如何配置更新服务器

如果启用了发布功能，可以使用该选项卡来指定更新服务器信息，以及用来对发布到更新服务器的软件更新进行签名的数字证书。 以下过程提供了启用到更新服务器的发布、配置更新服务器信息以及指定数字证书所必需的步骤。配置更新服务器在Updates Publisher 控制台中，右键单击树中的任何节点项，然后单击“设置”以打开“设置”对话框。单击“更新服务器”选项卡，然后选择“启用发布到更新服务器”。通过选择“连接到本地更新服务器”或“连接到远程更新服务器”来指定更新服务器是否与 Updates Publisher 为同一台计算机。如果不是，请指定下列设置：请在与更新服务器通讯时使用安全套接字层(SSL)：指定在连接到更新服务器时使用 SSL。只有当更新服务器配置为使用 SSL 时才使用此设置。
名称：指定更新服务器的 NetBIOS 名称。
端口：指定连接到更新服务器时所使用的端口。如果未使用 SSL，请使用 >WSUS的作用：
我们日常使用的微软系列软件，如 *** 作系统（Windows 2000，XP等）、办公软件（Office 2000/XP/2003）、SQL Server数据库、Exchange等，经常发布升级补丁。这些补丁通过对系统的安全或重大缺陷进行修正，提高系统的安全性和稳定性。一些病毒和黑客程序正是利用系统的缺陷侵入系统的。所以及时升级系统补丁是保证系统安全的重要环节。
一般可以通过微软的升级服务器获得补丁。但是这些升级服务器多数架设在国外，公司内每台电脑都通过外网访问升级服务器，不仅速度慢、效率低，如果公司内部有大量电脑使用，每台电脑都通过外网更新补丁就会造成公司Internet带宽的浪费；此外，并不是所有的补丁都需要去升级，而对每个用户来说，很难判断哪些补丁适合于自己的电脑。
微软提供了一个免费的补丁升级系统Windows Server Update Services，简称WSUS，2007年发布了30版本，非常适合于中小规模的企业部署使用。
WSUS系统需要在局域网内设置企业的WSUS服务器，通过它与微软的升级服务器联系，并将所需补丁及时推送给企业局域网内的每台电脑。下面简介配置及部署过程
一、WSUS系统的安装要求
1、硬件要求需要一台服务器，要求配置：
CPU：10GHz以上
内存：1GB以上
目前大多数服务器均可满足要求；
2、磁盘要求要安装 WSUS，服务器上的文件系统必须满足以下要求：
系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。
系统分区至少需要 1 GB 的可用空间。
WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间大于30 GB。
WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。
3、软件要求：要使用默认选项安装 WSUS，必须在计算机上安装以下软件。
*** 作系统：Windows 2000 Server ＋ SP4，建议使用Windows Server 2003。
Windows Server 2003 Service Pack 2（32 位 x86）
Microsoft Internet 信息服务 (IIS) 60。
用于 Windows Server 2003 的 Microsoft NET work 11 Service Pack 1。
用于后台智能传输服务 (BITS) 20 和 Win>

在 Updates Publisher 控制台中，右键单击树中的任何节点项，然后单击“设置”以打开“设置”对话框。

单击“更新服务器”选项卡，然后选择“启用发布到更新服务器”。

通过选择“连接到本地更新服务器”或“连接到远程更新服务器”来指定更新服务器是否与 Updates Publisher 为同一台计算机。如果不是，请指定下列设置：

请在与更新服务器通讯时使用安全套接字层(SSL)：指定在连接到更新服务器时使用 SSL。只有当更新服务器配置为使用 SSL 时才使用此设置。

名称：指定更新服务器的 NetBIOS 名称。

端口：指定连接到更新服务器时所使用的端口。如果未使用 SSL，请使用 >

单击“测试连接”验证更新服务器的名称和端口设置。会出现一则指示连接是否功能的消息。如果连接失败，请验证服务器的名称和端口设置，验证更新服务器是否可访问，然后再次测试连接。

如果没有检测到更新服务器的数字证书，请通过选择下列选项之一来指定证书：

所指定的证书将对发布到更新服务器的软件更新进行签名。如果未将所指定的数字证书复制到更新服务器上相应的证书存储中或者 Updates Publisher 计算机上（如果它和更新服务器不是同一台计算机），则将无法发布到更新服务器。有关将证书添加到更新服务器上证书存储的详细信息，请参阅如何在更新服务器上配置数字证书。

浏览：打开一个允许选择证书文件的浏览对话框。只有当 Updates Publisher 位于更新服务器上或者使用 SSL 连接到远程更新服务器时，该选项才可用。选择该证书，然后单击“创建”以便将该证书添加到更新服务器上的“WSUS”证书存储中。

创建：指定更新服务器将创建一个新证书，或者使用借助于“浏览”指定的证书，然后将该证书添加到更新服务器上的“WSUS”证书存储中。为通过“浏览”选择的证书输入 PFX 文件密码。

删除：指定将证书从更新服务器上的 WSUS 证书存储中删除。只有当 Updates Publisher 位于更新服务器上或者使用 SSL 连接到远程更新服务器时，该选项才可用。

单击“确定”退出“设置”对话框。

WSUS（Windows Server Update Services ）是Windows *** 作系统的升级服务，通过在内部网络中配置WSUS服务器，所有Windows的更新都能集中下载到这个服务器中，内部网络中的客户机就可以通过WSUS服务器得到更新。升级 *** 作系统补丁的时间可以缩短到几分钟，效果十分明显，且只要一台WSUS服务器就可保证全网络内 *** 作系统的自动升级。这既节省了资源，又避免了资源浪费，并且提高了效率。
WSUS的安装主要分4个步骤：系统准备与辅助软件的安装；WSUS服务器的安装；配置和管理WSUS服务器；客户机设置。
1系统准备与辅助软件的安装。
安装WSUS服务器之前，要确保服务器符合SUS的最低硬件要求：奔腾III 750MHz或更高的处理器，512MB内存，8GB硬盘空间，NTFS文件系统格式，如需要升级的客户机在500台以上，对CPU的要求更高，内存应在1GB以上。
相关软件要求如下：
① *** 作系统安装：只有包含SP4或更高版本的Windows2000 Advanced Server（Windows2000 Server），以及Windows Server 2003才能够作为WSUS服务器，建议采用Windows2000 Advanced Server。
②在 *** 作系统上安装Microsoft Internet Information Services （IIS）50。
③在 *** 作系统上安装Background Intelligent Transfer Service （BITS）20。
④在 *** 作系统上安装Microsoft SQL Server2000及SQL的SP4补丁。
⑤在 *** 作系统上安装Microsoft Internet Explorer 60 Service Pack 1。
⑥在 *** 作系统上安装Microsoft
NET Framework Version 11 Redistributable Package。
⑦在 *** 作系统上安装Microsoft
NET Framework 11 Service Pack 1。
⑧最后打好所有的系统补丁。
以上相关软件到微软的网站上下载即可。
2安装WSUS。
默认情况下，Windows Server *** 作系统是不包含WSUS组件的，需要在微软下载中心下载WSUS安装包，再安装至服务器。
①下载WSUS安装程序。
②打开下载的WSUSSetupexe文件，启动安装程序。
③单击“下一步”，在“最终用户许可协议”步骤中选择“I accept the terms in the License Agreement”，并单击“下一步”。
④选择存储分区，用来存放WSUS下载的更新文件。要注意的是，这个分区必须是NTFS格式，并且最少要有6GB的自由空间。
⑤接下来是选择安装WMSDE数据的存储分区，这个分区也必须是NTFS格式，以及最少要有2GB的自由空间，如果把它与存储本地更新文件装在同一个分区，这个分区最少要有8GB的自由空间。
⑥选择WSUS站点的管理工具与WEB服务网站的端口，可以使用默认端口(80)或是选择一个独立的端口(8530)，这是不能更改的。如果服务器上面还有别的网站，建议使用8530端口来实现WSUS的管理以及WEB服务更新。这里使用系统推荐的80端口。
⑦WSUS提供了镜像管理服务功能，它可以从网络上的另一台WSUS服务器中复制已批准的更新列表。
接下来就是安装程序的自动安装过程，大概需要15分钟左右。
3配置和管理WSUS服务器。
安装完成，接下来需要进入它的管理页面进行配置，默认情况下WSUS是不进行任何同步更新的。
从安装时提示的管理地址进入WSUS的WEB管理界面。
点击右上方“选项”菜单，进行系统设置。
①点击“同步选项”。可以选择手动同步服务器，查看同步状态，指定代理服务器设置以及管理更新。也可以设置同步更新的时间，以及要求从微软站点下载的产品、更新分类、代理服务器、更新源以及更新文件和语言。
②更新源：可以选择让该 WSUS服务器与 Microsoft Update 或者网络上的某台上游WSUS服务器同步更新信息。如果使用 SSL，请确保上游WSUS 服务器配置为支持 SSL。此服务器上的端口设置必须配置为与上游 WSUS 服务器匹配。
③自动批准选项：可以指定如何为选定组自动批准更新的安装或检测，以及如何批准对现有更新的修订，即WSUS对同步下载的补丁是否执行自动批准加入系统的分发库的命令，并设置分发的对象即计算机组。
④更新的修订：对于已批准的更新，有时会有更新版本发布，可以选择是否自动批准修订。如果不选择自动批准修订版本，则旧版本将继续保持已批准状态。
⑤WSUS更新：需要WSUS 更新，以确保可以正确更新计算机。如果 WSUS 更新未得到批准，则计算机可能无法正确检测某些更新，默认是批准的。
4客户机设置。
如果客户机与WSUS服务器在同一个域中，则只要通过域功能分发一下即可。如客户机与WSUS服务器不在同一个域中，则每一台客户机都必须作如下设置才能起作用：
①打开“开始”菜单，点击“运行”，输入“Gpeditmsc”，启动Windows策略组。
②在策略组中，点击“管理模板”，选择“添加/删除模板”，点击“添加”，选择“wuauadm”，再点“打开”即可。
③双击“配置自动更新”，在打开窗口中，选择“启用”。
④双击“指定Internet Microsoft更新服务位置”，在打开窗口中，选择“启用”，并在红色框中填上>