利用WSUS部署更新程式

標籤：

WSUS概述

為了讓使用者的windows系統與其他microsoft產品能夠更安全，更穩定，因此microsoft會不定期在網站上推出最新的更新程式供使用者下載與安裝，而使用者可以通過以下方式來取得這些程式：

• 手動串連microsoft update網站
• 通過windows系統的自動更新功能

然而以上兩種方式對企業內部來說，都可能會有以下缺點。

• 影響網路效率：如果企業內部每台電腦都自行上網更新，將會增加對外網路的負擔。
• 與現有軟體相互幹擾：如果企業內部使用的軟體與更新程式發生衝突，則使用者自行下載與安裝更新程式可能會影響該軟體或更新程式的正常運行。

WSUS是一個可以解決上述問題的產品，企業內部可以通過WSUS伺服器集中從Microsoft update網站下載更新程式，並且在完成這些更新程式的測試工作，確定對企業內部電腦沒有不良影響後，在通過網管審批程式，將程式部署到客戶機上。

WSUS的系統需求

對於基本WSUS架構來說，WSUS伺服器與用戶端電腦都必須滿足適當的條件才能享受WSUS的好處。

可以在windows server 2012內通過新增角色的方式來安裝WSUS。安裝WSUS之前，需要安裝以下組件。

• Microsoft Report Viewer Redistributable 2008：WSUS伺服器需要通過他製作各種不同的報告，例如更新程式狀態報表，用戶端電腦狀態報表與同步處理結果報告等。需要到microsoft 官網下載。
• Net framework 2.0: report viewer需要net framework。

註：WSUS伺服器的系統磁碟分割與安裝WSUS的磁碟分割的檔案系統都必須是NTFS。

WSUS用戶端電腦必須支援自動更新功能，Windows 2000 sp4以後的用戶端都支援。

可以利用WSUS伺服器內建的WSUS管理主控台執行WSUS伺服器的管理工作，還可以在其他電腦上管理WSUS伺服器。不過，需要在這些電腦上安裝WSUS控制台，但是這些電腦必須已安裝下列組件:

• Microsoft .NET Framework 2.0或更新版本
• Microsoft Management Console 3.0或更新版本
• Micrsoft Report Viewer Redistributable 2008或更新版本

WSUS的特性與工作方式利用電腦群組部署更新程式

如果能夠將企業內部用戶端電腦適當分組，就可以更容易與明確地將更新程式部署到指定電腦上。系統預設內建2個電腦群組，即所有電腦與未分配的電腦，用戶端電腦在第一次與WSUS伺服器接觸時，系統預設會見該電腦加入者2個組內。可以在添加更多的組。可以建立測試電腦群組，新的補丁部署到測試電腦群組，沒有問題在應用到業務電腦群組內。

WSUS伺服器的架構

也可以建立更複雜的WSUS伺服器架構，也就是建立多台WSUS伺服器，並設定讓其中一台WSUS伺服器從microsoft 網站擷取更新程式，但是其他伺服器並不直接連接Microsoft網站，而是從上遊的組伺服器來擷取程式，而下遊伺服器從上遊伺服器獲得更新程式。

這種將WSUS伺服器通過上下遊方式串接在一起的模式有兩種"

• 自治模式：上遊WSUS伺服器會與下遊伺服器共用更新程式，也就是下遊伺服器會從上遊伺服器擷取更新程式，但是並不包含更新程式的審批狀態，電腦群組資訊。因此下遊伺服器必須自行決定是否要審批這些更新程式與自行建立所需的電腦群組。
• 副本模式：上遊伺服器會與下遊伺服器共用更新程式，更新審批與電腦群組資訊。下遊伺服器可以擷取上遊伺服器的資料，所有可以在上遊伺服器管理的項目都無法在下遊伺服器自行管理，例如不能自行更改新程式的審批狀態等。

注意，上述電腦群組資訊只有電腦群組本身而已，並且不包含電腦群組的成員，必須自行在下遊伺服器來管理群組成員，而用戶端電腦在第一次與下遊WSUS伺服器接觸時，這些電腦會預設被同時加入到所有電腦和未分配電腦群組內。

可以根據公司網路環境的需求採用上下遊WSUS伺服器的串接方式。

採用上下遊WSUS伺服器串接架構，還需要考慮到不同語言的更新，例如，如果上遊伺服器在總部，總部需要簡體中文的程式，而下遊架設在分公司，分公司需要的語言是英文，雖然總公司需要的語言是簡體中文，當必須在中公司的上遊伺服器選擇同事下載中文和英文版的更新程式。串連Microsoft網站的上遊伺服器必須下載所有下遊伺服器需要的所有語言的更新程式，否則下遊伺服器將無法擷取所需語言的更新程式。

註：這種上下遊串聯的方式，建議最好不要超過3層（雖然理論上沒有層數限制），因為每增加一層，就會增加延遲時間，因而拉長將更新程式傳遞到每台電腦的時間。

選擇資料庫與儲存更新程式的地點

可以利用Windows Server 2012的內建資料庫或Microsoft SQL Server 2005 sp2來構建資料庫。每台WSUS伺服器都有自己獨立的資料庫，這些資料庫用來儲存以下資訊：

• WSUS伺服器的設定資訊。
• 描述每一個更新程式的metadata。Metada內包含以下資料:

  更新程式的屬性：例如更新程式的名稱，描述，相關的knowledge base文章編號等。

  適用規則:用來判斷更新程式是否適用於某台電腦。

  安裝資訊：例如安裝時所需的命令列參數。

• 用戶端電腦與更新程式之間的關係。

然而上述資料庫並不會儲存更新程式檔案本身，必須另外選擇更新程式檔案的儲存地點，有以下兩種選擇。

儲存在WSUS伺服器的本地硬碟內：此時WSUS伺服器會從Microsoft網站下載更新程式，並將其儲存到本地硬碟內。此種方式讓用戶端直接從WSUS伺服器擷取更新程式，不用到Microsoft網站下載，這樣可以節省網路頻寬。

WSUS伺服器的硬碟必須有足夠空間來儲存更新程式檔案，最少要有20g的可用空間。實際需要更多的空間。

儲存在Microsoft網站上：此時WSUS伺服器並不會從Microsoft網站下載更新程式，換句話說，當執行WSUS伺服器與Microsoft網站之間的同步工作時，WSUS伺服器只會從網站下載更新程度的metadata資料，並不會下載更新程式本身。

因此，當你審批用戶端可以安裝某個更新程式後，用戶端是自己串連到網站下載。如果用戶端電腦數量不多，或用戶端與WSUS伺服器之間的連線速度比較慢，但是與網路之間的連線速度較快時，可以選擇此選項。

延期下載更新程式

WSUS允許你延期下載更新程式檔案，也就是WSUS伺服器會先下載更新程式的metadata，之後再下載更新程式檔案。更新程式檔案只有在你審批該程式後才會被下載，這種方式可以節省頻寬與WSUS伺服器的硬碟空間使用量。Microsoft建議你採用延遲下載更新的方式，也就是預設值。

使用快速安裝檔案

用戶端電腦要安裝更新程式時，此電腦內可能已經有該更新檔案的舊版本，這箇舊檔案和新更新之間的差異可能不大。如果用戶端能夠只下載新版與舊版之間的差異，然後利用將差異合并到舊檔案的方式來更新，可以減少從wsus伺服器下載的資料量，降低企業內部網路的負擔。

不過採用這種方式，WSUS伺服器從Microsoft網站下載的檔案會比較大，因為此檔案內必須包含新更新程式和各舊版自己的差異，因此WSUS伺服器在下載檔案時會佔用對外的網路頻寬。

例如，假如更新程式原始大小100mb，未使用快速安裝的情況，此伺服器會從microsoft網站下載100mb的檔案，用戶端也是從伺服器下載100mb的資料量。使用快速安裝的情況下，此檔案變為比較大的200mb（假設）。雖然WSUS伺服器必須從microsoft下載的檔案大小為200mb，但是用戶端從WSUS伺服器僅下載30mb的資料量，系統預設未使用快速安裝檔案。

安裝WSUS伺服器

構建WSUS並不需要AD域環境，然而為了利用組策略來充分管理用戶端的自動更新設定，建議採用AD域環境。

我們將利用所示的環境進行說明。安裝一台域控DC，WSUS伺服器為成員伺服器，電腦名稱為WSUS；另外，圖中多台用戶端可以為win7，win8等，我們假設他們也都加入域。

1. 直接安裝report viewer 2012 最新版和clr typer for sql 2012

http://www.microsoft.com/zh-cn/download/details.aspx?id=35747

http://go.microsoft.com/fwlink/?LinkID=239644&clcid=0x409

1. 添加功能

2. 需要net framework

3. 選擇資料庫。使用內建資料庫，如果要使用SQL資料庫，勾選資料庫。

4. 選擇儲存位置

5. Web伺服器選擇預設

6. 等到安裝完成

7. 選擇讓WSUS伺服器與Microsoft Update同步，讓伺服器直接從Microsoft網站下載更新程式與Metabase等。

8. 如果伺服器需要通過企業內部的Proxy伺服器連網，請在輸入相關資訊。

9. 點擊開始串連，以便從Windows Update網站取得更新程式相關資訊。

10. 選擇下載語言

11. 選擇需要下在的更新產品。預設系統會選擇office和windows的更新，由於是實驗環境就少選點

12. 選擇下載所需類型

13. 選擇手動或自動同步。選擇自動同步，需要設定第一次同步的時間與每天同步的次數。

14. 執行第一次同步工作

15. 可以查看當前同步進度。

16. 如果要手動同步，選擇同步選擇中的立即同步

    如果要將手動同步改成自動同步，需要設定同步計劃。前面安裝的所有設定，都可以通過選項介面變更。在同步尚未完成之前，無法儲存更改的設定，需要等待同步完成後更改設定。

設定用戶端的自動更新

我們要讓用戶端電腦能夠通過WSUS伺服器下載更新程式，而這個設定可以通過以下兩種方法來完成。

組策略:在AD域環境下，可以通過組策略進行設定。

本機電腦策略：如果沒有AD域環境，或用戶端電腦未加入域，則可以通過本機電腦策略進行設定。

我們利用組策略來進行說明。在域中建立一個GPO，WSUS策略，然後通過這個GPO來設定域內的所有用戶端電腦的自動更新配置。

1. 新群組策略

1. 展開電腦配置-策略-系統管理範本-windows組件。選擇啟用配置自動更新。

• 通知下載並通知安裝：在下載更新程式前會通知已登入的系統管理員，由他自行決定是否現在下載；下載完成後和準備安裝前也會通知系統管理員，然後由他自行決定是否現在安裝。
• 自動下載並通知安裝：自動下載更新程式，下載完成後和準備安裝前會通知已登入的系統管理員，然後由他自行決定是否現在安裝。
• 自動下載並計劃安裝：自動下載更新程式，並且會在指定的時間自動安裝。需要指定安裝時間。
• 允許本地管理員選擇設定：此選項讓在用戶端的本地管理員可以通過控制台自行選擇更新方式。

1. 選擇指定intranet Microsoft更新服務位置，然後指定讓用戶端從wsus伺服器擷取更新程式，同時也設定讓用戶端將更新結果報告給WSUS伺服器，這兩處請輸入http://wsus:8530。

   設定完成後，必須等域內的用戶端應用這個策略才能有效，而用戶端電腦預設每隔90-120分鐘應用一次。到用戶端電腦上執行gpupdate/force命令。

   應用完成後，還必須等客戶機與wsus伺服器接觸後，在wsus管理主控台才能看到這些客戶機。不過需要等待20分鐘才會主動聯絡WSUS伺服器。在客戶機上執行wuauclt/detectnow 命令。

審批更新程式

在wsus管理介面可以看到所有用戶端機器，如果還有機器仍為顯示，可以想到這些電腦上執行組策略重新整理命令。

註：如果用戶端有新的更新狀態可報告，而你希望立即報告，請到用戶端電腦上執行wuauclt/reportnow.

建立新電腦群組

為了便於利用WSUS管理主控台來部署用戶端電腦所需的更新程式，建議將電腦進行分組。例如要建立一個名為業務部電腦的組，並將隸屬於業務部的電腦移動到此組內。

1. 選擇添加電腦群組。

1. 將隸屬於改組的電腦從未分配的電腦群組移動到剛剛建立的業務部電腦群組中。

審批更新程式的安裝

WSUS下載的所有更新程式都要經過審批後，用戶端電腦才可以安裝此更新程式，此處假設要審批某個安全更新，以便讓業務組電腦安裝此更新。

由於WSUS預設會延遲下載更新程式，也就是WSUS伺服器與Microsoft Update同步時僅會下載更新程式的metadata。當我們審批更新程式後，更新程式才會下載。由於我們剛審批上述更新，WSUS伺服器正要開始下載此更新，必須等下載完成後，用戶端電腦才可以開始安裝此更新。

，審批欄目出現了安裝1/3字樣，表示當前有3個電腦群組，只有其中一個組已經被審批安裝此更新。

用戶端預設每隔17.6-22小時才會串連伺服器檢查是否有更新程式下載，可利用wuauclt/detectnow來手動檢查。檢查到後根據組策略的設定來進行更新。

用戶端可以通過組策略自動更新檢測頻率來更新檢查時間。如果希望用戶端電腦能夠早一點自動檢測，可以修改此值。

只要用戶端檢查到可用下載，會自動右下角提示有更新。

拒絕更新程式

單擊某個程式右側的拒絕，則系統將解除其審批，同時在WSUS資料庫內與此更新有關的報告資料都將刪除，還有在此介面上也看不到此更新程式。如果要看到被拒絕的更新程式，請到審批處選擇已拒絕後單擊重新整理。

自動審批更新程式

可以設定當WSUS伺服器與Windows Update同步時，自動審批下載的更新程式。例如，如果希望所有下載的安全更新與重要更新都能夠自動審批給所有電腦:單擊選項中的自動審批，在前景圖中勾選預設的自動審批規則。如果還要將此規則應用到已經同步的更新程式，請單擊允許規則。

單擊進階標籤後，還可以更改以下設定。

• WSUS更新：可以用來設定是否要讓WSUS產品本身的更新程式自動被審批。
• 更新修訂

  自動審批已審批的更新的修訂：如果已審批的更新程式未來有修訂版，則自動審批此修訂版本的更新程式。

  當新修訂導致更新過去時自動拒絕更新：當未來有新修訂版本出現，而使得舊版本到期時，則自動拒絕這個到期的舊更新程式。

自動更新的組原則設定

本站介紹更多的關於自動更新的組策略，以便進一步管理用戶端電腦與WSUS伺服器之間的通訊方式。通過另外建立GPO的方式進行配置，盡量不要通過內建的Defult Domain Policy GPO進行設定。

配置自動更新

此策略用來配置用戶端下載與安裝更新的方式。

指定Intranet Microsoft更新服務位置

用來指定讓用戶端電腦從WSUS伺服器擷取更新程式。

自動更新頻率

用來設定用戶端多久與伺服器串連，檢查是否有新更新程式。

允許立即安裝自動更新

當更新程式下載完成並且準備好安裝時，會根據配置自動更新的策略來決定何時更新。啟用此策略後，某些新程式會立刻安裝。這些更新是指那些即不會中斷Windows服務，也不會重新啟動Windows系統的更新程式。

重新計劃自動更新計劃的安裝

如果通過計劃制定某個時間點來執行安裝更新程式，但是時間到達時，用戶端電腦卻沒有開機。此策略用來設定用戶端電腦重新開機後，需要等多少時間後開始安裝更新。

允許用戶端目標設定

應用此設定的所有電腦會自動加入指定的電腦群組內，不需要管理員手動加入。

，所有電腦會自動加入業務組電腦。

允許來自Intranet Microsoft更新服務位置的特徵碼更新

如果此策略啟用，客戶電腦就可以從WSUS伺服器下載由第三方開發和簽名的更新程式;如果未啟用，用戶端只能下載Microsoft簽名的更新程式。

刪除到Windows更新的連結和訪問

雖然WSUS用戶端可以通過WSUS伺服器來進行更新，但是系統本地管理依然可以通過開始菜單的windows更新來私自串連Microsoft Update網站。為了減少這種情況發生，建議通過此策略將客戶電腦的windows update連結刪除。完成後開始菜單的串連不會顯示，控制台的更新檢查更新也會失效。

使用者配置-策略-系統管理範本-開始菜單和工作列

關閉對所有Windows更新功能的訪問

如果啟用此策略，則會禁止用戶端訪問Microsoft更新網站，例如用戶端通過開始菜單的Windows更新連結無法訪問Windows Update網站，直接在瀏覽器裡輸入windows update網頁也無法訪問，不過客戶機依然可以通過WSUS來擷取。

電腦配置-策略-系統管理範本-系統-internet通訊管理-internet通訊設定

利用WSUS部署更新程式