WSUS服务器的详细配置和部署
一、WSUS 安装要求 1、硬件要求: 对于多达 500 个客户端的服务器,建议使用以下硬件: * 1 GHz 的处理器 * 1 GB 的 RAM 2、软件要求: 要使用默认选项安装 WSUS,必须在计算机上安装以下软件。 * Microsoft Internet 信息服务 (IIS) 6.0。 * 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。 * Background Intelligent Transfer Service (BITS) 2.0。 3、磁盘要求: 要安装 WSUS,服务器上的文件系统必须满足以下要求: * 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。 * 系统分区至少需要 1 GB 的可用空间。 * WSUS 用于存储内容的卷至少需要 6 GB 的可用空间,建议预留空间为 30 GB。 * WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。 4、自动更新要求: 自动更新是 WSUS 的客户端组件。除了需要连接到网络外,自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新: * 带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、带有 SP3 或 SP4 的 Windows 2000 Server 或带有 SP3 或 SP4 的 Windows 2000 Advanced Server。 * 带有或不带 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。 * Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。 二、在服务器上安装 WSUS 1. 双击安装程序文件“WSUSSetup.exe”。 参看下载WSUSSetup.exe的说明(http://groups.google.com/group/qingyang/browse_thread/thread/f4f9a3577b39874a) 2. 在向导的“欢迎使用”页上,单击“下一步”。 3. 仔细阅读许可协议的条款,单击“我接受许可协议中的条款”,然后单击“下一步”。 4. 在“选择更新源”页上,可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框,更新便会存储在 WSUS 服务器上,您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新,客户端计算机将连接到 Microsoft Update 以获取已批准的更新。 保留默认选项,然后单击“下一步”。 5. 在“数据库选项”页上,选择用于管理 WSUS 数据库的软件。默认情况下,如果要安装的计算机运行 Windows Server 2003,WSUS 安装程序将提出安装 WMSDE。如果无法使用 WMSDE,则必须为 WSUS 提供可以使用的 SQL Server 实例,具体操作方法是:单击“使用该计算机上现有的数据库服务器”,然后在“选择 SQL 实例名”框中键入实例名。然后 “下一步”。 6. 在“网站选择”页上,指定 WSUS 将使用的网站。此页还列出了基于此选择的两个重要 URL:将 WSUS 客户端计算机指向其中以获取更新的 URL 以及用于配置 WSUS 的 WSUS 控制台的 URL。保留默认选项,然后单击“下一步”。 7. 在“镜像更新设置”页上,可以指定此 WSUS 服务器的管理角色。如果这是网络上的第一台 WSUS 服务器,或者您需要一个分布式管理拓扑,请跳过此屏幕。 如果需要集中管理拓扑,而且这不是网络上的第一台 WSUS 服务器,请选中该复选框,然后在“服务器名”框中键入其他 WSUS 服务器的名称保留默认选项,然后单击“下一步”。 8. 在“准备安装 Windows Server Update Services”页上,复查各项选择,然后单击“下一步”。 9. 如果向导的最后一页确认 WSUS 安装已成功完成,请单击“完成”。 三、配置WSUS 由于微软的产品很多,我们不可能对它的所有产品都进行更新,所以需要根据公司的实际情况对补丁的类型进行设置。 WSUS安装完毕后,打开浏览器,使用地址http://localhost/wsusadmin访问WSUS的管理界面,也可直接输入计算机名或IP地址进行访问,在这里我们输入http://192.168.0.18:80/wsusadmin进行访问。输入Windows 2003系统的管理员账户和密码即可成功登录WSUS服务器。 第一次成功登录WSUS的界面后,会在下方“待做事项列表”中看到“同步服务器,现在就开始”的提示信息,点击该选项开始设置WSUS。 在 “计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,我们可以在产品处选择可供更新的产品种类,除了Windows外,还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WS US发布。在“更新分类”处可以详细设置提供下载的补丁类别。 设置“产品和分类”与“更新分类”后,我们还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它我们可以设置更新的语言为简体中文。 至此,便完成了补丁类型及语言的设定工作,所有的前期工作已告一段落,接下来就需要对服务器和客户机进行具体操作了。 下载并审批补丁 我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。 在上图所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中我们不能进行任何操作,只能点击“停止同步”来结束更新操作。 。 仅仅下载完更新包还不能提供补丁更新服务,我们还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。 在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序,则不选择该补丁,如下图:
点击“更改批准”后会进入“批准更新”窗口,可在批准下拉选项中选择“安装”,然后点击“确定”。现在,所有客户端就可下载并安装刚刚批准下载的补丁程序了,至此服务器上的基本设置完毕。 四、在域中的客户端的设置 1、 在域控制器上,命令行中运行mmc,打开控制台 2、选择文件菜单的添加/删除管理单元(m),打开控制台1 3、 点击添加,打开添加独立管理单元对话框,并选择其中的组策略对象编辑器,然后点击添加 4 、 在打开的选择组策略对象中,选择浏览 5、在打开的选择组策略对象中,选择“Default Domain Policy,并确定。然后关闭所有打开的子窗口,回到控制台1的主界面 6、 依次展开至如图脚本(启动/关机) 7、点击“配置自动更新“,在打开的”配置自动更新属性”选择“已启用“,并选择时间。 8、并点击下一设置:
确定,应用,并把该设置全部保存即可。
清扬创新
2006年5月29日
声明:本文章为原创,版权归北京清扬创新网络科技有限公司所有。未经授权严禁转载。否则应承担相应的法律责任。
相关主题:
补丁管理的安全解决方案详解 全网范围内自动补丁分发-清扬内网管理补丁管理方案 企业网络的安全保障:新的防病毒木马体系的建议