WSUS服务器设置解析(一)

WSUS 补丁服务器解析摘要：本文为了减少Windows 客户机系统安全问题，提高系统稳定性，搭建WSUS系统为涉密网中的windows操作系统主机以及microsoft相关产品提供安全补丁源服务，并介绍具体的搭建步骤与部署模式。

关键词：WSUS；WindowsUpdate；主服务器；客户端；microsoftThe analysis and research of embedded operate system tailorabilitytechniqueZhang Nan(Xi'an Aeronautics Computing Technique Research Institute，AVIC，Xi'an 710119，China)ABSTRACT: In order to reduce the security problem of windowsclient system and improve the system stability,WSUS system is built to provide security patches for Windows operiting system hosts and Microsoft-related products in confidential networks.Key words: wsus; WindowsUpdate; main server; host; WindowsUpdate1.引言微软为弥补产品安全，提供了各种各样的ServicePack，Hotfix等，这些补丁解决的问题五花八门，种类繁多，使得管理员应接不暇，但补丁又确实很重要，补丁对应着严重的安全隐患和性能缺陷，我们决不能掩耳盗铃，置之不理。

微软从Win98之后就在操作系统中内置了WindowsUpdate组件，这个组件可以使用Http或Https自动连接到微软的更新网站去下载所需要的补丁并自动安装。

Wsus服务配置1.在“服务器管理器”中，单击“仪表板”，然后单击“添加角色和功能”。

2.在“开始之前”页面上，单击“下一步”。

3.在“选择安装类型”页上，确认已选择“基于角色或基于功能的安装”选项，然后单击“下一步”。

4.选择服务器所在的位置（从服务器池或虚拟硬盘中）。

选择位置后，选择要安装的wsus服务角色的服务器，然后单击“下一步”。

5.在“选择服务器角色”页上，选择“Windows Server更新服务”在“选择功能”页上，保留默认选择，然后单击“下一步”8.wsus仅需要默认的Web Server角色配置。

如果在设置WSUS时收到有关额外Web Server 角色配置的提醒，可安全接受默认值并继续设置WSUS9.保持默认选择，然后单击“下一步”（保持默认勾选，不要勾选“数据库”，否则会报下图的错误）11.在“确认安装选择”页上，查看所选的选项，然后单击“安装”。

12.在“安装进度”页上，单击“启动后安装任务”，并等到此任务顺利完成，然后单击“关闭”。

13.启动安装后任务14.在服务器管理器中，验证是否出现提醒需要重新启动的通知。

根据安装的服务器角色，这可能有所变化。

如果需要重新启动，请务必重新启动服务器以完成安装。

20.阅读“加入Microsoft更新改善计划”页上说明，根据情况选择是否加入更新改善计划，单击“下一步”继续。

21.在“选择上游服务器”页上，选择将更新与Microsoft Update或其他WSUS服务器同步22.在“指定代理服务器”页上下一步23.开始连接24.连接完成选择“下一步”继续25.为部署选择适当语言，单击“下一步”继续。

26.“选择产品”页允许指定希望更新的产品，为部署选择适当的产品选项后，单击“下一步”继续。

27.在“选择类别”页上，选择要包含的更新类别。

然后“下一步”继续。

28.在“设置同步计划”页上。

选择手动或自动执行同步。

29.在“完成”页上，通过选择“开始初始同步”对话框，即时启动同步。

配置WSUS3.0服务器给客户机分发补丁本文中介绍配置WSUS服务器后给客户机分发补丁。

还是使用上篇博文中的拓扑结构BEIJING做DC和DNS服务器，GUANGZHOU做WSUS服务器，NANJING做客户机，IP 地址如图中一样。

1、WSUS服务器分组2、给组分配计算机3、审批更新补丁4、共享WSUS文件夹5、客户机测试下面开始今天的实验：一、在WSUS服务器上分组打开GUANGZHOU也就是WSUS服务器，在程序→管理工具→找到Microsoft Windows Server Update Services 3.0打开。

我们就看到WSUS服务器的管理对话框，选择计算机我们可能性看到域内的所有计算机，都属于“所有计算机”这个组。

我们为了管理补丁方便可以创建几个组，这样管理就会更加灵活。

选择计算机后在右边的操作中可以看到有添加计算机组，单击后打开添加计算机组对话框，我在这里添加两个组，分别为test1和test2。

输入test1添加，第一个组就创建完成，用同样的方法创建好test2组。

现在两个组都创建完成，现在我们需要把计算机指定到组中，选择选项中的计算机。

二、给组分配计算机单击计算机在常规里可以看到有两种指定的方法，一种是使用Update Services控制台，一种是使用计算机上的组策略或注册表设置。

因为现在我们有域环境，选择第二种更加方便。

在域控制器上从程序→管理工具→打开“Active Directory用户和计算机”右击“”属性选择组策略，选择当前的组策略对象链接，单击编辑打开组策略编辑器，这里一定要注意有两个管理模板分别是：计算机配置下的管理模板和用户配置下的管理模板。

有很多人选择了用户配置下的管理模板，所以找不到我们想要的选项。

选择计算机配置下的管理模板→Windows组件→Windows Update，我们看到三个必需的策略已经全部启动，这是和WSUS2.0的区别，WSUS2.0需要我们一个一个手工启动。

微软系统升级服务（WSUS）客户端配置使用说明一、微软系统升级服务（WSUS）客户端配置1、鼠标左键单击桌面左下角的菜单项“开始”，如图1.1：图1.12、单击“运行”，如图1.2：图1.23、输入“gpedit.msc”并执行，以开启组策略设定界面，如图1.3：图1.34、在“计算机配置”项的所属中，右键单击“管理模板”。

在弹出菜单点击“添加/ 删除模板”，如图1.4：图1.45、如果当前策略模板中有“wuau”项则关闭窗口，进行第8步；如果当前策略模板中没有“wuau”，则单击添加/删除模板窗口中的“添加”，如图1.5：6、选中策略模板中的“wuau.adm”策略文件，单击“打开”，如图1.6：图1.67、在成功引导wuau.adm 文件后，单击“关闭”，如图1.7：图1.78、在组策略设定界面，展开并选中“计算机配置”项所属的“管理模板”项所属“Windows 组件”项所属的“Windows Update”选项。

双击“Windows Update”，如图1.8：图1.89、在组策略设定界面“Windows Update”项的右侧“扩展”部，双击“配置自动更新”，如图1.9：图1.910、将“配置自动更新”策略部分中的属性设为“启用”状态，“配置自动更新”的模式设定推荐为缺省模式“3－（自动下载并提醒安装模式）”，并单击“确定”按钮，如图1.10：图1.1011、双击“指定Intranet Microsoft 更新服务位置”，如图11：图1.1112、将“指定Intranet Microsoft 更新服务位置”策略部分中的属性设定为“启用”状态，将“设置检测更新的intranet 更新服务：”和“设置intranet 统计服务器：”都设定为“ ”，单击“确定”按钮，如图1.12：图1.1213、单击“确定”，至此客户端的配置就完成了。

二、下面是客户端启用本机的windows操作系统自动更新服务，操作如下：1、鼠标左键单击桌面左下的菜单项“开始”，之后单击“运行”。

WSUS服务器的详细配置和部署一、WSUS 安装要求1、硬件要求：对于多达500 个客户端的服务器，建议使用以下硬件：* 1 GHz 的处理器* 1 GB 的RAM2、软件要求：要使用默认选项安装WSUS，必须在计算机上安装以下软件。

* Microsoft Internet 信息服务(IIS) 6.0。

* 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

3、磁盘要求：要安装WSUS，服务器上的文件系统必须满足以下要求：* 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。

* 系统分区至少需要1 GB 的可用空间。

* WSUS 用于存储内容的卷至少需要6 GB 的可用空间，建议预留空间为30 GB。

* WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要2 GB 的可用空间。

4、自动更新要求：自动更新是WSUS 的客户端组件。

除了需要连接到网络外，自动更新没有其他的硬件要求。

您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新：* 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。

* 带有或不带Service Pack 1 或Service Pack 2 的Microsoft Windows XP Professional。

* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或Windows Server 2003 Web Edition。

客户端配置方法(一）
组策略配置
一、选择“开始”，“运行”，输入gpedit.msc，打开组策略窗口。

注意：有些win2000、winxp版本(例如：OEM版的winxp home)不带有组策略功能，因此无法使用这种方法。

请您选择第二种方式。

二、选择“管理模板”，然后从菜单中选择“操作”，“添加/删除模板”。

注意：winxp sp1以上版本的操作系统中这个wuau.adm已经添加了，您可以直
接跳到第六步。

三、在“添加/删除模板”窗口中选择“添加”。

四、在“策略模板”中选择“wuau.adm”，并选择“打开”。

五、选择“关闭”，关闭“添加/删除模板”窗口。

六、选择“计算机配置”->“管理模板”->“Windows 组件”->“Windows Update”，并
选择“配置自动更新”。

七、在“配置自动更新”的属性窗口中，选择“启用”，并选择“确定”。

八、在“指定Intranet Microsoft更新服务器位置”的属性窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”框中输入“/”，在“设置Intranet统计服务器：”框中输入“/”，并选择确定。

原有的sus用户无需更改其他设置，只需将这里的服务器更改为我们服务
器就能获得WSUS提供的服务
九、关闭组策略窗口。

十、在开始运行处输入wuauclt.exe /detectnow 命令，立即启动wsus服务！。

WSUS服务器搭建图解
Wsus服务器搭建
*wusu是什么？
答：windows server update server ,就是同时在局域网内更新补丁，缩短用户打补丁的时间。

安装所需软件
windows server update server 3.0（网上都有下的）
Framework 2.0
REPORTVIEWER
安装
安装 Framework 2.0（下一步——完成）和internet信息服务（iis）控制面板——添加删除程序——添加删除组件——internet信息服务——详细信息——选中后台智能传递服务——确定——安装
安装reportviewer（下一步——完成）
安装wsus3.0
保持默认选项——下一步——接受许可条款——选择更新源
在数据库选项中——默认即可
在网站选择上——保持默认——下一步
下一步——开始安装——成功点击完成
在安装后，会弹出windows server update services 3.0配置向导。

下一步——默认——下一步——（如果在别的地方想有修改，请自己更改，这里我就一直默认了）
到指定代理服务器——点击开始连接(要用外网连接)
中间省略——默认——下一步
完成安装
安装windows补丁。

WSUS服务器设置解析（一）WSUS:windows server update services，是微软推出的一款补丁服务器，可以依据具体环境搭建WSUS服务器，有效解决公司内部网络中不同版本的windows客户端计算机面对众多系统补丁不知所措，同时强制客户端重启时安装补丁避免客户端计算机遭受攻击的危险，以及大量客户端下载补丁造成的带宽浪费现象。

以下就WSUS及其配置使用做一简单介绍。

WSUS补丁服务器部署在企业中，可以有以下几种部署拓扑：单服务器拓扑：利用一个WSUS服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。

为大多数中小公司的最佳选择。

链式拓扑：定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。

此类拓扑为总公司/分公司的管理模型中常见。

考虑到性能因素，链式拓扑很少超过三层。

分离式拓扑：指与互联网隔离的网络内，WSUS 服务器无法从微软网站进行补丁更新，只能先用一个能连接互联网的WSUS服务器下载所需补丁，然后将下载的补丁导出成数据。

隔离网络内的WSUS服务器通过导入数据来间接完成补丁下载。

此拓扑常用于保密无法连入公网单位。

对WSUS进行安装之前必须安装IIS5.0版本以上，net frame works1.1、BITS2.0（后台智能传送服务），或者安装SP1补丁（无需安装BITS和NET补丁）安装时须具备以下条件：WSUS2.0SP1要求系统分区至少应有1G的剩余空间，WSUS 的更新文件需要至少6G空间，WSUS的元文件至少需要2G 空间。

更新文件是安装补丁时所需要的二进制文件，元文件则负责提供更新文件的信息，更新文件存储在目录中，元文件存储在数据库中。

建议将WSUS数据安装在非系统分区，且至少准备8G剩余空间。

WSUS的后台数据库为SQL2000，MSDE或WMSDE。

WSUS安装时自带了WMSDE，MSDE 和WMSDE的区别在于MSDE有最大不能超过2G的限制，而WMSDE没有。