WSUS客户端补丁自动更新配置

利用SUS服务实现微软补丁包的自动更新由于大家当前使用的操作系统平台大多是由Microsoft公司提供的Windows 2000系列、XP或2003，办公软件和开发平台也大多选用了微软公司提供的产品，针对这些产品，微软每月都要发布一系列的补丁软件，由于补丁软件越积越多，就会为大家带来诸多不便，每个人都会有这样一些疑惑，我的补丁包打全了吗，有没有漏掉的？补丁软件到哪里去下载？等等。

为了尽可能地保障用户及时更新补丁包软件，微软公司在自己的操作系统中提供了Windows Update Service服务和自动更新服务，位置分别可见下图：Windows Update Service打开位置及服务站点自动更新服务这两种服务，第一种是用户通过Web站点访问Microsoft公司的Windows Update站点，手动检索并下载用户当前系统缺少的补丁包。

第二种服务是用户直接连接到Microsoft公司的SUS服务器，自动检索并下载用户当前系统缺少的补丁包。

第一种服务的缺点是需要用户手工操作，并且由于通过广域慢速连接的形式进行访问，可能会发生某些补丁软件无法正确下载，需多次重试才能成功。

第二种服务优点较多，但由于我们的网络是通过所内代理服务器连接到Internet，所以，默认情况下无法实现自动更新。

为了帮助大家及时更新补丁，提高补丁下载成功率和下载速度，我们在**地区的一台计算机（X.X.X.X）上实现了SUS服务，定期通过Web方式连接到Microsoft公司的SUS服务器上下载最新补丁包。

对于大家各自使用的客户端来说，需要把默认定位的SUS服务器位置（操作系统默认自动更新的SUS服务器指向的是Microsoft公司的SUS服务器）指向这台计算机，通过更改SUS服务器位置的操作，可以实现自动更新服务，更新补丁包。

具体操作步骤如下：打开组策略控制台，添加自动更新服务策略：依次点击“开始”―>“运行”，输入命令“gpedit.mmc”，打开组策略控制台选中组策略控制台中的“计算机配置”组件中的“管理模板”组件在“管理模板”项上，单击鼠标右键，选择“添加/删除模板项”，如下图：选择“添加”按钮，弹出如下界面：添加“wuau.adm”模板，选择“退出”按钮，回到组策略控制台中，此时再依次展开“计算机配置”、“管理模板”、“Windows Components”，选中“Windows Update”，在右图中将会出现两个选项“Configure Automatic Update”和“Specify Intranet Microsoft Update Service Location”，如下图：双击“Specify Intranet Microsoft Update Service Location”，弹出“Specify Intranet Microsoft Update Service Location”属性图，选择“启用”选项，在下面的两个文本框中输入同样内容：“Http://X.X.X.X”，点击“确定”按钮，退出配置界面。

使用组策略来管理 WSUS 自动更新客户端下载、安装和重新启动行为发布日期： 2005年12月13日作者：Bobbie Harder，项目经理，Windows Server Update Services，Microsoft Corporation请参阅其他的每月安全提示专栏可以配置 Windows Server Update Services (WSUS) 客户端来提供最符合您的环境和业务需求的更新安装和重新启动行为。

可以使用组策略或本地组策略来修改 WSUS 客户端上的“自动更新”配置，以确定您的 WSUS 管理的客户端在从WSUS 更新时会经历何种通知、下载、安装和重新启动行为。

尽管已有控制其他配置的 WSUS 策略设置，本文主要讨论那些用于定义更新通知、下载、安装和安装后重启行为的配置选项。

自动更新 (AU) 是 WSUS 客户端的组件，用于检查、下拉以及触发来自 WSUS 或Microsoft Update (MU) 的、已批准的更新的安装和重新启动。

在讨论 AU 配置选项之前，应阐明几个要点。

第一点是分清下载与安装之间的区别，这一点非常重要。

在 WSUS 管理员批准对一个或一组客户端的安装的更新之后，用户必须从其映射源（本地 WSUS 或 MU）下载更新内容。

在下载之前，客户端必须先要签入 WSUS 服务器以确定已获批准的更新内容，并报告其当前的更新状态。

默认情况下，客户端可每 22 小时签入 WSUS 服务器一次，也可将签入频率配置为每小时一次。

如果在客户端签入时安装的更新已得到批准，则默认情况下客户端将被配置为开始在后台下载该更新内容。

可以将 AU 客户端配置为在其开始下载之前向用户发出通知，但大多数情况下设置为在后台下载更新而不通知用户，因为这样不会对用户产生任何影响。

在后台下载更新时，仅使用尚未被客户端占用的可用带宽。

例如，如果用户正在进行前台下载、浏览或发送电子邮件，则在后台下载更新将不会影响上述任何操作。

微软系统升级服务（WSUS）客户端配置使用说明一、微软系统升级服务（WSUS）客户端配置1、鼠标左键单击桌面左下角的菜单项“开始”，如图1.1：图1.12、单击“运行”，如图1.2：图1.23、输入“gpedit.msc”并执行，以开启组策略设定界面，如图1.3：图1.34、在“计算机配置”项的所属中，右键单击“管理模板”。

在弹出菜单点击“添加/ 删除模板”，如图1.4：图1.45、如果当前策略模板中有“wuau”项则关闭窗口，进行第8步；如果当前策略模板中没有“wuau”，则单击添加/删除模板窗口中的“添加”，如图1.5：6、选中策略模板中的“wuau.adm”策略文件，单击“打开”，如图1.6：图1.67、在成功引导wuau.adm 文件后，单击“关闭”，如图1.7：图1.78、在组策略设定界面，展开并选中“计算机配置”项所属的“管理模板”项所属“Windows 组件”项所属的“Windows Update”选项。

双击“Windows Update”，如图1.8：图1.89、在组策略设定界面“Windows Update”项的右侧“扩展”部，双击“配置自动更新”，如图1.9：图1.910、将“配置自动更新”策略部分中的属性设为“启用”状态，“配置自动更新”的模式设定推荐为缺省模式“3－（自动下载并提醒安装模式）”，并单击“确定”按钮，如图1.10：图1.1011、双击“指定Intranet Microsoft 更新服务位置”，如图11：图1.1112、将“指定Intranet Microsoft 更新服务位置”策略部分中的属性设定为“启用”状态，将“设置检测更新的intranet 更新服务：”和“设置intranet 统计服务器：”都设定为“ ”，单击“确定”按钮，如图1.12：图1.1213、单击“确定”，至此客户端的配置就完成了。

二、下面是客户端启用本机的windows操作系统自动更新服务，操作如下：1、鼠标左键单击桌面左下的菜单项“开始”，之后单击“运行”。

WSUS客户端的配置2．通过注册表文件进行配置对于工作组环境，无法像域环境那样通过配置将变动直接应用给大量的客户端。

为了简化操作，可以针对自己搭建的WSUS服务器，编写包含服务器相关信息的.reg文件，然后合并到所有的客户端计算机上。

但这并非最佳的解决办法，因为在注册表文件中可包含的信息并不像组策略设置那么丰富，而且依然需要有人将注册表文件手工导入到每台计算机，这依然需要大量的冗繁操作。

在工作组环境下，如果要对客户端的自动更新功能进行配置，需要使用下列注册表键：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU自动更新功能的配置如表4-1所示。

如果需要对WSUS环境进行配置，则需要使用下列注册表键：HKEY_LOCAL_ MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate表WSUS环境的相关配置如表4-2所示。

表4-2 WSUS环境的相关配置在知道需要调整的注册表值的具体内容后，还需要了解如何编辑出符合自己要求的.reg文件。

限于篇幅，这里不准备详细介绍，感兴趣的读者可参考微软知识库中的文章：/6o8wb。

下面列举一个例子，通过将这些内容粘贴到记事本中，然后保存成".reg"文件，随后将文件复制到其他计算机，双击即可导入，并应用所需的设置。

如果不确定怎样编写正确的.reg文件，也可以在一台计算机上按照上文的介绍手工修改注册表键，然后将修改的内容导出成.reg 文件，并应用给其他计算机。

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "RescheduleWaitTime"=dword:00000002"NoAutoRebootWithLoggedOnUsers"=dword:00000001"NoAutoUpdate"=dword:00000000"AUOptions"=dword:00000003"ScheduledInstallDay"=dword:00000000"ScheduledInstallTime"=dword:0000000C"UseWUServer"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://WSUSServer""WUStatusServer"="http://WSUSServer"。

wsus升‎级使用命令‎行快速自动‎更新系统补‎丁包
使用命令：wuauc‎l t.exe。

该工具有2‎个非常有用‎的参数，Detec‎t now和‎R eset‎a utho‎r izat‎i on。

参数一：Detec‎t now
用法格式：wuauc‎l t.exe /detec‎t now
作用：可以立即让‎客户端立即‎与WUS服‎务端联系，检测是否有‎新的更新包‎。

在客户端，可以
在操作‎系统的安装‎目
录下检查W‎i ndow‎s Upda‎t e.log文件‎，看是否与服‎务器联系检‎测更新，如果更新过‎程有
错误，也可在该文‎件
中查看错误‎原因。

参数二：Reset‎a utho‎r izat‎i on
作用：WUS 在客户端使‎用了 cooki‎e存储一些信‎息。

默认该co‎o kie1‎小时后失效‎，如果你在
使‎用dete‎c tnow‎
参数立即检‎查服务端更‎新包时发现‎C OOKI‎E过期无法‎更新时可以‎使用Res‎e taut‎h oriz‎a tion‎重
新申请会‎话。

格式：wuauc‎l t.exe /reset‎a utho‎r izat‎i on /detec‎t now
备注：如果还是未‎自动更新补‎丁包，可以查看客‎户端的Wi‎n dows‎U pdat‎e.log文件‎来排错。

SUS2.0 WINDOWS系统补丁更新服务器设置相关说明
一、服务器端相关基本配置要求
1、最好是windows 2003 server或以上服务器系统版本
2、
3、在添加IIS时需添加“后台只能传送服务（BITS）服务器扩展”子项
4、接下来就可以安装SUS 2.0了，按照页面提示操作即可，但需要把补丁存放的位置选择
空间较大的分区，最好40G以上，至少也需要20G
5、安装好以后，在“管理工具”里面就可以找到，“windows server update services”,点击
打开后，即可以看到以上界面
6、接下来我们需要对SUS进行配置，点击“选项”按钮，首先我们需要配置“同步选项”，
自动同步的时间，所要下载补丁的产品，如：下图，我校的配置参数，
最后在下面“高级”按钮里面，选择系统的语言版本，一般选择英文及简体中文，接下来保存设置，同步选项参数设置完毕。

7、接下来，设置“自动批准选项”如下图，我们的设置参数
8、然后配置“计算机选项”，如下图
9、就这样SUS服务器所有配置已经完成，按“立即同步”，即可以马上与微软服务器同步
了
二、客户端配置说明
1、XP系统，点击运行，输入“”确定以后，就进入了组策略，如下图
2、双击右边的“配置自动更新”，建议配置如下
3，点“应用”后，电击“下一设置”按钮，出现如下图界面，把其中的IP地址换成您刚刚安装的SUS服务器IP地址，这样客户端所有设置全部就完成了。

WSUS客户端常见问题分析及解决一、常见问题分析1、WSUS客户端操作系统版本不符合要求，客户端自动更新需要的操作系统版本如下：带有Service Pack3 (SP3) 或Service Pack4 (SP4) 的Microsoft Windows2000 Professional、带有SP3 或SP4 的Windows2000 Server 或带有SP3 或SP4 的Windows2000 Advanced Server。

带有或不带Service Pack1 或Service Pack2 的Microsoft Windows XP Professional。

Microsoft Windows Server2003 Standard Edition、Windows Server2003 Enterprise Edition、Windows Server2003 Datacenter Edition 或Windows Server2003 Web Edition。

2、没有正常下载和更新到最新的WSUS客户端版本，版本应该是WSUS 2.0。

使用工具ClientDiag.exe来进行检测。

或者在控制面板中找到Automatic Update，双击后显示不为下图就说明没有更新成功。

3、没有正常启动Automatic Updates 和Background Intelligent Transfer Service服务4、网络不能访问或者不能直接访问WSUS服务器，安装了firewall client 之外的Proxy等代理软件，比如project软件附带的代理fakeproxy。

或者在注册表中设置了WinHTTPSettings。

5、组策略是否在客户端上生效。

检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate，6、检查C:\WINDOWS\下的文件WindowsUpdate.log，检查具体的错误原因。