|
WSUS:windows server update services,是微軟推出的一款補丁服務(wù)器,,可以依據(jù)具體環(huán)境搭建WSUS服務(wù)器,,有效解決公司內(nèi)部網(wǎng)絡(luò)中不同版本的windows客戶端計算機面對眾多系統(tǒng)補丁不知所措,同時強制客戶端重啟時安裝補丁避免客戶端計算機遭受攻擊的危險,,以及大量客戶端下載補丁造成的帶寬浪費現(xiàn)象,。以下就WSUS及其配置使用做一簡單介紹。 WSUS補丁服務(wù)器部署在企業(yè)中,,可以有以下幾種部署拓撲: 單服務(wù)器拓撲:利用一個WSUS服務(wù)器從微軟的更新網(wǎng)站下載補丁,,然后負責(zé)將補丁發(fā)給內(nèi)網(wǎng)用戶。為大多數(shù)中小公司的最佳選擇,。 鏈?zhǔn)酵負洌?/strong>定義了上游服務(wù)器和下游服務(wù)器,,上游服務(wù)器可以直接連接到微軟的更新網(wǎng)站,下游服務(wù)器則只能從上游服務(wù)器下載更新,。此類拓撲為總公司/分公司的管理模型中常見??紤]到性能因素,,鏈?zhǔn)酵負浜苌俪^三層。 分離式拓撲:指與互聯(lián)網(wǎng)隔離的網(wǎng)絡(luò)內(nèi),,WSUS服務(wù)器無法從微軟網(wǎng)站進行補丁更新,,只能先用一個能連接互聯(lián)網(wǎng)的WSUS服務(wù)器下載所需補丁,然后將下載的補丁導(dǎo)出成數(shù)據(jù),。隔離網(wǎng)絡(luò)內(nèi)的WSUS服務(wù)器通過導(dǎo)入數(shù)據(jù)來間接完成補丁下載,。此拓撲常用于保密無法連入公網(wǎng)單位。 對WSUS進行安裝之前必須安裝IIS5.0版本以上,,net frame works1.1,、BITS2.0(后臺智能傳送服務(wù)),或者安裝SP1補?。o需安裝BITS和NET補?。┌惭b時須具備以下條件: WSUS2.0SP1要求系統(tǒng)分區(qū)至少應(yīng)有1G的剩余空間,WSUS的更新文件需要至少6G空間,,WSUS的元文件至少需要2G空間,。更新文件是安裝補丁時所需要的二進制文件,,元文件則負責(zé)提供更新文件的信息,更新文件存儲在目錄中,,元文件存儲在數(shù)據(jù)庫中,。建議將WSUS數(shù)據(jù)安裝在非系統(tǒng)分區(qū),且至少準(zhǔn)備8G剩余空間,。 WSUS的后臺數(shù)據(jù)庫為SQL2000,,MSDE或WMSDE。WSUS安裝時自帶了WMSDE,, MSDE和WMSDE的區(qū)別在于MSDE有最大不能超過2G的限制,,而WMSDE沒有。MSDE和WMSDE都沒有提供管理工具,,如需要管理工具,,可以考慮安裝SQL2000+SP3作為WSUS的后臺數(shù)據(jù)庫,也可以在WMSDE或MSDE的基礎(chǔ)上加裝一個SQL2000管理工具,。建議如無特殊需求,,使用WSUS自帶的WMSDE數(shù)據(jù)庫即可。 安裝步驟:
下載補丁的設(shè)置: 安裝完成后,,出現(xiàn)下圖界面,;
單擊頁面右上角的“選項”,可以對WSUS進行設(shè)置,,如圖,,單擊“同步選項”;
在產(chǎn)品和分類的選項中,,單擊“產(chǎn)品‘所有windows’產(chǎn)品”更改,,可以對需要更新的補丁進行選擇;
如圖所示:
單擊“更新分類‘更改’”如下圖所示,;可以設(shè)置下載何種更新,;
默認下載安全更新程序和關(guān)鍵更新程序。 在“同步選項”中的更新文件和語言選項中,,單擊“高級”,,如圖:
可以在里面做更詳細的設(shè)置,如圖所示:
對WSUS進行簡單的設(shè)置之后,,點擊頁面上的“立即同步”,, 即可使用WSUS同步微軟的更新補丁進行下載;
客戶端補丁分發(fā): 補丁更新完畢后,,可以對客戶端進行分發(fā),,可以將客戶端設(shè)置成不同的分組,對不同的分組進行不同的補丁分發(fā),,單擊“計算機”,,默認情況下創(chuàng)建了兩個組,,所有計算機,和未指定的計算機,;默認情況下每個WSUS的客戶端都屬于這兩個組,。
單擊“創(chuàng)建計算機組”,彈出“創(chuàng)建計算機組”,,添加到服務(wù)器中的新計算機組的名稱,;
單擊確定,在“組”中便出現(xiàn)了剛創(chuàng)建的計算機組,;然后將客戶端計算機添加到“組”中,,單擊 選項-》計算機選項;
此處提供了兩個將客戶端加入到組中的方法,,如圖所示,;
若計算機較少,則選擇“使用WSUS中的移動計算機任務(wù)”,,若計算機較多,,則“選擇組策略或注冊表設(shè)置”更為有效。點擊保存設(shè)置讓更改生效,。 使用組策略或者注冊表進行設(shè)置: 域環(huán)境下,,單擊AD用戶和計算機,右擊域名屬性,,切換到組策略選項,,如圖所示;
單擊default domain policy單擊編輯,,彈出組策略編輯器,,展開計算機配置-管理模板-Windows組件-Windows Update, 編輯“配置自動更新”策略,,選擇啟用自動更新,,且將自動更新模式配置為自動下載并通知安裝,,在此模式下客戶機會自動下載補丁但在安裝補丁前會通知用戶,。 編輯“指定Intranet Microsoft更新服務(wù)位置”策略,在此策略中設(shè)定WSUS更新服務(wù)器和統(tǒng)計服務(wù)器,。Intranet更新服務(wù)器提供補丁下載,,Intranet統(tǒng)計服務(wù)器提供報表統(tǒng)計,描述服務(wù)器可以使用Netbios名稱,,完全合格域名或IP,。
輸入WSUS服務(wù)器的地址(不可輸入域名) 編輯“允許客戶端目標(biāo)設(shè)置”策略,選擇“已啟用”輸入WSUS客戶端要加入的組,;
三個策略基本可以滿足WSUS客戶端的配置需求,。 注冊表在HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\ WindowsUpdate中,,可以設(shè)定,如圖,,右擊windowsupdate,,單擊導(dǎo)出,
如下圖所示,,將Windowsupdate分支導(dǎo)出成文件,,
可以實現(xiàn)在注冊表中設(shè)置客戶端指定WSUS服務(wù)器, 工作組中使用此注冊表導(dǎo)入可以實現(xiàn)客戶端導(dǎo)入/導(dǎo)入注冊表的方法對WSUS服務(wù)器的設(shè)置,。實現(xiàn)快速對WSUS客戶端的設(shè)置,。 下文將介紹WSUS補丁服務(wù)器的分發(fā)補丁的過程。 |
|
|
