Windows server 2012 R2 部署WSUS补丁服务
一、WSUS 安装要求
1、硬件要求:
对于多达 13000 个客户端的服务器,建议使用以下硬件:
* 4 Core E5-2609 2.1GHz 的处理器
* 8 GB 的 RAM
2、软件要求:
要使用默认选项安装 WSUS,必须在计算机上安装以下软件。
* Microsoft Internet 信息服务 (IIS) 6.0。
* 用于Windows Server 2012 R2 的 Microsoft.NET Framework 1.1 Service Pack 1。
* Background Intelligent Transfer Service (BITS) 2.0。
3、磁盘要求:
要安装 WSUS,服务器上的文件系统必须满足以下要求:
* 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。
* 系统分区至少需要 1 GB 的可用空间。
* WSUS 用于存储内容的卷至少需要 60 GB 的可用空间,建议预留空间为 40 GB。
二、 环境描述
• 目前用于WSUS的服务器一台,配置和功能如下:
WSUS 配置清单
操作系统版本: Windows Server 2012 R2 Chs
ServerName: CNHZWS01
IP Address :192.168.1.12
Mask 255.255.255.0
GateWay 192.168.1.1
DNS Server 192.168.1.10 192.168.1.11
系统盘(C)大小 1TB
PageFile位置以及大小 你们按照常规定义
备注:
所在域名名称:vancen.com
三、 安装服务器角色
首先,我们检查第一台已经安装Windows Server 2012 R2的服务网络的相关配置,确保服务器IP地址、子网掩码、默认网关的参数如下操作如下
步骤 1: 配置修改服务器的IP和DNS地址
步骤 2:修改WSUS服务器名,并将服务加入至VANCEN域
步骤 3:输入加域权限的用户名和密码将服务器加入VANCEN域
步骤 4:提示服务器成功加入VANCEN域
步骤 5:立即重动服务器让应用生效
步骤 6:使用本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。在“服务器管理器”中,单击“仪表板”,然后单击“添加角色和功能”
步骤 7:在“开始之前”页面上,单击“下一步”
步骤 8:在“选择安装类型”页上,确认已选择“基于角色或基于功能的安装”选项,然后单击“下一步”
步骤 9:在“选择目标服务器”页上,选择服务器所在的位置(从服务器池或虚拟硬盘中)。选择位置后,选择你想安装 WSUS 服务器角色的服务器,然后单击“下一步”
步骤 10:服务器选择这里选择默认的,假如你需要针对其它主机安装“windows server更新服务”角色,这里可以选择你需要的主机,点击“下一步”这里勾选“windows server 更新服务”
步骤 11: 当勾选这个选项时,会弹出如下对话框,点“添加功能”。
步骤12:在“选择功能”页上,保留默认选择,然后单击“下一步”
重要事项
WSUS 仅需要默认的 Web Server 角色配置。如果你在设置 WSUS 时收到有关额外 Web Server 角色配置的提示,你可安全接受默认值并继续设置 WSUS。
步骤 13:在“Windows Server Update Services”页上,单击“下一步”
步骤 14:在“选择角色服务”页上,保留默认选择,然后单击“下一步”
步骤 15:在“内容位置选择”页上,键入有效的位置以存储更新,然后单击“下一步”
存储更新的位置可以是WSUS的本地路径,也可以放到UNC共享里面。
步骤 16:查看web服务器角色IIS的配之配置,我们这里保持默认即可,直接点击下一步
步骤18:在“安装进度”页上,单击“启动后安装任务”,并等到此任务顺利完成,然后单击“关闭”
在服务器管理器中,验证是否出现提醒你需要重新启动的通知。根据安装的服务器角色,这可能有所变化。如果需要重新启动,请务必重新启动服务器以完成安装。
步骤19: 启动安装后的任务
四、使用配置向导
安装完成一级WSUS服务器角色之后,第一次使用WSUS的时候会进入WSUS的配置向导,对WSUS做一个基本的设置。当然这个配置向导是集成在WSUS里面的,可以在任何时间使用配置向导对WSUS进行配置。
步骤1:在“服务器管理器”导航窗格中,单击“仪表板”,单击“工具”,然后单击“Windows Server Update Services”。
步骤2:Windows Server Update Services 向导出现在“开始之前”页上,单击“下一步”。
步骤3:阅读“加入 Microsoft 更新改善计划”页上的说明,评估你是否想参与其中。如果要参与该计划,请单击“下一步”继续。
在“选择上游服务器”页上,你可选择将更新与 Microsoft 更新或其他 WSUS 服务器同步。
• 如果你选择从其他 WSUS 服务器同步,请指定服务器名称以及该服务器与上游服务器通信时所在的端口。
• 若要使用 SSL,请选中“同步更新信息时使用 SSL”复选框。服务器将使用端口 443 进行同步。(确保该服务器和上游服务器支持 SSL)。
• 如果这是副本服务器,请选择“这是上游服务器的副本”复选框。
步骤4:为你的部署选择适当选项后,单击“下一步”继续。
因为目前部署的是一级WSUS服务器,所以我选择直接从microsoft进行同步。
在“指定代理服务器”页上,选中“同步时使用代理服务器”复选框,然后在对应的框中键入代理服务器名称和端口号(默认是端口 80)。
重要事项
如果你确定 WSUS 需要代理服务器才能访问 Internet,则必须完成上一步骤。
如果你希望通过使用特定用户凭据来连接代理服务器,请选择“使用用户凭据连接代理服务器”复选框,然后在对应的框中键入用户名称、域和用户密码。如果你希望启用已连接代理服务器的用户的基本身份验证,请选择“允许基本身份验证(以明文形式发送密码)”对话框。
步骤5:此时,你完成了代理服务器配置。单击“下一步”转到下一页,这时你可以开始设置同步进程。
步骤7:连接它时,然后单击“下一步”继续。
这里要求必须有internet链接。
在“选择语言”页上,你可选择 WSUS 将收到更新的语言 — 所有语言或语言子集。选择语言子集将节省磁盘空间,但必须选择此 WSUS 服务器的所有客户端需要的所有语言。如果你选择仅获得特定语言的更新,请选择“仅下载这些语言的更新”,然后选择你希望获得更新的语言;否则保留默认选择。
步骤8:为你的部署选择适当语言后,单击“下一步”继续。
中国大陆一般选择英文和简体中文。
如果你选择“仅下载这些语言的更新”选项,且该服务器具有与其连接的下游 WSUS 服务器,该选项将强制下游服务器也仅使用所选的语言。
步骤9:“选择产品”页允许你指定希望更新的产品。选择产品类别(如 Windows)或特定产品(如 Windows Server 2008)。选择产品类别将选择该类别的所有产品。
步骤10:为你的部署选择适当的产品选项后,单击“下一步”继续。
在“选择类别”页上,选择要包含的更新类别。选择所有类别或其子集,然后单击“下一步”继续。
步骤11:为你的部署选择适当的产品选项后,单击“下一步”继续。
在“设置同步计划”页上,选择手动或自动执行同步。
• 如果你选择“手动同步”,你必须通过 WSUS 管理控制台启动同步过程。
• 如果你选择“自动同步”,WSUS 服务器将每隔一段时间执行同步。
设置“第一次同步”的时间,并制定你希望该服务器执行的“每天同步”次数。例如,如果你指定每天同步四次,从上午 3:00 开始,则同步将在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 发生。
步骤12:在“完成”页上,你可通过选择“开始初始同步”对话框,即时启动同步。如果你不选择此选项,你必须使用 WSUS 管理控制台来执行初始同步。如果你希望阅读有关其他设置的详细信息,请单击“下一步”,或单击“完成”来结束该向导并完成初始 WSUS 设置。
步骤13:在单击“完成”后,WSUS 管理控制台会出现。
步骤14:点击同步视图,查看同步过程如图所示。
步骤15:同步完成后,如图所示。
使用WSUS的配置向导进行初始配置之后,下面我们将利用WSUS控制台对WSUS服务器进行进一步的配置工作。
五、组策略配置自动更新
在default domain policy做一个影响全域计算机的自动更新策略。
步骤1:在组策略管理控制台 (GPMC) 中,浏览到默认的default domain policy的 GPO,然后单击“编辑”。
步骤2:在 GPMC 中,依次展开“计算机配置”—>“策略”—>“管理模板”—>“Windows 组件”—>“Windows 更新”。
步骤3:在详细信息窗格中,双击“配置自动更新”。这里我选择3-自动下载并通知安装,然后单击“确定”。
单击“已启用”,然后单击“配置自动更新”设置下的以下选项之一:
• 下载通知和安装通知。该选项会在你下载和安装更新之前通知登录的管理用户。
• 自动下载和通知安装。该选项将自动开始下载更新,然后在安装更新之前通知登录的管理用户。
• 自动下载和计划安装。该选项自动开始下载更新,然后在你指定的当天和时间安装更新。
• 允许本地管理员选择设置。该选项可让本地管理员使用控制面板中的自动更新来选择配置选项。例如,他们可以选择计划的安装时间。本地管理员不能仅用自动更新。
步骤4:在 Windows Update 详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。
步骤5:单击“已启用”,然后在“设置 Intranet 更新服务以检测更新”框和“设置 Intranet 统计服务器”框中键入相同 WSUS 服务器的 URL例如,在这两个框中(其中服务器名称是 WSUS 服务器的名称),键入 http://servername,然后单击“确定”。
步骤6:当你键入 WSUS 服务器的 Intranet 地址时,确保指定准备使用哪个端口。默认情况下,WSUS 使用适用于 HTTP 的端口 8530 以及适用于 HTTPS 的端口 8531。例如,如果使用 HTTP,则应键入 http://servername:8530。
可以设置“自动更新检测的频率”,默认是22小时,我们可以根据实际的需要来调整间隔。如图。
步骤7:可以启用“对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样的话,当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,计算机不会强制重启,如图。
步骤8:对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,我们可以配置启用“允许自动更新立即安装”,如图。
全域级别的组策略设置完成后,我们还可以针对测试组合生产组来配置不同的自动更新策略。
下面我们来为测试服务器组配置一个自定义的GPO,该GPO的优先级会高于默认的域组策略,所以该GPO所链接到的计算机OU内的计算机客户端都会优先应用该策略。
步骤9:右击“测试服务器组”计算机OU,选择“在这个域中创建GPO并在此处链接”,如图。
步骤10:输入新建的GPO的名称,如图。
步骤11:然后我们右击新建的GPO,选择编辑,如图。
然后我们就可以为该GPO设置不同的自动更新策略了,所有链接到这个策略的计算机OU都会应用该策略。
一般来说:测试环境的服务器和客户端我们可以配置自动下载通知安装或者自动下载计划安装,对于生产环境的客户机我们可以设置自动下载并计划安装,对于生产服务器组,如果需要手动控制打补丁的行为和重启时间,我们可以配置自动下载并通知安装,具体要看需求。
步骤12:下图是我为生产客户端计算机组设置的自动下载并计划安装的策略。
设置策略之后,客户端计算机几分钟后,计算机将出现在 WSUS 管理控制台中的“计算机”页上。对于配有基于域的组策略对象的客户端计算机,组策略将花费大约 20 分钟才能将新的策略设置应用于客户端计算机。默认情况下,组策略会在后台每隔 90 分钟更新一次,并将时间作 0 到 30 分钟的随机调整。如果你希望更快地更新组策略,可在客户端计算机上打开“命令提示符”窗口,并键入 gpupdate /force。
六、WSUS查看状态报告
默认情况下,在WSUS控制台中是无法查看状态报告的,如果想正常的查看状态报告,需要一些插件和功能的支持,下面就来看整个实现的过程。
步骤1:首先我们随意右击一台客户端,选择“状态报告”,如图。
步骤2:系统会提示我们,此功能需要使用microsoft report viewer 2008可再分发组件,如图。
步骤3:我们可以点击上图中的链接,打开microsoft的网站进行下载,如图。
步骤4:然后我们来安装这个组件,如图。
步骤5:安装的过程中,提示我们需要.net framework的支持,如图。
步骤6:我们先暂停安装,回到添加角色和功能,把.netframework 3.5.1的功能装上,如图所示。
步骤7:然后我们继续完成组件的安装,如图。
步骤8:以上安装完成后,可以顺利打开状态报告功能,如图。
七、WSUS常用控制台选项配置
1、在WSUS控制台中,默认提供了很多选项,这些选项为我们更好的管理和使用WSUS提供了很好的途径。首先,来看看“计算机清理向导”,一般我们可以每个月运行一次计算机清理向导,来清理不需要的更新,释放磁盘空间等等,具体清理向导打开的方式如下。
打开之后可以做的清理操作如下。我们可以默认全部选择,也可以根据需要进行自定义的选择。如果公司的环境中计算机的数目比较多,这个清理向导还是很有用处的。
2、另外一个功能就是我们可以配置电子邮件通知。选择“选项”,“电子邮件通知”。
在电子邮件通知的常规选项卡,我们做如下图的设置。
可以看到可以通过WSUS发送新更新和状态报告的通知。可以配置多个收件人,配置同步频率和时间信息。
在电子邮件服务器选项卡,可以配置接收通知的电子邮件服务器信息,发件人信息,SMTP验证信息。
点击上图的“测试”,系统提示我们在测试之前将其保存,选择“是”。
正在发送测试电子邮件,如图。
我们现在打开QQ邮箱的收件箱,可以看到刚才发送的测试邮件。
补丁服务器部署与配置结束完成。