WSUS服務(wù)部署

WSUS是WindowsWSUS ServerUpdate Services的簡稱，它在以前Windows UpdateServices的基礎(chǔ)上有了很大的改善?？梢愿赂嗟腤indows補(bǔ)丁，同時(shí)具有報(bào)告功能和導(dǎo)向性能，管理員還可以控制更新過程。

   WSUS是個(gè)微軟推出的網(wǎng)絡(luò)化的補(bǔ)丁分發(fā)方案，是免費(fèi)的, 支持微軟公司的全部產(chǎn)品的更新。

   通過WSUS這個(gè)內(nèi)部網(wǎng)絡(luò)中的Windows升級(jí)服務(wù)，所有Windows更新都集中下載到內(nèi)部網(wǎng)的WSUS服務(wù)器中，而網(wǎng)絡(luò)中的客戶機(jī)通過WSUS服務(wù)器來得到更新。這在很大程度上節(jié)省了網(wǎng)絡(luò)資源，避免了外部網(wǎng)絡(luò)流量的浪費(fèi)并且提高了內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)更新的效率。大大降低了計(jì)算機(jī)沒有及時(shí)更新補(bǔ)丁而受到***的可能性。

   部署WSUS之后，將由WSUS服務(wù)器直接從Microsoft Update下載最新的更新，而所有客戶端只需要從WSUS服務(wù)器獲得最新的更新即可，不需要訪問外部網(wǎng)絡(luò)中的Microsoft Update，從而大大節(jié)省了網(wǎng)絡(luò)帶寬，可以保證所有客戶端最短時(shí)間統(tǒng)一更新：如圖所示:

硬件安裝要求：

對于多達(dá) 500 個(gè)客戶端的服務(wù)器，建議使用以下硬件：

* 1 GHz 的處理器

* 2 GB 的 RAM

軟件安裝要求

 在Windows 2008R2安裝 WSUS，必須在計(jì)算機(jī)上安裝以下軟件。

* Microsoft Internet 信息服務(wù) (IIS) 。

* Microsoft .NET Framework4.0。

*管理控制臺(tái)MMC3.0。

*Microsoft Report Viewer 2008。

    要安裝 WSUS，服務(wù)器上的文件系統(tǒng)必須滿足以下要求：

* 系統(tǒng)分區(qū)和安裝 WSUS 的分區(qū)都必須使用 NTFS 文件系統(tǒng)進(jìn)行格式化。

* 系統(tǒng)分區(qū)至少需要 1 GB 的可用空間。

* WSUS 用于存儲(chǔ)內(nèi)容的卷至少需要 6 GB 的可用空間，建議預(yù)留空間為 30 GB。

* WSUS 安裝程序用于安裝 Windows SQL Server 2000 Desktop Engine(WMSDE) 的卷至少需要 2 GB 的可用空間。

環(huán)境介紹

客戶服務(wù)器都處于工作組環(huán)境下，內(nèi)網(wǎng)的服務(wù)器由Windows Server 2003R2和Windows Server 2008R2兩種，而Windows Server 2008R2自帶的WSUS3.0SP1已不再受支持，添加WSUS角色時(shí)總會(huì)報(bào)錯(cuò)，如果一定要用Windows Server 2008R2需要去微軟下載WSUS3.0SP2完成WSUS服務(wù)器的搭建，所以WSUS服務(wù)器選擇使用Windows Server 2012R2進(jìn)行搭建。

操作步驟

1.在公網(wǎng)環(huán)境搭建一臺(tái)WSUS服務(wù)器，以便下載補(bǔ)丁包（搭建過程略），搭建完成后設(shè)置更新文件和更新語言選項(xiàng)，語言選項(xiàng)是選擇下載那些語言版本的操作系統(tǒng)補(bǔ)丁，更新文件方式分為：

（1）只有在審更新后批后，才能將文件下載到此服務(wù)器。該選項(xiàng)是在審批允許下載前只下載補(bǔ)丁包的源數(shù)據(jù)而非補(bǔ)丁本身，優(yōu)點(diǎn)是節(jié)省帶寬，缺點(diǎn)是只有審批后才會(huì)真正下載補(bǔ)丁包，微軟建議使用該選項(xiàng)，它也是默認(rèn)選項(xiàng)。

（2）下載快速安裝文件。該選項(xiàng)是審批前直接將補(bǔ)丁包下載到本地，待審批通過后再進(jìn)行安裝，它的優(yōu)點(diǎn)是如果內(nèi)網(wǎng)中的計(jì)算機(jī)已安裝過舊的補(bǔ)丁包，它只會(huì)安裝就補(bǔ)丁包與新補(bǔ)丁包之間差異的部分，緩解內(nèi)網(wǎng)網(wǎng)絡(luò)負(fù)擔(dān)，缺點(diǎn)是對外網(wǎng)帶消耗大。

結(jié)合實(shí)際環(huán)境，此處選擇下載安裝文件，需要注意的是：后期在內(nèi)網(wǎng)中WSUS服務(wù)器的更新文件和更新語言選項(xiàng)設(shè)置必須和此處的選項(xiàng)保持一致。而更新源和代理服務(wù)器、產(chǎn)品和分類、同步計(jì)劃設(shè)置可以不用考慮。

為方便下載，將自動(dòng)審批選項(xiàng)設(shè)置為任何分類，然后開始進(jìn)行補(bǔ)丁包下載。

2.下載完成后在指定的補(bǔ)丁存放路徑下找到WsusContent目錄，該目錄中存放的就是下載下來的補(bǔ)丁，可以使用各種備份軟件或Xcopy工具進(jìn)行備份，然后到內(nèi)網(wǎng)的WSUS服務(wù)器上進(jìn)行恢復(fù)，注意不要更改該目錄下的層級(jí)結(jié)構(gòu)，此處選擇最原始的方法直接復(fù)制一份。

3.只復(fù)制WsusContent目錄到內(nèi)網(wǎng)的WSUS服務(wù)器上內(nèi)網(wǎng)計(jì)算機(jī)依然無法正常下載補(bǔ)丁，還需要使用WSUS自帶的wsusutil工具將外網(wǎng)WSUS服務(wù)器上補(bǔ)丁包間的源數(shù)據(jù)導(dǎo)出，該工具位于C:Program FilesUpdate ServicesTools目錄下，該工具無法通過雙擊打開，在命令行模式下可以執(zhí)行，命令格式為：

wsusutil.exe export packagename logfile #packagename為.cab格式，logfile為.log格式，packagename和logfile名稱必須完全一致

4.在內(nèi)網(wǎng)搭建一個(gè)WSUS服務(wù)器，補(bǔ)丁包存放的位置設(shè)置建議和外網(wǎng)服務(wù)器保持一致，將復(fù)制的WsusContent目錄考到內(nèi)網(wǎng)WSUS服務(wù)器上

5.再使用wsusutil工具導(dǎo)入外網(wǎng)WSUS服務(wù)器補(bǔ)丁包的源數(shù)據(jù)，此時(shí)內(nèi)網(wǎng)WSUS服務(wù)器補(bǔ)丁就算更新完成，以后每次更新補(bǔ)丁時(shí)都需要更新源數(shù)據(jù)

6.打開IIS管理器，確認(rèn)WSUS使用的端口號(hào)

7.在內(nèi)網(wǎng)中找一臺(tái)計(jì)算機(jī)，將組策略中WSUS服務(wù)器地址指向設(shè)置為實(shí)際的地址，完成后運(yùn)行g(shù)pupdate /force刷新組策略

8.打開這臺(tái)計(jì)算機(jī)的注冊表，將Windows update鍵值導(dǎo)出成為一個(gè)reg注冊表文件，發(fā)給內(nèi)網(wǎng)中其他計(jì)算機(jī)，雙擊運(yùn)行完成WSUS服務(wù)器的指向，至此操作完成

補(bǔ)充說明

1.內(nèi)網(wǎng)中其他計(jì)算機(jī)運(yùn)行完reg文件后，注冊表的鍵值完成修改，但組策略中依然顯示未設(shè)置，此時(shí)可以正常從WSUS服務(wù)器獲取補(bǔ)丁，推測組策略和注冊表不是存放在同一位置。

2.經(jīng)過反復(fù)測試，內(nèi)網(wǎng)中其他計(jì)算機(jī)運(yùn)行注冊表文件后是可以找到WSUS服務(wù)器的，只是有時(shí)候執(zhí)行完注冊表后立即可以進(jìn)行更新，有時(shí)候出現(xiàn)錯(cuò)誤后重啟下系統(tǒng)也可以恢復(fù)正常，有時(shí)候反復(fù)重啟、刷新組策略始終報(bào)這個(gè)錯(cuò)誤，網(wǎng)上查了下這個(gè)錯(cuò)誤說是網(wǎng)絡(luò)故障引起的，因?yàn)槎际翘幱谕粋€(gè)網(wǎng)絡(luò)環(huán)境下，就很奇怪這個(gè)故障怎么解決，感覺這個(gè)故障的出現(xiàn)有很大的隨機(jī)性。

3.WSUS是通過計(jì)算機(jī)名來標(biāo)識(shí)PC的，如果環(huán)境中存在2臺(tái)相同計(jì)算機(jī)名的PC，后向WSUS服務(wù)器報(bào)告的會(huì)被記錄在WSUS的所有計(jì)算機(jī)列表中，盡管這2臺(tái)PC都能從WSUS服務(wù)器獲取到補(bǔ)丁包。