wsus的介绍及配置(针对于2008r2)

Wsus安装配置/zh-cn/library/dd939916(WS.10).aspx步骤1：确认WSUS3.0SP2安装要求在您安装或升级到WindowsServerUpgradeServices3.0ServicePack2(WSUS3.0SP2)之前，请确认服务器和客户端计算机都满足WSUS3.0SP2的系统要求，并确认您拥有完成安装的必要权限。安装WSUS3.0SP2的服务器硬件和软件要求确认服务器满足WSUS3.0SP2对硬件、操作系统及其他所需软件的系统要求。请访问http：//gcmicrcsc什ccm/fw/link/?linkId=139840以参阅《WSUS3.0SP2发行说明》中列出的系统要求。如果您要使用ServerManager安装WSUS3.0SP2服务器，则您可以通过遵循"准备安装WSUS3.0SP2”部分中的步骤来确认您是否满足软件要求。如果您安装的角色或软件更新要求在安装完成后重新启动服务器，请在安装WSUS3.0SP2之前重新启动服务器。客户端软件要求自动更新是WSUS3.0的客户端。除了需要连接到网络外，自动更新没有其他的硬件要求。确认要安装自动更新的计算机满足WSUS3.0SP2对客户端计算机的系统要求。请访问hitp：//gc.micrcsc什.ccm/fw/link/?linkId=139840以参阅《WSUS3.0SP2发行说明》中列出的系统要求。如果您安装的软件更新要求重新启动计算机，请在安装WSUS3.0SP2之前重新启动。权限指定的用户和目录需要以下权限：NTAuthority\NetworkService帐户需要具有以下文件夹的“完全控制”权限，以使“WSUS管理”管理单元能够正确显示：%windir%\Microsoft.NET\Framework\v2.0.50727\TemporaryASP.NETFiles%windir%\Temp确认您计划用于安装WSUS3.0SP2的帐户是本地Administrators组的成员。准备安装WSUS3.0SP2如果您运行的是Windows7或WindowsServer2008SP2，则可从ServerManager安装WSUS3.0SP2。如果您使用的是其他受支持的操作系统，或仅安装WSUS管理控制台，请转至本指南的下一部分，以使用WUSSetup.exe文件来安装WSUS3.0SP2。准备使用ServerManager安装WSUS3.0SP2服务器使用作为本地Administrators组成员的帐户登录到计划安装WSUS3.0SP2的服务器上。单击"开始"，指向“管理工具"，然后单击"ServerManager”。在ServerManager窗口的右侧窗格中，在“角色摘要”部分单击“添加角色”。如果出现“开始之前”页，则单击“下一步”。在“选择服务器角色”页中，请确认已选中“应用程序服务器”和"Web服务器（IIS）”。如果已将其选中，请通过此步骤的余下部分确认已选中所需的角色服务。否则，请按以下步骤安装应用程序服务器和Web服务器（IIS）。a.在“选择服务器角色”页中，选择"应用程序服务器”和“Web服务器（IIS）”。单击"下如果您要安装应用程序角色服务，请在"应用程序服务器”页中单击"下一步”。在"应用程序服务器角色服务”页中，接受默认设置，然后单击"下一步”。如果您要安装Web服务器IIS,则在"Web服务器（IIS）”页中，单击"下一步”。在"Web服务器（IIS）角色服务”页中，除了选中的默认设置外，还请选择"ASPNET”、“Windows身份验证"、“动态内容压缩"和"IIS6管理兼容性”。如果出现"添加角色向导”窗口，请单击"添加必需的角色服务”。单击"下一步”。在"确认安装选择”页中，单击"安装”。在"安装结果”页中，确认出现此步骤中安装的角色服务的"安装成功”消息，然后单击“关闭”。步骤2：安装WSUS服务器或管理控制台确保服务器满足最低系统要求并且获得所需的帐户权限之后，即可安装WindowsServerUpgradeServices3.0ServicePack2（WSUS3.0SP2）。通过使用适合您操作系统的过程和安装方式（通过使用ServerManager或WUSSetup.exe文件进行安装）来启动WSUS3.0SP2的安装。使用ServerManager的情况使用ServerManager启动WSUS3.0SP2服务器的安装1.使用作为本地Administrators组成员的帐户登录到计划安装WSUS3.0SP2的服务器上。2.单击“开始"，指向“管理工具"，然后单击“ServerManager”。3.在ServerManager窗口的右侧窗格中，在“角色摘要”部分单击“添加角色”。如果出现“开始之前”页，则单击“下一步”。在“选择服务器角色”页中，选择“WindowsServerUpdateServices”。在"WindowsServerUpdateServices"页中，单击“下一步”。在“确认安装选择”页中，单击“安装”。启动WSUS3.0SP2安装向导之后，跳至下一部分，并查看“继续安装WSUS3.0SP2”过程。使用WUSSetup.exe文件的情况使用WUSSetup.exe文件启动WSUS3.0SP2服务器或WSUS3.0SP2管理控制台的安装使用作为本地Administrators组成员的帐户登录到计划安装WSUS3.0SP2的服务器上。双击安装程序文件"WSUSSetup.exe”。启动WindowsServerUpdateServices3.0SP2安装向导之后，请查看“继续安装WSUS3.0SP2”过程。使用WSUS3.0SP2安装向导WSUS安装向导从ServerManager或WUSSetup.exe文件启动。继续安装WSUS3.0SP2在WindowsServerUpdateServices3.0安装向导的“欢迎”页中，单击“下一步”。在“安装模式选择”页中，如果您希望在此计算机上安装WSUS服务器，请单击“包括管理控制台的完整服务器安装”；如果仅希望安装管理控制台，请单击“仅限管理控制台”。在“许可协议”页中，仔细阅读许可协议条款，单击“我接受许可协议”，然后单击“下一步”。在安装向导的“选择更新源”页中，可以指定客户端获得更新的位置。默认情况下，“在本地存储更新”复选框已选中，并且更新将存储在WSUS服务器上您指定的位置。如果您清除了“在本地存储更新”复选框，则客户端计算机将可以通过连接到MicrosoftUpdate来获得更新。进行选择，然后单击“下一步”。在“数据库选项”页中，选择用于管理WSUS3.0数据库的软件。默认情况下，此安装向导将安装Windows内部数据库。如果您不希望使用Windows内部数据库，请通过选择“使用此计算机上的现有数据库”或“使用远程计算机上的现有数据库服务器”为WSUS提供要使用的SQLServer实例。在相应的框内键入实例名。该实例名应显示为<serverName>\<instanceName>，其中serverName是服务器的名称，instanceName是SQL实例的名称。进行选择，然后单击“下一步”。如果您已选择连接到SQLServer，则在"连接到SQLServer实例”页中，WSUS将尝试连接到指定的SQLServer实例。当它已成功连接后，单击“下一步”继续。7.在“网站选择”页中，指定WSUS将使用的网站。如果您希望在端口80上使用默认网站，则选择“使用现有IIS默认网站”。如果端口80上已有一个网站，您可以通过选择“创建一个WindowsServerUpdateServices3.0SP2网站”，在端口8530上创建一个备用网站。单击“下一步”。8.在“准备安装WindowsServerUpdateServices”页中，检查各项选择，然后单击“下一步”9.安装向导的最后一页将说明WSUS安装是否成功完成。单击“完成”后，将启动配置向步骤3：配置网络连接安装WindowsServerUpdateServices3.0ServicePack2(WSUS3.0SP2)之后，配置向导将自动启动。也可以稍后通过WSUS控制台的“选项”页运行向导。在开始配置过程之前，请确保您知道以下问题的答案：是否将服务器的防火墙配置为允许客户端访问服务器？能否将此计算机连接到上游服务器(如MicrosoftUpdate)？是否具有代理服务器的名称和用户凭据(如果需要)？默认情况下，将WSUS3.0SP2配置为使用MicrosoftUpdate作为更新的获取位置。如果网络中具有代理服务器，则可以将WSUS3.0SP2配置为使用该代理服务器。如果WSUS和Internet之间设有企业防火墙，则可能需要配置防火墙以确保WSUS能够获取更新。备注尽管必须具有Internet连接才能从MicrosoftUpdate下载更新，但您可以借助于WSUS将更步骤3包括以下过程：配置防火墙。指定服务器获取更新的方法(从MicrosoftUpdate或其他WSUS服务器)。配置代理服务器设置以使WSUS能够获取更新。配置防火墙如果WSUS和Internet之间设有企业防火墙，则可能需要配置防火墙以确保WSUS能够获取更新。要从MicrosoftUpdate获取更新，WSUS服务器将端口80用于HTTP协议，而将端口443用于HTTPS协议。不能对该设置进行配置。如果您的组织不允许对所有地址打开端口80或端口443，则可以限制只访问以下域以使WSUS和自动更新能够与MicrosoftUpdate进行通信：•http://*.https://*.http://*.http://*.备注上述防火墙配置说明针对的是在WSUS和Internet之间设置的企业防火墙。由于WSUS的所有网器上配置Windows防火墙。尽管MicrosoftUpdate与WSUS之间的连接要求打开端口80和443，但您可以将多台WSUS服务器配置为使用自定义端口进行同步。下面两个过程假定您使用的是配置向导。在此步骤的后面部分中，您将学习如何启动“WSUS管理”管理单元并通过“选项”页来配置服务器。指定此服务器获取更新的方法加入Microsoft改善计划后，从配置向导中单击“下一步”，以选择上游服务器。如果选择从MicrosoftUpdate进行同步，则您已完成了此“选项”页的配置。单击“下一步”，或者从导航窗格中选择“指定代理服务器”。如果选择从另一台WSUS服务器进行同步，请指定该服务器的名称及其与上游服务器进行通信所使用的端口。要使用SSL，请选中“在同步更新信息时使用SSL”复选框。在这种情况下，服务器将使用端口443进行同步。（确保该服务器及上游服务器都支持SSL。）如果这是副本服务器，请选中“这是上游服务器的副本”复选框。现在，您已完成了上游服务器配置。单击“下一步”，或者从左侧导航窗格中选择“指定代理服务器”。配置代理服务器设置在配置向导的“指定代理服务器”页中，选中“在同步时使用代理服务器”复选框，然后在相应的框中键入代理服务器名称和端口号（默认端口是80）。如果要使用特定用户凭据连接到代理服务器，请选中“使用用户凭据连接到代理服务器”复选框，然后在相应的框中键入用户名、域和用户密码。如果要为连接到代理服务器的用户启用基本身份验证，请选中“允许基本身份验证（以明文形式发送密码）”复选框。现在，您已完成了代理服务器配置。单击“下一步”以转到下一页，可以在其中开始设置同步过程。以下两个过程假定您使用“WSUS管理”管理单元进行配置。这两个过程说明了如何启动“WSUS管理”管理单元并通过“选项”页来配置服务器。启动WSUS管理控制台要启动WSUS管理控制台，请单击“开始”，依次指向“所有程序”、“管理工具”，然后单击“MicrosoftWindowsServerUpdateServices3.0”。备注要使用此控制台的所有功能，您必须以安装了WSUS的服务器上的WSUSAdministrators或本地WSUSReporters安全组成员仅具有此控制台的只读访问权限。指定更新源和代理服务器在WSUS控制台上，在左侧窗格的此服务器名称下面单击“选项”，然后在中间窗格中单击“更新源和代理服务器”。将显示一个包含“更新源”和“代理服务器”选项卡的对话框。在“更新源”选项卡中，选择此服务器从中获取更新的位置。如果选择从MicrosoftUpdate进行同步（默认设置），则您已完成了此向导页的配置。如果选择从其他WSUS服务器进行同步，您需要指定服务器通信时使用的端口（默认端口是80）。如果选择其他端口，应确保两个服务器均能使用该端口。也可以指定从上游WSUS服务器进行同步时是否使用SSL。在这种情况下，服务器将使用端口443从上游服务器进行同步。如果此服务器是第二个WSUS服务器的副本，请选中“这是上游服务器的副本”复选框。在这种情况下，只能在上游WSUS服务器中审批所有更新。在“代理服务器”选项卡中，选中“在同步时使用代理服务器”复选框，然后在相应的框中键入代理服务器名称和端口号（默认端口是80）。如果要使用特定用户凭据连接到代理服务器，请选中“使用用户凭据连接到代理服务器”复选框，然后在相应的框中键入用户名、域和用户密码。如果要为连接到代理服务器的用户启用基本身份验证，请选中“允许基本身份验证（以明文形式发送密码）”复选框。单击“确定”以保存这些设置。步骤4配置更新和同步本部分说明了如何使用WindowsServerUpdateServices3.0ServicePack2(WSUS3.0SP2)配置一组要下载的更新。步骤4的过程您可以使用WSUS配置向导或WSUS管理控制台执行以下过程。保存和下载有关上游服务器和代理服务器的信息。选择更新的语言。选择要接收更新的产品。选择更新的分类。为此服务器指定同步计划。在配置网络连接后，您可以通过同步WSUS服务器来下载更新。同步在WSUS服务器与MicrosoftUpdate联系时开始。在WSUS与MicrosoftUpdate联系后，WSUS将确定自上一次同步以来是否发布了任何新更新。当您首次同步WSUS服务器时，所有更新都可用，并可供您进行安装审批。初始同步可能需要相当长的时间。本部分中的过程说明了如何同步默认设置。WSUS3.0SP2还包括一些可在同步期间最大程度地减少带宽使用的选项。使用WindowsServerUpdateServices配置向导的情况在步骤3的过程中，您完成了上游服务器和代理服务器的配置。而接下来的这一组过程开始于该配置向导的“连接到上游服务器”页。保存和下载上游服务器和代理服务器的信息在配置向导的“连接到上游服务器”页中，单击"开始连接"按钮。此按钮可以保存并上传您的设置，并收集有关可用更新的信息。当建立连接时，“停止连接”按钮将变为可用。如果连接出现问题，请单击“停止连接”，解决该问题，然后重新启动该连接。在成功完成下载后，单击“下一步”。选择更新语言在“选择语言”页中，您可以接收所有语言的更新或仅接收一个语言子集的更新。选择一个语言子集会节省磁盘空间，但一定要选择此WSUS服务器的所有客户端将需要的所有语言。如果选择仅获取特定语言的更新，请选择“仅下载以下语言的更新”，然后选择所需的更新语言。单击“下一步”。选择更新产品在“选择产品”页中，您可以指定需要更新的产品。选择产品类别(如Windows)或特定产品(如WindowsServer2008)。选择产品类别将导致选择该类别下的所有产品。2.单击“下一步”。选择更新分类在“选择分类”页中，您可以指定要获取的更新分类。您可以选择所有分类或其中的一个子集。2.单击“下一步”配置同步计划在“设置同步计划”页中，选择手动或自动执行同步。如果选择“手动同步”，则必须从WSUS管理控制台启动同步过程。如果选择“自动同步”，WSUS服务器将按指定的间隔进行同步。请设置“第一次同步”的时间，并指定希望此服务器执行的“每天同步的次数”。例如，如果指定从早晨3:00开始每天同步4次，则会在早晨3:00、上午9:00、下午3:00以及晚上9:00进行同步。单击“下一步”。在“完成”页中，您可以选中“启动'WindowsServerUpdateServices管理'管理单元”复选框来启动WSUS管理控制台，以及选中“开始初始同步”复选框来启动首次同步。单击“完成”。重要事项在服务器进行同步时，无法保存所做的配置更改。请等到同步完成后再进行更改。使用WSUS管理控制台的情况以下过程说明了如何使用WSUS管理控制台执行配置步骤。选择产品和更新分类在“选项”面板中，单击“产品和分类”。将出现一个含有“产品”和“分类”选项卡的对话框在“产品”选项卡中，选择希望此服务器接收相应更新的产品类别或特定产品，或者选择“所有产品”。在“分类”选项卡中，选择所需的更新分类，或者选择“所有分类”。单击“确定”以保存选择的内容。选择更新文件和语言在“选项”面板中，单击“更新文件和语言”。将出现一个含有“更新文件”和“更新语言选项卡的对话框。在“更新文件”选项卡中，选择“将更新文件本地存储在此服务器上”，或选择让所有客户端计算机从MicrosoftUpdate进行安装。如果决定在此服务器上存储更新文件，您还需要决定是仅下载已审批的更新，还是下载快速安装文件。在"更新语言”选项卡中，如果您要在本地存储更新文件，请选择“下载所有语言的更新”（默认），或“仅下载指定语言的更新”。如果此WSUS服务器具有下游服务器，它们将仅接收上游服务器指定的语言的更新。单击“确定”以保存这些设置。同步WSUS服务器1.在“选项”面板，单击“同步计划”。在“同步计划”选项卡中，选择手动或自动执行同步。如果您选择“手动同步”，则必须从WSUS管理控制台启动同步过程。如果选择“自动同步”，WSUS服务器将按指定的间隔进行同步。请设置“第一次同步”的时间，并指定希望此服务器执行的“每天同步的次数”。例如，如果指定从早晨3:00开始每天同步4次，则会在早晨3:00、上午9:00、下午3:00以及晚上9:00进行同步。单击“确定”以保存选择的内容。在WSUS管理控制台的导航窗格中，选择“同步”。右键单击或转到右侧的“操作”窗格，然后单击“立即同步”。如果在控制台右侧没有看到“操作”窗格，请在控制台工具栏中依次单击“视图”、“自定义”并确保选中“操作窗格”复选框。在完成同步后，在左面板中单击“更新”以查看更新列表。步骤5：配置客户端更新在WindowsServerUpdateServices3.0(WSUS3.0SP2)中，WSUS安装程序自动配置IIS，以便将最新版本的自动更新分发给联系WSUS服务器的每台客户端计算机。配置自动更新的最佳方法取决于网络环境。在使用ActiveDirectory®目录服务的环境中，您可以使用现有的基于域的组策略对象(GPO)，或创建一个新的GPO。在没有ActiveDirectory的环境中，请使用本地组策略对象。在此步骤中，您将配置自动更新，并将客户端计算机指向WSUS服务器。以下过程假定您的网络运行ActiveDirectory。这些过程还假定您熟悉组策略并使用组策略来管理网络。有关组策略的详细信息，请访问组策略技术中心网站(/fwlink/?LinkID=47375)。步骤5的过程在步骤4中，您已完成了对要下载的更新的配置。使用这一组过程可为客户端计算机配置自动更新。1.在组策略中配置自动更新。2.将客户端计算机指向WSUS服务器。3.手动启动WSUS服务器检测。您将在选择的基于域的GPO上完成前两个过程，第三个过程将在客户端计算机的命令提示符下完成。配置自动更新在组策略管理控制台（GPMC）中，浏览到您希望用于配置WSUS的GPO,然后单击“编辑”。在GPMC中，依次展开"计算机配置”、"管理模板"和"Windows组件”，然后单击“WindowsUpdate”。在详细信息窗格中，双击“配置自动更新”。单击“已启用”，然后单击以下选项之一：通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。自动下载并通知安装。该选项自动开始下载更新，然后在安装更新之前通知已登录的管理用户。自动下载并计划安装。此选项自动开始下载更新，并在您指定的日期和时间安装更新。允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如，他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。单击“确定”。将客户端计算机指向WSUS服务器在"WindowsUpdate"详细信息窗格中，双击"指定IntranetMicrosoft更新服务位置”。单击“已启用”，然后在“设置检测更新的Intranet更新服务”框和“设置Intranet统计服务器”框中键入同一WSUS服务器的HTTPURL。例如，在两个框中键入http://servernam，e然后单击“确定”。备注如果使用本地组策略对象将该计算机指向WSUS，该设置将立即生效，而该计算机将在一段时间后才会显示在加快该过程的速度。设置完客户端计算机后，需要等待几分钟后，才会在WSUS控制台的“计算机”页上显示该计算机。对于使用基于域的组策略配置的客户端计算机，可能需要在组策略刷新（即，将所有新策略设置应用到客户端计算机)后等待大约20分钟。默认情况下，组策略每隔90分钟在后台更新一次，更新时间可能会随机偏移0到30分钟。如果要以更快的速度更新组策略，您可以在客户端计算机上转到命令提示符下，然后键入gpupdate/force。对于使用本地GPO配置的客户端计算机，将立即应用组策略，而更新将需要大约20分钟的时间。如果手动启动检测，客户端计算机不必等待20分钟便可联系WSUS。手动启动WSUS服务器检测1.在客户端计算机上，单击“开始”，然后单击“运行”。在“打开”框中键入cmd，然后单击“确定”。在命令提示符下，键入wuauclt.exe/detectnow。此命令行选项将指示自动更新立即联系WSUS服务器。步骤6:配置计算机组计算机组是WindowsServerUpdateServices3.0ServicePack2(WSUS3.0SP2)部署的重要部分。您可以使用计算机组测试更新并将更新目标设置为特定计算机。共有两个默认计算机组：“所有计算机”和“未分配的计算机”。默认情况下，当每台客户端计算机最初联系WSUS服务器时，该服务器便会将该客户端计算机添加到其中的每个组中。您可以按需要创建多个自定义计算机组，用于在组织内管理更新。作为最佳实践，在将更新部署到您组织内的其他计算机之前，请至少创建一个计算机组用于测试更新。步骤6的过程创建测试计算机组。至少将一台计算机移到测试组中。创建测试组在WSUS管理控制台中，展开“计算机”，然后选择“所有计算机”。右键单击“所有计算机”，然后单击“添加计算机组”。