一、WSUS 安裝要求

1、硬件要求：

對于多達 13000 個客戶端的服務(wù)器，建議使用以下硬件：
* 4 Core E5-2609 2.1GHz 的處理器
* 8 GB 的 RAM

2、軟件要求：

要使用默認選項安裝 WSUS，必須在計算機上安裝以下軟件。

* Microsoft Internet 信息服務(wù) (IIS) 6.0。

* 用于Windows Server 2012 R2 的 Microsoft.NET Framework 1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

3、磁盤要求：

要安裝 WSUS，服務(wù)器上的文件系統(tǒng)必須滿足以下要求：

* 系統(tǒng)分區(qū)和安裝 WSUS 的分區(qū)都必須使用 NTFS 文件系統(tǒng)進行格式化。

* 系統(tǒng)分區(qū)至少需要 1 GB 的可用空間。

* WSUS 用于存儲內(nèi)容的卷至少需要 60 GB 的可用空間，建議預(yù)留空間為 40 GB。 

二、 環(huán)境描述

•    目前用于WSUS的服務(wù)器一臺，配置和功能如下：

WSUS 配置清單
操作系統(tǒng)版本：  Windows Server 2012 R2 Chs
ServerName： CNHZWS01
IP Address ：192.168.1.12
Mask    255.255.255.0
GateWay    192.168.1.1
DNS Server    192.168.1.10    192.168.1.11
系統(tǒng)盤（C）大小    1TB
PageFile位置以及大小    你們按照常規(guī)定義
備注：
所在域名名稱：vancen.com

三、 安裝服務(wù)器角色

首先，我們檢查第一臺已經(jīng)安裝Windows Server 2012 R2的服務(wù)網(wǎng)絡(luò)的相關(guān)配置，確保服務(wù)器IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)的參數(shù)如下操作如下

步驟 1： 配置修改服務(wù)器的IP和DNS地址

步驟 2：修改WSUS服務(wù)器名，并將服務(wù)加入至VANCEN域

步驟 3：輸入加域權(quán)限的用戶名和密碼將服務(wù)器加入VANCEN域

步驟 4：提示服務(wù)器成功加入VANCEN域

步驟 5：立即重動服務(wù)器讓應(yīng)用生效

步驟 6：使用本地 Administrators 組成員的帳戶登錄到你計劃安裝 WSUS 服務(wù)器角色的服務(wù)器。在“服務(wù)器管理器”中，單擊“儀表板”，然后單擊“添加角色和功能”

步驟 7：在“開始之前”頁面上，單擊“下一步”

步驟 8：在“選擇安裝類型”頁上，確認已選擇“基于角色或基于功能的安裝”選項，然后單擊“下一步”

步驟 9：在“選擇目標服務(wù)器”頁上，選擇服務(wù)器所在的位置（從服務(wù)器池或虛擬硬盤中）。選擇位置后，選擇你想安裝 WSUS 服務(wù)器角色的服務(wù)器，然后單擊“下一步”

步驟 10：服務(wù)器選擇這里選擇默認的，假如你需要針對其它主機安裝“windows server更新服務(wù)”角色，這里可以選擇你需要的主機，點擊“下一步”這里勾選“windows server 更新服務(wù)”

步驟 11： 當勾選這個選項時，會彈出如下對話框，點“添加功能”。

步驟12：在“選擇功能”頁上，保留默認選擇，然后單擊“下一步”

重要事項

WSUS 僅需要默認的 Web Server 角色配置。如果你在設(shè)置 WSUS 時收到有關(guān)額外 Web Server 角色配置的提示，你可安全接受默認值并繼續(xù)設(shè)置 WSUS。 

步驟 13：在“Windows Server Update Services”頁上，單擊“下一步”

步驟 14：在“選擇角色服務(wù)”頁上，保留默認選擇，然后單擊“下一步”

步驟 15：在“內(nèi)容位置選擇”頁上，鍵入有效的位置以存儲更新，然后單擊“下一步”

存儲更新的位置可以是WSUS的本地路徑，也可以放到UNC共享里面。

步驟 16：查看web服務(wù)器角色IIS的配之配置，我們這里保持默認即可，直接點擊下一步

步驟17：確認你要安裝的所有內(nèi)容。確認無誤后點擊“下一步”

步驟18：在“安裝進度”頁上，單擊“啟動后安裝任務(wù)”，并等到此任務(wù)順利完成，然后單擊“關(guān)閉”

在服務(wù)器管理器中，驗證是否出現(xiàn)提醒你需要重新啟動的通知。根據(jù)安裝的服務(wù)器角色，這可能有所變化。如果需要重新啟動，請務(wù)必重新啟動服務(wù)器以完成安裝。

步驟19： 啟動安裝后的任務(wù)

四、使用配置向?qū)?/h2>

安裝完成一級WSUS服務(wù)器角色之后，第一次使用WSUS的時候會進入WSUS的配置向?qū)?，對WSUS做一個基本的設(shè)置。當然這個配置向?qū)羌稍赪SUS里面的，可以在任何時間使用配置向?qū)SUS進行配置。

步驟1：在“服務(wù)器管理器”導(dǎo)航窗格中，單擊“儀表板”，單擊“工具”，然后單擊“Windows Server Update Services”。

步驟2：Windows Server Update Services 向?qū)С霈F(xiàn)在“開始之前”頁上，單擊“下一步”。

步驟3：閱讀“加入 Microsoft 更新改善計劃”頁上的說明，評估你是否想?yún)⑴c其中。如果要參與該計劃，請單擊“下一步”繼續(xù)。

在“選擇上游服務(wù)器”頁上，你可選擇將更新與 Microsoft 更新或其他 WSUS 服務(wù)器同步。

• 如果你選擇從其他 WSUS 服務(wù)器同步，請指定服務(wù)器名稱以及該服務(wù)器與上游服務(wù)器通信時所在的端口。
• 若要使用 SSL，請選中“同步更新信息時使用 SSL”復(fù)選框。服務(wù)器將使用端口 443 進行同步。（確保該服務(wù)器和上游服務(wù)器支持 SSL）。
• 如果這是副本服務(wù)器，請選擇“這是上游服務(wù)器的副本”復(fù)選框。

步驟4：為你的部署選擇適當選項后，單擊“下一步”繼續(xù)。

因為目前部署的是一級WSUS服務(wù)器，所以我選擇直接從microsoft進行同步。
在“指定代理服務(wù)器”頁上，選中“同步時使用代理服務(wù)器”復(fù)選框，然后在對應(yīng)的框中鍵入代理服務(wù)器名稱和端口號（默認是端口 80）。

重要事項

如果你確定 WSUS 需要代理服務(wù)器才能訪問 Internet，則必須完成上一步驟。 
如果你希望通過使用特定用戶憑據(jù)來連接代理服務(wù)器，請選擇“使用用戶憑據(jù)連接代理服務(wù)器”復(fù)選框，然后在對應(yīng)的框中鍵入用戶名稱、域和用戶密碼。如果你希望啟用已連接代理服務(wù)器的用戶的基本身份驗證，請選擇“允許基本身份驗證（以明文形式發(fā)送密碼）”對話框。

步驟5：此時，你完成了代理服務(wù)器配置。單擊“下一步”轉(zhuǎn)到下一頁，這時你可以開始設(shè)置同步進程。

步驟6：在“連接到上游服務(wù)器”頁上，單擊“開始連接”。

步驟7：連接它時，然后單擊“下一步”繼續(xù)。

這里要求必須有internet鏈接。

在“選擇語言”頁上，你可選擇 WSUS 將收到更新的語言 — 所有語言或語言子集。選擇語言子集將節(jié)省磁盤空間，但必須選擇此 WSUS 服務(wù)器的所有客戶端需要的所有語言。如果你選擇僅獲得特定語言的更新，請選擇“僅下載這些語言的更新”，然后選擇你希望獲得更新的語言；否則保留默認選擇。

步驟8：為你的部署選擇適當語言后，單擊“下一步”繼續(xù)。

中國大陸一般選擇英文和簡體中文。

如果你選擇“僅下載這些語言的更新”選項，且該服務(wù)器具有與其連接的下游 WSUS 服務(wù)器，該選項將強制下游服務(wù)器也僅使用所選的語言。

步驟9：“選擇產(chǎn)品”頁允許你指定希望更新的產(chǎn)品。選擇產(chǎn)品類別（如 Windows）或特定產(chǎn)品（如 Windows Server 2008）。選擇產(chǎn)品類別將選擇該類別的所有產(chǎn)品。

步驟10：為你的部署選擇適當?shù)漠a(chǎn)品選項后，單擊“下一步”繼續(xù)。

在“選擇類別”頁上，選擇要包含的更新類別。選擇所有類別或其子集，然后單擊“下一步”繼續(xù)。

步驟11：為你的部署選擇適當?shù)漠a(chǎn)品選項后，單擊“下一步”繼續(xù)。

在“設(shè)置同步計劃”頁上，選擇手動或自動執(zhí)行同步。

• 如果你選擇“手動同步”，你必須通過 WSUS 管理控制臺啟動同步過程。
• 如果你選擇“自動同步”，WSUS 服務(wù)器將每隔一段時間執(zhí)行同步。

設(shè)置“第一次同步”的時間，并制定你希望該服務(wù)器執(zhí)行的“每天同步”次數(shù)。例如，如果你指定每天同步四次，從上午 3:00 開始，則同步將在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 發(fā)生。

步驟12：在“完成”頁上，你可通過選擇“開始初始同步”對話框，即時啟動同步。如果你不選擇此選項，你必須使用 WSUS 管理控制臺來執(zhí)行初始同步。如果你希望閱讀有關(guān)其他設(shè)置的詳細信息，請單擊“下一步”，或單擊“完成”來結(jié)束該向?qū)Р⑼瓿沙跏?WSUS 設(shè)置。

步驟13：在單擊“完成”后，WSUS 管理控制臺會出現(xiàn)。

步驟14：點擊同步視圖，查看同步過程如圖所示。

步驟15：同步完成后，如圖所示。

使用WSUS的配置向?qū)нM行初始配置之后，下面我們將利用WSUS控制臺對WSUS服務(wù)器進行進一步的配置工作。

五、組策略配置自動更新

在default domain policy做一個影響全域計算機的自動更新策略。

步驟1：在組策略管理控制臺 (GPMC) 中，瀏覽到默認的default domain policy的 GPO，然后單擊“編輯”。

步驟2：在 GPMC 中，依次展開“計算機配置”—>“策略”—>“管理模板”—>“Windows 組件”—>“Windows 更新”。

步驟3：在詳細信息窗格中，雙擊“配置自動更新”。這里我選擇3-自動下載并通知安裝，然后單擊“確定”。

單擊“已啟用”，然后單擊“配置自動更新”設(shè)置下的以下選項之一：

• 下載通知和安裝通知。該選項會在你下載和安裝更新之前通知登錄的管理用戶。
• 自動下載和通知安裝。該選項將自動開始下載更新，然后在安裝更新之前通知登錄的管理用戶。
• 自動下載和計劃安裝。該選項自動開始下載更新，然后在你指定的當天和時間安裝更新。
• 允許本地管理員選擇設(shè)置。該選項可讓本地管理員使用控制面板中的自動更新來選擇配置選項。例如，他們可以選擇計劃的安裝時間。本地管理員不能僅用自動更新。

步驟4：在 Windows Update 詳細信息窗格中，雙擊“指定 Intranet Microsoft 更新服務(wù)位置”。

步驟5：單擊“已啟用”，然后在“設(shè)置 Intranet 更新服務(wù)以檢測更新”框和“設(shè)置 Intranet 統(tǒng)計服務(wù)器”框中鍵入相同 WSUS 服務(wù)器的 URL例如，在這兩個框中（其中服務(wù)器名稱是 WSUS 服務(wù)器的名稱），鍵入 http://servername，然后單擊“確定”。

步驟6：當你鍵入 WSUS 服務(wù)器的 Intranet 地址時，確保指定準備使用哪個端口。默認情況下，WSUS 使用適用于 HTTP 的端口 8530 以及適用于 HTTPS 的端口 8531。例如，如果使用 HTTP，則應(yīng)鍵入 http://servername:8530。 

可以設(shè)置“自動更新檢測的頻率”，默認是22小時，我們可以根據(jù)實際的需要來調(diào)整間隔。如圖。

步驟7：可以啟用“對于已登錄用戶的計算機，計劃的自動更新安裝不執(zhí)行重新啟動”，這樣的話，當計算機存在已登錄的用戶的時候，裝完更新是否重啟取決于用戶的行為，計算機不會強制重啟，如圖。

步驟8：對于某些不會中斷windows服務(wù)，也不會需要重啟服務(wù)器才生效的更新，我們可以配置啟用“允許自動更新立即安裝”，如圖。

全域級別的組策略設(shè)置完成后，我們還可以針對測試組合生產(chǎn)組來配置不同的自動更新策略。

下面我們來為測試服務(wù)器組配置一個自定義的GPO，該GPO的優(yōu)先級會高于默認的域組策略，所以該GPO所鏈接到的計算機OU內(nèi)的計算機客戶端都會優(yōu)先應(yīng)用該策略。

步驟9：右擊“測試服務(wù)器組”計算機OU，選擇“在這個域中創(chuàng)建GPO并在此處鏈接”，如圖。

步驟10：輸入新建的GPO的名稱，如圖。

步驟11：然后我們右擊新建的GPO，選擇編輯，如圖。

然后我們就可以為該GPO設(shè)置不同的自動更新策略了，所有鏈接到這個策略的計算機OU都會應(yīng)用該策略。

一般來說：測試環(huán)境的服務(wù)器和客戶端我們可以配置自動下載通知安裝或者自動下載計劃安裝，對于生產(chǎn)環(huán)境的客戶機我們可以設(shè)置自動下載并計劃安裝，對于生產(chǎn)服務(wù)器組，如果需要手動控制打補丁的行為和重啟時間，我們可以配置自動下載并通知安裝，具體要看需求。

步驟12：下圖是我為生產(chǎn)客戶端計算機組設(shè)置的自動下載并計劃安裝的策略。

設(shè)置策略之后，客戶端計算機幾分鐘后，計算機將出現(xiàn)在 WSUS 管理控制臺中的“計算機”頁上。對于配有基于域的組策略對象的客戶端計算機，組策略將花費大約 20 分鐘才能將新的策略設(shè)置應(yīng)用于客戶端計算機。默認情況下，組策略會在后臺每隔 90 分鐘更新一次，并將時間作 0 到 30 分鐘的隨機調(diào)整。如果你希望更快地更新組策略，可在客戶端計算機上打開“命令提示符”窗口，并鍵入 gpupdate /force。

六、WSUS查看狀態(tài)報告

默認情況下，在WSUS控制臺中是無法查看狀態(tài)報告的，如果想正常的查看狀態(tài)報告，需要一些插件和功能的支持，下面就來看整個實現(xiàn)的過程。

步驟1：首先我們隨意右擊一臺客戶端，選擇“狀態(tài)報告”，如圖。

步驟2：系統(tǒng)會提示我們，此功能需要使用microsoft report viewer 2008可再分發(fā)組件，如圖。

步驟3：我們可以點擊上圖中的鏈接，打開microsoft的網(wǎng)站進行下載，如圖。

步驟4：然后我們來安裝這個組件，如圖。

步驟5：安裝的過程中，提示我們需要.net framework的支持，如圖。

步驟6：我們先暫停安裝，回到添加角色和功能，把.netframework 3.5.1的功能裝上，如圖所示。

步驟7：然后我們繼續(xù)完成組件的安裝，如圖。

步驟8：以上安裝完成后，可以順利打開狀態(tài)報告功能，如圖。

七、WSUS常用控制臺選項配置

1、在WSUS控制臺中，默認提供了很多選項，這些選項為我們更好的管理和使用WSUS提供了很好的途徑。首先，來看看“計算機清理向?qū)?rdquo;，一般我們可以每個月運行一次計算機清理向?qū)?，來清理不需要的更新，釋放磁盤空間等等，具體清理向?qū)Т蜷_的方式如下。

打開之后可以做的清理操作如下。我們可以默認全部選擇，也可以根據(jù)需要進行自定義的選擇。如果公司的環(huán)境中計算機的數(shù)目比較多，這個清理向?qū)н€是很有用處的。

2、另外一個功能就是我們可以配置電子郵件通知。選擇“選項”，“電子郵件通知”。 
在電子郵件通知的常規(guī)選項卡，我們做如下圖的設(shè)置。

可以看到可以通過WSUS發(fā)送新更新和狀態(tài)報告的通知。可以配置多個收件人，配置同步頻率和時間信息。

在電子郵件服務(wù)器選項卡，可以配置接收通知的電子郵件服務(wù)器信息，發(fā)件人信息，SMTP驗證信息。

點擊上圖的“測試”，系統(tǒng)提示我們在測試之前將其保存，選擇“是”。

正在發(fā)送測試電子郵件，如圖。

我們現(xiàn)在打開QQ郵箱的收件箱，可以看到剛才發(fā)送的測試郵件。

補丁服務(wù)器部署與配置結(jié)束完成。

到此這篇關(guān)于Windows server 2019 部署 WSUS 補丁服務(wù)的配置的文章就介紹到這了,更多相關(guān)Win2019 部署WSUS補丁內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論