WSUS服务器安装和配置手册

...wd......wd......wd...MicrosoftWindowsServerUpdateServices安装与配置教程珠江期货广州总部技术部修改日期：2010年09月03日摘要本文提供Microsoft®WindowsServer™UpdateServices(WSUS)入门的分步指导。其中详述了在网络上部署WSUS所涉及的根本任务的说明，具体包括在MicrosoftWindows

Server

2003操作系统上安装WSUS、配置WSUS以获取更新、将客户端计算机配置为从WSUS安装更新，以及批准、测试和分发更新。在“部署MicrosoftWindowsServerUpdateServices〞白皮书〔文档可能为英文〕中可以找到有关内容的更为全面的阐述。目录TOC\o"1-3"\h\u32619MicrosoftWindowsServerUpdateServices入门循序渐进指南 39060步骤1：WSUS安装要求 312446硬件要求 317654磁盘要求 47561软件要求 413804步骤2：在服务器上安装WSUS 67582步骤3：部署WSUS 1920070服务器端的部署 1921801客户端的部署 2117278客户端组策略的配置 2118128客户端注册表的修改 263928步骤4：使用WSUS 2817911发现客户端 286759同步更新 3131065客户端更新 32TOC\o"1-2"\hMicrosoftWindowsServerUpdateServices安装与配置教程WSUS为在网络中管理更新提供了一个全面的解决方案。本文档提供了在网络上部署WSUS时涉及的根本任务的分步指导。使用本指南可执行以下任务：在MicrosoftWindows

Server

2003操作系统上安装WSUS。将WSUS配置为从Microsoft获取更新。将客户端计算机配置为通过WSUS安装更新。批准、测试和分发更新。步骤1：WSUS安装要求硬件要求建议使用以下硬件：2GHz的处理器最少1GB的RAM磁盘要求要安装WSUS，服务器上的文件系统必须满足以下要求：系统分区和安装WSUS的分区都必须使用NTFS文件系统进展格式化。系统分区至少需要10GB的可用空间。WSUS用于存储内容的卷至少需要6GB的可用空间，建议预留空间为30GB。注意：WSUS更新的系统补丁占用空间很大，可以将更新目录设置为其他盘符软件要求安装WSUS之前，需要确认操作系统版本以及相应补丁是否安装：操作系统要求使用windows2003serverSP2版注意：使用windows2000版也可以安装WSUS，但安装需要的补丁和配置比拟多，这里强烈建议使用windows2003serverSP2版〔SP2补丁一定要打上，否则安装不能进展〕MicrosoftInternet信息服务(IIS)6.0。安装方法：“开场〞——“控制面板〞——“添加或删除程序〞——“添加或删除windows组件〞——“应用程序服务器〞“详细信息〞选择“Internet信息服务〔IIS〕〞，点击确定，然后点击下一步进展安装。完成安装用于Windows

Server

2003的Microsoft.NETFramework1.1ServicePack1。下载网址为：://go.microsoft/fwlink/?LinkId=47358。〔在wsus安装包〔wsus_install.rar〕中，是dotnetfx.exe文件〕BackgroundIntelligentTransferService(BITS)2.0。这个无需下载，装好的windows2003serverSP2版自带ReportViewer2008 这个文件在wsus_install.rar安装包中也有步骤2：在服务器上安装WSUSWSUS3.0SP2中文版可以去微软官方网站下载，下载地址为：://microsoft/downloads/details.aspx?FamilyId=a206ae20-2695-436c-9578-3403a7d46e40&displaylang=en

依照WSUS3的系统要求，事先安装好IIS、Microsoft.NETFramework1.1、MicrosoftReportViewer，数据库使用WSUS3自带的WindowsInternalDatabase。

安装与配置：

下载到的WSUS3是一个自解压并自动执行安装程序的压缩包，我们可以使用解压缩软件事先将其解开，这样做的好处就是当执行安装程序时，如果系统检测组件有问题，我们不必再次重新执行安装程序经历时间较长的解包过程。

执行安装程序自解包完成后，出现WSUS3的安装向导界面，点击“下一步〞。

因为是全新安装并且要部署的是完整的WSUS3，所以默认选择“包括管理控制台的完整服务器安装〞，如果你的环境内已经存在WSUS3，那么可以选择第二项只安装管理控制台。点击“下一步〞继续。

安装向导准备安装并执行检测。

在许可协议这个界面选择“我承受许可协议条款〞，并点击“下一步〞继续。

配置WSUS3“本地存储更新〞〔注意：安装的地方，尽量磁盘空间尽量大些〕，如果你已经准备好额外的分区，那么这里会默认配置到额外分区上，确定无误后点击“下一步〞继续。

数据库选项，因为我们使用WSUS自带的WindowsinternalDatabase服务，所以保持默认。并点击“下一步〞继续。

配置WSUS网站，这里有两个选项可供选择：“使用现有IIS默认网站〞用到的是80端口“创立WSUS3.0网站〞注意看下面的提示，用的是8530端口这两个网站选项都已经通过了测试，推荐使用‘创立WSUS3.0网站’，也就是8530端口，根据需要自选即可注意：这里的设置一定要记住，因为后面配置客户端组策略的时候，需要用到！

完成配置向导后，我们就可以正式开场安装WSUS3，确认我们的配置，点击“下一步〞开场安装。

安装过程中会先安装配置WindowsInternalDatabase，接下来会将WSUS3安装到我们的系统最后执行ASP.NET环境的配置等等，整个过程耗时大概5分钟左右。

至此，我们就完成了WSUS的全新安装。

在点击完成安装后，系统会自动弹出WSUS3的配置向导，我们通过配置向导可以配置我们已经安装好的WSUS服务器，为此点击“下一步〞。

选择是否参加Microsoftupdate改善方案，根据自己的需要选择。

配置WSUS3的上游服务器，如果这台服务器是环境中的第一台WSUS3服务器，那么你应中选择MicrosoftUpdate作为你的上游服务器，否则请正确地配置此台服务器所要连接环境中已经存在的上游WSUS3服务器。

如果你的WSUS3使用代理方式与外网连接，比方：你的网络出口一是台以代理方式运行的ISA服务器，那么你就需要在这里正确地为你的WSUS3配置使用代理服务器，并点击“下一步〞继续。

完成上述配置后，我们就可以在此界面点击“开场连接〞与MicrosoftUpdate通讯并取得下载更新信息，完成连接后点击“下一步〞继续。

选择我们需要下载那种语言版本的更新注意：为了减小磁盘空间的占用，这里我们只选择中文。

选择我们需要下载更新的产品，在这里我们几乎可以选择到微软所有的主流产品，选择自己需要的更新产品即可，一般为office2003，windowsXP，windows2003server等

选择我们需要下载的更新分类，根据需求配置。

配置同步方案，如果你希望减轻服务器的负担你可以选择手工同步，如果你希望减轻自己的负担就配置为自动同步即可。值得注意的是在配置自动同步时，我们应该将自动同步的时间安排在半夜，这样以来，服务器的同步过程中的压力就小得多，而且也不会影响到你的网络质量。

OK，到这里我们根本上就算完毕了。根据需要复选在完成配置后自动运行WSUS管理管制台并自动开场初始同步。之后我们可以选择“下一步〞获得额外的信息，当然你也可以直接点击“完成〞。如果是第一次安装WSUS3，我强烈建议在这里选择点击“下一步〞。

这个界面为我们准备了非常有用的产品使用帮助链接，不妨先看看这些帮助。注意：安装完毕以后，WSUS不会在桌面上生成快捷方式，在程序中也不会显示新添加的程序，需要从控制面板——管理工具——Microsoftwindowsserverupdateserverces3.0翻开步骤3：部署WSUS部署WSUS主要分为两个局部：服务器端的部署客户端的部署服务器端的部署开场——运行gpedit.msc——计算机配置——管理模板——windows组件——windowsupdate这里有很多设置，服务器端只需要设置“允许非管理员用户接收更新通知〞选择“已启用〞，确定即可客户端的部署客户端的部署可以有2种方法：方法一：客户端组策略的配置方法二：客户端注册表的修改注意：客户端组策略的配置也可以通过修改注册表来实现，所以选择其中一种方法就可以啦，推荐使用方法二，易于操作客户端组策略的配置开场——运行gpedit.msc——计算机配置——管理模板——windows组件——windowsupdate这里我们从“配置自动更新〞开场这里选择“已启用〞，“自动下载并方案安装〞，“每星期一17：00”〔这里只是举例，具体操作可以根据实际需求来配置〕配置完，这一项，点击“下一设置〞这里选择“已启用〞，“为检测更新设置Internet更新服务〞按照图示设置为服务器端的IP地址，格式为：://WSUS的服务器地址：端口号是否需要在IP地址后面添加端口号，取决于之前安装WSUS网站首选项的设置，如果为IIS默认，则不需要添加端口号；如果为创立，则需要添加端口号8530〔不能改动〕点击“下一设置〞这里可以先选择“未配置〞，点击“下一设置〞这里保持默认，点击“下一设置〞这里选择“已启用〞，点击“下一设置〞这里选择“已启用〞，“间隔〔小时〕检查更新〞默认为22个小时，意思是客户端每隔22个小时才会访问服务器端，查看是否有适合自己的新的更新，所以我们这里可以设置的小一点，比方5个小时。点击“下一设置〞这里选择“已启用〞，点击“下一设置〞到此为止，客户端组策略的设置根本完成了，其中的一些细节需要自己在使用的过程中进展修改。客户端注册表的修改当客户端为administration权限时，客户端是不需要修改注册表就可以进展更新程序的，在我们实际使用中，很多用户都属于user组权限，当客户端属于user组时〔并非guest组〕，需要对注册表进展以下修改才可以进展更新。WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

"ElevateNonAdmins"=dword:00000001

设置为1时，非管理组成员才可以为计算机打补丁

"TargetGroupEnabled"=dword:00000001

只有设置了这个，客户端的计算机才能被wsus的服务器检测到！！

"TargetGroup"=""

目标组－－就是客户端自动注册到wsus服务器的哪个计算机组，可以为空。注意：以上三项都是需要手动添加的，注意前两个需要新建为dword值，后一个需要新建为字符串值到此，客户端的设置就完成了~~建议：当你设置完组策略后，可以到[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate][HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]这两个目录下查看注册表发生了哪些变化，就可以发现组策略跟注册表之间的关系了，具体实施时，就不需要每台电脑单独设置组策略，只要写好一个修改注册表的文件就可以了。以下是注册表的局部介绍，仅供参考！具体见“部署MicrosoftWindowsServerUpdateServices〞白皮书〔文档可能为英文〕中可以找到有关内容的更为全面的阐述：

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

"NoAutoUpdate"=dword:00000000

设置为0，说明自动升级

"AUOptions"=dword:00000004

设置为4，表示下载后自动安装。3是提醒安装

"ScheduledInstallDay"=dword:00000000

设置为0，表示每天都检测升级

"ScheduledInstallTime"=dword:0000000a

设置安装补丁的时间，因为AUOptions设置为4，所以这里设置自动安装的时间为a，也就是十进制的上午十点，到上午十点，自动安装补丁。

"UseWUServer"=dword:00000001

//说明使用wsusserver，也就是你自己搭建的wsus服务器，而不是去微软公司的网站升级。

"AutoInstallMinorUpdates"=dword:00000001

设置为1，说明后台安装，就是悄悄地，补丁已经打上了。

"RebootRelaunchTimeoutEnabled"=dword:00000001

//设置为1才可以设置下面的参数

"RebootRelaunchTimeout"=dword:00000014

说明提示重启动间隔时间，这里设置为20分钟，十六进制

"DetectionFrequencyEnabled"=dword:00000001

这里设置为1，下面的参数才有效

"DetectionFrequency"=dword:00000005

设置检测的频率，这里为了测试用，所以频率设置为了5，应该设置为22即可，一天一次

"NoAutoRebootWithLoggedOnUser"=dword:00000001

设置为1，说明用户可以选择是否等一会在重新启动，设置为0的话，5分钟之内重启动

"RebootWarningTimeout"=dword:00000010

安装方案的升级后，提示重启的时间

"RebootWarningTimeoutEnabled"=dword:00000001

设置为1，上面的健设置才有效。设置为0的话，默认为10分钟

"RescheduleWaitTime"=dword:00000005

如果一个更新错过了安装时间后，下次开机提示的时间，比方，你上午十点的时候没开机，自然没安装，设置这个参数后，表示开机5分钟以后，提示你安装。

"RescheduleWaitTimeEnabled"=dword:00000001在附近中，会提供客户端使用注册表的实例步骤4：使用WSUS发现客户端WSUS的界面以及使用操作延续了Microsoft的风格，人性化，好操作，容易懂！运行WSUS程序：控制面板——管理工具——Microsoftwindowsserverupdateserverces3.0翻开

翻开WSUS的管理控制台，整体界面非常的直观，在默认页我们可以看到WSUS3简洁的报告。

展开我们的WSUS3服务器，可以看到相关的操作和功能。

点击“更新〞，在界面的中间窗体就会显示相关的信息报告，非常的直观。

通过选择“所有更新〞、“关键更新〞或“安全更新〞，我们可以针对性地对其进展管理，如审批更新、拒绝更新，或获取更新的详细信息等等。

计算机下我们可以监视或管理受WSUS支持的客户端。这里可以看到四台已经监视到的计算机，前面的感慨号表示客户端还没有将更新的信息上报给服务器端。你可以添加一些分组，比方我这里添加了财务部，风控部，技术部，结算部，将相应的客户端放进各自分组便于管理。注意：这是检查客户端设置是否正确的第一步，服务器端不会立刻将客户端读取上来，一般要等5到10分钟时间，如果依然读取不到客户端，请检查客户端组策略中“指定intranetMicrosoft更新服务位置〞处是否设置正确〔IP地址和端口〕！同步更新同步时可以进展手动的“立即同步〞，同步后的补丁信息会在窗口显示出来双击后我们可以看到所有新的更新！注意：并不是这里所有的更新都适用于客户端的每台电脑！我们可以查看每台客户端真正需要的更新，不过为了省事，也可以将所有更新都审批安装，只是不需要的客户端会显示更新状