Windows 2008 R2 SP1部署WSUS 3.0 SP2
该文章参考及转载至:https://wenku.baidu.com/view/825ecc37fe4733687e21aabc.html
http://www.cnblogs.com/skylumia/p/4942628.html
1 实验环境
1)WSUS服务器:
Windows2008 R2 SP1企业版;
主机名:WSUS01;
主机双网卡:
网卡一的IP地址为192.168.0.108;
2)客户端:
Windows7企业版X86;
主机名:WIN701;
IP地址为192.168.0.103。
2 安装WSUS SP2准备
1) 以本地管理登陆WSUS01服务器。
2) 安装Microsoft Report Viewer Redistributable 2008,下载链接:
http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=6ae0aa19-3e6c-474c-9d57-05b2347456b1
3) 运行Report Viewer.exe文件,下一步。
4) 接受协议,选择“安装”。
5) 选择“完成”。
6) 安装IIS组件。
7) 打开“服务器管理器”,选择“角色---添加角色”,选中“Web服务器(IIS)”,下一步。
8) 如果您要安装 Web 服务器 IIS,则在“Web 服务器 (IIS)”页中,单击“下一步”。在“Web 服务器 (IIS) 角色服务”页中,除了选中的默认设置外,还请选择“ASP.NET”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”。如果出现“添加角色向导”窗口,请单击“添加必需的角色服务”。单击“下一步”。
9) 选择“安装”。
3 安装WSUS
1) 下载WSUS30-KB972455-x64补丁包,执行安装。
下载链接:http://www.microsoft.com/downloads/en/details.aspx?FamilyID=A206AE20-2695-436C-9578-3403A7D46E40
2) 运行WSUS30-KB972455-x64安装包。
3) 下一步。
4) 选择“包括管理控制台和完整服务器安装”,下一步。
5) 接受协议,下一步。
6) 选择“本地存储补丁”,默认存储本地C:WSUS,下一步。
注意:如果更新的补丁较多,建议放在一个单独分区中。
7) 选择“在此计算机安装windows Internal Database”,下一步。
备注:
①在“数据库选项”页中,选择用于管理 WSUS 3.0 数据库的软件。默认情况下,此安装向导将安装 Windows 内部数据库。
②如果不希望使用 Windows 内部数据库,需选择“使用此计算机上的现有数据库”或“使用远程计算机上的现有数据库服务器”为 WSUS 提供要使用的 SQL Server 实例。在相应的框内键入实例名。该实例名应显示为 <serverName><instanceName>,其中
serverName 是服务器的名称,instanceName 是 SQL 实例的名称。进行选择,然后单击“下一步”。然后在出现“连接到 SQL
Server 实例”页中,WSUS 将尝试连接到指定的 SQL
Server 实例。当它已成功连接后,单击“下一步”继续。
8) 网站首选项,选择使用现有IIS默认网站,下一步。
说明:在“网站选择”页中,指定 WSUS 将使用的网站。如果希望在端口 80 上使用默认网站,则选择“使用现有 IIS 默认网站”。如果端口 80 上已有一个网站,可以通过选择“创建一个 Windows Server
Update Services 3.0 SP2 网站”,在端口 8530 上创建一个备用网站。单击“下一步”。
9) 下一步。
10) 等待安装完成,点击完成。
4 同步WSUS
1) 安装完成后,自动打开配置向导,点击下一步。
注意:
配置前网络准备:
① 检查WSUS服务器的防火墙配置为允许客户端访问服务器
②WSUS连接到上游服务器(如 Microsoft
Update)。
③如果需要设置代理服务器,是否需要名称和用户凭据
④如果 WSUS 和 Internet 之间设有企业防火墙,要从 Microsoft Update 获取更新,WSUS 服务器将端口 80 用于 HTTP 协议,而将端口
443 用于 HTTPS 协议,需要保证这些端口可以访问,可以加入以下微软更新网站:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
2) 选择“不加入客户端体验计划”,下一步。
3) 保持默认,下一步。
4) 保持默认,下一步。
5) 选择“开始连接”。
6) 等待连接完成后,选择下一步。
7) 选择要适用的语言,这里选择“中文(简体)”点击“下一步”。
8) 选择需要更新的产品(这里为了测试,只选择Office2010和Window 7),然后“下一步”。
9) 选择要下载的更新分类(这里按默认即可),点击下一步。
10) 选择手动同步(真实部署环境可以选择自动同步,单独设置同步周期),下一步。
11) 保持默认,下一步。
12) 点击“完成”。
13) 完成后,自动打开WSUS界面,可以查看同步进度(等待同步100%后),这里的同步是和微软发布的产品进行同步,同步完成后如果也审批过了会在服务器端进行下载,这样客户端连接上服务器后才会进行再次下载到客户端的,这里同步特别慢的,取决于你的网速还有选择产品的多少。
5 客户端配置:
1) 在 查找中输入gpedit.msc ,依次展开“计算机配置---策略---管理模板---Windows 组件”,然后单击“Windows Update”。
2) 在详细信息窗格中,双击“配置自动更新”。
3) 单击“已启用”,选择更新日期和时间,然后确定。
说明:
①通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。
②自动下载并通知安装。该选项自动开始下载更新,然后在安装更新之前通知已登录的管理用户。
③自动下载并计划安装。此选项自动开始下载更新,并在您指定的日期和时间安装更新。
④允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如,他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。
4) 在“Windows Update”详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”。
5) 单击“已启用”,然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中统一键入WSUS 服务器的 HTTP URL,这里都为http://WSUS01/。
6) 选择“自动检索更新的频率”,将“间隔”设置为默认22小时,设置为“已启用”。
7) 选择“允许自动更新立即安装”。
8) 选择“启用”,确定。
9) 在运行中输入“gpupdate /force”,强制刷新组策略。
10) 打开“Windows update----更改设置”,查看当前状态。如下图,说明组策略已经生效。
6 管理更新补丁
1) 以本地管理员登陆WSUS01服务器。
2) 打开“管理工具---Windows Server Update Services”。
6.1 创建和管理计算机组
注意:此步骤,可以将客户端进行分组,用于区分客户端不同操作系统版本、不用用途等。(可选)
1) 选择“Updtae Services---WSS01---计算机”,右键单击“所有计算机”,选择“添加计算机组”。
2) 输入组名,然后点击“添加”。
3) 选择“Updtae Services---WSS01---计算机---所有计算机---未分配的计算机”,右键选择需要更新补丁的客户端主机名,这里为win701.fengxja.com,选择“更改成员身份”。
4) 选择“WIN7”组,确定。
6.2更新补丁
1) 选择“Updtae Services---WSS01---更新---所有更新”,在“所有更新”详细信息页面,选择“未经审批”和“任何”,然后点击“刷新”。
2) 根据需要选择需要更新的补丁,然后选择WIN7组。
3) 选择“已审批进行安装”
4) 点击“确定”。
5) 点击关闭。
注意:以上步骤执行完成后,客户端不会立即安装补丁,而是按组策略规定时间安装补丁,并且在服务器上通常都是设置自动审批的规则。
7 解决客户端不更新现象:
1-1
1、使用WSUS Client
Tools软件检查客户端
下载地址:http://www.microsoft.com/en-us/download/details.aspx?id=30827
软件检查有三项:
WUServer=http://10.10.10.5:8530
-------(WSUS服务器地址)
WUStatusServer=http://10.10.10.5:8530 -----(WSUS服务器地址)
(1)UseWuServer is enable
---------pass
(2)onnection to server
----------pass
(3)SelfUpdate folfer is present
----------pass
如果三项都显示PASS且客户端仍没有补丁更新则做 2-1操作
例:如果前两项通过且显示error 80072efd
解决:在客户端使用proxycfg -p
proxyservername:port (proxyservername:port
WSUS服务器地址和端口)
2-1
1. 停止Automatic Updates service和BITS service,在命令提示符中运行:
net stop wuauserv
net stop bits
2. 删除%windir%\softwaredistribution目录
3. 启动Automatic Updates service和BITS
service,当这2个服务别启动的时候,他们会自动创建softwaredistribution和相关的子文件。
在命令提示符中运行:
net start wuauserv
net start bits
4. 当%windir%\softwaredistribution目录已经被创建好后,让客户端立即域WSUS服务器进行连接。
wuauclt.exe /resetauthorization /detectnow
5. 在15分钟之后,检查客户端是否检查到需要的updates.
如果问题依然存在的话,请在WSUS客户端上执行以下操作:
1. 确认Background Intelligent Transfer 服务启动
2. 运行以下的命令,重命名Catroot2 文件夹
net stop cryptsvc
ren %systemroot%\system32\catroot2 oldcatroot2
net start cryptsvc
若上述操作仍未解决请到系统盘windows文件夹下拷贝WindowsUpdate.log日志文件给专业人士分析。(注:请确认WSUS服务器没有问题,其他PC可以正常更新。)