[计算机]架设WSUS服务器.doc

架设WSUS服务器准备工作准备1台服务器，也可以用高性能PC机来充当，要求满足以下条件：1GHz以上的处理器512MB以上的内存操作系统推荐使用Windows3002 Server分区都必须使用NTFS文件系统进行格式化安装WSUS的分区至少需要30GB的可用空间必须安装IIS组件，并且只留给WSUS使用有上Internet网的权限以上条件满足后登录微软补丁升级网站，为这台服务器打全所有补丁。安装WSUS双击从微软官方网站下载的WSUS安装程序，出现中文版的安装向导，如果能够领会前面所做准备工作的意图，那么整个安装过程相对比较容易。和安装普通软件一样，基本上按照默认设置多次点击“下一步”就可以完成。之后，有两种方式可以打开WSUS控制台：1在WSUS服务器上，单击“开始所有程序管理工具Microsoft Windows Server Update Services”。2在网络中的任意服务器或计算机上，打开InternetExplorer，输入以下URL http:/WSUS服务器的IP地址或计算机名/WSUSAdmin。配置WSUS接下来，根据局域网接入Internet的方式以及使用微软产品的实际情况，进入WSUS控制台的选项进行配置。这里笔者提供一种参考配置，请根据实际情况加以调整：设置每天同步，时间点选在凌晨，勾选所需的产品和分类，语言中选择中文（简体），自动批准所有计算机进行检测和安装。其他设置都可以使用默认值。可能您的局域网中使用的微软产品更多，另外可能还有英文版的Windows,那么就要勾选更多的微软产品和语言包。可以多选一些，只要服务器硬盘空间足够就行，只不过增加了每次WSUS的同步时间和下载量而已。另外，WSUS有“组”的要概念，可以将客户端按操作系统分组，进行针对性推送。也可以将客户端按行政归属分组，加强组织管理。笔者认为客户端较少时使用WSUS的组并没有多大用处，万一某个组遗漏了自动批准安装补丁反而不好。当然，随着客户端大量的加入，都入在“所有计算机”中检索起来很不方便，到那时候分组还是有用的。至此，服务器上配置WSUS已经告一段落。接下来，在WSUS控制台的主页中点击“立即同步”。根据服务器访问 Internet的速度以及需要下载的补丁量，WSUS第一次同步花费的时间可能会很长。同步完成后就等待一个个客户端的加入，马上就可以实现自动打补丁了。客户端设置如果您的网络环境是Active Directory，只要在域控制器上设置基于Active Directory的组策略对象（GPO）。就可以一次性实现所有域用户的客户端设置。如果是非Active Directory环境，就必须在每个客户端上设置本地组策略对象。无论使用本地组策略对象还是使用域控制器上存储的GPO，完成的功能是相同的 即把客户端计算机指向WSUS服务器，默认从WSUS服务器下载微软补丁。设置后客户端依然可以登录微软补丁升级网站打补丁，两者并不冲突。非AD环境的客户端设置步骤如下：1点击“开始运行”，输入gpedit.msc后点确定，打开组策略编辑器。2点击“本地计算机策略计算机配置管理模板Windows组件Windows Update”。3分别设置“配置自动更新”和“指定Intranet Microsoft更新服务位置”，只需要设置这两项就可以了。打开“配置自动更新”，选择“已启用”，“4-自动下载并计划安装”，“0-每天”，“14：00”。这样就可以自动下载最新补丁，并于每天14：00自动安装。打开“指定Intranet Microsoft更新服务位置”，选择“已启用”，两处都填入http:/WSUS服务器的IP地址或计算机名。4重新启动电脑，组策略会自动刷新，在WSUS服务器上就能看到这台客户端了。如果客户端是台服务器，不方便重新启动的话，可以使用组策略刷新命令：gpupdate /force( 适用于WindowsXP/、Windows 2003),secedit/refreshpolicy/enforc（适用于Windows2000）。AD环境的客户端设置步骤：在域控制器上点击“开始程序管理工具Active Direc-tory用户与计算机”，右击域名，选择“属性组策略”，可以新建一个“WSUS”组策略模板并编辑它，接下来的设置和非AD环境是完全不一样的。WSUS注册表研究前面提到，如果是非Active Directory环境，就必须在每个客户端上设置本地组策略对像。当客户端数量非常多，繁琐的重复设置就显得很麻烦，工作量也非常大。再加上有些客户端是WindowsXP Home版的，根本就没有gpedit.msc组策略编辑器，我们应该如何快速的进行客户端设置呢 导入注册表是非常好的方法之一。以下这段内容是注册表范例，把这段文本存成reg注册表文件，通过内部Web页、软盘、U盘或者E-mail等各种方式拷贝到客户端，直接双击导入注册表，同样实现了上面多个步骤才完成的工作。Windows Registry Editor Version5.00HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateWUServer=http:/172.25.11.10WUStatusServer=http:/172.25.11.10HKEY_LOCAL_MACHINESOFTWSREPoliciesMicrosoftWindowsWindows UpdateAUUseWUServer=dword:00000001NoAutoUpdate=dword:00000000AUOptions=dword:00000004ScheduledInstallDay=dwprd:00000000ScheduledInstallTime=dwprd:0000000e另外，您可以根据自己局域网的具体情况，编辑最适合您自己的完美注册表文件。笔者认为不需要设置太复杂的注册表文件，前面的范例就足够了。WSUS问题及解决方法笔者在实际使用WSUS的过程中，按照正常设置，出现过以下三类问题：1在WSUS服务器上看不见客户端。2在WSUS服务器上只看见一台“百变客户端”（实际上应该有多台）。3在WSUS服务器上看见客户端，但等了好几天后，没有下载到任何补丁。问题导致的结果都是客户端无法正常打补丁，经过分析研究，笔者发现三类问题的原因各不相同，但都是客户端引起的。下面是出现以上三类问题的原因及解决方法：问题1：原因是客户端使用的操作系统比较老，没有包含WSUS客户端。Windows2000SP3以下和WindowsXPSP1以下的操作系统都会发生这种情况。解决方法是登录微软网站下载相应版本的WSUS客户端并安装，或者打上相应更高版本的SP补丁。问题2：原因是SID重复，WSUS服务器是根据SID识别客户端的。有些电脑公司装机采用了Ghost克隆的操作系统，这些客户端共用一个SID，哪台电脑最晚开机接入局域网，WSUS服务器上就留下它的IP地址和名称，所以出现了“百变客户端”。解决方法是通过工具修改SID，或者采用重新封装、封装时重新自动生成SID的方法（笔者不推荐使用那些电脑公司Ghost克隆的操作系统，最好格式化后重新安装。利用Ghost技术快速重新安装操作系统的同时，必须采用重新封装技术，这样的Ghost版操作系统才可以在局域网中放心使用。）问题3：原因是缺少Background Intelligent Transfer Services(BITS)2.更新程序。笔者在两台Windows2000Advanced Server SP4的服务器上遇到这个问题，照理说SP4已经包含了WSUS客户端，但等了好几天后，没有下载到任何补丁。最后手工安装了用于后台智能传输服务（BITS）2。0和WinHTTP5.1的更新程序（KB842773），单独只打了这一个补丁，重启后就完全正常了。至此，在局域网中架设微软补丁升级服务器已经完成，客户端会自动进行微软补丁升级。在我们体验WSUS强大功能的同时，计算机网络的安全性也得到了较大的提高。