|
管理WSUS-->備份WSUS: 工具-->NTBACKUP
備份內(nèi)容-->WSUS數(shù)據(jù)庫: 更新元數(shù)據(jù) WSUS服務(wù)器配置信息 客戶計(jì)算機(jī),更新的相關(guān)信息 %systemdrive%\WSUS\MSSQL$WSUS\Data %systemdrive%\WSUS\MSSQL$WSUS\Log
更新文件-->若存儲(chǔ)于Microsoft Update,無須備份,。 %systemdrive%\WSUS\WSUSContent
如何將WSUS服務(wù)器上的WsusContent這個(gè)文件夾從舊位置(C:\WSUS)移動(dòng)到新位置(D:\)呢?
 在命令提示符里面輸入cd \按回車鍵--輸入cd "Program Files"按回車鍵--輸入cd Update Services按回車鍵--輸入cd Tools按回車鍵--輸入wsusutil movecontent d:\ d:\move.log按回車鍵--打開D盤--可以看到WsusContent這個(gè)文件已經(jīng)被移動(dòng)過來了 但是它不并刪除C:\WSUS里面的WsusContent這個(gè)文件夾 你需要手動(dòng)刪除它
設(shè)計(jì)WSUS部署: 選擇管理類型-->見下圖:
 加固WSUS部署: 加固運(yùn)行WSUS的Windows Server 2003-->加固Windows Server 2003 組件,如: IIS...
加固SQL Server 2000
添加AD域環(huán)境中鏈接的WSUS服務(wù)器間的身份驗(yàn)證: 創(chuàng)建身份驗(yàn)證列表-->%Program Files%\Update Services\WebServices\Serversyncwebservice\Web.config
配置IIS虛擬目錄 - ServerSyncWebService - 集成Windows 身份驗(yàn)證
<configuration>
<system.web>
<authorization>
<allow
user="domain\computer_name,domain\computer_name"/>
<deny users="*"/>
</authorization>
</configuration>
</system.web>
SSL: SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
WSUSAdmin
ClientWebService
Content
ReportingWebService
SelfUpdate
配置WSUS客戶端: 客戶端組件需求-->Windows 2000 Professional + SP3/SP4 Windows 2000 Server + SP3/SP4 Windows 2000 Advanced Server + SP3/SP4 Windows XP Professional/ + SP1/ +SP2 Windows Server 2003, Standard Edition Windows Server 2003, Enterprise Edition Windows Server 2003, Datacenter Edition Windows Server 2003, Web Edition/ + SP1
更新WAU(Windows Automatic Update): 更新到WSUS Client-->Windows XP SP2 自動(dòng)更新(Windows 2000 + SP3/SP4, Windows XP + SP1/SP2, Windows Server 2003/ + SP1)
配置WAU的方法: AD域環(huán)境-->GP
(非AD域)工作組環(huán)境: Gpedit.msc-->Wuau.adm
Regedit.exe
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
使用注冊表配置WAU: TargetGroupEnabled Reg_DWORD 1|0
-->TargetGroup Reg_String
WUServer Reg_String
WUStatusServer Reg_String
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate Reg_DWORD 0|1
AUOptions Reg_DWORD 2|3|4|5
-->ScheduledlnstallDay Reg_DWORD
0|1|2|3|4|5|6|7
ScheduledInstallTime Reg_DWORD 0~23
DetectionFrequencyEnabled Reg_DWORD 0|1
-->DetectionFrequency Reg_DWORD 1~22
NoAutoRebootWithLoggedOnUsers
Reg_DWORD 0|1
配置WSUS客戶端: wuauclt.exe-->wuauclt.exe /detectnow
wuauclt.exe /resetauthorization /detectnow
遷移SUS到WSUS-->概覽: 不可升級SUS到WSUS
可以利用WSUS計(jì)算機(jī)組功能,整合SUS服務(wù)器;
更新及批準(zhǔn)可遷移
工具-->WSUS install drive: \Program Files\Update Services\Tools\Wsusutil migratesus
遷移SUS到WSUS: 兩種遷移情景-->見下圖:
 遷移SUS到WSUS-->注意事項(xiàng): 遷移前同步WSUS 語言選項(xiàng)一致 遷移是單向的 遷移會(huì)覆蓋掉當(dāng)前WSUS服務(wù)器上的批準(zhǔn)更新 遷移操作時(shí),SUS處于非同步狀態(tài) 執(zhí)行遠(yuǎn)程遷移時(shí),應(yīng)共享Contents所在文件夾,并賦予相應(yīng)權(quán)限,。
不使用網(wǎng)絡(luò)連接的情況下同步WSUS服務(wù)器-->操作步驟: Step 1: 匹配高級同步選項(xiàng)-->快速安裝文件 語言
Step 2: 復(fù)制更新文件系統(tǒng)-->WSUSInstallationDrive:\WSUS\WSUSContent Ntbackup.exe或其它備份工具
Step 3: 復(fù)制元數(shù)據(jù)-->Wsusutil.exe-->Export Import(wsusutil export e:\e.cab e:\e.log 把e.cag文件從可以更新的WSUS服務(wù)器上拷貝到不可以更新的WSUS服務(wù)器上 然后執(zhí)行Import e:\e.cab e:\e.lob這個(gè)命令就ok了)
不使用網(wǎng)絡(luò)連接的情況下同步WSUS服務(wù)器-->注意事項(xiàng): 以復(fù)制模式運(yùn)行的WSUS服務(wù)器不可以執(zhí)行導(dǎo)入 文件系統(tǒng)的復(fù)制先于元數(shù)據(jù)的導(dǎo)入操作(將有更新的WSUS服務(wù)器上的WsusContent這個(gè)文件夾覆蓋到?jīng)]有更新的WSUS服務(wù)器上的WsusContent這個(gè)文件夾里面) 若源WSUS服務(wù)器搭建在Windows 2000上,目標(biāo)WSUS服務(wù)器搭建于Windows Server 2003上,需賦"Full Control"權(quán)限給"Network Service"; 導(dǎo)入信任源數(shù)據(jù) 需要時(shí)間可能較長(3~4小時(shí)),應(yīng)有耐心,。
WSUS排錯(cuò): 安裝問題-->確認(rèn)軟,、硬件滿足安裝需求: http://www.microsoft.com/windowsserversystem/updateservices/evaluation/sysreqs.mspx
使用WMSDE安裝WSUS(RC)時(shí),可能失敗: http://go.microsoft.com/fwlink/?Linkld=48007
"Server"服務(wù)未運(yùn)行將導(dǎo)致安裝失敗: http://go.microsoft.com/fwlink/?Linkld=48009
WSUS排錯(cuò): 不能夠訪問WSUS控制臺(tái): "拒絕訪問"-->Stand-Alone Server/Member Server: 管理員組成員或WSUS管理員組成員
DC-->域管理員組
超過錯(cuò)誤消息-->Antivirus software對WSUS Contents的實(shí)時(shí)監(jiān)控
WSUS排錯(cuò): 更新存儲(chǔ)問題: 羅列在WSUS控制臺(tái)中的更新與本地文件夾中的Contents不匹配-->Wsusutil reset
WSUS排錯(cuò): 同步問題: 檢查代理服務(wù)器設(shè)定
檢查上游WSUS服務(wù)器的名稱-->拼寫錯(cuò)誤 名稱解析問題
檢查更新存儲(chǔ)選項(xiàng)的一致性
確認(rèn)用戶及網(wǎng)絡(luò)服務(wù)對本地更新存儲(chǔ)目錄至少有讀權(quán)限
檢查上游WSUS服務(wù)器上更新的有效性
確認(rèn)BITS服務(wù)啟動(dòng),。
WSUS排錯(cuò): 更新批準(zhǔn)問題: 客戶端沒有拿到新的批準(zhǔn)-->新的批準(zhǔn)大約一分鐘后有效
WSUS管理服務(wù)器同以復(fù)制模式運(yùn)行的WSUS服務(wù)器上的更新批準(zhǔn)不一致-->Wsusutil listinactiveapprovals Wsusutil removeinactiveapprovals
WSUS排錯(cuò): 客戶端計(jì)算機(jī)未出現(xiàn)于WSUS控制臺(tái): AU未更新-->約20分鐘
WSUS排錯(cuò): 服務(wù)問題-->SQL Service Web Service Update Service BITS
WSUS排錯(cuò): 確認(rèn)客戶端軟件可以自動(dòng)更新
確認(rèn)客戶端指向WSUS服務(wù)器
檢查WSUS服務(wù)器上的selfupdate樹-->TCP 80 Web Site
cscript WSUSInstallationDrive:\program files\updateservices\setup\InstallSelfupdateOnPort80.vbs
查看IIS日志-->%systemroot%\system32\LogFiles\W3SVC1
檢查網(wǎng)絡(luò)客戶端同WSUS服務(wù)器的連通性-->http://WSUSServerName/iuident.cab http://WSUSServerName/selfupdate/AU/x86/osvariable/languagevariable/wuaucomp.cab
查看客戶端更新日志-->%windir%\windows update.log
WSUS排錯(cuò): 計(jì)算機(jī)沒有出現(xiàn)在相應(yīng)的計(jì)算機(jī)組-->確認(rèn)目標(biāo)計(jì)算機(jī)名與WSUS上的計(jì)算機(jī)組名一致
等待1小時(shí)或使用wuauclt.exe /resetauthorization /detectnow
本文出自 “葉俊生” 博客,請務(wù)必保留此出處http://yejunsheng.blog.51cto.com/793131/161325 |
|
|
