怎么使用wsus在局域网内打补丁

安装WSUS服务器，确保这台服务器能够上internet网络，能够链接微软网站，然后对WSUS进行相关设置。设置同步信息，批准策略，补丁选择， *** 作系统选择，版本选择等。然后对局域网内的机器用组策略指定WSUS服务器以及补丁推送方式。推送方式可以选择自动下载手动安装补丁，也可以选择自动下载自动打。建议服务器是自动下载手动安装。针对不是域里的机器可以通过本机组策略来实现也可以通过注册表来实现。

WSUS的作用：

我们日常使用的微软系列软件，如 *** 作系统（Windows 2000，XP等）、办公软件（Office 2000/XP/2003）、SQL Server数据库、Exchange等，经常发布升级补丁。这些补丁通过对系统的安全或重大缺陷进行修正，提高系统的安全性和稳定性。一些病毒和黑客程序正是利用系统的缺陷侵入系统的。所以及时升级系统补丁是保证系统安全的重要环节。

一般可以通过微软的升级服务器获得补丁。但是这些升级服务器多数架设在国外，公司内每台电脑都通过外网访问升级服务器，不仅速度慢、效率低，如果公司内部有大量电脑使用，每台电脑都通过外网更新补丁就会造成公司Internet带宽的浪费；此外，并不是所有的补丁都需要去升级，而对每个用户来说，很难判断哪些补丁适合于自己的电脑。

微软提供了一个免费的补丁升级系统Windows Server Update Services，简称WSUS，2007年发布了3.0版本，非常适合于中小规模的企业部署使用。

WSUS系统需要在局域网内设置企业的WSUS服务器，通过它与微软的升级服务器联系，并将所需补丁及时推送给企业局域网内的每台电脑。下面简介配置及部署过程

一、WSUS系统的安装要求

1、硬件要求需要一台服务器，要求配置：

CPU：1.0GHz以上

内存：1GB以上

目前大多数服务器均可满足要求；

2、磁盘要求要安装 WSUS，服务器上的文件系统必须满足以下要求：

* 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。

* 系统分区至少需要 1 GB 的可用空间。

* WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间大于30 GB。

* WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。

3、软件要求：要使用默认选项安装 WSUS，必须在计算机上安装以下软件。

* *** 作系统：Windows 2000 Server ＋ SP4，建议使用Windows Server 2003。

Windows Server 2003 Service Pack 2（32 位 x86）

* Microsoft Internet 信息服务 (IIS) 6.0。

* 用于 Windows Server 2003 的 Microsoft .NET work 1.1 Service Pack 1。

用于后台智能传输服务 (BITS) 2.0 和 WinHTTP 5.1 Windows Server 2003 的更新程序

用于 Windows Server 2003 的 Microsoft 管理控制台 3.0

用于 Windows XP 的 Microsoft 管理控制台 3.0（使用Windows XP系统管理WSUS系统时需要）

Microsoft Report Viewer Redistributable 2005 SP1

以上软件均可以从微软网站下载。安装WSUS前，应确保上述软件安装完毕。

4、客户端的要求接受自动更新管理的客户端应启动其自动更新 WSUS客户端组件。

除了需要连接到网络外，客户端自动更新没有其他的硬件要求。您可以针对运行以下任一 *** 作系统的计算机上的 WSUS 使用自动更新：

Windows 2000系列：需带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。

Microsoft Windows XP Professional。

Microsoft Windows Server 2003系列。

WSUS服务器端安装

1、下载WSUS3.0软件32位版本的下载地址：

http://download.microsoft.com/download/1/a/7/1a745ad1-0b08-4703-b876-4575411af74b/WSUS3Setupx86.exe。

64位版本的下载地址：

http://download.microsoft.com/download/1/a/7/1a745ad1-0b08-4703-b876-4575411af74b/WSUS3Setupx64.exe。

2、双击安装程序文件“WSUSSetup.exe”。 3、在向导的“欢迎使用”页上，单击“下一步”。4、仔细阅读许可协议的条款，单击“我接受许可协议中的条款”，然后单击“下一步”。 5、选择更新源在“选择更新源”页上，可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框，更新便会存储在 WSUS 服务器上，您需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新，客户端计算机将连接到 Microsoft Update 以获取已批准的更新。

建议选择“本地存储更新”并将存储更新目录设置在系统盘C以外，如“D:\WSUS”，然后单击“下一步”。

6、数据库选项在“数据库选项”页上，选择用于管理 WSUS 数据库的软件。默认情况下，如果要安装的计算机运行 Windows Server 2003，WSUS 安装程序将提出安装 WMSDE。如果无法使用 WMSDE，则必须为 WSUS 提供可以使用的 SQL Server 实例，具体 *** 作方法是：单击“使用该计算机上现有的数据库服务器”，然后在“选择 SQL 实例名”框中键入实例名。然后“下一步”。

建议使用WMSDE。并将数据库安装在前面选择的目录（D:\WSUS）中。

7、网站选项用于指定WSUS服务的网站，客户端根据这个参数配置，以获得更新服务。

有两个选择：

一是“使用现有IIS默认网站”，——本服务器没有其它IIS网站时选择，端口将为80。客户端配置时使用：http://<服务器名>。

另一种选择“创建Windows Server Update Services 3.0网站”，将使用8530端口，不改变原有的IIS网站设置。客户端配置时使用：http://<服务器名>:8530。

WSUS系统服务器端配置

1、开始配置前准备安装完毕后，将启动WSUS配置向导。开始配置前，应做到：

l 服务器防火墙配置为允许客户端访问；

l WSUS服务器应配置成能访问Internet，以便从微软Update服务网站获得更新；

2、Microsoft Update改善计划没有精力的话就不要选择参与改善计划；

3、选择上游服务器这里应该选择“从Microsoft Update进行同步”。

4、选择代理服务器对于WSUS服务器通过代理访问Internet的，需要设置。

在接下来的界面中，点击“开始连接”。等待连接完成。

5、选择语言连接过程中，系统会下载可选的语言等内容，时间较长。连接完成后，进入“选择语言”。

建议选择“简体中文”以及英文就可以了。

6、选择产品可以根据公司现有使用的微软公司产品选择。如果WSUS服务器的硬盘容量足够大，可以选择所有产品。

一般来说，应当选择Office、SQL Server、Windows等常用程序。

7、选择分来这是系统补丁的分类。建议选择全部。

8、配置同步这里配置WSUS服务器与微软的Windows Update服务器的同步，建议配置成自动同步，同步时间设置在每天的深夜，这样可以利用Internet带宽空闲的时候同步。

9、完成配置完成配置后，选择“启动Windows Server Update Services管理控制台”以及“开始初始同步”。

WSUS系统其它配置

1、配置审批WSUS系统可以选择对某些分类的补丁执行自动审批。建议选择“默认的自动审批规则”，即对“安全更新程序”、“关键更新程序”执行自动审批。而对其它类型的更新程序，建议管理员进行必要的测试后再审批给客户端安装。

2、选择“下载快速安装文件”“下载快速安装文件”可以在计算机上更快地进行下载和安装。

WSUS系统客户端的配置与管理

1、使用域策略公司建有域的，如果所有电脑都加入域，可以在域中设置WSUS的计算机策略，使得每台加入域的电脑都可以接受WSUS补丁。

新建一个WSUS域策略于所有受管理计算机账户，该策略设置下列参数：

在WSUS策略的“计算机配置/管理模板/Windows组件/Windows Update”中：

l 启用“配置自动更新”

l 启用“指定Intranet Microsoft更新的位置”，并设置“为检测更新设置Intranet更新服务：”及“设置Intranet统计服务器”为WSUS服务器：http://<服务器名>，如是新创建的IIS站点，为：http://<服务器名>:8530。

2、使用本地策略在“运行”中输入gpedit.msc，进行“本地计算机”设置，设置参数同上。

3、日常管理注意问题WSUS服务器配置好以后，系统会自动与微软的升级服务器同步，并按照既定审批规则，推送到客户端。

管理员可以在Windows XP客户端中安装管理控制台，远程管理WSUS服务器。

WSUS（Windows Server Update Services ）是Windows *** 作系统的升级服务，通过在内部网络中配置WSUS服务器，所有Windows的更新都能集中下载到这个服务器中，内部网络中的客户机就可以通过WSUS服务器得到更新。升级 *** 作系统补丁的时间可以缩短到几分钟，效果十分明显，且只要一台WSUS服务器就可保证全网络内 *** 作系统的自动升级。这既节省了资源，又避免了资源浪费，并且提高了效率。

WSUS的安装主要分4个步骤：系统准备与辅助软件的安装；WSUS服务器的安装；配置和管理WSUS服务器；客户机设置。

1.系统准备与辅助软件的安装。

安装WSUS服务器之前，要确保服务器符合SUS的最低硬件要求：奔腾III 750MHz或更高的处理器，512MB内存，8GB硬盘空间，NTFS文件系统格式，如需要升级的客户机在500台以上，对CPU的要求更高，内存应在1GB以上。

相关软件要求如下：

① *** 作系统安装：只有包含SP4或更高版本的Windows2000 Advanced Server（Windows2000 Server），以及Windows Server 2003才能够作为WSUS服务器，建议采用Windows2000 Advanced Server。

②在 *** 作系统上安装Microsoft Internet Information Services （IIS）5.0。

③在 *** 作系统上安装Background Intelligent Transfer Service （BITS）2.0。

④在 *** 作系统上安装Microsoft SQL Server2000及SQL的SP4补丁。

⑤在 *** 作系统上安装Microsoft Internet Explorer 6.0 Service Pack 1。

⑥在 *** 作系统上安装Microsoft

.NET Framework Version 1.1 Redistributable Package。

⑦在 *** 作系统上安装Microsoft

.NET Framework 1.1 Service Pack 1。

⑧最后打好所有的系统补丁。

以上相关软件到微软的网站上下载即可。

2.安装WSUS。

默认情况下，Windows Server *** 作系统是不包含WSUS组件的，需要在微软下载中心下载WSUS安装包，再安装至服务器。

①下载WSUS安装程序。

②打开下载的WSUSSetup.exe文件，启动安装程序。

③单击“下一步”，在“最终用户许可协议”步骤中选择“I accept the terms in the License Agreement”，并单击“下一步”。

④选择存储分区，用来存放WSUS下载的更新文件。要注意的是，这个分区必须是NTFS格式，并且最少要有6GB的自由空间。

⑤接下来是选择安装WMSDE数据的存储分区，这个分区也必须是NTFS格式，以及最少要有2GB的自由空间，如果把它与存储本地更新文件装在同一个分区，这个分区最少要有8GB的自由空间。

⑥选择WSUS站点的管理工具与WEB服务网站的端口，可以使用默认端口(80)或是选择一个独立的端口(8530)，这是不能更改的。如果服务器上面还有别的网站，建议使用8530端口来实现WSUS的管理以及WEB服务更新。这里使用系统推荐的80端口。

⑦WSUS提供了镜像管理服务功能，它可以从网络上的另一台WSUS服务器中复制已批准的更新列表。

接下来就是安装程序的自动安装过程，大概需要15分钟左右。

3.配置和管理WSUS服务器。

安装完成，接下来需要进入它的管理页面进行配置，默认情况下WSUS是不进行任何同步更新的。

从安装时提示的管理地址进入WSUS的WEB管理界面。

点击右上方“选项”菜单，进行系统设置。

①点击“同步选项”。可以选择手动同步服务器，查看同步状态，指定代理服务器设置以及管理更新。也可以设置同步更新的时间，以及要求从微软站点下载的产品、更新分类、代理服务器、更新源以及更新文件和语言。

②更新源：可以选择让该 WSUS服务器与 Microsoft Update 或者网络上的某台上游WSUS服务器同步更新信息。如果使用 SSL，请确保上游WSUS 服务器配置为支持 SSL。此服务器上的端口设置必须配置为与上游 WSUS 服务器匹配。

③自动批准选项：可以指定如何为选定组自动批准更新的安装或检测，以及如何批准对现有更新的修订，即WSUS对同步下载的补丁是否执行自动批准加入系统的分发库的命令，并设置分发的对象即计算机组。

④更新的修订：对于已批准的更新，有时会有更新版本发布，可以选择是否自动批准修订。如果不选择自动批准修订版本，则旧版本将继续保持已批准状态。

⑤WSUS更新：需要WSUS 更新，以确保可以正确更新计算机。如果 WSUS 更新未得到批准，则计算机可能无法正确检测某些更新，默认是批准的。

4.客户机设置。

如果客户机与WSUS服务器在同一个域中，则只要通过域功能分发一下即可。如客户机与WSUS服务器不在同一个域中，则每一台客户机都必须作如下设置才能起作用：

①打开“开始”菜单，点击“运行”，输入“Gpedit.msc”，启动Windows策略组。

②在策略组中，点击“管理模板”，选择“添加/删除模板”，点击“添加”，选择“wuau.adm”，再点“打开”即可。

③双击“配置自动更新”，在打开窗口中，选择“启用”。

④双击“指定Internet Microsoft更新服务位置”，在打开窗口中，选择“启用”，并在红色框中填上http://（SUS服务器IP）即可。

⑤为保证客户机立即更新，要在“开始”菜单下“运行”中输入“secedit/refreshpolicy machine_policy /enforce”，客户机将立即与WSUS服务器连接，下载并更新补丁。

---