WSUS服务器安装与配置手册

1、.Microsoft Windows Server Update Services 安装与配置教程珠江期货广州总部技术部修改日期：2010 年 09 月 03 日摘要本文提供 Microsoft Windows Server Update Services (WSUS) 入门的分步指导。其中详述了在网络上部署 WSUS 所涉及的基本任务的说明，具体包括在 Microsoft WindowsServer2003 操作系统上安装 WSUS、配置 WSUS 以获取更新、将客户端计算机配置为从 WSUS 安装更新，以及批准、测试和分发更新。在“部署 Microsoft Windows Server U

2、pdate Services”白皮书（文档可能为英文）中可以找到有关内容的更为全面的阐述。目录Microsoft Windows Server Update Services 入门循序渐进指南3步骤 1：WSUS 安装要求3硬件要求3磁盘要求4软件要求4步骤 2：在服务器上安装 WSUS6步骤 3：部署 WSUS19服务器端的部署19客户端的部署21客户端组策略的配置21客户端注册表的修改26步骤 4：使用 WSUS28发现客户端28同步更新31客户端更新32 Microsoft Windows Server Update Services安装与配置教程 WSUS为在网络中管理更新提供了一个全

3、面的解决方案。本文档提供了在网络上部署 WSUS 时涉及的基本任务的分步指导。使用本指南可执行以下任务：在 Microsoft WindowsServer2003 操作系统上安装 WSUS。将 WSUS 配置为从 Microsoft 获取更新。将客户端计算机配置为通过 WSUS 安装更新。批准、测试和分发更新。步骤 1：WSUS 安装要求 硬件要求建议使用以下硬件：2 GHz 的处理器 最少1 GB 的 RAM磁盘要求要安装 WSUS，服务器上的文件系统必须满足以下要求：系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。系统分区至少需要 10 GB 的可用空间。WSUS

4、 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。注意：WSUS更新的系统补丁占用空间很大，可以将更新目录设置为其他盘符软件要求安装 WSUS之前，需要确认操作系统版本以及相应补丁是否安装： 操作系统要求 使用windows 2003 server SP2版注意：使用windows 2000版也可以安装WSUS，但安装需要的补丁和配置比较多，这里强烈建议使用windows 2003 server SP2版（SP2补丁一定要打上，否则安装不能进行）Microsoft Internet 信息服务 (IIS) 6.0。安装方法：“开始”“控制面板”“添加或删除程序”“添加

5、或删除windows组件”“应用程序服务器”“详细信息”选择“Internet 信息服务（IIS）”，点击确定，然后点击下一步进行安装。完成安装用于 WindowsServer2003 的 Microsoft .NET Framework 1.1 Service Pack 1。 下载网址为：/fwlink/?LinkId=47358。（在wsus安装包（wsus_install.rar）中，是 dotnetfx.exe 文件）Background Intelligent Transfer Service (BITS) 2.0。这个无需下载，装好的wi

6、ndows 2003 server SP2版自带ReportViewer2008这个文件在wsus_install.rar安装包中也有步骤 2：在服务器上安装 WSUS WSUS 3.0 SP2中文版可以去微软官方网站下载，下载地址为：/downloads/details.aspx?FamilyId=a206ae20-2695-436c-9578-3403a7d46e40&displaylang=en依照WSUS3的系统要求，事先安装好IIS、Microsoft .NET Framework 1.1、Microsoft Report Viewer，

7、数据库使用WSUS3自带的Windows Internal Database。 安装与配置： 下载到的WSUS3是一个自解压并自动执行安装程序的压缩包，我们可以使用解压缩软件事先将其解开，这样做的好处就是当执行安装程序时，如果系统检测组件有问题，我们不必再次重新执行安装程序经历时间较长的解包过程。 执行安装程序自解包完成后，出现WSUS3的安装向导界面，点击“下一步”。 因为是全新安装并且要部署的是完整的WSUS3，所以默认选择“包括管理控制台的完整服务器安装”，如果你的环境内已经存在WSUS3，那么可以选择第二项只安装管理控制台。点击“下一步”继续。 安装向导准备安装并执行检测。 在许可协议

8、这个界面选择“我接受许可协议条款”，并点击“下一步”继续。 配置WSUS3“本地存储更新”（注意：安装的地方，尽量磁盘空间尽量大些），如果你已经准备好额外的分区，那么这里会默认配置到额外分区上，确定无误后点击“下一步”继续。 数据库选项，因为我们使用WSUS自带的Windows internal Database服务，所以保持默认。并点击“下一步”继续。配置WSUS网站，这里有两个选项可供选择：“使用现有IIS默认网站”用到的是80端口“创建WSUS 3.0网站”注意看下面的提示，用的是8530端口这两个网站选项都已经通过了测试，推荐使用创建WSUS 3.0网站，也就是 8530端口，根据需要

9、自选即可注意：这里的设置一定要记住，因为后面配置客户端组策略的时候，需要用到！完成配置向导后，我们就可以正式开始安装WSUS3，确认我们的配置，点击“下一步”开始安装。 安装过程中会先安装配置Windows Internal Database，接下来会将WSUS3安装到我们的系统最后执行ASP.NET环境的配置等等，整个过程耗时大概5分钟左右。 至此，我们就完成了WSUS的全新安装。 在点击完成安装后，系统会自动弹出WSUS3的配置向导，我们通过配置向导可以配置我们已经安装好的WSUS服务器，为此点击“下一步”。 选择是否加入Microsoft update改善计划，根据自己的需要选择。配置W

10、SUS3的上游服务器，如果这台服务器是环境中的第一台WSUS3服务器，那么你应当选择Microsoft Update作为你的上游服务器，否则请正确地配置此台服务器所要连接环境中已经存在的上游WSUS3服务器。 如果你的WSUS3使用代理方式与外网连接，比如：你的网络出口一是台以代理方式运行的ISA服务器，那么你就需要在这里正确地为你的WSUS3配置使用代理服务器，并点击“下一步”继续。 完成上述配置后，我们就可以在此界面点击“开始连接”与Microsoft Update通讯并取得下载更新信息，完成连接后点击“下一步”继续。 选择我们需要下载那种语言版本的更新注意：为了减小磁盘空间的占用，这里我

11、们只选择中文。 选择我们需要下载更新的产品，在这里我们几乎可以选择到微软所有的主流产品，选择自己需要的更新产品即可，一般为office 2003，windows XP，windows 2003 server等选择我们需要下载的更新分类，根据需求配置。 配置同步计划，如果你希望减轻服务器的负担你可以选择手工同步，如果你希望减轻自己的负担就配置为自动同步即可。值得注意的是在配置自动同步时，我们应该将自动同步的时间安排在半夜，这样以来，服务器的同步过程中的压力就小得多，而且也不会影响到你的网络质量。 OK，到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行WSUS管理管制台并自动开始初始同

12、步。之后我们可以选择“下一步”获得额外的信息，当然你也可以直接点击“完成”。如果是第一次安装WSUS3，我强烈建议在这里选择点击“下一步”。 这个界面为我们准备了非常有用的产品使用帮助链接，不妨先看看这些帮助。 注意：安装完毕以后，WSUS不会在桌面上生成快捷方式，在程序中也不会显示新添加的程序，需要从控制面板管理工具Microsoft windows server update serverces 3.0 打开步骤 3：部署 WSUS 部署WSUS主要分为两个部分：服务器端的部署客户端的部署服务器端的部署开始运行gpedit.msc计算机配置管理模板windows组件windows upda

13、te这里有很多设置，服务器端只需要设置“允许非管理员用户接收更新通知”选择“已启用”，确定即可客户端的部署客户端的部署可以有2种方法：方法一：客户端组策略的配置方法二：客户端注册表的修改注意：客户端组策略的配置也可以通过修改注册表来实现，所以选择其中一种方法就可以啦，推荐使用方法二，易于操作客户端组策略的配置开始运行gpedit.msc计算机配置管理模板windows组件windows update这里我们从“配置自动更新”开始这里选择“已启用”，“自动下载并计划安装”，“每星期一 17：00”，表示每周一的17：00分客户端会自动从服务器端下载更新并自动安装，安装后会提示是否要重启。（这里只

14、是举例，具体操作可以根据实际需求来配置）配置完，这一项，点击“下一设置”这里选择“已启用”，“为检测更新设置Internet 更新服务”按照图示设置为服务器端的IP地址，格式为：http:/WSUS的服务器地址：端口号是否需要在IP地址后面添加端口号，取决于之前安装WSUS网站首选项的设置，如果为IIS默认，则不需要添加端口号；如果为创建，则需要添加端口号8530（不能改动）点击“下一设置”这里可以先选择“未配置”，点击“下一设置”这里保持默认，点击“下一设置”这里选择“已启用”，点击“下一设置”这里选择“已启用”，“间隔（小时）检查更新”默认为22个小时，意思是客户端每隔22个小时才会访问服

15、务器端，查看是否有适合自己的新的更新，所以我们这里可以设置的小一点，比如5个小时。点击“下一设置”这里选择“已启用”，点击“下一设置”到此为止，客户端组策略的设置基本完成了，其中的一些细节需要自己在使用的过程中进行修改。客户端注册表的修改当客户端为administration权限时，客户端是不需要修改注册表就可以进行更新程序的，在我们实际使用中，很多用户都属于user组权限，当客户端属于user组时（并非guest组），需要对注册表进行以下修改才可以进行更新。Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREPolici

16、esMicrosoftWindowsWindowsUpdateElevateNonAdmins=dword:00000001设置为1时，非管理组成员才可以为计算机打补丁TargetGroupEnabled=dword:00000001只有设置了这个，客户端的计算机才能被wsus的服务器检测到！TargetGroup=目标组就是客户端自动注册到wsus服务器的哪个计算机组，可以为空。注意：以上三项都是需要手动添加的，注意前两个需要新建为dword值，后一个需要新建为字符串值到此，客户端的设置就完成了建议：当你设置完组策略后，可以到HKEY_LOCAL_MACHINESOFTWAREPolicie

17、sMicrosoftWindowsWindowsUpdateHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU这两个目录下查看注册表发生了哪些变化，就可以发现组策略跟注册表之间的关系了，具体实施时，就不需要每台电脑单独设置组策略，只要写好一个修改注册表的文件就可以了。以下是注册表的部分介绍，仅供参考！具体见“部署 Microsoft Windows Server Update Services”白皮书（文档可能为英文）中可以找到有关内容的更为全面的阐述：HKEY_LOCAL_MACHINESOFTWAREPolic

18、iesMicrosoftWindowsWindowsUpdateAUNoAutoUpdate=dword:00000000设置为0，表明自动升级AUOptions=dword:00000004设置为4，表示下载后自动安装。3是提醒安装ScheduledInstallDay=dword:00000000设置为0，表示每天都检测升级ScheduledInstallTime=dword:0000000a设置安装补丁的时间，因为AUOptions设置为4，所以这里设置自动安装的时间为a，也就是十进制的上午十点，到上午十点，自动安装补丁。UseWUServer=dword:00000001/表明使用ws

19、usserver，也就是你自己搭建的wsus服务器，而不是去微软公司的网站升级。AutoInstallMinorUpdates=dword:00000001设置为1，表明后台安装，就是悄悄地，补丁已经打上了。RebootRelaunchTimeoutEnabled=dword:00000001/设置为1才可以设置下面的参数RebootRelaunchTimeout=dword:00000014表明提示重启动间隔时间，这里设置为20分钟，十六进制DetectionFrequencyEnabled=dword:00000001这里设置为1，下面的参数才有效DetectionFrequency=dw

20、ord:00000005设置检测的频率，这里为了测试用，所以频率设置为了5，应该设置为22即可，一天一次NoAutoRebootWithLoggedOnUser=dword:00000001设置为1，表明用户可以选择是否等一会在重新启动，设置为0的话，5分钟之内重启动RebootWarningTimeout=dword:00000010安装计划的升级后，提示重启的时间RebootWarningTimeoutEnabled=dword:00000001设置为1，上面的健设置才有效。设置为0的话，默认为10分钟RescheduleWaitTime=dword:00000005如果一个更新错过了安装

21、时间后，下次开机提示的时间，比如，你上午十点的时候没开机，自然没安装，设置这个参数后，表示开机5分钟以后，提示你安装。RescheduleWaitTimeEnabled=dword:00000001在附近中，会提供 客户端使用注册表的实例步骤 4：使用 WSUS发现客户端WSUS的界面以及使用操作延续了Microsoft的风格，人性化，好操作，容易懂！运行WSUS程序：控制面板管理工具Microsoft windows server update serverces 3.0 打开打开WSUS的管理控制台，整体界面非常的直观，在默认页我们可以看到WSUS3简洁的报告。 展开我们的WSUS3服务器

22、，可以看到相关的操作和功能。 点击“更新”，在界面的中间窗体就会显示相关的信息报告，非常的直观。 通过选择“所有更新”、“关键更新”或“安全更新”，我们可以针对性地对其进行管理，如审批更新、拒绝更新，或获取更新的详细信息等等。 计算机下我们可以监视或管理受WSUS支持的客户端。 这里可以看到四台已经监视到的计算机，前面的感叹号表示客户端还没有将更新的信息上报给服务器端。你可以添加一些分组，比如我这里添加了财务部，风控部，技术部，结算部，将相应的客户端放进各自分组便于管理。注意：这是检查客户端设置是否正确的第一步，服务器端不会立刻将客户端读取上来，一般要等5到10分钟时间，如果依然读取不到客户端，请检查客户端组策略中“指定intranet Microsoft 更新服务位置”处是否设置正确（IP地址和端口）！同步更新同步时可以进行手动的“立即同步”，同步后的补丁信息会在窗口显示出来双击后我们可以看到所有新的更新！注意：并不是这里所有的更新都适用于客户端的每台电脑！我们可以查看每台客户端真正需要的更新，不过为了省事，也可以将所有更新都审批安装，只是不需要的客户端会显示更新状态为不适用客户端更新双击任意一个客户端这里可以看到客户端的一些更新状态，我们可以在“包括