WSUS实战之补丁分发完全攻略

WSUS 实战之补丁分发完全攻略实战之补丁分发完全攻略 2008 年 12 月 09 日 17 26 IT 作者 岳雷 IT168 专稿专稿 在上一篇文章中 点击阅读 我们完成了 WSUS2 0SP1 的部署 本文 我们就来介绍如何利用 WSUS 进行补丁分发 WSUS 的实验拓扑如下图所示 Florence 是域 控制器 Berlin 是 WSUS 服务器 Perth 是工作站 WSUS 服务器已经在同步选项中对产品 及类别进行了设置 也已完成了同步 我们接下来就要利用这个环境进行补丁分发 图 1 完成补丁分发 需要注意以下三点 一 WSUS 分组管理 二 组策略或注册表设置 三 WSUS 更新批准 下面分别介绍具体内容 一一 WSUS 分组管理分组管理 分组管理可以把 WSUS 客户机放入不同的组中进行管理 每个组可以有不同的补丁管 理策略 这些对于管理工作的细化很有好处 举个简单的例子 微软已经发布了 Windowx XP SP3 但这个补丁安装后的效果如何管理员却没有把握 这时管理员可以创建一个测试 组 仅允许测试组的计算机安装 Windows XP SP3 如果效果不错就向全体用户推广 如果 效果不佳就停止部署 因此我们有必要先进行计算机组的设置 在浏览器中输入 http berlin wsusadmin 打开 WSUS 服务器的管理页面 在管理页面 中点击 计算机 如下图所示 WSUS 安装时默认创建了两个组 一个是 所有计算机 组 一个是 未指定的计算机 组 默认情况下每个 WSUS 的客户机都会属于这两个组 图 2 我们准备创建两个组 一个名为 ITET 一个名为 TEST ITET 组用于普通的客户机 TEST 组用于测试补丁的客户机 点击上图中的 创建计算机组 弹出对话框要求我们输入 组名 如下图所示 我们为计算机组命名为 ITET 这样我们就创建出了一个计算机组 然 后用同样的方法再创建一个名为 TEST 的计算机组 图 3 计算机组创建完成后 如何将客户机加入到指定的组中 WSUS 提供了两种方法供管 理员选择 我们可以在 WSUS 的管理页面中点击 选项 如下图所示 点击 计算机选项 图 4 在计算机选项中我们看到有两种选择 一种是用组策略或注册表决定客户机加入哪个 计算机组 一种是在 WSUS 服务器的管理页面中用移动计算机的方法将客户机加入计算机 组 如果客户机数量较少 移动计算机的操作是比较简单的 但如果客户机数量较多 显 然还是组策略更有效率 在此我们选择利用组策略或注册表进行设置 点击 保存设置 让 更改生效 图 5 二二 组策略或注册表设置组策略或注册表设置 到目前为止 我们部署了 WSUS 服务器 创建了计算机组 但客户机如何知道哪台计 算机是自己需要的 WSUS 服务器 客户机应该加入哪个计算机组呢 这些设置可以通过组 策略或注册表来完成 其实两者是一样的 组策略不过是提供了一个友好的修改注册表的 界面 1 用组策略设置 如果在域环境下 用组策略是效率最高的方法 我们只要部署一个域级别的组策略 就可以轻松完成 WSUS 设置 在域控制器 Florence 上依次点击 开始 程序 管理工具 Active Directory 用户和计算机 右键点击 域 选择属性 在属性中切换到 组策略标签 如下图所示 选择默认组策略 Default Domain Policy 点击编辑按钮 图 6 在组策略编辑器中展开 计算机配置 管理模板 Windows 组件 Windows Update 如下图所示 在此我们可以进行 WSUS 相关策略的设置 图 7 编辑 配置自动更新 策略 如下图所示 在此策略中我们选择启用自动更新 并且将 自动更新模式配置为自动下载并通知安装 在此模式下客户机会自动下载补丁但在安装补 丁前会通知用户 图 8 编辑 指定 Intranet Microsoft 更新服务位置 策略 如下图所示 在此策略中可以设定 WSUS 更新服务器和统计服务器 Intranet 更新服务器提供补丁下载 Intranet 统计服务器 提供报表统计 在此例中我们用一台服务器同时提供这两种服务 我们描述服务器可以使 用 Netbios 名称 完全合格域名或 IP 图 9 编辑 允许客户端目标设置 策略 如下图所示 在此策略中我们可以设置客户机加入 的 WSUS 计算机组 我们将计算机的目标组设置为刚创建的 ITET 图 10 完成上述设置后 基本已经可以满足 WSUS 实验需求 其他策略我们就不一一列举了 2 用注册表设置 如果部署环境是在工作组中 那么就没有域环境这么方便了 虽然我们可以编辑每台 计算机的本地安全策略 但这么做对一名管理员的耐心是一个极大的考验 在这种情况下 管理员一般会采用导入 导入注册表的方法来进行设置 具体是这样的 先在一台模板计算 机上编辑好本机的组策略 设置方法如前文介绍 然后用 regedit 打开模板计算机的注册表 定位到 HKEY LOCAL MACHINE SOFTWARE Policies Microsoft windows WindowsUpdate 如 下图所示 我们看到注册表中已经设好了 WSUS 服务器的名称 计算机加入的目标组等参 数 我们现在要做的就是把这些注册表设置导出成文件 然后在其他的计算机上进行导入 操作 我们在 WindowsUpdate 上点击右键 选择 导出 图 11 如下图所示 我们选择将 Windowsupdate 分支导出成文件 文件名为 C WSUS REG 图 12 然后我们只需将 WSUS REG 文件利用电子邮件或文件服务器分发给其他用户 每个用 户双击此注册表文件进行导入操作即可 三三 WSUS 更新审批更新审批 完成了前面的设置 接下来就该进行实质性的操作 我们要在 WSUS 服务器上分发补 丁了 上篇博文中我们对 WSUS 服务器进行的同步设置中规定了 WSUS 只能涉足 Win2003 平台下的安全更新和关键更新 这些更新必须经过 WSUS 服务器批准安装才能分发到客户 机上 下面我们来看看到目前为止哪些更新被批准安装了 打开 WSUS 服务器的管理页面 点击页面上方的 更新 如下图所示 在左侧视图中对 产品和分类 选择 关键和安全更新 对 批准 选择 安装 在 已同步 处选择 任何时间 这时右侧面板中显示被批准安装 的更新只有两个 一个是 Windows install 3 1 一个是 Bits2 0 和 Http5 1 这两个更新是 WSUS 客户端所必须的 肯定会被批准安装 问题是那其他的更新为什么没被批准呢 原 来 WSUS 服务器对安全更新和关键更新默认只批准检测 不批准安装 现在我们来批准安 装一些更新 图 13 1 手工批准更新手工批准更新 在 WSUS 服务器的管理页面中选择更新中 在左侧视图中对 批准 选择 仅检测 如 下图所示 这时右侧面板中显示共有 301 个更新 每个更新前的图标是灰色的 代表此更 新没有被批准安装 我们选择所有更新 点击左上角的 更改批准 图 14 如下图所示 我们对所有更新都批准安装 其实有些补丁并不适合当前环境 例如有 一些 64 位的补丁 但实验环境下我们就不仔细筛选了 从下图中还可以看到 对每个组可 以采取不同的管理策略 例如有的组批准安装 有的组只批准检测 管理起来非常灵活 这也是我们设置计算机组的意义所在 图 15 将更新的状态从批准检测更改为批准安装后 WSUS 开始对补丁状态进行更改 如下 图所示 图 16 如下图所示 状态更改完成 每个更新前的图标变成了绿色箭头 这代表此更新被批 准安装 现正在下载中 但还没有下载完毕 如果下载完成 图标会变为蓝色桶状 图 17 2 自动批准安装自动批准安装 如果觉得手工批准安装太麻烦 我们可以让 WSUS 自动批准 打开 WSUS 的管理页面 在选项中点击 自动批准选项 如下图所示 图 18 如下图所示 我们选择对安全更新程序和关键更新程序批准安装 这样以后只要 WSUS 服务器发现微软的更新网站有了新的安全更新或关键更新 WSUS 就会自动批准进行 检测 进行安装 图 19 好了 WSUS 服务器端的设置已经基本完成 让我们去客户机上看一下吧 首先在客 户机上可以运行 gpupdate force 来加速组策略的生效 否则域成员服务器或工作站等候组 策略生效可能最多需要 90 分钟 然后可以运行 wuauclt detectnow 这样客户机可以立即 连接到 WSUS 服务器而不需要等待 20 分钟的延时 过程如下图所示 图 20 等待一段时间后 客户机的右下角出现提示 告诉我们有一些更新需要安装 如下图 所示 哈哈 WSUS 开始工作了 图 21 如下图所示 客户机从 WSUS 服务器上下载了四个更新 我们点击安装 图 22 安装过程如下图所示 图 23 客户机如果想知道到底安装了哪些更新 可以输入命令 systeminfo 如下图所示 客 户机安装补丁的数量和名称都已经列出来了 图 24 管理员如果想了解补丁的部署情况 就可以使用 WSUS 强大的报表功能 管理员可以 打开 WSUS 的管理页面 选择报告 如下图所示 点击 计算机的状态 图 25 如下图所示 在左侧的视图中我们选择查看 ITET 计算机组已安装补丁的报表 点击应 用 图 26 如下图所示 WSUS 显示了 ITET 组内每台计算机所安装补丁的统计信息 图 27 如果想查看详情 可以点击计算机名左侧的 号 如下图所示 WSUS 显示了 perth 所 安装的 6 个更新的详细信息 WSUS 的报告功能还有很多用法 在此我们就不一一列举了 图 28 有一点大家要注意 在上一篇博文中我们看到 WSUS2 0 刚安