一:WSUS 概述

1.为什么要使用WSUS进行系统更新:
传统Windows系统获取更新方式:

手动连接microsoft update网站。

通过windows系统的自动更新功能。

然而以上两种方式对企业内部来说,都可能会有以下缺点:

影响网络效率:如果企业内部每台计算机都自行上网更新,将会增加对外网络的负担。

与现有软件相互干扰:如果企业内部使用的软件与更新程序发生冲突,可能会影响该软件或更新程序的正常运行。

WSUS可以完美的解决上述问题:

WSUS服务器集中从Microsoft update网站下载更新程序,节省对外带宽并提高内网主机更新速度。

创建测试计算机组,将新补丁部署到测试计算机组,没有问题再应用到业务计算机组内,避免软件和更新程序冲突(通过审批程序)。

2.WSUS部署方式有哪些:
WSUS服务器可以单台部署也可以多台部署,当多台部署时架构如下:
在这里插入图片描述

上游WSUS服务器从microsoft 网站获取更新程序,而下游服务器是从上游的服务器来获取程序(并不直接连接Microsoft网站),此架构中WSUS服务器有两种工作模式:

自治模式:上游WSUS服务器会与下游服务器共享更新程序,但不共享审批状态和计算机组信息。因此下游服务器必须自行决定是否要审批这些更新程序与自行创建所需的计算机组。

副本模式:上游服务器会与下游服务器共享更新程序,更新审批与计算机组信息。下游服务器不能更改审批状态,计算机组等信息。

注意,上述计算机组信息只有计算机组本身而已,并且不包含计算机组的成员。

3:WSUS服务部署前的准备:

1.CPU:主频至少1.4GHz的x64处理器(建议2GHz或更快);
2.内存:可用内存至少2GB;
3.可用磁盘空间:存储wsus更新内容的分区至少需要10GB剩余空间(建议40GB或更大)
4.网络适配器:至少100Mbit/s。
满足条件后,接下来安装wsus服务

**

二:WSUS 搭建

**
1.确保服务器 IP 和 dns 配置正确,修改主机名并成功加入域:
在这里插入图片描述
2.使用本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。在“服务器管理器”中单击“添加角色和功能”:
在这里插入图片描述
3.在“服务器角色”页上选择 Windows 更新服务(勾选后会弹出“添加功能”对话框,选择添加),点击下一步继续:
在这里插入图片描述
4.在“选择功能”页使用默认选择即可,点击下一步继续:
在这里插入图片描述
5.在“WSUS角色服务”页选择“WID数据库”和“WSUS服务”选项,点击下一步继续:
在这里插入图片描述
6.在“内容位置选择”页上,键入有效的位置以存储更新(存储更新的位置可以是WSUS的本地路径,也可以放到UNC共享里面),然后单击下一步继续“
在这里插入图片描述
7.在“Web服务器角色服务”页使用默认选择即可,点击下一步继续:(Web角色服务除了FTP不选其余都选)在这里插入图片描述
8.确认你要安装的所有内容。确认无误后进行安装:
在这里插入图片描述
9.在“安装进度”页上,单击“启动后安装任务”,并等到此任务顺利完成,然后单击关闭:
在这里插入图片描述
在这里插入图片描述

三:WSUS 配置

1.在“服务器管理器”导航窗格中,单击“工具”,然后单击“Windows Server 更新服务”:
在这里插入图片描述
2.在弹出的“开始之前”对话框中,确认信息无误单击“下一步”:
在这里插入图片描述
3.因为是实验环境,所以在“加入Microsoft更新改善计划”对话框中取消“是的,我希望加入Microsoft更新改善服务”复选框的选择,然后单击“下一步”按钮。
在这里插入图片描述
4.在选择“上游服务器”对话框中,因为本次实验就一台wsus服务器,他的上游就是Microsoft update。选择“从Microsoft更新中进行同步”单选按钮,单击“下一步”按钮。
在这里插入图片描述
5.在“指定代理服务器”对话框中,因为是实验环境,wsus服务器可以直接与上游服务器(Microsoft update)通信,所以保持默认的不连接状态,单击“下一步”按钮。
在这里插入图片描述
6.在“连接到上游服务器”对话框中,单击“开始连接”系统将尝试连接到上游服务器并查找可以下载的信息列表,等待一段时间后,下载列表更新完毕,单击“下一步”按钮(如果等待时间过长可以停止连接)
在这里插入图片描述

如果长时间连接不上并且报错,提示HTTP异常,大家可以试一下将DNS配置一下,当时部署的时候我也遇到过这个问题,DNS1:8.8.8.8/DNS2:4.4.4.4,希望能够帮助大家,成功后出现以下页面

7.在“选择语言”页上,你可选择 WSUS 将收到更新的语言,根据实际情况这里只选择“英文”和“简体中文”:
在这里插入图片描述
8.在“选择产品”页,指定希望更新的产品:
在这里插入图片描述
9.在“选择分类”页,指定要同步的更新分类:
在这里插入图片描述
10.设定“同步计划”,可以配置手动同步和自动同步:
在这里插入图片描述
11.在“完成”页上,你可通过选择“开始初始同步”对话框,即时启动同步,单击下一步或完成来结束该向导并完成初始设置:
在这里插入图片描述
12:在WSUS控制台中,点击“同步”视图,可以查看同步过程如图所示:
在这里插入图片描述

到此WSUS服务器已部署完成已和微软官方补丁更新同步,可以随时进行更新下载。

四:测试客户机连接更新补丁

1.在客户机上Win+R输入:gpedit.msc
在这里插入图片描述
2.编辑WSUS组策略,依次展开“计算机配置”—>“策略”—>“管理模板”—>“Windows 组件”—>“Windows 更新”:
在这里插入图片描述
3.配置自动更新:
在这里插入图片描述
4.指定intranet microsoft 更新服务位置,填写更新服务器地址,后面必须加上端口号(HTTP-8530,HTTPS-8531/http://127.0.0.0:8530):
在这里插入图片描述
5.可以根据需求设置自动更新检测频率,默认22小时:
在这里插入图片描述
6.对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,我们可以配置启用“允许自动更新立即安装”:
在这里插入图片描述
7.可以启用“对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,而不会强制重启:
在这里插入图片描述

设置完成后,Win+R输入:gpupdate/force更新组策略。

8.最后在Windows更新页面上点击检查更新即可!
在这里插入图片描述

因为公司环境问题无法使用域去做简单的,只能一台一台客户机去配置,
大家如果部署中有什么问题可以回复,我们一起解决,

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐