《局域网升级服务器用WSUS打补丁》由会员分享,可在线阅读,更多相关《局域网升级服务器用WSUS打补丁(14页珍藏版)》请在金锄头文库上搜索。
1、架设局域网升级服务器用 WSUS 打补丁作者:IT168 网络庄礼杰更新时间:2006-03-27 收藏此页内容导航:部署WSUS上一页1 2 下一页【IT168 服务器 学院】如果不及时安装操作系统的补丁,会带来什么后果呢?冲击波、震荡波的厉害之处,想必大家都领教过了。因此及时更新操作系统的漏洞补丁,目前已成为提高系统安全性的主要手段。然而,你会发现使用Windows 自带的 Update 下载补丁,速度比较慢。如果你所在的公司内网中的员工计算机不能上网,你又该如何为大家打补丁呢?恐怕使用默认的 Update 是无法实现的吧。现在,我们可以利用微软提供的WSUS(Windows Server
2、 Update Services)建立一个内部 Update 服务器,让公司内网中的计算机直接到这台Update 服务器上下载补丁,以缩短用户打补丁的时间,及时提高计算机和网络的安全性。没有连接 Internet 的计算机只要在内网中能顺利访问Update 服务器,也可实现随时打补丁,有效地防止漏洞型病毒在内网传播。了解:走近 WSUS软件全称:Windows Server Update Services 软件版本:2.0 正式版软件平台:Windows 2000/2003 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 14 页 -下载地址:http:/ WSUS(Window
3、s Server Update Services)是微软公司继 SUS(Software Update Service)之后推出的替代 SUS 的产品,目前版本为 2.0。使用过 SUS 的网管都知道,虽然可用它建立自动更新服务器,不过配置很麻烦,更新补丁的产品种类也较少,同时在实际使用中经常会因为网络带宽拥堵而造成客户机升级失败。那么 WSUS 具有哪些特性呢?支持对更多微软产品进行更新,除了Windows 外,Office、Exchange、SQL 等产品的补丁和更新包都可通过WSUS 发布,而 SUS 只支持 Windows 系统。提供了中文操作界面,以前的SUS 操作界面为英文,不便于
4、操作。比SUS 更好地利用了网络带宽。对客户机的管理更强大,可针对不同客户机分配不同的用户组,并分配不同的下载规则。在设置和管理上比 SUS 更简单直观。硬件要求:如果网络中要升级的客户端计算机少于500 台,那么架设 WSUS服务器的硬件至少得是750MHz 主频的处理器以及 512MB 内存,当然还需要充足的硬盘空间来保存更新程序的安装文件。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 14 页 -实战:部署 WSUS笔者所在公司的网络处于教育网之中,客户机连接微软官方的Update 站点速度很慢,更新补丁的时间较长。为了提高公司网络的安全,加快补丁更新速度,笔者打算选择一
5、台服务器通过WSUS 建立一个公司内部的Update 站点,让所有员工计算机到这个Update 站点更新补丁,服务器名称为softer。准备工作:由于软件需要很多必备组件,如果在Windows 2000 Server上安装 WSUS 则需要安装这些组件,不过这些组件都是默认安装在Windows 2003上的,所以笔者建议大家使用Windows 2003 部署 WSUS 服务器,同时建议大家不要在该服务器上安装其他Web 网站。1.安装 WSUS安装 WSUS 之前,先要保证 WSUS 必需的硬件条件,还要安装相应的组件,如 IIS 等。在 Windows 2003 中没有启用 IIS 服务,所
6、以我们需要安装“应用程序服务器”组件,并把IIS 添加到本地计算机。下载WSUS 并双击安装程序,程序将会自动解压缩。现在,开始安装 WSUS,所有步骤和安装普通软件一样。在出现选择安装路径的界面时,需要注意的是,安装空间必须要有 6GB,而且所在驱动器必须是 NTFS 格式的文件系统。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 14 页 -如果大家的 Windows 2003 中没有安装 SQL Server,那么该软件还会在计算机上安装 SQL Server 桌面版。在网站选择窗口,选择“使用现有IIS 默认网站”即可,如果本地计算机还开启了其他站点服务。由于架设的是独立
7、的升级服务器而不是其他服务器的镜像站点,所以在“镜像更新设置”中不用进行选择。现在,开始在本地计算机上安装WSUS。2.设定补丁类型由于微软的产品很多,我们不可能对它的所有产品都进行更新,所以需要根据公司的实际情况对补丁的类型进行设置。WSUS 安装完毕后,打开浏览器,使用地址http:/localhost/wsusadmin访问 WSUS 的管理界面,也可直接输入计算机名或IP 地址进行访问,在这里笔者输入 http:/softer/wsusadmin进行访问。输入 Windows 2003 系统的管理员账户和密码即可成功登录WSUS 服务器。第一次成功登录 WSUS 的界面后,会在下方“待
8、做事项列表”中看到“同步服务器,现在就开始”的提示信息(图 1),点击该选项开始设置WSUS。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 14 页 -图 1 上一页1 2 下一页架设局域网升级服务器用 WSUS 打补丁作者:IT168 网络庄礼杰更新时间:2006-03-27 收藏此页内容导航:部署成功上一页1 2 下一页在同步选项设置界面,供我们设置的参数较多,由于篇幅有限这里不详细讲解了。平常用到最多的是“计划”下的“手动同步”或“每天定时同步”,一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置,我们可以在产品处选择可供更新的产品种类,除了Windows
9、 外,还有 Office、Exchange、SQL 等产品的补丁和更新包都可以通过WSUS 发布。在“更新分类”处可以详细设置提供下载的补丁类别(图 2)。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 14 页 -图 2 设置“产品和分类”与“更新分类”后,我们还要选择更新的语言种类,在同步选项设置界面的最下方有一个“高级同步选项”,通过它我们可以设置更新的语言为简体中文。至此,便完成了补丁类型及语言的设定工作,所有的前期工作已告一段落,接下来就需要对 服务器和客户机进行具体操作了。3.下载并审批补丁我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载
10、并审批补丁。在图 2 所示界面的左侧点击“立即同步”将启动服务器的同步功能,服务器将连接微软官方 Update 服务器下载相应补丁。补丁类型已经在设定补丁操作中进名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 14 页 -行了选择,服务器将只下载满足设定条件的补丁,下载的补丁供客户端使用。在下载过程中我们不能进行任何操作,只能点击“停止同步”来结束更新操作。大概等待 2 到 3 个小时就可完成补丁的更新,下载所用的时间是根据选择的补丁数量决定的。由于公司内网中的大部分计算机使用的都是Windows 2000操作系统,所以笔者只选择了更新Windows 2000 补丁包及驱动程序。
11、仅仅下载完更新包还不能提供补丁更新服务,我们还需要对刚刚下载的“安全和关键更新”进行复查和批准,经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。在“更新”界面中可将所有补丁选中,选择完毕点击左侧“更新任务”栏中的“更改批准”,这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序,则不选择该补丁(图 3)。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 14 页 -图 3 点击“更改批准”后会进入“批准更新”窗口,可在批准下拉选项中选择“安装”,然后点击“确定”。现在,所有客户端就可下
12、载并安装刚刚批准下载的补丁程序了,至此服务器上的所有设置完毕。至此,服务器的设置操作就全部完成了,不过现在还要对客户端进行相应的设置,以使本来会使用Windows Update的客户端能够通过WSUS 进行更新。4.客户端设置默认情况下客户机进行补丁更新都要到Windows Update 站点,而我们希望将它修改为 WSUS 服务器的地址,因此还需要进行一些设置。我们需要对每一个客户端进行设置,当然设置一次即可,因为默认情况下,这些计算机都是通过微软官方的Update 服务器下载补丁的,我们需要将它们的Update 服务器手动修改为刚刚建立的WSUS 服务器。首先,在“运行”栏中输入“gped
13、it.msc”启动组策略。提示:如果公司内部使用的是域建立的网络,那么直接在域控制器上设置组策略即可。依次点击“本地计算机策略计算机配置管理模板”,右键点击“管理模板”,选择“添加/删除模板”。通过“添加”按钮将 wuau 模板加入到“当前策略模板”中,添加这个模板后我们才能对Update 站点信息进行修改。接着依次进入“本地计算名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 14 页 -机策略计算机配置管理模板Windows组件 Windows Update”,双击“配置自动更新”,然后选择自动更新补丁的类型,可以是手动更新也可以是自动更新。接着在“Windows Update
14、”中双击“指定Intranet Microsoft更新服务位置”,将刚刚建立的 WSUS 服务器地址添加进来。最后,进入命令行模式,输入“wuauclt.exe/detectnow”命令启动更新,客户机会立刻连接WSUS 服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到 WSUS 服务器下载补丁。当客户端启动了更新设置后,我们就可以在服务器上通过管理界面看到这些客户端。当然所有的补丁安装过程都是在后台进行的,我们在客户端上是不容易察觉的,要想了解客户端的补丁安装情况,只有通过服务器上的管理界面来进行查看。5.部署成功经过以上四个步骤,WSUS 的设置工作就算完成了,
15、现在公司内部计算机都可使用配置好的WSUS 服务器来更新多个微软产品的补丁,下载速度比连接官方站点快得多。而且,在实际使用过程中,我们还可通过WSUS 的分组设定功能将不同用户划分到不同的更新组,从而实现公司内部计算机补丁下载的权限管理。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 14 页 -自从采用 WSUS 搭建企业内部补丁更新平台之后,笔者发现公司员工的上网速度提高了,员工抱怨病毒骚扰的情况减少了,看来这一措施有效地防范了病毒、木马在公司内网中的扩散,公司网络变得更加安全和稳定了。上一页1 2 下一页【内容导航】第 1 页:部署 WSUS第 2 页:部署成功STEP24
16、如果需要让更新尽快在客户端计算机上进行安装,可以将“最后期限”设置为一个过去的时间,单击“最后期限”列的“无”,在弹出的如图17-35所示的“编辑最后期限 网页对话框”中,选择按选定的日期和时间安装更新,然后输入一个过去的日期,这样会导致客户端计算机在下次访问WSUS 服务器时立刻进行安装操作。图 17-35 设置更新的最后期限STEP25在“批准更新 网页对话框”中单击“确定”按钮,可以看见“批准更新 网页对话框”,如图 17-36所示。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 14 页 -图 17-36 设置完成之后的批准更新界面STEP26单击“确定”按钮之后,由于这些更新都已经被自动批准为检测,所以WSUS服务器提示替换现有的批准还是仅添加新批准项,在此选择“替换现有的批准”,如图 17-37所示。图 17-37 替换现有的批准STEP27WSUS 服务器进行批准操作。由于WSUS 服务器所采用延迟更新下载特性,只有当某个更新被批准安装时,WSUS 服务器才会从Windows Update进行更新文件的下载,所以 WSUS 现在开始进行更新程序的下载,此时
