说明:为了解决公司内网windows服务器补丁及漏洞的更新,通过公司内网中的WSUS升级服务,所有Windows更新都集中下载到内部网的WSUS服务器中,而网络中的客户机通过WSUS服务器来得到更新,从而避免了内网服务器暴露在互联网区的安全隐患问题。
架构图如下所示:
环境:Windows2012R2(64位)
需要的软件:
在这里我选择使用的是自带的数据库,没有在另外安装数据库,这样会方便很多。服务器端安装很简单,默认下一步的安装下去就可以了,点击第一个安装包就会发现第一个报错了。如下图:提示需要安装IIS才可以。
IIS没有安装的报错先安装IIS:
安装IIS,选择如下两个服务:
中间有几步都是默认下一步就可以。
选择存储路径,可自定义:
IIS开始安装:
安装完成后重启服务器,重启后需点击配置
现在开始安装第一个包,就可以了直接下一步,同意协议什么的就可以了,过程中可能会提示:
提示没有安装report viewer就是第三个安装包,可以在后期安装。选择更新存储在什么位置,建议专门为WSUS划分一个磁盘空间60G左右的盘。
默认数据库安装在C盘,建议和补丁放在相同磁盘下。
使用默认的网页,也可以创建新的
提示上面的配置和需要安装的组件
默认下一步就可以了,在下一步就是安装了等待安装完成。
安装第三个安装包report非常简单,默认下一步即可。在wsus安装完成之后会弹出如下的界面:
配置向导
默认下一步即可:
选择补丁来源:
外网机器默认去微软的更新服务器,当然如果你知道公网中补丁服务器也可以选择使用。如果是内网第一台补丁服务器默认即可,如果是内网下游服务器选择上游服务器的IP地址设置。代理服务器根据情况设置,这里默认不选择进行下一步即可。
选择语言:
如果是外网服务器开始连接,根据你的网速关系需要的时间有长有短。如果是内网机器到此就可以叉掉了。然后进入打开应用wsus。
选择进入在里面选项,有几个地方一定要设置的,语言和是否自动审批。这里需要注意如果使用上下游主机的结构,语言设置一定要一置,否则会报错没有办法下载此更新。产品和分类下游机器可以不设置。语言一定要设置。自动审批是否设置根据客户要求配置,设置完成之后会和外网一样自动对应已审批就是已审批拒绝就是拒绝。建议设置自动审批。
选项设置:
这里是没有和微软补丁连接的时候的产品和分类,如果连接之后会出现windows各个系统版本而不是家族的显示。自此设置就已经结束了,但是还没有和微软补丁同步下载。
立即同步:
这个地方会显示下载的大小,下载完成就表示你审批的补丁下载好了。外网下载好以后,就可以开始拷贝到内网的操作了。首先需要拷贝下载的补丁文件,然后还需要数据库的导出和导入操作。
补丁文件位置:
数据库导出:
导出数据库:wsusutil export c:wsus.cab c:wsus.log 将wsus.cab和wsus.log和补丁文件拷贝到内网相应的位置,不一定非要是C盘。 然后cd到对应的位置C:Program FilesUpdate ServicesTools 运行wsusutil import c:wsus.cab c:wsus.log导入数据库。这样就已经完成服务器端的同步下载和内网拷贝。
数据库导入
为更好分发补丁,可以新建"自动审批规则"来更精细的分发补丁。这里我们以定义"Windows2008R2"为例
1.选择"所有计算机"--窗口右侧的"添加计算机组",分别创建"Windows2008R2"等计算机组,这里可以根据实际需求进行分类。
2.选择"报告"--"自动审批"进行规划创建。
3. "新建规则"
4. 钩选"更新属于特定的分类时"、"更新属于特定的产品时"
5.分别配置"任务分类"、"任何产品"两项设置。
"更新分类",默认全部钩选,这里我们钩选"Service Pack"、"安全更新程序"、"关键更新程序"如有其它更新需求根据实际情况钩选。
"产品",默认全部钩选,这里我们钩选如下产品。
5. 配置审批补丁系统类型,选择"为 所有计算机 审批更新"选项。钩选我们刚才新建的"Windows2012R2"组。
6.为规则命名名称完成配置,完成后我们可以看到有一条新规则并且为钩选状态,同时选择"运行规则",最后确定完成配置。
Win+R运行gpedit 弹出组策略,找到计算机配置——管理模版——windows组件——windows update 在右半边找到配置自动更新,指定Intranet Microsoft更新服务位置,自动更新检测频率,允许客户端目标位置
组策略配置
配置自动更新:
指定Intranet Microsoft更新服务位置:
自动更新检测频率:
允许客户端目标位置:
配置完成一定要点击应用,确定按钮。这个完成需要在cmd中输入wuauclt.exe /detectno 意思是立刻生效,和服务器报告。
查看设置是否成功
进入update的更改设置中看到以上信息说明已经生效了。
如果此处没有显示这个信息有两种情况:1.需要重启2.此电脑设置了域,需要在域管理中下发策略。这个方法比较麻烦,需要一台一台手动添加。如果所有电脑都加入了域可以在域管理主机直接下发策略,手动慢的话也可以使用注册表修改,写注册表修改的脚本就可以了。
注册表:
以下就是注册表修改需要用的,新建文本,最后把txt给出reg就可以了。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_macHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
"WUServer"="http://XXXXX"
"WUStatusServer"="http://XXXXX"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Windows2012R2"
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000014
"UseWUServer"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000001e
"RescheduleWaitTime"=dword:00000005
"RescheduleWaitTimeEnabled"=dword:00000001
"NoAUShutdownOption"=dword:00000001
"NoAUAsDefaultShutdownOption"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000022
"NoAutoRebootWithLoggedOnUser"=dword:00000001
"RebootWarningTimeout"=dword:00000010
"RebootWarningTimeoutEnabled"=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"WSUS Update"="wuauclt.exe /detectnow"
如果有域需要在域服务器端(DC)的组策略中和上面相同的设置就可以了。
如果对您有帮助可以关注我哦!每天分享运维相关技术软件链接可以在下方发评论处索取哦。