windows server 2008 R2自带WSUS功能,只需要在添加功能的时候,添加即可,会自动完成安装。
帮助文档
WSUS中文技术论坛:http://social.technet.microsoft.com/Forums/zh-CN/wsuses/threads?filter=unanswered&sort=viewsdesc
WSUS循序渐进指南:http://technet.microsoft.com/zh-cn/library/dd939916(WS.10).aspx
从心开始的博客:http://ycrsjxy.blog.51cto.com/618627/203141
服务器或者客户端对操作系统的需求:http://www.microsoft.com/downloads/zh-cn/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&displaylang=zh-cn
WSUS部署经验分享:http://blog.csdn.net/starlee1738/archive/2005/07/06/415995.aspx
部署过程
虚拟化服务器上划分120GB空间,安装windows server 2008 enterprise R2,分配2G内存,加入contoso.com域,分配静态IP为:192.168.100.11
加入域后的WSUS服务器的FQDN:wsus.contoso.com
为服务器开启远程桌面连接,安装vmware tools工具。
在服务器上“添加功能”里安装IIS和应用程序服务器组件,添加后台智能传输服务。
在安装向导指定的更新下载位置为D:\update,数据库的存放位置为d:\update,数据库使用windows server 2008 R2自带的内部数据库
在配置向导指定该WSUS服务器从internet更新,不设置代理服务器。
选择要下载的语言,更新的产品类型等信息,我选择简体中文
然后开始同步,下载更新(注意这里同步的只是一个更新列表,而不是真正的更新。
通用的WSUS策略设置,可以在较大的OU级别设置,对于比较精细的控制信息,比如设置客户端目标,可以在较小级别的OU设置
如果要在WSUS控制台查看某台计算机的状态,需要安装:
microsoft report viewer redistributable 2008发行包
windows XP客户端不能显示在WSUS列表的原因
我新建了一台windows XP SP2的计算机,发现WSUS发现不了这台计算机,而关于WSUS组策略已经同步到该PC,最后发现是因为本地的automatic update服务处于停止状态,而且该服务的状态被配置为自动启动。
我尝试启动该服务,结果报错:automatic update服务启动后又停止。然后用管理员登陆该计算机,错误依旧。
然后查看了一下2008 R2 DC的domain级别的组策略设置,然后我收集结果的时候,发现有下面的三条设置:
default domain policy——用户配置——策略——管理模板——系统——windows自动更新——已启用
default domain policy——计算机配置——策略——管理模板——windows组件——windows update——配置自动更新——已禁用
default domain policy——计算机配置——windows 设置——安全设置——系统服务——windows update ——自动
以上三条策略是之前的管理员做的配置
然后我修改了上面的设置:
将“windows自动更新”配置为“未配置”状态
将“配置自动更新”设置为“已启用”状态
将“windows update”设置为“未定义”状态
然后我继续在该windows XP SP2计算机上使用gpupdate /force刷新策略,提醒我重启计算机,我重启计算机后,发现automatic update服务已正常启动
然后我在客户端执行:wuauclt.exe /detectnow
然后我回到WSUS服务器上,可以看到WSUS已经发现该客户端了
我在客户端上使用下面的命令:
netstat -aon | findstr "80"
可以看到客户端已经和WSUS在80端口建立了链接。
其他的一些关键记录
客户端的发现是一个缓慢的过程,一般会在客户端重新启动时会自动发现,然后根据域策略归类到指定的计算机分组。
当重启计算机后,WSUS能发现客户端有一个很重要的前提,那就是客户端的windows update或者automatic update更新服务是启动状态。
补丁一般是审批完成后,才开始下载的。具体的配置位置是:
WSUS控制台——选项——更新文件和语言——更新文件——选择“将更新文件本地存储在此服务器上”——勾选“仅当审批更新后才能将更新文件下载到此服务器上”“下载快速安装文件”——确定
批量启用某个计算机组的本地automatic update服务
比如有一个叫“销售部”的计算机组,里面都是销售部门的计算机,有些计算机本地的automatic update服务是禁用的或者手动启用的状态,这样的话,就不能够找WSUS进行更新
方法是,为该“销售部”计算机组链接一个 GPO组策略,除了在组策略里开启该组的update和客户端目标之外,还要设置组策略开启这个计算机组里所有计算机本地的automatic update服务,方法如下:
销售部WSUS策略——计算机配置——windows 设置——安全设置——系统服务——windows update ——自动
然后在客户端计算机刷新组策略或者等待刷新间隔到期,就会看到automatic update服务已经自动启动
为何更改集合成员身份按钮不能用
当只有把选项——计算机——分配到组的方式设置为“使用update services控制台”才可以“更改集合成员身份”。如果设置为“使用计算机上的组策略或者注册表设置”则该按钮是不能用的,计算机分组的方式将由域组策略或者本地组策略的下面条目控制:
例如:右击销售部WSUS GPO——编辑——计算机配置——管理模板——windows组件——windows update——允许客户端目标设置——已启用——此计算机的目标组名称:销售部计算机组
所谓的客户端目标设置,就是在域里将不同部门,或者按照不同系统类型,将计算机进行分组,例如我们在域里创建了一个“销售部计算机组”,那么我们可以在WSUS里也创建一个“销售部计算机组”,名称必须与域里的相同,然后我们再在域组策略设置一条“客户端目标设置”,然后就可以将域里该计算机组里的成员自动通过组策略同步到WSUS同名的计算机组中。
WSUS控制台无响应
一般在重启WSUS服务器,或者WSUS服务器没有正常关闭的时候,会出现这种情况。
这个时候检查后台关于WSUS的服务或者SQL服务是否停止,如果停止了,启动它。
本文出自 “曾垂鑫的技术专栏” 博客,谢绝转载!