WSUS服务器安装与配置手册

Microsoft Windows Server Update Services 安装与配置教程

珠江期货广州总部技术部 修改日期：2010 年 09 月 03 日

摘要

本文提供 Microsoft® Windows Server™ Update Services (WSUS) 入门的分步指导。其中详述了在网络上部署 WSUS 所涉及的基本任务的说明，具体包括在 Microsoft Windows Server 2003 操作系统上安装 WSUS、配置 WSUS 以获取更新、将客户端计算机配置为从 WSUS 安装更新，以及批准、测试和分发更新。在“部署 Microsoft Windows Server Update Services”（文档可能为英文）中可以找到有关内容的更为全面的阐述。

目录

Microsoft Windows Server Update Services 入门循序渐进指南 ................................................... 3 步骤 1：WSUS 安装要求 .............................................................................................................. 3 硬件要求 ....................................................................................................................................... 3 磁盘要求 ....................................................................................................................................... 3 软件要求 ....................................................................................................................................... 3 步骤 2：在服务器上安装 WSUS .................................................................................................. 5 步骤 3：部署 WSUS.................................................................................................................... 19 服务器端的部署 ......................................................................................................................... 19 客户端的部署 ............................................................................................................................. 21

客户端组策略的配置 ..................................................................................................... 21 客户端注册表的修改 ..................................................................................................... 26 步骤 4：使用 WSUS.................................................................................................................... 28

发现客户端 ................................................................................................................................. 28 同步更新 ..................................................................................................................................... 31 客户端更新 ................................................................................................................................. 32

2

Microsoft Windows Server Update Services

安装与配置教程

WSUS为在网络中管理更新提供了一个全面的解决方案。本文档提供了在网络上部署 WSUS 时涉及的基本任务的分步指导。使用本指南可执行以下任务： •在 Microsoft Windows Server 2003 操作系统上安装 WSUS。 •将 WSUS 配置为从 Microsoft 获取更新。 •将客户端计算机配置为通过 WSUS 安装更新。 •批准、测试和分发更新。

步骤 1：WSUS 安装要求

硬件要求

建议使用以下硬件： •2 GHz 的处理器 •最少1 GB 的 RAM

磁盘要求

要安装 WSUS，服务器上的文件系统必须满足以下要求：

•系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。 •系统分区至少需要 10 GB 的可用空间。

•WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。

注意：WSUS更新的系统补丁占用空间很大，可以将更新目录设置为其他盘符

软件要求

安装 WSUS之前，需要确认操作系统版本以及相应补丁是否安装： •操作系统要求

使用windows 2003 server SP2版

3

注意：

使用windows 2000版也可以安装WSUS，但安装需要的补丁和配置比较多，这里强烈建议使用windows 2003 server SP2版（SP2补丁一定要打上，否则安装不能进行） •Microsoft Internet 信息服务 (IIS) 6.0。 安装方法：

“开始”——“控制面板”——“添加或删除程序”——“添加或删除windows组件”——“应用程序服务器”

“详细信息”

选择“Internet 信息服务（IIS）”，点击确定，然后点击下一步进行安装。

4

完成安装

•用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。 下载网址为：http://go.microsoft.com/fwlink/?LinkId=47358。（在wsus安装包

（wsus_install.rar）中，是 dotnetfx.exe 文件） •Background Intelligent Transfer Service (BITS) 2.0。

这个无需下载，装好的windows 2003 server SP2版自带 •

ReportViewer2008

这个文件在wsus_install.rar安装包中也有

步骤 2：在服务器上安装 WSUS

WSUS 3.0 SP2中文版可以去微软官方网站下载，下载地址为：

http://www.microsoft.com/downloads/details.aspx?FamilyId=a206ae20-2695-436c-9578-3403a7d46e40&displaylang=en

依照WSUS3的系统要求，事先安装好IIS、Microsoft .NET Framework 1.1、Microsoft Report Viewer，数据库使用WSUS3自带的Windows Internal Database。 安装与配置：

5

下载到的WSUS3是一个自解压并自动执行安装程序的压缩包，我们可以使用解压缩软件事先将其解开，这样做的好处就是当执行安装程序时，如果系统检测组件有问题，我们不必再次重新执行安装程序经历时间较长的解包过程。

6

执行安装程序自解包完成后，出现WSUS3的安装向导界面，点击“下一步”。

因为是全新安装并且要部署的是完整的WSUS3，所以默认选择“包括管理控制台的完整服务

7

器安装”，如果你的环境内已经存在WSUS3，那么可以选择第二项只安装管理控制台。点击“下一步”继续。

安装向导准备安装并执行检测。

在许可协议这个界面选择“我接受许可协议条款”，并点击“下一步”继续。

8

配置WSUS3“本地存储更新”（注意：安装的地方，尽量磁盘空间尽量大些），如果你已经准备好额外的分区，那么这里会默认配置到额外分区上，确定无误后点击“下一步”继续。

数据库选项，因为我们使用WSUS自带的Windows internal Database服务，所以保持默认。并点击“下一步”继续。

9

配置WSUS网站，这里有两个选项可供选择： “使用现有IIS默认网站”用到的是80端口

“创建WSUS 3.0网站”注意看下面的提示，用的是8530端口

这两个网站选项都已经通过了测试，推荐使用‘创建WSUS 3.0网站’，也就是 8530端口，根据需要自选即可

注意：这里的设置一定要记住，因为后面配置客户端组策略的时候，需要用到！

10

完成配置向导后，我们就可以正式开始安装WSUS3，确认我们的配置，点击“下一步”开始安装。

11

安装过程中会先安装配置Windows Internal Database，接下来会将WSUS3安装到我们的系统最后执行ASP.NET环境的配置等等，整个过程耗时大概5分钟左右。

12

至此，我们就完成了WSUS的全新安装。

在点击完成安装后，系统会自动弹出WSUS3的配置向导，我们通过配置向导可以配置我们已经安装好的WSUS服务器，为此点击“下一步”。

13

选择是否加入Microsoft update改善计划，根据自己的需要选择。

配置WSUS3的上游服务器，如果这台服务器是环境中的第一台WSUS3服务器，那么你应当选择Microsoft Update作为你的上游服务器，否则请正确地配置此台服务器所要连接环境中已经存在的上游WSUS3服务器。

14

如果你的WSUS3使用代理方式与连接，比如：你的网络出口一是台以代理方式运行的ISA服务器，那么你就需要在这里正确地为你的WSUS3配置使用代理服务器，并点击“下一步”继续。

15

完成上述配置后，我们就可以在此界面点击“开始连接”与Microsoft Update通讯并取得下载更新信息，完成连接后点击“下一步”继续。

选择我们需要下载那种语言版本的更新

注意：为了减小磁盘空间的占用，这里我们只选择中文。

16

选择我们需要下载更新的产品，在这里我们几乎可以选择到微软所有的主流产品，选择自己需要的更新产品即可，一般为office 2003，windows XP，windows 2003 server等

选择我们需要下载的更新分类，根据需求配置。

17

配置同步计划，如果你希望减轻服务器的负担你可以选择手工同步，如果你希望减轻自己的负担就配置为自动同步即可。值得注意的是在配置自动同步时，我们应该将自动同步的时间安排在半夜，这样以来，服务器的同步过程中的压力就小得多，而且也不会影响到你的网络质量。

OK，到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行WSUS管理管制台并自动开始初始同步。之后我们可以选择“下一步”获得额外的信息，当然你也可以直接点击“完成”。如果是第一次安装WSUS3，我强烈建议在这里选择点击“下一步”。

18

这个界面为我们准备了非常有用的产品使用帮助链接，不妨先看看这些帮助。

注意：安装完毕以后，WSUS不会在桌面上生成快捷方式，在程序中也不会显示新添加的程序，需要从控制面板——管理工具——Microsoft windows server update serverces 3.0 打开

步骤 3：部署 WSUS

部署WSUS主要分为两个部分： ••

服务器端的部署客户端的部署

服务器端的部署

开始——运行gpedit.msc——计算机配置——管理模板——windows组件——windows update

19

这里有很多设置，服务器端只需要设置“允许非管理员用户接收更新通知”选择“已启用”，确定即可

20

客户端的部署

客户端的部署可以有2种方法： ••

方法一：客户端组策略的配置方法二：客户端注册表的修改

注意：客户端组策略的配置也可以通过修改注册表来实现，所以选择其中一种方法就可以啦，推荐使用方法二，易于操作

客户端组策略的配置

开始——运行gpedit.msc——计算机配置——管理模板——windows组件——windows update

21

这里我们从“配置自动更新”开始

22

这里选择“已启用”，“自动下载并计划安装”，“每星期一 17：00”，表示每周一的17：00分客户端会自动从服务器端下载更新并自动安装，安装后会提示是否要重启。 （这里只是举例，具体操作可以根据实际需求来配置） 配置完，这一项，点击“下一设置”

这里选择“已启用”，“为检测更新设置Internet 更新服务”按照图示设置为服务器端的IP地址，格式为：http://WSUS的服务器地址：端口号

23

是否需要在IP地址后面添加端口号，取决于之前安装WSUS网站首选项的设置，如果为IIS默认，则不需要添加端口号；如果为创建，则需要添加端口号8530（不能改动） 点击“下一设置”

这里可以先选择“未配置”，点击“下一设置”

这里保持默认，点击“下一设置”

24

这里选择“已启用”，点击“下一设置”

这里选择“已启用”，“间隔（小时）检查更新”默认为22个小时，意思是客户端每隔22个小时才会访问服务器端，查看是否有适合自己的新的更新，所以我们这里可以设置的小一点，比如5个小时。 点击“下一设置”

25

这里选择“已启用”，点击“下一设置”

到此为止，客户端组策略的设置基本完成了，其中的一些细节需要自己在使用的过程中进行修改。

客户端注册表的修改

当客户端为administration权限时，客户端是不需要修改注册表就可以进行更新程序的，在我们实际使用中，很多用户都属于user组权限，当客户端属于user组时（并非guest组），需要对注册表进行以下修改才可以进行更新。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate] \"ElevateNonAdmins\"=dword:00000001

设置为1时，非管理组成员才可以为计算机打补丁

\"TargetGroupEnabled\"=dword:00000001

只有设置了这个，客户端的计算机才能被wsus的服务器检测到！！

\"TargetGroup\"=\"\"

目标组－－就是客户端自动注册到wsus服务器的哪个计算机组，可以为空。

注意：以上三项都是需要手动添加的，注意前两个需要新建为dword值，后一个需要新

26

建为字符串值

到此，客户端的设置就完成了~~

建议：当你设置完组策略后，可以到

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate] [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU] 这两个目录下查看注册表发生了哪些变化，就可以发现组策略跟注册表之间的关系了，具体实施时，就不需要每台电脑单独设置组策略，只要写好一个修改注册表的文件就可以了。

以下是注册表的部分介绍，仅供参考！具体见“部署 Microsoft Windows Server Update Services”（文档可能为英文）中可以找到有关内容的更为全面的阐述： [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU] \"NoAutoUpdate\"=dword:00000000 设置为0，表明自动升级 \"AUOptions\"=dword:00000004

设置为4，表示下载后自动安装。3是提醒安装

\"ScheduledInstallDay\"=dword:00000000 设置为0，表示每天都检测升级

\"ScheduledInstallTime\"=dword:0000000a

设置安装补丁的时间，因为AUOptions设置为4，所以这里设置自动安装的时间为a，也就是十进制的上午十点，到上午十点，自动安装补丁。

\"UseWUServer\"=dword:00000001

//表明使用wsusserver，也就是你自己搭建的wsus服务器，而不是去微软公司的网站升级。

\"AutoInstallMinorUpdates\"=dword:00000001

设置为1，表明后台安装，就是悄悄地，补丁已经打上了。

\"RebootRelaunchTimeoutEnabled\"=dword:00000001 //设置为1才可以设置下面的参数

\"RebootRelaunchTimeout\"=dword:00000014

表明提示重启动间隔时间，这里设置为20分钟，十六进制

\"DetectionFrequencyEnabled\"=dword:00000001 这里设置为1，下面的参数才有效

\"DetectionFrequency\"=dword:00000005

设置检测的频率，这里为了测试用，所以频率设置为了5，应该设置为22即可，一天一次

\"NoAutoRebootWithLoggedOnUser\"=dword:00000001

设置为1，表明用户可以选择是否等一会在重新启动，设置为0的话，5分钟之内重启动

27

\"RebootWarningTimeout\"=dword:00000010 安装计划的升级后，提示重启的时间

\"RebootWarningTimeoutEnabled\"=dword:00000001

设置为1，上面的健设置才有效。设置为0的话，默认为10分钟

\"RescheduleWaitTime\"=dword:00000005

如果一个更新错过了安装时间后，下次开机提示的时间，比如，你上午十点的时候没开机，自然没安装，设置这个参数后，表示开机5分钟以后，提示你安装。

\"RescheduleWaitTimeEnabled\"=dword:00000001

在附近中，会提供 客户端使用注册表的实例

步骤 4：使用 WSUS

发现客户端

WSUS的界面以及使用操作延续了Microsoft的风格，人性化，好操作，容易懂！ 运行WSUS程序：控制面板——管理工具——Microsoft windows server update serverces 3.0 打开

28

打开WSUS的管理控制台，整体界面非常的直观，在默认页我们可以看到WSUS3简洁的报告。

展开我们的WSUS3服务器，可以看到相关的操作和功能。

29

点击“更新”，在界面的中间窗体就会显示相关的信息报告，非常的直观。

通过选择“所有更新”、“关键更新”或“安全更新”，我们可以针对性地对其进行管理，如审批更新、拒绝更新，或获取更新的详细信息等等。

30

计算机下我们可以监视或管理受WSUS支持的客户端。 这里可以看到四台已经监视到的计算机，前面的感叹号表示客户端还没有将更新的信息上报给服务器端。你可以添加一些分组，比如我这里添加了财务部，风控部，技术部，结算部，将相应的客户端放进各自分组便于管理。

注意：这是检查客户端设置是否正确的第一步，服务器端不会立刻将客户端读取上来，一般要等5到10分钟时间，如果依然读取不到客户端，请检查客户端组策略中“指定intranet Microsoft 更新服务位置”处是否设置正确（IP地址和端口）！

同步更新

同步时可以进行手动的“立即同步”，同步后的补丁信息会在窗口显示出来

31

双击后我们可以看到所有新的更新！

注意：并不是这里所有的更新都适用于客户端的每台电脑！我们可以查看每台客户端真正需要的更新，不过为了省事，也可以将所有更新都审批安装，只是不需要的客户端会显示更新状态为不适用~

客户端更新

双击任意一个客户端

32

这里可以看到客户端的一些更新状态，我们可以在“包括具有以下状态的更新”中选择“需要”，然后点击“运行报告”

我们发现其实只有这四个更新才是它真正需要的！

33

审批更新中选中其所在组就可以了。

这样就审批成功了！

注意：如何验证客户端是否可以更新补丁呢？当补丁下载完毕后，我们可以在运行中用 wuauclt.exe /detectnow命令来让客户端立刻检测服务器端是否有更新，如果可以检查到更新并且自动下载安装，那就说明你的设置没有问题了！ 下面接着是一些WSUS的简单介绍，可以看一下。

34

在同步下我们可以监视到同步进度等信息，同时也可以手工地执行或停止同步。

这里我们可以体验一下WSUS3全新的报告功能，它更加详细、更加直观。

35

在选项下，WSUS3为我们提供并增加了很多有用的设置。

36

我们可以设置规则，来自动执行审批。

WSUS3还为我们增加了清理功能，有效地解决了日后磁盘空间占用的问题。

37

此外，WSUS3还为我们提供了电子邮件通知功能，通过它我们可以定期地将WSUS状态报告发送到指定的邮件地址中。

总结：

本文对WSUS的部署进行了比较详细的说明，照着步骤做下来应该没有问题：

Windows 2003 server SP2安装 WSUS的相应系统补丁 WSUS 3.0安装

服务器端和客户端，组策略和注册表的修改

本文对WSUS的详细使用做了比较简单说明，因为作为Microsoft的一款免费产品，WSUS的界面，操作都很人性化，不需要做过多的解释就可以正常使用的。对于用过Microsoft产品的技术人员来说，这些都不成问题。

这里强烈建议阅读Microsoft官方文档Deploying Microsoft Windows Server Update Services，里面详细介绍了如何部署WSUS的每个细节！ 或者到微软的官方网站查找WSUS的文档，有很多，这里就不一一说明了。

38