- 安装新服务器操作系统
- 为规划使用一台新的服务器安装Windows Server 20012 R2 标准版中文版操作系统。服务器分区为NTFS分区,C分区为100GB,D分区为100GB。内存设置为4GB。
- 为新安装的操作系统安装最新的补丁更新,均安装Windows Server 2012 R2 标准版最新的安全补丁更新;
- 将服务器加入到AD域中
- 部署WSUS补丁更新服务器及配置
- 打开“服务器管理器”,点击“添加角色和功能”,默认点击下一步至添加角色,勾选“Windows Server 更新服务”,点击下一步;
- 保持默认下一步,直至到选择角色服务,勾选WID数据库和WSUS服务;
- 选择存储更新补丁的位置,在这页面中要注意存放更新的驱动器分区格式必须是NTFS格式,最小可用空间是6G;
- 保持默认配置,下一步,直至安装完成;
- 配置完成后,接下来就是添加Windows server 更新服务的管理单元了,单击工具栏,在其右键菜单中打开“Windows server 更新服务”启动WSUS配置向导;
- 进入配置向导后,保持默认选择下一步,直至进入选择上游服务器的界面,选择“从Microsoft更新中进行同步”,其余保持默认下一步;
- 进入配置向导后,保持默认选择下一步,直至进入选择上游服务器的界面,选择“从Microsoft更新中进行同步”,其余保持默认下一步;
- 进入指定代理服务器界面,点击“开始连接”,等待连接完成;
- 连接完成后点击下一步,语言选择上选择“英语”、“中文(简体)”;
- 产品选择上选择“Windows10”、“Windows7”;(针对现有的客户端和服务器的版本进行选择勾选,)
- 分类选择上选择“安全更新程序”、“关键更新程序”;
- 配置同步计划选择“自动同步”;(同步时间为wsus将与上游服务器进行补丁的同步,将补丁的元数据下载到本地)
- 选择“开始初始同步”,等待同步完成后点击下一步,配置完成;
- WSUS服务器端的初始化配置
- 登录补丁服务器,打开补丁管理控制台;
- 展开计算机的类型页面,邮件点击所有计算机,添加“计算机组”,指定相关的名称;(通过计算机组对客户端进行分类)
- 创建“computers计算机组”和“servers计算机组”用于区分服务器和客户端pc,用于审批到不同的计算机;
- 打开选项卡操作界面,点击“更新文件和语言”,勾选“不本地存储更新文件,计算机从microsoft更新中进行安装”,勾选后客户端的计算机从微软网站下载补丁进行安装,不占用专线网络;(根据需求进行选择,如不存在分公司,不建议选择此项)
- 打开选项卡操作界面,点击“计算机”,勾选“使用计算机的组策略或注册表设置”,(通过此勾选可达到通过组策略对客户端统一进行分类,无需手动进行管理);
- 补丁服务器搭建好,需要进行补丁的审批,客户端才能接受到补丁文件,可创建自动审批的策略让服务器自动审批,也可由管理进行手动的审批操作;自动审批规程的创建为:打开选项卡操作界面,点击“自动审批”,点击新建规则,可根据需求进行筛选;
- 配置WSUS补丁更新服务器的组策略
- 创建计算机的补丁更新服务器的组策略,分别为服务器端及客户端的补丁更新,打开服务器端的组策略,选择“编辑”打开【组策略管理编辑器】,在【组策略管理编辑器】的视图中,展开【计算机配置】-----【策略】----【管理模版】----【Windows组件】中的【Windows更新】;
- 打开配置自动更新项,启用这个策略,在配置自动更新列表中,共有4个选择项,我们可以根据不同的要求进行选择,选择了第3个:自动下载并通知安装;
- 【指定Intranet Microsoft更新服务位置】的视图中,我们还是要先启动这个策略,然后在选项中指定客户端获得更新程序的地址,输入是WSUS服务器的计算机名或者IP地址,其中8530是WSUS网站的端口号。
- 在允许客户端目标设置中输入servers;
- 自动更新频率设置为22h间隔;
- 客户端的补丁更新组策略创建类似,补丁更新方式为自动下载自动安装、更新时间统一设置为中午12点,对应的计算机存放在wsus的computers计算机组中,便于审批补丁的分类与计算机补丁更新状态的管理;
