Windows 2008 R2详细部署WSUS要点

1.2008R2Win7管理十三WSUS攻略之一本攻略介绍1安装wsus,2配置wsus,3测试更新本攻略为了在企业中使用统一的更新源,从wsus获取更新,以避免所有客户端都从网络更新所带来的下载流量对公司带宽的占用,有了wsus,所有客户端从wsus获取系统补丁即可,获取系统补丁是降低系统受攻击和毒害的有效办法.本篇以2008R2自带的wsus 3.0 sp2最新版为例来进行安装部署介绍.拓扑有增加一台wsus服务器,配置要求不同太高,奔腾级别的家用cpu均可.甚至一台虚拟机也行.1. wsuS安装首先需要安装iis角色,然后wsus使用iis来播放更新补丁.然后使用系统自带的功能添加,添加wsus角色则会自动从网络下载wsus3.0sp2,为了加快部署,我们选择了从网络上下载wsus3.0 sp2的80多MB的安装包,直接安装,这样省略下载的步骤.一路默认安装同意协议并下一步嘿,这次SP2将report给集成进去了,这样查看计算机报告不会再要求report2005了更新的位置,最好存放一个单独的数据盘内,本例实验只有C盘,所以只能放C盘了选择数据库,本例默认使用系统自带的微型数据库,或者使用域内其他sql服务器也行wsus网站,这里使用iis的,这样便于管理更新服务器信息总揽安装中安装完成2.2008R2Win7管理十三WSUS攻略之二本篇介绍如何配置wsus,在第一次安装完成后会要求配置wsus 配置向导Windows改善计划,选择服务器,默认从windwos更新,或者从其他wsus服务器更新是否使用代理服务器连接internet单击开始连接microsoft以获得更新的语言和产品连接完成选择要为域内客户端下载的语言,由于域内都是简体中文,所以只下载简体的更新包选择要为哪些微软产品提供更新服务,例如os,sql,ex,office等微软的服务器产品上图选择了为2008R2和7这两个系统下载更新包选择下载哪些类型的更新包同步时间,也就是wsus从微软官方或者上游的wsus侦测是否有新的更新的时间配置完成单击完成以完成配置打开的控制台如图首先单击自动审批,来修改审批规则,也就是说当wsus侦测到新的更新后,如果选择自动审批,那么自动审批后wsus就会进行下载更新动作,如果不选自动审批,那么wsus就会等待手动审核,在大企业中会对每个更新包进行测试,测试是否对现有业务有影响才会应用更新,大公司基本都是手动审批.另外担心wsus下载wga和oga的可以选择手动审批单击分类,来选择要自动审批的更新类型选择完毕,如果要手动审批,则将该默认的自动审批规则删除即可.如果手动审批,则会在主界面看到等待审批的待办事项提醒,反之则不会单击已审批,可对这些更新进行审批或者拒绝,例如下载了excel view这玩意的更新,我局域网内没这东西,不需要更新,那么我就可以拒绝该更新.审批后wsus就会下载,然后分发到客户端.3. 2008R2Win7管理十三WSUS攻略之三注意：本步骤为域用户通过组策略统一设置WSUS服务器。

win2008服务器安全设置部署⽂档（推荐）年前⼀直在赶项⽬，到最后⼏⽇才拿到新服务器新添加的硬盘，重做阵列配置⽣产环境，还要编写部署⽂档做好安全策略，交给测试部门与相关部门做上线前最后测试，然后将部署⽂档交给相关部门同事，让他根据部署⽂档再做⼀次系统，以保证以后其他同事能⾃⼰正常部署服务器，最后终于赶在放假前最后⼀天匆忙搞定测试后，简单的指导同事按部署⽂档将服务器重新部署了⼀次就先跑路回家了，剩下的就留给加班的同事负责将服务器托管到机房了。

年后回来上班后按⼯作计划开始做⽂档（主要对之前编写的部署⽂档进⾏修正和将相关未添加的安全策略添加进⽂档中，并在测试环境进⾏安全测试）。

等搞定后要对服务器做最后⼀次安全检查时，运营部门已将⽹站推⼴出去了，真是晕死，都不给⼈活了......只能是加班加点对已挂到公⽹的服务器⽇志和相关设置项做⼀次体检。

当然⼀检查发现挂出去的服务器有着各种各样的攻击记录，不过还好都防住了，没有什么问题，然后就是继续添加⼀些防⽕墙策略和系统安全设置。

接下来还是不停的忙，要写《服务器安全检查指引——⽇常维护说明》。

公司新项⽬要开发，得对新项⽬分析需求，编写开发⽂档，然后搭建前后端开发框架，旧系统要增加新功能，⼜得写V3、V4不同版本的功能升级开发⽂档......今天终于忙得七七⼋⼋了，回头⼀看，2⽉份就这样⼀眨眼就过去了，看来程序员⽼得快还是有道理的，时间都不是⾃⼰的了。

前⾯啰哩啰嗦的讲了⼀⼤堆费话，现在开始转⼊正题。

对于服务器的安全，相信很多开发⼈员都会碰到，但绝⼤多数⼈对安全都没有什么概念。

记得10年前我刚接⼿服务器时，仅兴奋，⼜彷徨，⽽真正⾯对时，却⽆从下⼿，上百度和⾕歌上找，也没有完整的说明介绍，对安全都是⼀头雾⽔。

刚开始配置的服务器漏洞百出，那时⼏乎吃睡在机房，也避免不了服务器给⿊的事情发⽣，⽽且⼤多被⿊后还⼀⽆所知，想想都是郁闷~~~当然经验也是在被⿊的过程中慢慢升级的，哈哈...... 下⾯就将写好的《服务器安全部署⽂档》分享出来，希望能对⼤家有所帮助。

1、准备一台Windows Server 2008 R2虚拟机，安装Windows Storage Server 2008 R2企业版组件。

2、打开软件，弹出对话框，点击是继续；3、开始安装更新，直到完成。

4、加载iscsitarget.msi镜像，打开软件开始安装5、点击Next继续6、打上√，Next继续7、选择软件安装位置8、默认Next继续9、默认Next继续10、点击Install，开始安装11、安装进行中12、安装完成13、我的电脑右键点击属性，发现系统已变成Windows Storage Server 2008 R2，成功将Windows Server 2008 R2转换。

14、点击开始，找到Microsoft iSCSI Software Target，并打开15、创建iSCSI目标16、点击下一步继续17、输入iSCSI目标名称和描述，然后下一步18、点击高级打开高级标示符对话框，然后点击添加19、在添加/编辑标示符选择IP地址20、输入IP后，点确定21、高级标示符框点确定22、然后下一步继续23、然后点完成24、在iSCSI目标栏出现testRDP目标25、在设备上右键，点击创建虚拟磁盘；26、出现创建虚拟磁盘向导，点下一步继续27、输入文件完整路径，然后下一步28、输入虚拟磁盘容量大小，然后下一步29、输入磁盘描述，点击下一步继续30、在访问对话框点添加，出现添加目标对话框，选中之前创建好的目标，确定31、点击下一步继续32、点击完成结束33、在设备栏看到创建的虚拟磁盘034、将存储映射到主机，点击相应主机，在配置栏找到存储适配器，点击全部重新扫描35、点击属性，出现iSCSI启动器属性，选择动态发现，点击添加36、输入iSCSI服务器IP，然后确定37、在iSCSI服务器位置出现了添加的iSCSI服务器IP38、在静态发现栏也出现了iSCSI服务器IP，然后点关闭39、弹出重新扫描框，点是40、等扫面完成后，在详细信息栏出现可用的存储41、在测试的虚拟机上右键，点击编辑设置42、在硬件栏点击添加，打开添加硬件框43、点选硬盘，然后下一步44、选择裸机映射，然后下一步45、选择存储路径，然后下一步46、选择数据存储，默认下一步47、默认下一步48、默认下一步49、点击完成50、点击确定，等待虚拟机初始化完成51、打开虚拟机编辑设置可以看到添加好的硬盘252、打开虚拟机，在我的电脑上右键管理53、在计算机管理选择磁盘管理，弹出磁盘初始化和转换向导，点击下一步继续54、选择要转换的磁盘，下一步55、点击完成56、然后新建卷，此处省略步骤57、磁盘初始化后出现本地磁盘D。

Wsus安装配置在您安装或升级到Windows Server Upgrade Services 3.0 Service Pack 2 (WSUS 3.0 SP2) 之前，请确认服务器和客户端计算机都满足WSUS 3.0 SP2 的系统要求，并确认您拥有完成安装的必要权限。

安装WSUS 3.0 SP2 的服务器硬件和软件要求1.确认服务器满足WSUS 3.0 SP2 对硬件、操作系统及其他所需软件的系统要求。

请访问/fwlink/?LinkId=139840以参阅《WSUS 3.0 SP2 发行说明》中列出的系统要求。

如果您要使用Server Manager 安装WSUS 3.0 SP2 服务器，则您可以通过遵循“准备安装WSUS 3.0 SP2”部分中的步骤来确认您是否满足软件要求。

2.如果您安装的角色或软件更新要求在安装完成后重新启动服务器，请在安装WSUS3.0SP2 之前重新启动服务器。

客户端软件要求自动更新是WSUS 3.0 的客户端。

除了需要连接到网络外，自动更新没有其他的硬件要求。

1.确认要安装自动更新的计算机满足WSUS 3.0 SP2 对客户端计算机的系统要求。

请访问/fwlink/?LinkId=139840以参阅《WSUS 3.0 SP2 发行说明》中列出的系统要求。

2.如果您安装的软件更新要求重新启动计算机，请在安装WSUS3.0 SP2 之前重新启动。

权限指定的用户和目录需要以下权限：1.NT Authority\Network Service 帐户需要具有以下文件夹的“完全控制”权限，以使“WSUS 管理”管理单元能够正确显示：∙%windir%\Microsoft .NET\Framework\v2.0.50727\Temporary Files∙%windir%\Temp2.确认您计划用于安装WSUS3.0 SP2 的帐户是本地Administrators 组的成员。

WSUS规划部署（三）WSUS服务器与客户端配置熟悉控制台之后，便开始配置服务器。

打开控制台，首先需要先与微软官网进行同步，查看当前有哪些补丁需要。

但是这里先打个预防针，并不是所有补丁都安全，所以建议多多综合了解，多多查阅资料，看看某些补丁打了之后是不是会出现问题，也希望看过该博文的能够提供建议，说说自己经验。

在成功同步之后，建立分组，我是按照操作系统来区分的，Windows 7，Windows xp，Windows 2003，Windows 2008，这里为了做演示，同时也是测试环境没有那么高的带宽，所以仅仅在选择产品的时候选择了Windows xp。

Windows xp的更新很多，很多啊！这里开始的时候建议进行打补丁的时候，选择需要的，可以看到有0%标志？什么意思？这个是说，当前的补丁在客户端中没有安装。

而这些都是100%，可以看出，要么是客户端不需要这些更新，这些更新已经过时，或者就是已经安装过，所以不必操心。

下面，我们先审批一个补丁。

审批结束的情况。

服务器的审批已经结束，下面来到客户端进行配置。

我的客户端是属于计算机组，并不是域环境，如果是域环境，那么可以直接使用组策略。

Windows xp，打开策略组计算机配置→管理模板→Windows组件→Windows update这里我首先保证可以更新，所以开启自动更新，选择配置自动更新勾选已启用，点击确定。

然后配置服务器位置双击打开输入服务器的地址，这里要注意，如果在安装过程中，更改过端口号，那么需要在后面配置端口号，我安装时候默认的，所以使用的是80，双击确定。

这样，配置了这两处之后，客户端就可以进行获取到更新了，可是如果等待，太漫长了，可以通过使用如下命令gpupdate /force -------------刷新组策略wuauclt /detectnow --------------强制与WSUS服务器通讯这样，等待一分钟就可以看到右下角出现的安装更新的选项打开，看看是不是自己发布的更新呢？注：可能有人执行了命令之后没有看到，那么首先查看一下，是不是在服务器上面审批的补丁还没有下载结束？我碰到过几次这种情况，没有下载结束，我就开始刷新，等了很久也没有。

WSUS服务器的详细配置和部署一、WSUS 安装要求1、硬件要求：对于多达500 个客户端的服务器，建议使用以下硬件：* 1 GHz 的处理器* 1 GB 的RAM2、软件要求：要使用默认选项安装WSUS，必须在计算机上安装以下软件。

* Microsoft Internet 信息服务(IIS) 6.0。

* 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

3、磁盘要求：要安装WSUS，服务器上的文件系统必须满足以下要求：* 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。

* 系统分区至少需要1 GB 的可用空间。

* WSUS 用于存储内容的卷至少需要6 GB 的可用空间，建议预留空间为30 GB。

* WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要2 GB 的可用空间。

4、自动更新要求：自动更新是WSUS 的客户端组件。

除了需要连接到网络外，自动更新没有其他的硬件要求。

您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新：* 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。

* 带有或不带Service Pack 1 或Service Pack 2 的Microsoft Windows XP Professional。

* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或Windows Server 2003 Web Edition。

在Windows 2008R2配置WEB服务器本文档主要介绍如何在Windows 2008R2配置WEB服务器的详细步骤和操作。

以下是各个章节的具体内容：一、服务器准备工作1.确认操作系统为Windows 2008R2版本。

2.安装所需的硬件设备，如网卡、硬盘等。

3.进行操作系统的基本配置，如设置IP地质、网络连接等。

二、安装IIS服务1.打开服务器管理器。

2.在“角色”中选择“添加角色”。

3.选择“Web服务器（IIS）”角色并进行安装。

4.按照向导完成IIS的安装过程。

三、配置网站1.打开IIS管理器。

2.创建一个新的网站。

3.配置网站的基本信息，如网站名称、物理路径等。

4.配置网站的访问权限和认证方式。

5.配置网站的绑定信息，如IP地质、端口号等。

四、设置虚拟目录1.打开IIS管理器。

2.在相应的网站节点上创建虚拟目录。

3.配置虚拟目录的基本信息，如虚拟路径、物理路径等。

4.配置虚拟目录的访问权限和认证方式。

五、配置应用程序池1.打开IIS管理器。

2.在相应的网站节点上创建应用程序池。

3.配置应用程序池的基本信息，如名称、.NET版本等。

4.配置应用程序池的高级设置，如内存限制、进程模型等。

六、配置安全性1.打开IIS管理器。

2.配置网站和应用程序池的身份验证方式。

3.配置网站和应用程序池的权限。

4.配置SSL证书以实现安全传输。

七、配置日志记录1.打开IIS管理器。

2.配置网站和应用程序池的日志记录方式。

3.配置日志记录的格式和位置。

八、测试和优化1.使用浏览器访问配置好的网站。

2.进行性能测试并优化性能参数。

3.定期维护和监控服务器，确保WEB服务器的稳定运行。

附件：1.示例代码和配置文件。

2.相关参考文档。

法律名词及注释：1.操作系统：计算机系统的核心软件，负责管理计算机硬件和软件资源。

2.IIS（Internet Information Services）：Windows操作系统中的一种网络服务器软件。

WSUS补丁服务器部署详细来源于⽹络转载WSUS概述为了让⽤户的windows系统与其他microsoft产品能够更安全，更稳定，因此microsoft会不定期在⽹站上推出最新的更新程序供⽤户下载与安装，⽽⽤户可以通过以下⽅式来取得这些程序：⼿动连接microsoft update⽹站通过windows系统的⾃动更新功能然⽽以上两种⽅式对企业内部来说，都可能会有以下缺点。

影响⽹络效率：如果企业内部每台计算机都⾃⾏上⽹更新，将会增加对外⽹络的负担。

与现有软件相互⼲扰：如果企业内部使⽤的软件与更新程序发⽣冲突，则⽤户⾃⾏下载与安装更新程序可能会影响该软件或更新程序的正常运⾏。

WSUS是⼀个可以解决上述问题的产品，企业内部可以通过WSUS服务器集中从Microsoft update⽹站下载更新程序，并且在完成这些更新程序的测试⼯作，确定对企业内部计算机没有不良影响后，在通过⽹管审批程序，将程序部署到客户机上。

WSUS的系统需求对于基本WSUS架构来说，WSUS服务器与客户端计算机都必须满⾜适当的条件才能享受WSUS的好处。

可以在windows server 2012内通过新增⾓⾊的⽅式来安装WSUS。

安装WSUS之前，需要安装以下组件。

Microsoft Report Viewer Redistributable 2008：WSUS服务器需要通过他制作各种不同的报告，例如更新程序状态报告，客户端计算机状态报告与同步处理结果报告等。

需要到microsoft 官⽹下载。

Net framework 2.0: report viewer需要net framework。

注：WSUS服务器的系统分区与安装WSUS的磁盘分区的⽂件系统都必须是NTFS。

WSUS客户端计算机必须⽀持⾃动更新功能，Windows 2000 sp4以后的客户端都⽀持。

可以利⽤WSUS服务器内置的WSUS管理控制台执⾏WSUS服务器的管理⼯作，还可以在其他计算机上管理WSUS服务器。