WSUS系统补丁测试报告.doc

;.WSUS系统补丁测试报告一、 目的及意义公司部署WSUS服务器是为了避免公司上外网的系统用户都直接从Windows Update下更新补丁，占用有限的外网带宽资源，同时解决局域网内没有外网权限的系统用户能及时从WSUS服务器上下载更新补丁。配置WSUS服务器从Windows Update下载更新补丁，存储在本地WSUS服务器，让所有局域网的所有计算机系统用户通过内部局域网络从该服务器下载，节省有限的外网带宽资源，同时解决局域网内没有外网权限的系统用户更新补丁的需求，加强整体计算机系统安全。公司现在使用的WindowsServerUpdateService 3.0 sp1简写WSUS 3.0 SP1，此版本不支持windows 7、windows server 2008以上版本的客户端更新。目前公司新购进计算机的操作系统都为windows 7以上版本，因此必要升级WSUS服务器。鉴于公司目前所安装windows服务器操作系统的版本为windows server 2008 R2集成了WSUS 3.0 SP2。为了更为无缝兼容，决定将现有的WSUS 3.0 SP1升级为WSUS 3.0 SP2。二、 WSUS 3.0 SP2安装要求2.1、WSUS 3.0 SP2 远程控制台安装的系统要求WSUS 3.0 SP2 远程控制台可以在以下任一操作系统中安装： Windows Server 2008 R2、Windows Server 2008 SP1 或更高版本、Windows Server 2003 SP2 或更高版本、Windows Small Business Server 2003、Windows Small Business Server 2005 或 Windows Small Business Server 2008、Windows Vista，或 Windows XP Professional SP3 或更高版本。2.2、WSUS 客户端安装的系统要求自动更新和 WSUS 客户端软件可在以下任一操作系统上安装： Windows Server 2008 R2、Windows Server 2008 SP1 或更高版本、Windows Server 2003 SP2 或更高版本、Windows Small Business Server 2003、Windows Small Business Server 2005 或 Windows Small Business Server 2008、Windows Vista、Windows XP Professional RTM、Windows XP Professional SP1、Windows XP Professional SP2、Windows XP Professional SP3 或更高版本、Windows 2000 SP4，或 Windows 7 客户端。三、 WSUS功能描述3.1 更新源和代理服务器此项是设置本WSUS服务器从上游服务器进行同步。因我们只配置本台WSUS服务器为唯一的更新服务器，因此本服务器的上游服务器仅有Microsoft Update。如下图：3.2产品和分类3.2.1 产品指定需要更新的产品以及所需的更新类型。可以更新所有微软的产品，包括Windows、office、MS SQL、VS、Exchange等。这里我们根据公司情况，仅更新Windows xp、Windows server 2003、Windows 7、Windows server 2008/R1/R2。如下图：3.2.2 分类可以选择补丁分类，目前我们只选择【安全更新程序】：如下图3.3更新文件和语言【更新文件】此项我们选择“将更新文件本地存储在此服务器上），局域网的所有计算机可以从本服务器下载更新补丁。【更新语言】目前公司的计算机版本有“英语”和“中文（简体）”，所以在我们只选择这两种语言。如下图3.4同步计划同步计划应该避开网络使用的高峰，我们配置在凌晨自动同步到Windows Update。3.5自动审批可以指定为所选组自动审批更新安装的方式以及对现有更新所做修订的审批方式。这里我们按照计算机分组设置自动审批更新规则。当更新属于“安全更新程序”、“关键更新程序”和当更新属于Windows 7的操作系统时，就为Windows 7的计算机组全部成员下发审批更新。我们设置完这步后，整个过程：服务器检查新客户端选择相应系统版本的更新补丁审批安装到对应的计算机组服务器端动作完成。如图：四、 WSUS功能实现4.1更新此项是显示与Windows Update同步的更新程序的列表，管理员可以在这里将更新程序审批分发安装到对应的计算机工作组，比如我要将一个关于windows server2003的补丁审批安装到计算机组为【windows server 2003】，点击【所有更新】审批栏选择【未经审批】状态栏选择【任何】选中合适的更新程序右键，选择【审批】，如下图：计算机组选择【windows server 2003】右键点击【已审批进行安装】，如下图：这样，这个补丁就审批安装到相应的计算机组中，并返回审批结果报告，如下图：当客户端向WSUS服务器请求更新服务时，客户端会到所在的计算机组的经过审批的更新程序里检索适合自己更新程序进行下载。4.2计算机WSUS服务器将检测到有更新服务请求的计算机存放在未分配的计算机组，这里我们根据操作系统的版本进行分组。比如我们分有windows server 2008，windows server 2003，windows 7，windows xp等。如下图4.3报告表格更新报告；更新程序已有4千多条，为了演示方便，我们缩小范围，只筛选【安全更新程序】里的windows7版本的【windows 7】计算机工作组而且已经审批安装的程序。如下表报告报表有几点说明：【需要的】表示更新程序适合的计算机台数；【已安装/不适用】表示更新程序已经审批安装的计算机台数；【失败】表示安装此更新程序失败的计算机台数；五、 客户端连接实现5.1域计算机的连接WSUS服务器下载更新程序5.1.1 新建OU取名【WSUSTest】，然后在下面新建OU取名【计算机】，将测试计算机移动到改OU中，如下图：5.1.2 修改域计算机的指定更新地址（针对【WSUSTest】的计算机配置特定组策略）：打开【组策略管理】【一汽海马汽车有限公司】【WSUSTest】【计算机】【在这个域中创建GPO并在此处链接】，创建GPO完后，右键【编制】如下图：5.1.3 【计算机配置】【策略】【管理模板】【Windows附件】【Windows Update】，然后启用【配置自动更新】、【允许非管理员接受更新通知】等等，其中启用【指定Internet Microsoft更新服务位置】时，请在“设置检测更新的Intranet更新服务”和“设置Intranet统计服务器”都填入：“31”,确定保存后，域计算机的组策略配置完成。（客户端要学习到域组策略需30分钟左右。）如下图：5.1.4 客户端的连接WSUS域组策略配置完成后，因域服务器之前学习并应用到相应的客户端，一般需要经过30分钟左右，打开域客户端的【Windows Update】【检查更新】，检查到有7个重要更新，如下图：点击查看7个更新程序代码：如下图：安装更新完成后，复查更新的历史记录，本次更新6条更新成功，1条更新失败。如下图：然后查看客户端的更新日志WindowsUpdate.log,看Windows Update是否是从我们的WSUS服务器下载。根据以上日志分析，客户端通过指定31的服务器下载了更新程序。5.2未加入的计算机指向WSUS服务器下载更新程序（windows xp SP3）5.2.1修改本地组策略指定到WSUS服务器下载更新程序；其设置过程跟本报告的5.1.2到5.1.2节的配置步骤一样，这里就省略图片，配置步骤如下：【开始】【运行】输入gpedit.msc，打开本地组策略，【“本地计算机”策略】【计算机配置】【管理模板】【windows 组件】【windows Update】，在右边窗口启用【配置自动更新】和【指定Internet Microsoft更新服务位置】，并设置【为检测更新设置Intranet更新服务】和【设置Intranet统计服务器】同为“31”。5.2.2启动更新程序应用。【开始】【运行】输入：wuauclt.exe /detectnow，让更新程序应用启动，如下图 查看windowsUpdate.log时间16:08的日志：表明客户端正是连接到31的WSUS服务器检索到有合适的更新程序，如下图：返回系统桌面，点击右下角的图标，显示更新程序详细信息，如下图：点击安装，自动安装完所有的更新程序，然后提示重新启动系统，这样未加入域的计算机通过WSUS服务器下载更新程序的整个过程完成。这样如下图：除了以上配图列出windows 7 和windows xp成功通过WSUS服务器下载更新程序外，还选用Windows server2003和windows server2008R2进行测试，并成功的通过WSUS服务器下载，这里就不配图说明了。如果考虑到用户一般都很少手动去点击更新通知进行安装，我们启用组策略【允许自动更新立即安装】，计算机即可在关机前自动安装更新程序，客户端用户无需任何操作。此步骤有个风险，就是在安装更新程序时，请用户不得强行关闭电源，这样会引起本次安装失败。严重时，可能会导致系统某个文件损坏，甚至导致无法进入系统。六、 总结通过本次测试，本WSUS服务器版本可以为我们公司所有使用的windows操作系统：包括Windows Server 2008 R2、Windows Server 2003 SP2 或更高版本、Windows Vista、Windows XP Professional、Windows XP Professional SP1、Windows XP Professional SP2、Windows XP Professional SP3 或更高版本、Windows 2000 SP4，或 Windows 7 客户端提供下载更新程序服务。在WSUS服务器，我们已经设置好了更新产品和分类、更新文件和语言、同步计划、自动审批。我们现在对服务器端的维护重点是在将未分配的入的计算机按操作系统版本加入分组，WSUS服务器便会自动将相应的更新程序下发到计算机。客户端的计算机会根据已经设置好的域组策略或本地