WSUS服务器部署
WSUS: Windows Server Update Services
WSUS支持微软公司全部产品的更新。通过WSUS内部网络中的Windows升级服务,所有Windows更新都集中下载到内部网的WSUS服务器中,而网络中的客户机通过WSUS服务器来得到更新。这在很大程度上节省了网络资源,避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。
WSUS服务器配置详细参数:
CPU:Intel Xeon Gold 6130 [email protected] 2.10GHz (4核处理器)
内存:16G
硬盘: SSD 500G (可根据需要进行扩容)
网络:VM Network 4002
1.建立虚拟机
根据客户端数量以及种类来设置储存空间
存储设置FTT=1Thin
部署完毕,查看配置是否出错。点击finish
进行硬件参数设置(后续可进行修改)
2.虚拟机网络配置(域网络下需要这一步)
配置IP地址
服务器加域
3. 部署WSUS服务器
添加服务器角色
配置.net3.5功能(后续需要)
配置数据库
在D盘建立文件夹,选择D:\WSUS(存储从微软更新系统下载的补丁,根据产品选择进行设置存储空间大小)
部署完成
4.部署后配置WSUS服务器
点击等待自动部署配置
工具栏选择Windows serve更新服务
服务器直接可以上网,不用选择(默认即可)
下载更新程序(等待10分钟左右)
选择语言(中文和英语)
选择需要的更新服务(根据客户端的系统以及软件选择补丁)
选择下载所需类型(选择以下三个即可)
设置自动同步时间。(手动同步就可以在同步里面选择立即同步)
执行第一次同步工作
开始同步
5.客户端的自动更新设置(AD域)
命令框输入“gpedit.msc”(进入本地组策略编辑器)
开启自动更新功能
通知下载并通知安装:在下载更新程序前会通知已登录的系统管理员,由他自行决定是否现在下载;下载完成后和准备安装前也会通知系统管理员,然后由他自行决定是否现在安装。
自动下载并通知安装:自动下载更新程序,下载完成后和准备安装前会通知已登录的系统管理员,然后由他自行决定是否现在安装。
自动下载并计划安装:自动下载更新程序,并且会在指定的时间自动安装。需要指定安装时间。
允许本地管理员选择设置:此选项让在客户端的本地管理员可以通过控制面板自行选择更新方式。
选择客户端访问更新地址(域网络下WSUS服务器的地址) 默认端口:8530
客户端运行rsop.msc命令,查看更新服务地址是否设置成功。设置完成后,必须等域内的客户端应用这个策略才能有效,而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。应用完成后,还必须等客户机与wsus服务器接触后,在wsus管理控制台才能看到这些客户机。不过需要等待20分钟才会主动联系WSUS服务器。
更新服务配置 更新自动审批设置
自动审批功能
(可以设置当WSUS服务器与Windows Update同步时,自动审批下载的更新程序。例如,如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机:单击选项中的自动审批,勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序,请单击允许规则)
所有更新—选择全部—右键审批—安装
设置客户端检测更新时间
如果希望客户端计算机能够早一点自动检测,可以修改此值。客户端默认每隔17.6-22小时才会连接服务器检查是否有更新程序下载,可利用wuauclt/detectnow来手动检查。检查到后根据组策略的设置来进行更新。
6.创建计算机组(WSUS)
根据系统不通创建不同分组
不通系统归组不同(我是按照系统来分组的,其它依据方式也可以)
审批之后安装状态
对组内用户进行安装程序进行审批
上图,审批栏目出现了安装3/5字样,表示当前有5个计算机组,只有其中三个组已经被审批安装此更新。
7.自动更新的组策略设置 (补充)
AD域控命令框输入“gpedit.msc”进入组策略管理编辑器。
指定从 Intranet Microsoft 更新服务接收更新时应使用的目标组名称。如果状态设置为“启用”,则将指定的目标组信息发送到 Intranet Microsoft 更新服务。
删除到Windows更新的链接和访问
*虽然WSUS客户端可以通过WSUS服务器来进行更新,但是系统本地管理依然可以通过开始菜单的windows更新来私自连接Microsoft Update网站。为了减少这种情况发生,建议通过此策略将客户计算机的windows update链接删除。完成后开始菜单的连接不会显示,控制面板的更新检查更新也会失效。
8.客户端更新流程(以Win7为例)
点击需要更新的程序,右键——分组依据——标题,即可筛选除需要的系统的更新。
右键+win,选择所有进行审批。
选择win7计算机组点击确定
审批安装
查看安装进度,安装五分之二代表两个安装组已经安装成功(一个是所有计算机组,另一个是win7计算机组)。
Win7客户端设置:
选择属性右下角Windows update
重启之后即可(由于此时计算机还正在使用,其中三个更新没有强制执行)。
输入计算机名即可查找出域内某个用户的更新状况以及具体更新内容。报表查看具体更新情况
9.服务器下发
通过任务管理器查看服务器下发流量
问题记录
问题1、调整WSUS下载速度:
解决方法:
需要使用以下powershell命令来配置。(右键使用管理员身份运行)
$Configuration=(Get-WSUSServer).GetConfiguration()
True*
$Configuration.Save()
使用(get-wsusserver).getconfiguration().BitsDownloadPriorityForeground这个命令查看设置。
由于公司对网络的限制只能最大下载速度10M
问题2、新建Winserve 2012R2 虚拟机无法找到盘符:
解决方法:进入Server 2012的操作系统,打开CMD框,输入diskmgmt.msc——回车进入——磁盘管理
问题3、服务器显示报错
解决方法:调大应用池内存
具体步骤:打开IIS管理单元,找到应用程序池中的WsusPool。选择高级设置,找到Private Memory Limit。
经过一段时间的使用,未出现问题。
问题4、win7客户端更新之后变得异常的卡。
解决方案“客户端设置不上传更新,停止上传。(因为我们选择的是客户端上传信息到微软,然后微软将客户端需要的更新下发到WSUS服务器。)或者客户端选择暂停更新。
问题5、客户端显示Skype无法更新使用。
解答:未开启更新Skype功能。
在Windows更新产品和分类内加入Skype更新产品(其它Windows产品同样处理方法)
问题6、部分客户端电脑出现报错(如下图)
解决方法:开机长按f8,进入安全模式——win+r打开运行窗口输入:“services.msc”——进入服务设置——找到Windows update,选择禁用。