1 实验环境
1)域:
域名为fengxja.com;
网段:192.168.0网段,不连接外网。
域功能级别和林功能级别为Windows server 2003模式。
2)DC服务器:
域控制器;
Windows2008 R2 SP1企业版;
主机名:DC01
5个操作主机角色服务器;
证书服务器;
DNS服务器IP地址为192.168.0.101;
IP地址为192.168.0.101。
3)WSUS服务器:
Windows2008 R2 SP1企业版;
主机名:WSUS01;
不加入fengxja.com域;
主机双网卡:
网卡一的IP地址为192.168.0.108;
网卡二的IP地址为DHCP自动分配,连接外网。
4)客户端:
Windows7企业版X86;
主机名:WIN701;
加入fengxja.com域;
DNS服务器IP地址为192.168.0.101;
IP地址为192.168.0.103。
2 安装WSUS SP2准备
1) 以本地管理登陆WSUS01服务器。
2) 安装Microsoft Report Viewer Redistributable 2008,下载链接:
http://www.microsoft.com/zh-cn/download/details.aspx?id=577
3) 运行Report Viewer.exe文件,下一步。
4) 接受协议,选择“安装”。
5) 选择“完成”。
6) 安装IIS组件。
7) 打开“服务器管理器”,选择“角色---添加角色”,选中“Web服务器(IIS)”,下一步。
8) 如果您要安装 Web 服务器 IIS,则在“Web 服务器 (IIS)”页中,单击“下一步”。在“Web 服务器 (IIS) 角色服务”页中,除了选中的默认设置外,还请选择“ASP.NET”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”。如果出现“添加角色向导”窗口,请单击“添加必需的角色服务”。单击“下一步”。
9) 选择“安装”。
3 安装WSUS
1) 下载WSUS30-KB972455-x64补丁包,执行安装。
下载链接:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=A206AE20-2695-436C-9578-3403A7D46E40
http://www.microsoft.com/en-us/download/details.aspx?id=521
2) 运行WSUS30-KB972455-x64安装包。
3) 下一步。
4) 选择“包括管理控制台和完整服务器安装”,下一步。
5) 接受协议,下一步。
6) 选择“本地存储补丁”,默认存储本地C:WSUS,下一步。
注意:如果更新的补丁较多,建议放在一个单独分区中。
7) 选择“在此计算机安装windows Internal Database”,下一步。
备注:
①在“数据库选项”页中,选择用于管理 WSUS 3.0 数据库的软件。默认情况下,此安装向导将安装 Windows 内部数据库。
②如果不希望使用 Windows 内部数据库,需选择“使用此计算机上的现有数据库”或“使用远程计算机上的现有数据库服务器”为 WSUS 提供要使用的 SQL Server 实例。在相应的框内键入实例名。该实例名应显示为 <serverName><instanceName>,其中 serverName 是服务器的名称,instanceName 是 SQL 实例的名称。进行选择,然后单击“下一步”。然后在出现“连接到 SQL Server 实例”页中,WSUS 将尝试连接到指定的 SQL Server 实例。当它已成功连接后,单击“下一步”继续。
8) 网站首选项,选择使用现有IIS默认网站,下一步。
说明:在“网站选择”页中,指定 WSUS 将使用的网站。如果希望在端口 80 上使用默认网站,则选择“使用现有 IIS 默认网站”。如果端口 80 上已有一个网站,可以通过选择“创建一个 Windows Server Update Services 3.0 SP2 网站”,在端口 8530 上创建一个备用网站。单击“下一步”。
9) 下一步。
10) 等待安装完成,点击完成。
4 同步WSUS
1) 安装完成后,自动打开配置向导,点击下一步。
注意:
配置前网络准备:
① 检查WSUS服务器的防火墙配置为允许客户端访问服务器
②WSUS连接到上游服务器(如 Microsoft Update)。
③如果需要设置代理服务器,是否需要名称和用户凭据
④如果 WSUS 和 Internet 之间设有企业防火墙,要从 Microsoft Update 获取更新,WSUS 服务器将端口 80 用于 HTTP 协议,而将端口 443 用于 HTTPS 协议,需要保证这些端口可以访问,可以加入以下微软更新网站:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
https://*.update.microsoft.com
http://download.windowsupdate.com
http://*.download.windowsupdate.com
http://ntservicepack.microsoft.com
2) 选择“不加入客户端体验计划”,下一步。
3) 保持默认,下一步。
4) 保持默认,下一步。
5) 选择“开始连接”。
6) 等待连接完成后,选择下一步。
7) 选择要适用的语言,这里选择“中文(简体)”点击“下一步”。
8) 选择需要更新的产品(这里为了测试,只选择Office2010和Window 7),然后“下一步”。
9) 选择要下载的更新分类(这里按默认即可),点击下一步。
10) 选择手动同步(真实部署环境可以选择自动同步,单独设置同步周期),下一步。
11) 保持默认,下一步。
12) 点击“完成”。
13) 完成后,自动打开WSUS界面,可以查看同步进度(等待同步100%后)。
5 配置域用户WSUS服务器
注意:本步骤为域用户通过组策略统一设置WSUS服务器。如果不是域用户,而是单独的工作组用户,可以通过本地组策略来设置。
1) 以域管理登陆DC01服务器。
2) 打开“Active Directory 用户和计算机”。
3) 右键选择新建“组织单元”。
4) 新建名为WSUS的组织单元。
5) 找到“计算机(Computer)”中需要设置策略计算机名,这里为WIN701,右键选择“移动”。
6) 选择“WSUS”,确定。
7) 打开“管理工具---组策略管理”,找到“林---域---fengxja.com---WSUS”
8) 单击WSUS,右键选择“在这个域中创建GPO并在此处连接”
9) 输入新建GPO名称,点击确定。
10) 右键选择新建的GPO,然后选择“编辑”。
11) 在 GPMC 中,依次展开“计算机配置---策略---管理模板---Windows 组件”,然后单击“Windows Update”。
12) 在详细信息窗格中,双击“配置自动更新”。
13) 单击“已启用”,选择更新日期和时间,然后确定。
说明:
①通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。
②自动下载并通知安装。该选项自动开始下载更新,然后在安装更新之前通知已登录的管理用户。
③自动下载并计划安装。此选项自动开始下载更新,并在您指定的日期和时间安装更新。
④允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如,他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。
14) 在“Windows Update”详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。
15) 单击“已启用”,然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中统一键入WSUS 服务器的 HTTP URL,这里都为http://WSUS01/。
16) 选择“自动检索更新的频率”,将“间隔”设置为默认22小时,设置为“已启用”。
17) 选择“允许自动更新立即安装”。
18) 选择“启用”,确定。
19) 以域用户身份登陆客户端WIN701主机。
20) 在运行中输入“gpupdate /force”,强制刷新组策略。
21) 打开“Windows update----更改设置”,查看当前状态。如下图,说明组策略已经生效。
6 管理更新补丁
1) 以本地管理员登陆WSUS01服务器。
2) 打开“管理工具---Windows Server Update Services”。
6.1 创建和管理计算机组
注意:此步骤,可以将客户端进行分组,用于区分客户端不同操作系统版本、不用用途等。(可选)
1) 选择“Updtae Services---WSS01---计算机”,右键单击“所有计算机”,选择“添加计算机组”。
2) 输入组名,然后点击“添加”。
3) 选择“Updtae Services---WSS01---计算机---所有计算机---未分配的计算机”,右键选择需要更新补丁的客户端主机名,这里为win701.fengxja.com,选择“更改成员身份”。
4) 选择“WIN7”组,确定。
6.2更新补丁
1) 选择“Updtae Services---WSS01---更新---所有更新”,在“所有更新”详细信息页面,选择“未经审批”和“任何”,然后点击“刷新”。
2) 根据需要选择需要更新的补丁,然后选择WIN7组。
3) 选择“已审批进行安装”
4) 点击“确定”。
5) 点击关闭。
注意:以上步骤执行完成后,客户端会立即安装补丁,而是按组策略规定时间安装补丁。