鸿 网 互 联 www.68idc.cn

WSUS实战之补丁分发完全攻略

来源:互联网 作者:佚名 时间:2015-06-04 21:17
在上一篇文章中(WSUS +SP 部署实战(图) ) 我们完成了WSUS SP 的部署 本文我们就来介绍如何利用WSUS进行补丁分发 WSUS的实验拓扑如下图所示 Florence是域控制器 Berlin是WSUS服务器 Perth是工作站 WSUS服务器已经在同步选项中对产品及类别进行了设置 也

  在上一篇文章中(WSUS+SP部署实战(图))我们完成了WSUSSP的部署本文我们就来介绍如何利用WSUS进行补丁分发WSUS的实验拓扑如下图所示Florence是域控制器Berlin是WSUS服务器Perth是工作站WSUS服务器已经在同步选项中对产品及类别进行了设置也已完成了同步我们接下来就要利用这个环境进行补丁分发(图

  

  

  完成补丁分发需要注意以下三点

  一 WSUS分组管理

  二 组策略或注册表设置

  三 WSUS更新批准

  下面分别介绍具体内容

  一 WSUS分组管理

  分组管理可以把WSUS客户机放入不同的组中进行管理每个组可以有不同的补丁管理策略这些对于管理工作的细化很有好处举个简单的例子微软已经发布了Windowx XP SP但这个补丁安装后的效果如何管理员却没有把握这时管理员可以创建一个测试组仅允许测试组的计算机安装Windows XP SP如果效果不错就向全体用户推广如果效果不佳就停止部署因此我们有必要先进行计算机组的设置

  在浏览器中输//berlin/wsusadmin打开WSUS服务器的管理页面在管理页面中点击计算机如下图所示WSUS安装时默认创建了两个组一个是所有计算机一个是未指定的计算机默认情况下每个WSUS的客户机都会属于这两个组(图

  

  我们准备创建两个组一个名为ITET一个名为TESTITET组用于普通的客户机TEST组用于测试补丁的客户机点击上图中的创建计算机组弹出对话框要求我们输入组名如下图所示我们为计算机组命名为ITET这样我们就创建出了一个计算机组然后用同样的方法再创建一个名为TEST的计算机组(图

  

  

  计算机组创建完成后如何将客户机加入到指定的组中?WSUS提供了两种方法供管理员选择我们可以在WSUS的管理页面中点击选项如下图所示点击计算机选项(图

  

  

  在计算机选项中我们看到有两种选择一种是用组策略或注册表决定客户机加入哪个计算机组一种是在WSUS服务器的管理页面中用移动计算机的方法将客户机加入计算机组

  如果客户机数量较少移动计算机的操作是比较简单的但如果客户机数量较多显然还是组策略更有效率在此我们选择利用组策略或注册表进行设置点击保存设置让更改生效(图

  

  

  二 组策略或注册表设置

  到目前为止我们部署了WSUS服务器创建了计算机组但客户机如何知道哪台计算机是自己需要的WSUS服务器客户机应该加入哪个计算机组呢?这些设置可以通过组策略或注册表来完成(其实两者是一样的组策略不过是提供了一个友好的修改注册表的界面)

  ) 用组策略设置

  如果在域环境下用组策略是效率最高的方法我们只要部署一个域级别的组策略就可以轻松完成WSUS设置在域控制器Florence上依次点击 开始-程序-管理工具-Active Directory用户和计算机右键点击域选择属性在属性中切换到组策略标签如下图所示选择默认组策略Default Domain Policy点击编辑按钮(图

  

  

  在组策略编辑器中展开 计算机配置-管理模板-Windows组件-Windows Update如下图所示在此我们可以进行WSUS相关策略的设置(图

  

  编辑配置自动更新策略如下图所示在此策略中我们选择启用自动更新并且将自动更新模式配置为自动下载并通知安装在此模式下客户机会自动下载补丁但在安装补丁前会通知用户(图

  

  

  编辑指定Intranet Microsoft更新服务位置策略如下图所示在此策略中可以设定WSUS更新服务器和统计服务器Intranet更新服务器提供补丁下载Intranet统计服务器提供报表统计在此例中我们用一台服务器同时提供这两种服务我们描述服务器可以使用Netbios名称完全合格域名或IP(图

  

  编辑允许客户端目标设置策略如下图所示在此策略中我们可以设置客户机加入的WSUS计算机组我们将计算机的目标组设置为刚创建的ITET(图

  

  

  完成上述设置后基本已经可以满足WSUS实验需求其他策略我们就不一一列举了

  ) 用注册表设置

  如果部署环境是在工作组中那么就没有域环境这么方便了虽然我们可以编辑每台计算机的本地安全策略但这么做对一名管理员的耐心是一个极大的考验在这种情况下管理员一般会采用导入/导入注册表的方法来进行设置具体是这样的先在一台模板计算机上编辑好本机的组策略设置方法如前文介绍然后用regedit打开模板计算机的注册表定位到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate如下图所示我们看到注册表中已经设好了WSUS服务器的名称计算机加入的目标组等参数我们现在要做的就是把这些注册表设置导出成文件然后在其他的计算机上进行导入操作我们在WindowsUpdate上点击右键选择导出(图

  

  

  如下图所示我们选择将Windowsupdate分支导出成文件文件名为C:\WSUSREG(图

  

  

  然后我们只需将WSUSREG文件利用电子邮件或文件服务器分发给其他用户每个用户双击此注册表文件进行导入操作即可
   

  三 WSUS更新审批

  完成了前面的设置接下来就该进行实质性的操作我们要在WSUS服务器上分发补丁了!上篇博文中我们对WSUS服务器进行的同步设置中规定了WSUS只能涉足Win平台下的安全更新和关键更新这些更新必须经过WSUS服务器批准安装才能分发到客户机上下面我们来看看到目前为止哪些更新被批准安装了打开WSUS服务器的管理页面点击页面上方的更新如下图所示在左侧视图中对产品和分类选择关键和安全更新批准选择安装已同步处选择任何时间这时右侧面板中显示被批准安装的更新只有两个一个是Windows install 一个是Bits和Http这两个更新是WSUS客户端所必须的肯定会被批准安装问题是那其他的更新为什么没被批准呢?原来WSUS服务器对安全更新和关键更新默认只批准检测不批准安装现在我们来批准安装一些更新(图

  

  

  ) 手工批准更新

  在WSUS服务器的管理页面中选择更新中在左侧视图中对批准选择仅检测如下图所示这时右侧面板中显示共有个更新每个更新前的图标是灰色的代表此更新没有被批准安装我们选择所有更新点击左上角的更改批准(图

  

  

  如下图所示我们对所有更新都批准安装其实有些补丁并不适合当前环境例如有一些位的补丁但实验环境下我们就不仔细筛选了从下图中还可以看到对每个组可以采取不同的管理策略例如有的组批准安装有的组只批准检测管理起来非常灵活这也是我们设置计算机组的意义所在(图

  

  

  将更新的状态从批准检测更改为批准安装后WSUS开始对补丁状态进行更改如下图所示(图

  

  如下图所示状态更改完成每个更新前的图标变成了绿色箭头这代表此更新被批准安装现正在下载中但还没有下载完毕如果下载完成图标会变为蓝色桶状(图

  

  ) 自动批准安装

  如果觉得手工批准安装太麻烦我们可以让WSUS自动批准打开WSUS的管理页面在选项中点击自动批准选项如下图所示(图

  

  如下图所示我们选择对安全更新程序和关键更新程序批准安装这样以后只要WSUS服务器发现微软的更新网站有了新的安全更新或关键更新WSUS就会自动批准进行检测进行安装!(图
    
   

  

  好了WSUS服务器端的设置已经基本完成让我们去客户机上看一下吧首先在客户机上可以运行gpupdate /force来加速组策略的生效否则域成员服务器或工作站等候组策略生效可能最多需要分钟然后可以运行wuauclt /detectnow这样客户机可以立即连接到WSUS服务器而不需要等待分钟的延时过程如下图所示(图

  

  

  等待一段时间后客户机的右下角出现提示告诉我们有一些更新需要安装如下图所示哈哈WSUS开始工作了(图

  

  如下图所示客户机从WSUS服务器上下载了四个更新我们点击安装(图

  

  安装过程如下图所示(图
    
   

  

  客户机如果想知道到底安装了哪些更新可以输入命令systeminfo如下图所示客户机安装补丁的数量和名称都已经列出来了(图
    
   

  

  管理员如果想了解补丁的部署情况就可以使用WSUS强大的报表功能管理员可以打开WSUS的管理页面选择报告如下图所示点击计算机的状态(图
    
   

  

  如下图所示在左侧的视图中我们选择查看ITET计算机组已安装补丁的报表点击应用(图

  

  如下图所示WSUS显示了ITET组内每台计算机所安装补丁的统计信息(图

  

  如果想查看详情可以点击计算机名左侧的+号如下图所示WSUS显示了perth所安装的个更新的详细信息WSUS的报告功能还有很多用法在此我们就不一一列举了(图

  

  

  有一点大家要注意在上一篇博文中我们看到WSUS刚安装完时只能支持操作系统的更新功能是比较简陋的好在WSUS服务器工作后首先对自身组件进行更新现在它已经可以支持微软的全系列产品了我们再次查看同步选项中的更新产品如下图所示是不是吓了你一大跳?这变化也太大了吧如果你有一些微软的其他产品也需要更新不要犹豫赶紧去更改WSUS的同步选项吧!(图

  

  至此我们完成了WSUS服务器的补丁分发在下一篇文章中我们会介绍如何部署WSUS的下游服务器

网友评论
<