什么是ＷＳＵＳ？有什么特性？

Windows 更新服務(wù)器（WSUS），SUS的繼任者。此次升級后可以提供網(wǎng)絡(luò)管理必需的報告功能，而且可以更新 Office XP/2003，Exchange 2003 和 SQL 2000。最重要的是增加了客戶端的發(fā)現(xiàn)和監(jiān)控功能。

同SUS一樣屬于免費軟件，申請下載地址：http://www.microsoft.com/windows

serversystem/updateservices/evaluation/trial/default.mspx]

安裝前的要求

１． 硬件（根據(jù)用戶量增加配置）

1 GHz以上的處理器，1 GB 以上的 RAM

系統(tǒng)分區(qū)和安裝 WSUS 的分區(qū)都必須使用 NTFS 格式

系統(tǒng)分區(qū)至少需要 1 GB 的可用空間

WSUS 用于存儲內(nèi)容的卷至少需要 6 GB 的可用空間，建議預(yù)留空間為 30 GB

如果用于安裝 Windows SQL Server 2000 Desktop Engine (WMSDE)，需要 2 GB 的可用空間

２． 軟件

推薦操作平臺：Windows 2003 Server

Internet 信息服務(wù)(IIS)

用于后臺智能傳輸服務(wù) (BITS) 2.0 和 WinHTTP 5.1 Windows Server 2003 的更新程序（http://go.microsoft.com/fwlink/?LinkId=47251）

Microsoft .NET Framework 1.1 Service Pack 1

安裝最新版本的 WSUS 之前，如果原系統(tǒng)上存在早期版本必須卸載

WSUS 要求在 SQL Server 中打開嵌套觸發(fā)器選項，在SQL Server中操作如下

（1）查看嵌套觸發(fā)器是否已打開（sp_configure 'nested triggers'）

（2）打開嵌套觸發(fā)器選項：

sp_configure 'nested triggers', 1

GO

RECONFIGURE

GO

建議您不要在運行終端服務(wù)的服務(wù)器上安裝 WSUS

３． 網(wǎng)絡(luò)環(huán)境

WSUS服務(wù)器使用80 和443端口下載更新，所以防火墻要有針對性地開啟端口。

可支持的部署方案

１． 單個 ＷＳＵＳ 服務(wù)器（小型或簡單網(wǎng)絡(luò)）

在小型或簡單網(wǎng)絡(luò)方案中，根據(jù)計劃發(fā)布，管理員可以在企業(yè)防火墻內(nèi)設(shè)置運行 WSUS的服務(wù)器，這樣可以直接從外部的公共 Windows Update 站點同步內(nèi)容，并將更新分發(fā)到客戶端計算機，如圖1所示。





２． 多個獨立的 ＷＳＵＳ 服務(wù)器

在此計劃方案中，管理員可以部署多個配置好的服務(wù)器，這樣每個服務(wù)器可以單獨管理，并且每個服務(wù)器可以將其內(nèi)容與 Windows Update 同步，如圖2所示。

此方案中的部署方法適用于將不同的局域網(wǎng)（LAN）或廣域網(wǎng)（WAN）的網(wǎng)段作為獨立實體（如分支機構(gòu)辦公室）進(jìn)行管理的情況。也適用于當(dāng)一個運行 WSUS 的服務(wù)器配置為僅對運行某一定操作系統(tǒng)（如 Windows 2000）的客戶端部署更新而另一個服務(wù)器配置為僅對運行其他操作系統(tǒng)（如 Windows XP）的客戶端部署更新的情況。在這些情況下，兩個服務(wù)器無須同步內(nèi)容。

３． 多個內(nèi)部同步 ＷＳＵＳ 服務(wù)器

管理員可以部署多個運行 WSUS 的服務(wù)器，其中這些服務(wù)器在組織的 Intranet 內(nèi)同步所有內(nèi)容。在這種情況下，一個服務(wù)器設(shè)置為父服務(wù)器或上游服務(wù)器，然后其他服務(wù)器將同步其上的來源。附加運行 WSUS 的服務(wù)器、子服務(wù)器或下游服務(wù)器，從上游服務(wù)器同步內(nèi)容的服務(wù)器。子服務(wù)器可以執(zhí)行手動或自動同步，同步包括更新以及批準(zhǔn)更新的列表，或只有更新而無列表。如果適用，可以在地理上分散的網(wǎng)絡(luò)中定位服務(wù)器，以提供對所有客戶端的最佳連接，如圖3所示。



４． 斷開連接的 ＷＳＵＳ 服務(wù)器

如果網(wǎng)絡(luò)的、基于 Windows 的計算機沒有連接到 Internet，在此計劃方案中，管理員可以設(shè)置運行 WSUS 的內(nèi)部服務(wù)器，如下圖所示。在此示例中，創(chuàng)建了一個與 Internet 相連但與 Intranet 隔離的服務(wù)器。當(dāng)在此服務(wù)器上完成下載、測試和審批后，管理員在 Intranet 內(nèi)向運行 WSUS 的服務(wù)器以及向分發(fā)點手動發(fā)送媒體，如圖4所示。



安裝過程

利用下載的WSUSSetup.exe進(jìn)行安裝，一路“下一步”直到選擇“本地存儲路徑”，指定磁盤，這里的磁盤必須大于6GB，如圖5所示。



在“數(shù)據(jù)庫選項”頁上，選擇用于管理 WSUS 數(shù)據(jù)庫的軟件。默認(rèn)情況下，如果要安裝的計算機運行 Windows Server 2003，WSUS 安裝程序?qū)⑻岢霭惭b WMSDE。

如果Windows2000系統(tǒng)中無法使用 WMSDE，則必須為 WSUS 提供可以使用的 SQL Server 實例，具體操作方法是：單擊“使用該計算機上現(xiàn)有的數(shù)據(jù)庫服務(wù)器”，然后在“選擇 SQL 實例名”框中鍵入實例名，如圖6所示。



在“網(wǎng)站選擇”頁上，指定 WSUS 將使用的網(wǎng)站，或者使用另外的端口。此時要記住管理界面的訪問地址http://servername/WSUSAdmin ，如圖7所示。



WSUS提供進(jìn)行鏡像更新服務(wù)，可以從內(nèi)部的其他WSUS服務(wù)器更新數(shù)據(jù)，如果是第一臺服務(wù)器可以跳過“鏡像更新設(shè)置”，如圖8所示。單擊下一步，復(fù)查安裝列表后進(jìn)入自動配置過程。安全完畢后可以自動啟動管理工具，此處略過。



管理方法

WSUS的用戶界面和SUS有很大的不同。WSUS使用屏幕右上角的幾個大按鈕作為導(dǎo)航欄。“主頁”頁面顯示了WSUS的活動情況等綜合信息，如圖9所示。





按照一般操作和使用的流程，我將需要管理和配置的選項分別列出，大致分為：

內(nèi)容１：設(shè)置同步選項

點擊右上角的“選項”圖標(biāo)，繼續(xù)選擇“同步選項”，可以從左側(cè)面板中進(jìn)行“立即同步”和“保存設(shè)置的操作，同時可以看到“同步狀態(tài)”等。根據(jù)需求在右側(cè)面板中進(jìn)一步配置，如圖10所示。

自動更新時間上要考慮到對企業(yè)網(wǎng)絡(luò)帶寬的影響，盡量避免高峰期。“產(chǎn)品分類”中可以選擇需要提供服務(wù)的操作系統(tǒng)的版本，一般這里不作更改。在“更新分類”中默認(rèn)只有“安全更新和關(guān)鍵更新”兩類，我推薦你在這里仔細(xì)考慮增加的更新分類，在一般的情況下需要添加“Service Pack”和“更新匯總”兩項內(nèi)容，如圖11所示。



根據(jù)網(wǎng)絡(luò)情況、客戶端操作系統(tǒng)的語言種類，需要對“代理服務(wù)器”、“更新源”、“語言”進(jìn)行配置。檢查無誤后，點擊“保存設(shè)置”，如果此時你已經(jīng)迫不及待地想嘗試其他的選型，可以選擇“立即同步”，然后進(jìn)行其他的配置調(diào)試。

內(nèi)容２：調(diào)整“自動批準(zhǔn)”

點擊右上角的“選項”圖標(biāo)，選擇“自動批準(zhǔn)選項”。進(jìn)入界面后，可以看到有4個內(nèi)容允許我們調(diào)整。首先是需要定義客戶端到WSUS Server后進(jìn)行檢測更新的內(nèi)容，在“批準(zhǔn)進(jìn)行檢測”欄目下選擇“添加/刪除分類”，根據(jù)需求更改，比如增加“Service Pack”等。 下面的“計算機組”的設(shè)置可以選擇默認(rèn)就OK了，畢竟我們對所有的客戶端都要進(jìn)行自動的檢測，關(guān)于如何進(jìn)行計算機分組的知識，下面還會有介紹。

“批準(zhǔn)進(jìn)行安裝”，這一步馬虎不得。如果你的網(wǎng)絡(luò)是慢速連接的話，在這里默認(rèn)就可以了，千萬不要把“Service Pack”選中，不然動輒百兆的補丁集成包在慢速連接的環(huán)境中部署，客戶端的投訴電話就能把管理員煩死了。

在這里還有兩點要注意：一、對于補丁安裝前一定要建立一個“測試組”，模擬現(xiàn)在網(wǎng)絡(luò)的所有應(yīng)用，一般找一臺配置較高的PC就可以了，然后啟動幾個VMWare（虛擬機）進(jìn)行測試；二、如果安裝規(guī)則和檢測規(guī)則出現(xiàn)沖突，將使用安裝規(guī)則。后面的“更新的修訂”與“WSUS更新”默認(rèn)就可以了，完成后保存設(shè)置，如圖12所示。



內(nèi)容３：計算機分組

返回上一層，點擊“計算機選項”。提示：服務(wù)器發(fā)現(xiàn)客戶端的過程是一個緩慢的過程，并且沒有設(shè)置過的計算機都會自動分到“未指定的計算機”組。如果你的網(wǎng)絡(luò)屬于“域”管理模型，可以選擇使用包含“組策略”的選項；如果是松散的管理模型或者大型的網(wǎng)絡(luò)結(jié)構(gòu)，采用“移動計算機”的方法來進(jìn)行管理就可以了。當(dāng)然，二者都有利弊，希望在WSUS的下一個版本中在此處會有更詳細(xì)的配置信息。

下面我們就應(yīng)該分析如何對客戶端計算機分組了，點擊右上角的“計算機”圖標(biāo)。出現(xiàn)界面后我們可以看到左側(cè)分為三個選項，顧名思義，我這里就不再贅述它們的功能了。主要是如何分組的問題？根據(jù)經(jīng)驗，在增加測試組的以后，我們可以按照地理位置，單位名稱，應(yīng)用功能等進(jìn)行分類。

提示：首次將某臺計算機分配到某個目標(biāo)組時，將使用目標(biāo)組的信息來修改該計算機上的數(shù)據(jù)。數(shù)據(jù)將定期刷新或每小時刷新一次。因此，當(dāng)計算機從一個計算機組移動到另一個計算機組時，這些信息可能最多需要一小時才能在客戶端上刷新并在 ＷＳＵＳ 管理控制臺中按照更改后的樣子顯示。

內(nèi)容４：批準(zhǔn)和部署更新

1. 在 WSUS 控制臺工具欄上，單擊“更新”。默認(rèn)情況下將對更新列表進(jìn)行篩選，從而只顯示那些批準(zhǔn)在客戶端計算機上進(jìn)行檢測的關(guān)鍵更新和安全更新。測試時我們使用默認(rèn)篩選條件，當(dāng)然也可以針對“產(chǎn)品和分類”、“批準(zhǔn)的選項”、“同步的時間”等方面進(jìn)行篩選。

2. 在更新列表上，選擇要批準(zhǔn)安裝的更新。有關(guān)選定更新的信息將顯示在“詳細(xì)信息”選項卡上（“Shift 鍵”配合選擇多個連續(xù)的更新，“Ctrl 鍵”選擇多個不連續(xù)的更新）。

3. 在“更新任務(wù)”下，單擊“更改批準(zhǔn)”。屏幕上將出現(xiàn)“批準(zhǔn)更新”對話框。

4. 在“選定更新的組批準(zhǔn)設(shè)置”列表中，針對不同的組可以設(shè)置不同的批準(zhǔn)策略。比如：單擊測試組“批準(zhǔn)”列中列表內(nèi)的“安裝”，然后單擊“確定”， 如圖13所示。



內(nèi)容５：狀態(tài)分析

在以前的SUS中，除了利用第三方的工具外，對于客戶端部署和更新的情況可以說是一無所知。WSUS最大的改進(jìn)之一就是強化了管理功能，在報告中分成4個部分，圖10詳細(xì)說明了服務(wù)器和客戶端的運行與更新狀態(tài)。通過在 WSUS 控制臺工具欄上，單擊“報告”，就能讓管理員對更新狀況做到心中有數(shù)。

１． 更新的狀態(tài)

在“報告”頁上，如圖14所示。單擊“更新的狀態(tài)”，對更新列表進(jìn)行篩選。比如在“查看”下選擇“所有計算機組”為范圍條件，“需要”為檢索條件，然后單擊“應(yīng)用”。通過這樣的操作就能夠了解到那些關(guān)鍵更新還沒有部署到客戶端，進(jìn)而部署更新的工作。



２． 計算機的狀態(tài)

可以非常詳細(xì)的針對網(wǎng)絡(luò)中某個計算機組，或者計算機查詢對應(yīng)的情況，由于操作同上面大致相同，這里略過操作步驟。

３． “同步操作”與“設(shè)置摘要”

通過查看報告中“同步操作”的內(nèi)容查看是同步的時間、摘要，以及是否出現(xiàn)下載錯誤等；而通過“設(shè)置摘要”可以查看對WSUS每個配置選項的配置清單。以上4個報告都支持打印功能，這些都為“實施文檔”的管理作了非常詳細(xì)的準(zhǔn)備，由此可以看出微軟對于免費的安全產(chǎn)品的重視程度已經(jīng)有了重大的改變。

客戶端部署詳解

客戶端軟件的基本要求和SUS相同，Windows 2000 需要Service Pack 3以上、Windows XP 需要Service Pack 1以上、Windows Server 2003默認(rèn)即可。

１． 利用本地策略

如果是工作組管理模式就比較麻煩，在客戶端的運行中輸入“gpedit.msc”打開組策略編輯器，并依次展開“計算機配置——管理模板”，然后在“管理模板”上點擊鼠標(biāo)右鍵，選擇“添加/刪除模版”，點擊“添加”按鈕，并找到“%windir%\inf”目錄下的“Wuau.adm”文件，雙擊“添加”。接著繼續(xù)打開“Windows組件——Windows Update”（這一項只有在安裝了客戶端軟件并添加后才會出現(xiàn)），在窗口右側(cè)就會顯示出兩條可用的策略。其中“配置自動更新”可以讓你設(shè)置進(jìn)行更新的時間和處理方法，“指定企業(yè)內(nèi)部互聯(lián)網(wǎng)…”則用來指定服務(wù)器的位置，你可以以“http://服務(wù)器名稱”或者“http://服務(wù)器IP”的方式輸入。

２． “域”中的組策略

打開Active Directory用戶和計算機設(shè)置窗口，在要創(chuàng)建策略的OU或者域上點擊鼠標(biāo)右鍵，選擇“屬性”，然后在屬性窗口中打開“組策略”選項卡，并點擊“新建”按鈕，給新建的策略命名（例如叫做WSUS，）。選中新建的組策略，點擊“編輯”按鈕，接著會彈出一個組策略設(shè)置窗口，這跟我們平常運行g(shù)pedit.msc打開的窗口很類似，不過這里可以為整個域中的所有計算機設(shè)置組策略。

３． 編輯注冊表

如果你想省去每個客戶端部署的麻煩，完全可以自己制作一個注冊表導(dǎo)入文件，內(nèi)容如下：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"WSUServer"="http://服務(wù)器名稱或IP"

"WSUStatusServer"=" http://服務(wù)器名稱或IP "

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

"UseWSUServer"=dword:00000001

注：更詳細(xì)的內(nèi)容參加WSUS的白皮書，或者微軟客戶端補丁管理方法等。

http://www.microsoft.com/china/technet/

itsolutions/smbiz/mits/pm/mit_pm_3.mspx

部署問題精選

1. 如何配置客戶端自動加入目標(biāo)組？如何運行自動更新行為？

（1）添加Wuau.adm文件后，組策略中\(zhòng)計算機配置\Windows 組件\Windows Update\允許客戶端目標(biāo)設(shè)置；或者導(dǎo)入注冊表文件，在相應(yīng)位置添加TargetGroup=組名。

（2）客戶端運行wuauclt.exe /detectnow

2. 嘗試訪問 WSUS 管理控制臺時，出現(xiàn) System.IO.FileNotFoundException 錯誤消息？

通常是由于服務(wù)器安全加固后造成的，請在 Windows Server 2003 操作系統(tǒng)中，授予 Network Service 賬戶對“%systemroot%\Temp” 的讀/寫訪問權(quán)限。

3. 在“物理隔離”的網(wǎng)絡(luò)中如何部署？

有些政府或者財政專網(wǎng)中無法連接到Internet，由于安全的需要，部署脫機的WSUS完全可行。方法如下：

（1）將要導(dǎo)出數(shù)據(jù)的服務(wù)器同導(dǎo)入服務(wù)器“同步高級選項”里面設(shè)置保持一致。

（2）將導(dǎo)出數(shù)據(jù)的服務(wù)器更新，使用Ntbackup備份此服務(wù)器存放更新的文件夾，默認(rèn)為drive:\WSUS\WSUSContent\；在導(dǎo)入服務(wù)器使用ntbackup還原備份，還原時選擇“替換位置”，位置指定為默認(rèn)的drive:\WSUS\WSUSContent\。

（3）數(shù)據(jù)庫的導(dǎo)出與導(dǎo)入

C:\Program Files\Update Services\Tools

\wsusutil export c:\export.cab c:\export.log

源服務(wù)器執(zhí)行下面的命令后，將cab與Log文件復(fù)制到目標(biāo)服務(wù)器，執(zhí)行下面命令：

C:\Program Files\Update Services\Tools

\wsusutil import c:\export.cab c:\export.log

總結(jié)：ＷＳＵＳ基本上接近了Ｗｉｎｄｏｗｓ ｕｐｄａｔｅ網(wǎng)站的更新功能，如何利用好這個免費的“大餡餅”還依靠大家共同努力了。

（張崎）