接着上文 WSUS服务器设置解析(一)介绍
WSUS补丁分发过程:
下载的补丁必须经过WSUS的批准才能分发到客户端,如图所示:
WSUS接入互联网,即与微软的补丁服务器做同步更新,右侧显示出检测到需要做的更新,每个更新前的图标是灰色的,代表此更新没有被批准安装。选择所有更新,单击“更改批准”,如图弹出对话框;
可以对不同的计算机组设定不同的更新补丁策略,可以设定安装或者仅检测,或者未许可,排除不需要的补丁,如X64的补丁。
设定完成后,WSUS开始对补丁状态进行更改,如图所示。
设置完成后,更新前的图标变成了绿色箭头,这代表此更新被批准安装,现正在下载中,但还没有下载完毕。如果下载完成,图标会变为蓝色桶状。
自动批准选项的设置:
如手动批准安装较烦,可以设定自动批准安装,如图所示,单击自动批准选项;
可以设定需要补丁更新的计算机组和更新的分类,如图所示;
切换到客户端计算机中,将导出的注册表导入到客户端计算机中,此时,客户端计算机中的任务栏右下角出现更新图标,提示进行更新。;
点击即可进行安装,
输入systeminfo即可查看进行了哪些更新
补丁分发状况的查看:
若了解客户端补丁的分发情况,可以单击报告,如图所示;
如图,即可查看更新状态。
配置WSUS下游服务器:
新建个主机,欲使其设置成WSUS的下游服务器,做以下设置即可;如图,单击选项-同步选项。
在更新源处填写上游服务器的名称,然后单击保存设置,立即同步,如图:
设置下游服务器可以快速的从上游服务器进行补丁更新,且更新补丁速度快于从微软补丁服务器的更新速度。有效的减少带宽。适用于父子公司模式;
因为是从上游WSUS服务器进行更新,所以无法对产品分类进行更改;
语言版本也无法更改,
可以设置哪些服务器可以成为下游服务器,如图,在上游服务器中打开C:\Program Files\Update Services\WebServices\serversyncwebservice\ web.config,添加如下代码;
注:win2003-2是指指定的下游服务器的名称(XX域\YY主机)上下游服务器必须在同一域内或有信任关系的两个域内。
随后,在上游服务器中单击IIS信息服务管理器,如图;单击IIS服务器-网站-默认网站-ServerSyncWebService属性,
在弹出的页面中选择目录安全性,单击编辑,
取消勾选“启用匿名访问”,勾选“集成windows身份验证”,
即完成了上游WSUS服务器对下游WSUS服务器进行身份验证的需求,未指定的下游服务器同步上游服务器时就会出现错误。
WSUS导入导出:
如果一个与网络隔绝的局域网内使用WSUS,向局域网内的主机分发补丁,使用WSUS的导入导出即可实现。
WSUS服务器下载的数据包括两部分:更新文件和元文件。
更新文件存储在文件夹里,元文件存储在数据库中。
更新文件的导入导出直接复制文件夹即可。元文件的导入导出则通过wsusutil.exe工具完成。存在于C:\Program Files\Update Services\Tools中
因此一个完整的WSUS导入导出应包括三步:
一 更新文件的导入导出
二 确保源服务器和目标服务器的快速安装文件特性和语言设置完全匹配
三 元文件的导入导出
具体实现如下
更新文件存储在E:\WSUS\WsusContent,将其拷贝出来即可。如果提示有的文件正在使用,停止Update Services服务即可复制
WSUS源服务器和目标服务器必须确保它们在同步选项中的快速安装文件特性和语言设置完全一致,这样才能进行WSUS元文件的导入导出。如果快速安装文件特性和语言设置不一样,那么会导致源服务器和目标服务器元数据库结构不同,进而无法实现元文件的导入导出。
即要保证将要导入的WSUS服务器中选择-同步选项-更新文件和语言中的设置要与即将导出的WSUS服务器选择一致,如图
元文件的导入导出
借助wsusutil.exe,如图所示:输入wsusutil export e:\wsus.cab e:\wsus.log;
export表示要进行导出操作,e:\wsus.cab是导出的数据文件,e:\wsus.log是导出的日志文件。
完成后,在指定的e盘目录下出现了导出的文件wsus.cab和wsus.log,
将复制文件wsus.cab和wsus.log放到E盘目录下,复制WsusContent文件夹到目标WSUS服务器中,然后输入wsusutil import e:\wsus.cab e:\wsus.log即可实现导入;如图:
导入的时间较长。
随后,导入的WSUS服务器就可以为客户端分发系统补丁了。