WSUS 3.0的安装和使用

客户端的安装WSUS为操作系统提供自动更新服务，能够自动向操作系统推送关键性、安全性补丁。

SP1、SP2等集成补丁包不在此服务支持范围内,如有需要请到公司Fileserver上Download,具体路径如下：\\fileserver\正版补丁程序。

公司WSUS服务器支持更新的操作系统为Windows2000系列（SP4版本以上）、Windows XP 系列（SP1版本以上）、Windows2003Server系列（SP1版本以上）。

支持语言为简体中文、英文。

配置WSUS客户端说明一、通过组策略方式来配置选择“开始”，“运行”，输入“gpedit.msc”，打开组策略窗口：二、右键点击“管理模板”，选择“添加/删除模板”：注意：此处对于操作系统补丁的要求是，win2000 sp2以上，win xp sp1以上。

三、打开添加/删除模板后选择“wuau”单击“添加”：进入策略模板后选择“wuau.adm”单击“打开”添加模板：四、展开计算机配置—〉展开管理模板—〉展开Windows 组件—〉单击Windows Update—〉双击配置自动更新。

五、单击启用，完成后单击“下一策略”。

此处有3个选择。

推荐选择3设置计划安装日期和时间为了减轻服务器的负荷，请大家按照下面的规则配置更新日期PSFT大厅：每周一或每周二工作时间（电脑开机时间）文思大厅：每周三或每周四工作时间（电脑开机时间）其他部门：每周五工作时间（电脑开机时间）部门服务器请将时间设置在非工作时间。

更新时间请大家随意设置，尽量不要使用默认设置。

设定计划安装日期设定计划安装时间设置完日期和时间后，点击下一设置继续配置。

六、选中已启用在更新服务和统计服务器内填入：或者点击确定完成配置。

客户端注意事项：1．配置完WSUS客户端后下载，安装补丁的时间是根据机器的配置随机出现的。

2．可以按照如下方法检查WSUS客户端是否生效：配置完WSUS客户端后，在windows目录下会生成windowsupdate.log文件，在其内可以看到此客户端是从何处升级的补丁及升级了哪些补丁。

部署WSUS3.0SP2服务器1.准备环境拓扑图：2.安装WSUS服务器：1)首先把WSUS服务器加入到域中：2)在WSUS服务器准备两块网卡，一块网卡连接外网，一块网卡连接内网，进行WSUS升级：3)首先在WSUS服务器上安装Web服务：4)安装Web服务是选择所有选项：5)完成安装：6)接下来安装“ReportViewer”组件：7)接受协议：8)完成安装：9)安装“.NET Framework 3.5.1功能”：10)检查MMC3.0版本：11)准备好了以上的前提条件后，我们开始安装WSUS3.0SP2：12)在安装模式中选择“包括管理控制台的完整服务器安装”：13)接受协议：14)在选择更新源中，勾选“本地存储更新”，并选择路径：15)在数据库选项中，选择“在此计算机上安装Windows Internal Database”，并选择路径：16)在“网站选择”中选择“使用现有IIS默认网站”：17)准备开始安装：18)完成安装：19)安装完WSUS3.0SP2后，我们需要在安装一个WSUS3.0SP2的补丁包，否则在更新时会出现错误：20)安装完补丁后需要重新启动：1)重新启动后，打开WSUS管理控制台，打开“WSUS服务器配置向导”：2)选择加入Microsoft Update改善计划：3)选择“从Microsoft Update进行同步”：4)不勾选“在同步时使用代理服务器”：5)点击“开始连接”：6)选择“中文（简体）”语言：7)选择产品为“Windows 7”：8)选择分类为“安全更新程序”，“定义更新”和“关键更新程序”：9)设置同步计划为自动同步：10)勾选“开始初始同步”：11)完成：12)开始进行同步：13)同步完成后，查看更新内容：算机组”：15)创建新计算机组的名称：16)查看刚刚创建好的计算机组“windows7”：17)打开“AD用户和计算机”工具，创建一个新OU，名称为“windows7”，把win7客户机放入该OU中：18)然后打开“组策略管理”工具，找到“windows7”OU，在该OU下新建一个组策略并链接到该OU，如图所示：19)打开“windows7”OU下的组策略，依次展开“计算机配置”-“策略”-“管理模版”-“Windows组件”-“Windows Update”-“指定Intranet Microsoft 更新服务位置”，如图所示：20)在“指定Intranet Microsoft更新服务位置”中选择“已启用”，并在下面的选项中输入“http：//WSUS服务器的IP地址”，点击“确定”：21)打开“windows7”OU下的组策略，依次展开“计算机配置”-“策略”-“管理模版”-“Windows组件”-“Windows Update”-“自动更新检测频率”，如图所示：22)在“自动更新检测频率”中选择“已启用”，如图所示：23)打开“windows7”OU下的组策略，依次展开“计算机配置”-“策略”-“管理模版”-“Windows组件”-“Windows Update”-“允许客户端目标设置”，如图所示：24)在“允许客户端目标设置”中选择“已启用”，并在“此计算机的目标组名称”中输入在WSUS服务器创建的计算机组的名称，点击“确定”：25)查看组策略：26)在DC中输入“gpudate /force”命令来刷新组策略，并且需要重新启动win7客户机：27)重新启动win7客户机后，打开“Windows Update”，如图所示：客户机，如图所示：29)打开“更新”-“所有更新”，选择右侧的更新包右键“审批”：30) 打开win7客户机，可以查看到从WSUS 服务器的更新包：31)开始从WSUS服务器进行更新包的安装操作：32)更新成功后需要重新启动客户机，重启以后，完成更新，如图所示：打开左侧的“查看更新历史记录”，如图所示：状态：实验完毕！。

服务器或工作站可以实现无人值守自动打补丁的方法Windows系统漏洞可谓屡见不鲜、层出不穷，而且其危险性和危害性也是越来越大。

因此，及时更新系统补丁、堵塞系统漏洞，保证Windows系统安全，就成为网络管理人员的当务之急。

WSUS（Windows Software Update Service）作为微软为数不多的免费服务程序，允许管理员在Windows工作站和服务器上快速、可靠的部署重大更新和安全更新。

更让人欣慰的是，WSUS 3.0已经可以支持Windows Vista系统的安全管理更新服务。

一、WSUS安装前的准备WSUS 3.0服务器的系统环境必须是Windows Server 2003 SP1以上版本，并且确保已经正确安装了如下系统组件：若使用Windows Server 2003作为WSUS服务器则必须先安装Service Pack 1；若使用Windows Server Vista则必须使用Beat 2或更高版本的。

“注意”由于Windows Server 2008尚未正式推出，建议使用Windows Server 2003 R2作为WSUS服务器操作系统。

安装IIS 6.0或更高版本（Windows Server 2003安装光盘中已经提供）。

安装BITS 2.0或更高版本（Windows Server 2003安装光盘中已经提供）。

安装Windows Installer 3.1或更高版本，下载地址为/downloads/details.aspx?displaylang=zh-cn&FamilyID=889482FC-5F5 6-4A38-B838-DE776FD4138C。

安装Microsoft .NET Framework 2.0，下载地址为/downloads/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362 -4b0d-8edd-aab15c5e04f5。

WSUS服务器安装手册使用本地管理员组用户登录计算机，然后点击“开始”---“管理工具”---“服务器管理器”打开服务器管理界面：如图点击角色----添加角色选中“需要安装的服务器角色”本次我们安装的是“WSUS（window server update services）”因此选中“window server update services”即可。

然后点击下一步保持默认点击“下一步”选择“安装”等待安装完成安装过程中会弹出WSUS的安装向导，点击“下一步”进行安装选中“我接受许可协议条款”选择“WSUS”补丁包存储位置点击“完成”完成WSUS的安装。

完成WSUS的安装之后开始配置WSUS.具体见下图选择语言包选择产品种类，根据内部系统选择适当的产品下载更新补丁包根据需要选择补丁包的类型将更新类型更改为自动更新点击“完成”完成WSUS的安装和初始化配置。

接下来配置客户端通过组策略配置客户端自动更新1.打开本地组策略编辑器开始 > 运行，输入 "gpedit.msc" ，回车，即可打开本地组策略编辑器。

2.配置自动更新在本地组策略编辑器中，依次展开"计算机配置"、"管理模板"和"Windows 组件"，然后单击"Windows Update"。

在"Windows Update"详细信息窗格中，双击"配置自动更新"。

单击"已启用"，然后单击以下选项之一：通知下载并通知安装。

该选项在下载之前以及安装更新之前通知已登录的管理用户。

自动下载并通知安装。

该选项自动开始下载更新，然后在安装更新之前通知已登录的管理用户。

自动下载并计划安装。

此选项自动开始下载更新，并在您指定的日期和时间安装更新。

允许本地管理员选择设置。

该选项允许本地管理员使用"控制面板"中的"自动更新"来选择配置选项。

Windows(wsus服务器架设)WSUS简介：windows server update servers，是微软提供的一种免费软件，主要提供windows部分操作系统的关键更新的分发。

此服务可以快速进行部分windows操作系统关键补丁更新以减少病毒发作时，从微软更新系统的时间，同时通过运行其设置程序，将会自动更新用户计算机。

此服务包括了windows 2000家族、XP、2003、SQL server等；提供更新的类别有：Feature Pack 、service Pack、安全更新程序、更新程序、更新程序集、工具、关键更新程序、驱动程序。

当适用与用户计算机的重要更新发布时，它会及时提醒用户下载并安装。

同时可使用自动更新可第一时间更新操作系统及其它微软产品，也可以修复系统及程序漏洞，保护计算机的安全。

WSUS服务器和Micrsoft Update实现客户端计算机自动更新的方式是完全相同，通过WSUS更新可以实现更新程序的集中管理和分发。

部署好WSUS服务器后，只需要配置客户机使用WSUS服务器上的更新服务，就可以使内部计算机自动访问WSUS服务器更新计算机，避免了单机自动/手动更新而带来的大量的外部网络宽带的占用。

要实现自动更新需做如下配置：1、安装WSUS服务器3.0服务器端软件；2、配置WSUS服务器；3、管理WSUS服务器；4、配置WSUS客户端，使其从WSUS服务器获取Windows系统更新。

安装WSUS服务器软件，主机、系统软硬件要求：1、系统分区和安装WSUS3.0的分区必须使用NTFS文件系统进行格式化；2、系统分区至少有1GB以上的空余空间；3、用于WSUS存储文件的分区至少有20GB以上空间。

安装WSUS3.0需准备以下文件：1、windows server 2003 service pack 2 文件名：windowsserver2003-KB914961-SP2-X86-CHS.exe2、后台智能传送服务（BITS）2.0 文件名：windowsserver2003-KB842773-X86-CHS.exe3、 Framework 2.0版本可重分发软件包（X86）文件名：dotnetfx.exeA、安装IIS、、启用网络COM+访问B、安装Windows Server 2003 Service Pack 2C、安装后台智能传送服务（BITS）2.0、 Framework 2.0版可重分发软件包和Microsoft Report Viewer Redistributable 2005 等WSUS3.0安装必备组件。

WSUS（Windows Server Update Services 3.0）是微软公司面向其软件产品提供的软件升级更新解决方案，它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。

[1][2]目前很多高校通过在内部网络中部署WSUS系统，较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。

[2]很多安全保密级别较高的内部网络不但与因特网物理隔离，而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据，只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。

在这种内部网络环境中，WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级，而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新，[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统，并建立及时高效的WSUS服务器持续更新方案。

1 内部网络WSUS部署方案1.1 WSUS服务的一般部署方案如果能够访问因特网，则WSUS部署较为简单，WSUS服务器安装后即可自动连接微软公司网站下载更新程序，以后也基本不需进行维护，内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。

[2][3]1.2 内部网络中WSUS的安装部署在隔离的内部网络中部署WSUS方法相同，但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。

如果手工下载补丁对WSUS服务器进行更新，非常困难，未见有成功方案。

很多单位在建立了隔离的内部网网络的同时，也有与因特网连接的网络，解决信息查询等问题。

因此，我们采用在与因特网连接的外部网络（以下简称外网）和与因特网隔离的内部网络（以下简称内网）中各部署一套WSUS系统，外网WSUS服务器自动获取更新程序，供外网计算机进行更新，并定期导出更新数据，通过刻录光盘等方法，对内网WSUS服务器进行更新，实现内网计算机的持续更新。

病毒一直是我们网络管理员的天敌，而杀毒软件又总是有滞后性，纵观所有危害性大的病毒，无不一是利用系统漏洞来传播、感染的，而这时候，第一个提供解决方案的，往往是微软自己——系统补丁。

个人认为给客户端电脑打全系统补丁是防毒，而杀毒软件是“杀”毒，相对来说，防毒更为重要，将病毒堵在门外，而不是让杀毒软件来亡羊补牢。

如果是小企业，内网只有三五台或者七八台电脑倒还无所谓，自己手动下载并安装补丁，工作量相对来说并不是很大，但如果有几十台电脑怎么办呢？工作量大不说，也不容易记清到底哪台电脑打补丁了，哪台电脑没打补丁，都打了哪些补丁。

也许有人提出开启自动更新服务不是可以很好的解决问题吗？微软发布补丁的日子基本上是固定的，这就会引起所有客户端都去微软网站下载补丁的问题，不仅会消耗大量带宽，还容易造成企业网络堵塞。

微软提供的WSUS（Windows Server Update Services）无疑是最佳的解决方案，架设WSUS服务器，好比在企业内网中建立一个微软发布补丁的镜像服务器，这样，企业内所有电脑都从内网升级，每次更新补丁，只需要WSUS服务器到微软网站下载一次即可，所有客户端均从WSUS服务器下载，以内网百Mbps的速率，补丁再多，也能很快更新完毕。

一、架设WSUS服务器的好处既然架设WSUS服务器，肯定就要准备服务器，无疑是企业另外一笔投资，如果没有很明显的好处，是很难打动企业领导增添不能产生显性价值的服务器的。

第一：补丁更新速度快。

因为所有客户端更新补丁时都是从内网服务器上下载，所以速度快是肯定的。

第二：补丁更新时间自定义。

Windows自动更新程序会不定时检测微软网站上的补丁发布情况，这就造成了时间不可控性。

而架设WSUS服务器后，可以设定补丁更新的时间，服务器端下载完补丁后，可以在设定的时间点向客户端推送补丁。

并且WSUS服务器与微软补丁服务器同步补丁时间也可以设定，这样可以保存不在工作时间因同步补丁而占用带宽，影响终端用户使用网络的情况。

Windows 2008 R2 SP1部署WSUS 3.0 SP21 实验环境1）域：域名为；网段：192.168.0网段，不连接外网。

域功能级别和林功能级别为Windows server 2003模式。

2）DC服务器：域控制器；Windows2008 R2 SP1企业版；主机名:DC015个操作主机角色服务器；证书服务器；DNS服务器IP地址为192.168.0.101；IP地址为192.168.0.101。

3）WSUS服务器：Windows2008 R2 SP1企业版；主机名：WSUS01；不加入域；主机双网卡：网卡一的IP地址为192.168.0.108；网卡二的IP地址为DHCP自动分配，连接外网。

4）客户端：Windows7企业版X86；主机名:WIN701；加入域；DNS服务器IP地址为192.168.0.101；IP地址为192.168.0.103。

2 安装WSUS SP2准备1) 以本地管理登陆WSUS01服务器。

2) 安装Microsoft Report Viewer Redistributable 2008，下载链接：/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyI D=6ae0aa19-3e6c-474c-9d57-05b2347456b13) 运行Report Viewer.exe文件，下一步。

4) 接受协议，选择“安装”。

5) 选择“完成”。

6) 安装IIS组件。

7) 打开“服务器管理器”，选择“角色---添加角色”，选中“Web服务器(IIS)”，下一步。

8) 如果您要安装 Web 服务器 IIS，则在“Web 服务器 (IIS)”页中，单击“下一步”。

在“Web 服务器 (IIS) 角色服务”页中，除了选中的默认设置外，还请选择“”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”。