows 7 client. 4、相关下载