详解 WSUS 部署

WSUS

    WSUS是Windows Server Update Services的简称，它在以前Windows Update Services的基础上有了很大的改善。目前的版本可以更新更多的Windows补丁，同时具有报告功能和导向性能，管理员还可以控制更新过程。

　　Windows Server 更新服务 (WSUS) 使信息技术管理员能够将最新的 Microsoft 产品更新部署至运行了 Microsoft Windows Server 2003、Windows 2000 Server 和 Windows XP 操作系统的网络中的计算机上。

　　WSUS是个微软推出的网络化的补丁分发方案，是免费的，可以在微软网站上去下载。

　　WSUS支持微软公司全部产品的更新，包括Office、SQL Server、MSDE和Exchange Server等内容。通过WSUS这个内部网络中的Windows升级服务，所有Windows更新都集中下载到内部网的WSUS服务器中，而网络中的客户机通过WSUS服务器来得到更新。这在很大程度上节省了网络资源，避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。

　　WSUS采用C/S模式，客户端已被包含在各个WINDOWS操作系统上。从微软网站上下载的是WSUS服务器端。

　　通过配置，将客户端和服务器端关联起来，就可以自动下载补丁了。这个配置几乎就是使用WSUS的全部工作了。

WSUS的三种拓扑结构：

1. 单服务器拓扑。如下图所示，单服务器拓扑是使用最广泛的WSUS拓扑。单服务器拓扑利用一个 WSUS 服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。 <?XML:NAMESPACE PREFIX = O />

<?XML:NAMESPACE PREFIX = V />

 

2、 链式拓扑。如下图所示，链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司 /分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。

 

3、分离式拓扑。如下图所示，分离式拓扑指的是在一个与互联网隔离的网络内，WSUS服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队，公安等专用网络

 

       下面来做下WSUS的部署工作，首先介绍下拓扑结构，Florence

做WSUS的域控制器，berlin做WSUS服务器，perth做网关，Instanbul为测试用

，三台计算机操作系统为win2003

一、部署前的准备工作

1、首先把Florence升为域itat.com，这个域大家轻车熟路了，几乎每个实验都要做，就不多说了。

2、 WSUS2.0SP1 要求系统分区至少应有<?XML:NAMESPACE PREFIX = ST1 /> 1G 的剩余空间， WSUS 的更新文件需要至少 6G 空间， WSUS 的元文件至少需要 2G 空间，更新文件是我们安装补丁时所需要的二进制文件，元文件则负责提供更新文件的信息，例如这个补丁修补了哪些漏洞，适用于哪些版本，需要哪些安装条件等等。更新文件存储在目录中，元文件存储在数据库中，建议将 WSUS 数据安装在非系统分区，并且至少准备 8G 剩余空间。

　　

3、由于 WSUS 客户机和服务器之间通过 Http 或 Https 传递数据，所以IIS必不可少，在Berlin上面安装iis服务，控制面板-添加删除程序-应用程序服务器，如下图：

4、安装 BITS20

BITS文件很小，文件已经上传，这个文件安装很简单，同意学科协议直接安装 ，如图

 

5、Net Framework 1.1 SP1

这个文件不能上传，下载地址为[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=AE7EDEF7-2CB7-4864-8623-A1038563DF23[/url]

 

注意注意：如果WIN2003安装了sp1补丁，不需要安装以上两个补丁，安装完要重启计算机

6、数据库

       WSUS的后台数据库可以是SQL2000，MSDE或WMSDE。WSUS安装时自带了WMSDE，MSDE是大家很熟悉的数据库桌面引擎，MSDE和WMSDE的区别在于MSDE有最大不能超过2G的限制，而WMSDE没有。MSDE和WMSDE都没有提供管理工具，如果你需要管理工具，可以考虑安装SQL2000+SP3作为WSUS的后台数据库，也可以在WMSDE或MSDE的基础上加装一个SQL2000管理工具。建议如无特殊需求，使用WSUS自带的WMSDE数据库即可。

二、安装WSUS2.0+sp1

    准备工作就绪后开始安装WSUS，启动安装程序后，弹出安装向导，如图：

同意许可协议

设置存储 WSUS 更新文件的目录为 E:\WSUS ，更新文件至少需要 6G 磁盘空间

WSUS后台数据库选用自带的WMSDE，设置数据库的存储目录为E:\WSUS

下面这个站点如果IIS的默认网站没有占用的话建议用IIS的默认网站

Berlin作为一个独立的WSUS服务器进行管理，不需要其他WSUS服务器继承设置

所有数据设置完毕 看看有没有错误

点击下一步后开始安装

安装完成

 

三、配置perth

    perth作为网关，要有两块网卡，一个连接外网，一个连接内网

内网IP设置

外网IP设置

配置NAT

测试perth可以访问外网

 

 

四、配置WSUS

     按下图方法打开WSUS

图为wsus的控制界面

点击右上角的选项选择同步选项

点击下图Windows产品下面的更改，如图

选择要更新的产品，注意WSUS2.0只能支持操作系统相关补丁，但WSUS2.0开始工作后，就会连接到微软更新网站对自身组件进行更新，更新完毕后WSUS就可以支持微软的全系列产品了

 

设置补丁分类点击下图更新分类下面的更改

 

选择要下载的更新分类

 

设置完补丁的产品和分类后，我们来设置一下更新文件存储的位置以及更新的语言版本，鼠标拖到最下面，点击途中的高级来选择

我们选择将更新文件存储到WSUS服务器，在语言设置中选择仅下载简体中文版本的补丁

 

 

 

五、同步WSUS2.0

    同步可以让WSUS服务器获知到底有多少补丁可以下载。WSUS默认设置是手工同步的方式，如下图所示，点击“立即同步”，WSUS服务器就开始工作了。第一次同步微软更新网站的时间比较长，从几十分钟到几个小时不等，之后的同步采用增量方式，所需要的时间就会少很多

 

点击立即同步后，服务器马上开始同步工作，如下图

转载于:https://blog.51cto.com/zhangyanquan/182826