设WSUS服务器.doc

架设WSUS服务器 准备工作 准备1台服务器，也可以用高性能PC机来充当，要求满足以下条件： 1GHz以上的处理器 512MB以上的内存 操作系统推荐使用Windows3002 Server 分区都必须使用NTFS文件系统进行格式化 安装WSUS的分区至少需要30GB的可用空间 必须安装IIS组件，并且只留给WSUS使用 有上Internet网的权限 以上条件满足后登录微软补丁升级网站，为这台服务器打全所有补丁。 安装WSUS 双击从微软官方网站下载的WSUS安装程序，出现中文版的安装向导，如果能够领会前面所做准备工作的意图，那么整个安装过程相对比较容易。和安装普通软件一样，基本上按照默认设置多次点击“下一步”就可以完成。之后，有两种方式可以打开WSUS控制台： 1．在WSUS服务器上，单击“开始→所有程序→管理工具→Microsoft Windows Server Update Services”。 2．在网络中的任意服务器或计算机上，打开InternetExplorer，输入以下URL http://WSUS服务器的IP地址或计算机名/WSUSAdmin。 配置WSUS 接下来，根据局域网接入Internet的方式以及使用微软产品的实际情况，进入WSUS控制台的选项进行配置。 这里笔者提供一种参考配置，请根据实际情况加以调整： 设置每天同步，时间点选在凌晨，勾选所需的产品和分类，语言中选择中文（简体），自动批准所有计算机进行检测和安装。其他设置都可以使用默认值。 可能您的局域网中使用的微软产品更多，另外可能还有英文版的Windows,那么就要勾选更多的微软产品和语言包。可以多选一些，只要服务器硬盘空间足够就行，只不过增加了每次WSUS的同步时间和下载量而已。另外，WSUS有“组”的要概念，可以将客户端按操作系统分组，进行针对性推送。也可以将客户端按行政归属分组，加强组织管理。 笔者认为客户端较少时使用WSUS的组并没有多大用处，万一某个组遗漏了自动批准安装补丁反而不好。当然，随着客户端大量的加入，都入在“所有计算机”中检索起来很不方便，到那时候分组还是有用的。 至此，服务器上配置WSUS已经告一段落。接下来，在WSUS控制台的主页中点击“立即同步”。根据服务器访问?Internet的速度以及需要下载的补丁量，WSUS第一次同步花费的时间可能会很长。同步完成后就等待一个个客户端的加入，马上就可以实现自动打补丁了。 客户端设置 如果您的网络环境是Active Directory，只要在域控制器上设置基于Active Directory的组策略对象（GPO）。就可以一次性实现所有域用户的客户端设置。如果是非Active Directory环境，就必须在每个客户端上设置本地组策略对象。 无论使用本地组策略对象还是使用域控制器上存储的GPO， 完成的功能是相同的 即把客户端计算机指向WSUS服务器，默认从WSUS服务器下载微软补丁。设置后客户端依然可以登录微软补丁升级网站打补丁，两者并不冲突。 非AD环境的客户端设置步骤如下： 1．点击“开始→运行”，输入gpedit.msc后点确定，打开组策略编辑器。 2．点击“本地计算机策略→计算机配置→管理模板→Windows组件→Windows Update”。 3．分别设置“配置自动更新”和“指定Intranet Microsoft更新服务位置”，只需要设置这两项就可以了。 打开“配置自动更新”，选择“已启用”，“4-自动下载并计划安装”，“0-每天”，“14：00”。这样就可以自动下载最新补丁，并于每天14：00自动安装。 打开“指定Intranet Microsoft更新服务位置”，选择“已启用”，两处都填入http://WSUS服务器的IP地址或计算机名。 4．重新启动电脑，组策略会自动刷新，在WSUS服务器上就能看到这台客户端了。如果客户端是台服务器，不方便重新启动的话，可以使用组策略刷新命令：gpupdate /force( 适用于WindowsXP/、Windows 2003),secedit/refreshpolicy/enforc（适用于Windows2000）。 AD环境的客户端设置步骤： 在域控制器上点击“开始→程序→管理工具→Active Direc-tory用户与计算机”，右击域名，选择“属性→组策略”，可以新建一个“WSUS”组策略模板并编辑它，接下来的设置和非AD环境是完全不一样的。 WSUS注册表研究 前面提到，如果是非Active Directory环境，就必须在每个客户端上设置本地组策略对像。当客户端数量非常多，繁琐的重复设置就显得很麻烦，工作量也非常大。再加上有些客户端是WindowsXP Home版的，根本就没有gpedit.msc组策略编辑