WSUS6.3服务器升级迁移部署方案

1、 WSUS 6.3服务器升级部署方案2015年5月目录1.概述41.1 背景描述41.2 现况及问题41.3 架构拓扑51.4 补丁分发流程图61.5 WSUS 6.3新功能和更改的功能62.WSUS 6.3升级准备工作72.1 系统要求72.2 安装注意事项72.3 安装组件72.4 开通网络及端口82.4.1 WSUS 服务器到 Internet 的连接82.4.2 WSUS 服务器之间的连接82.5 服务器硬件设计82.6 网络环境92.7 WSUS 3.2 SQL数据库备份92.8 全新安装WSUS 6.3流程112.9 WSUS 6.3拓扑123.WSUS 6.3服务器部署133.1

2、 SQL Server 2012部署133.2 SQL Server 2012还原数据213.2.1 前期准备工作213.2.2 数据库还原233.2.3 数据库还原成功,无法打开WSUS管理控制台解决方法273.3 WSUS 服务器部署293.3.1 WSUS 服务器角色步骤293.3.2 WSUS 服务器配置向导373.4 WSUS部署后设置453.4.1 设置WSUS管理员加入WSUS管理组453.4.2 设置产品和分类463.4.3 设置同步计划473.4.4 设置计算机分组483.4.5 设置计算机组策略自动为客户端分组503.5 WSUS组策略设置513.5.1 DC服务器设置WS

3、US组策略513.5.2 启动 WSUS 检测的步骤554.KMS安装部署554.1 安装批量激活服务554.2 批量激活工具614.3 测试KMS激活665.WSUS3.2服务器下线675.1 服务器下线671. 概述1.1 背景描述华融资产管理公司（以下简称华融资产）当前使用基于Window Server 2008 R2 WSUS 3.2（以下简称WSUS 3.2）的补丁更新系统。为更好利用新补丁更新系统的诸多新特性，更好的支持微软新系统更新服务，华融资产决定将WSUS 3.2的补丁更新系统升级到Window Server 2012 R2 WSUS 6.3（以下简称WSUS 6.3）补丁更

4、新系统，为更多的微软新系统提供更新服务、更好的利用组策略管理计算机用户。为了使WSUS 3.2平稳升级到WSUS6.3，特编写此文档，规范升级流程和规避风险。1.2 现况及问题目前HQ-SUS补丁分发服务器担负着华融资产9000多用户、10000台多计算机及400多台服务器的补丁下载、审批和安装工作，同时兼顾微软KMS激活服务器的工作。该服务器硬件情况如下表：机器型号硬件配置阵列配置磁盘分区购买时间部署时间HP BL460c G1Xeon 5355（四核）2.66G *2/1G*4/146G(SAS)*2Raid1C:盘44.18G，D:盘92.52G，E盘：1TB存储2007/7/28补丁服

5、务器2007/9左右升级为WSUS 3.2由于HQ-SUS补丁分发服务器负责了微软多种操作系统，从客户端操作系统WinXP、Win7、Win8.1、Win10到服务器操作系统Win2003、Win2008、Win2008R2、Win2012、Win2012R2；以及华融资产使用的微软产品，如Office、Exchange、SQL Server、TMG、Lync等等这些产品还包括各种时期的不同版本。由此导致了目前HQ-SUS服务器出现下列问题：· HQ-SUS补丁分发服务器数据库较大打开WSUS 3.2控制台较慢， 经常发现控制台错误；· HQ-SUS补丁分发服务器内存为4G

6、导致内存使用率一直在95%以上，经常出现卡顿现象；· HQ-SUS补丁分发服务器WSUS版本为3.2较老，导致微软新产品无法激活现象及部分补丁无法更新现象，目前最新WSUS版本为6.3。综上所述选项需要对HQ-SUS补丁分发服务器进行升级，由WSUS 3.2 升级到 WSUS 6.3。1.3 架构拓扑目前HQ-SUS补丁分发服务器为WSUS 3.2，共有2台补丁服务器，一台是HQ-SUS部署在核心数据中心，所有计算机更新补丁、激活服务都是核心数据中心；一台HRXJ-WSUS部署在（华融湘江）华融湘江补丁服务器为下游服务器，暂时不升级。WSUS服务器的角色分布为：HQ-SUS服务器为所

7、有更新补丁及KMS服务，HRXJ-WSUS补丁服务器为下游服务器。补丁服务器拓扑结构如下：1.4 补丁分发流程图1.5 WSUS 6.3新功能和更改的功能WSUS 6.3增强功能的内置服务器角色：· 可使用服务器管理器进行添加和删除· 通过 Windows PowerShell cmdlet 管理 WSUS 中十个最重要的管理任务· 添加 SHA256 哈希功能，提高安全性· 提供客户端和服务器之间的分离：Windows 更新代理 (WUA) 的版本提供与 WSUS 独立开来警告若要从支持 WSUS 3.2 的任意 Windows Server 版本升级

8、到 Windows Server® 2012 R2，首先需要卸载 WSUS 3.2。在 Windows Server 2012 中，从装有 WSUS 3.2 的任意 Windows Server 版本升级时，如果在安装过程中检测到 WSUS 3.2，则升级将被阻止，并且系统会提示你先卸载 Windows Server Update Services，然后再升级 Windows Server 2012。但是，由于 Windows Server 2012 R2 中已发生更改，在从任意 Windows Server 版本和 WSUS 3.2 升级到 Windows Server 2012

9、R2 时，安装不会被阻止。 在执行 Windows Server 2012 R2 升级之前不卸载 WSUS 3.2将会导致 Windows Server 2012 R2 中 WSUS 的安装后任务失败。 在此情况下，唯一已知的纠正措施就是格式化硬盘驱动器，然后重新安装 Windows Server 2012 R2。参考：2. WSUS 6.3升级准备工作2.1 系统要求· 部署Window Server 2012 R2 Datacenter操作系统· 部署Windows SQL 2012 SP2· 必须在将安装 WSUS 服务器角色的服务器上安装 Microsof

10、t .NET Framework 4.0· 安装 WSUS 的帐户是本地 Administrators 组成员。2.2 安装注意事项在安装过程中，WSUS 将默认安装以下各项：1. .NET API 和 Windows PowerShell cmdlet2. 供 WSUS 使用的的 Windows 内部数据库 (WID)3. 供 WSUS 使用的服务如下：· 更新服务· 报告 Web 服务· 客户端 Web 服务· 简单 Web 身份验证 Web 服务· 服务器同步服务· DSS 身份验证 Web 服务2.3 安装

11、组件· Microsoft Report Viewer Redistributable 2008（查看报告）· Microsoft .NET Framework 4.0· NT AuthorityNetwork Service 帐户必须拥有以下文件夹的完全控制权限，以便 WSUS 管理管理单元正确显示：%windir%Microsoft.NETFrameworkv4.0.30319Temporary ASP.NET Files2.4 开通网络及端口2.4.1 WSUS 服务器到 Internet 的连接授权才能从 WSUS 服务器通过 Internet

12、访问以下 URL 列表：· · http:/*· https:/*· http:/*· https:/*· http:/*· · · http:/*· · · 2.4.2 WSUS 服务器之间的连接WSUS 上游和下游服务器会在 WSUS 管理员配置的端口上同步。 默认端口：· 在 WSUS 6.2 及更高版本（至少 Windows Server 2012）中，端口 8530 用于 HTTP，8531 用于 HTTPS· WSUS 服务器上的防火墙必须配置

13、为允许8530、8531等端口上存在入站流量。参考：2.5 服务器硬件设计WSUS服务器采用单独角色架构部署，服务器数量为1台，服务器配置为：CPU 4核心、16GB内存、C盘100GB、D盘1TB存储。服务器数量处理器内存磁盘网卡服务器WSUS6.314核16GC盘：100GB D盘：1TB千兆网卡2.6 网络环境序号服务器角色网卡1网卡1 IP网卡2网卡2 IP1HQ-WSUSLAN0无无2.7 全新安装WSUS 6.3流程下图概要描述了全新安装WSUS 6.3的过程：2.8 WSUS 6.3拓扑升级后的WSUS 6.3拓扑如下:3. WSUS 6.3服务器部署3.1

14、SQL Server 2012部署1. 打开SQL2012安装介质，选择“安装”。2. 安装程序支持规则，下一步。3. 设置角色，选择“SQL Server功能安装”，下一步。4. 在“功能选择”页，选择要安装的“功能“，选择“共享功能目录”安装的路径，下一步。5. 在“安装规则”，下一步。6. 在“实例配置”页，选择要安装的“实例”，选择“实例根目录”安装的路径，下一步。7. 在“磁盘空间要求”页，下一步。8. 在“服务器配置”页，“服务账户”输入SQL Server服务账户“账户名”“密码”，启动类型改为“自动”，下一步。9. 在“数据库引擎配置”页，“服务器配置”选择“身份验证模式”，指

15、定SQL Server管理员；设置“数据目录”，下一步。10. 在“Analysis Services”页，“服务器配置”选择“服务器模式”，指定Analysis Services管理员；设置“数据目录”，下一步。11. 在“Reporting Services配置”页，选择“Reporting Services本机模式”； 选择“Reporting Services SharePoint集成模式”，下一步。12. 在“安装配置规则”页，下一步。13. 在“准备安装”页，查看要安装SQL Server 2012的功能，下一步。14. SQL Server 2012 安装进度。15. SQL S

16、erver 2012 安装完成3.2 SQL Server 2012还原数据3.2.1 前期准备工作1. 登录TST-WSUS服务器导入数据库，需要把“SUSDB”数据库切换为单用户模式准备为还原数据库做准备工作。打开Microsoft SQL Server控制台，依次展开TST-WSUS -> 数据库 -> 右键“SUSDB” -> 属性。2. 在“数据库属性 - SUSDB”页，单击 “选项” -> “状态” -> “限制访问” -> 选择“SINGLE_USER” -> 单击“确定”。3. 更改限制访问方式后，下一步会弹出提示更改数据库属性，单击

17、“是”。4. “SUSDB”数据库切换为单个用户模式。3.2.2 数据库还原1. 打开Microsoft SQL Server控制台，依次展开TST-WSUS -> 数据库 -> 右键“SUSDB” -> 任务-> 还原 -> 数据库。2. 在“还原数据库 - SUSDB”页，选择“常规”页，选择要还原数据库的文件，单击“验证备份介质”。3. 在“还原数据库 - SUSDB”页，选择“文件”页，勾选“将所有文件重新定位到文件夹”。4. 在“还原数据库 - SUSDB”页，选择“选项”页，勾选“覆盖现有数据库(WITH REPLACE)”，之后单击“确定”。5. 正

18、在还原:SUSDB数据库备份文件。6. 成功还原了数据库“SUSDB”。3.2.3 数据库还原成功,无法打开WSUS管理控制台解决方法1. WSUS数据库还原后，打开 WSUS 管理控制台出现“错误：连接错误”解决方法，如下图： 2. 在目标服务器（TST-WSUS），执行wsusutil命令，重新加载SQL 2012数据库a) 使用数据库角色为 WSUS 服务器运行 postinstall，其中 SQL Server 安装在与 WSUS 服务器相同的计算机上，并将更新文件存储在 D:WSUS 目录中:wsusutil postinstall SQL_INSTANCE_NAME=localho

19、st CONTENT_DIR=D:WSUS b) WSUS 3.0默认80端口改为8350wsusutil usecustomwebsite true 3. 再次打开“更新服务”控制台，依次展开“更新服务 -> TST-WSUS -> 更新 -> 所有更新”，查看补丁导入成功；依次展开“更新服务 -> TST-WSUS -> 计算机 -> 所有计算机”，查看计算机分组导入成功。3.3 WSUS 服务器部署3.3.1 WSUS 服务器角色步骤1. 打开“服务器管理器”中，单击“仪表板”，然后单击“添加角色和功能”。2. 在“开始之前”页上，单击“下一步”。3.

20、 在“选择安装类型”页上，确认已选择“基于角色或基于功能的安装”选项，然后单击“下一步”。4. 在“选择目标服务器”页上，选择“从服务器池中选择服务器”。然后单击“下一步”。5. 在“选择服务器角色”页上，选择“Windows Server Update Services”。 此时将打开“添加 Windows Server Update Services 所需的功能”。 单击“添加功能”，然后单击“下一步”。6. 在“选择功能”页上， 保留默认选择，然后单击“下一步”。7. 在“Windows Server 更新服务”页上，单击“下一步”。8. 在“选择角色服务”

21、页上，勾选“WSUS服务”“数据库”，然后单击“下一步”。9. 在“内容位置选择”页上，键入有效的位置以存储更新。 例如，可以在 D 盘的根目录下为此创建一个名为 WSUS Update 的文件夹，并键入“D:WSUS Update”作为有效的位置。10. 在“数据库实例选择”页上，单击“检查连接”后显示已成功连接到服务器。 然后单击“下一步”。11. 在“Web服务器角色(IIS)”页上，单击“下一步”。12. 在“选择角色服务”页上，单击“下一步”。13. 在“确认安装所选内容”页上，勾选“如果需要，自动重新启动目标服务器”，单击“安装”。14. 在“安装进度”页上，查

22、看安装进度，安装完成后重启服务器。3.3.2 WSUS 服务器配置向导1. 在“服务器管理器”导航窗格中，单击“仪表板”，单击“工具”，然后单击“Windows Server 更新服务”或“启动安装后任务”。2. 然后单击“Windows Server 更新服务”弹出连接SQL数据库实例对话框“完成WSUS安装”输入数据库实例“tst-wsus”计算机名称，再单击“运行”。3. “完成WSUS安装”对话框正在执行安装后任务。4. 已成功完成安装后步骤，单击“关闭”，会自动启动WSUS管理控制台。5. 在 WSUS 管理控制台中，在“Update Servers”下，展开“TST-WSUS”，展

23、开“选项”，打开“WSUS服务器配置向导”。6. 在“开始之前”页上，查看信息，再单击“下一步”。7. “加入 Microsoft 更新改善计划”页上的说明，保留默认选择，或清除复选框，然后单击“下一步”。8. 在“选择上游服务器”页上，默认“从Microsoft更新中进行同步” 单击“下一步”继续。9. 在“指定代理服务器”页上，默认设置，不勾选；单击“下一步”继续。10. 在“指定代理服务器”页上，单击“开始连接” 单击“下一步”继续。11. 在“选择语言”页上，选择“仅下载这些语言的更新”，选择“中文（简体）”，单击“下一步”继续。12. “选择产品”页允许你指定希望更新的产品。

24、0;选择产品类别（如 Windows）或特定产品（如 Windows Server 2012 R2）。 13. 在“选择类别”页上，选择要包含的更新类别。 选择所有类别或它们的子集，然后单击“下一步”。14. “设置同步计划”页，选择“自动同步”。（设置“第一次同步”的时间，然后指定你希望该服务器执行的“每天同步次数”数量。） 15. 在“完成”页上，选择“开始初始同步”对话框，即时启动同步。在单击“完成”后，WSUS 管理控制台会出现。参考：3.4 WSUS部署后设置3.4.1 设置WSUS管理员加入WSUS管理组1. 设置WSUS Administrators组成员。2

25、. 设置WSUS Reporters组成员。3.4.2 设置产品和分类1. 在 WSUS 管理控制台中，依次展开“更新服务”->“TST-WSUS” -> “选项”，打开“产品与分类”。2. 在“产品与分类”中，勾选所需要的“指定要同步更新的产品” “指定要同步更新分类”等。 3.4.3 设置同步计划16. 在 WSUS 管理控制台中，依次展开“更新服务”-> “TST-WSUS” -> “选项”，打开“同步计划”。17. 在“同步计划”对话框中勾选“自动同步”，设置每天23:20开始同步。3.4.4 设置计算机分组1. 在 WSUS 管理控制台中，依次展开“更新服务”

26、->“TST-WSUS”->“计算机”，单击“所有计算机”，然后单击“添加计算机组”。2. 在“添加计算机组”对话框的“名称”中，指定新组的名称，然后单击“添加”。3. 查看创建的服务器分组。4. 右键单击你在上一步骤中选择的计算机名称，然后单击“更改成员身份”5. 在“设置计算机组成员身份”对话框中，选择你创建的测试组，然后单击“确定”。3.4.5 设置计算机组策略自动为客户端分组1. 在 WSUS 管理控制台中，在“更新服务”下，展开 WSUS 服务器，展开“选项”，打开“计算机”。2. 在“计算机”对话框中勾选“使用计算机上的组策略或注册表设置”。参考：3.5 WSUS组策略

27、设置3.5.1 DC服务器设置WSUS组策略1. 登录DC服务器，打开组策略管理控制台 (GPMC)，展开“组策略对象”，右键“WSUS-测试组”,单击“编辑”。2. 在“WSUS-测试组策略”，依次展开“计算机配置”、“策略”、“管理模本”、“Windows 组件”，然后单击“Windows 更新”。分别编辑：“配置自动更新”、“指定Intranet Microsoft更新服务位置”、“对于有已登录的用户的计算机，计划的自动更新安装不执行重新启动”、“允许客户端目标设置”3. 编辑“配置自动更新”；勾选“启用”，配置自动更新选择“4-自动下载并安装计划”，计划安装日期选择“0-每天”， 计划

28、安装时间选择“16:00”，然后单击“确定”。4. 编辑“指定Intranet Microsoft更新服务位置”；勾选“启用”，设置检测更新的Intranet更新服务“http:/hq-sus (计算机名)”， 设置Intranet服务器“http:/hq-sus (计算机名)”， 然后单击“确定”。5. 编辑“对于有已登录的用户的计算机，计划的自动更新安装不执行重新启动”；勾选“启用”，然后单击“确定”。 6. 编辑“允许客户端目标设置”；勾选“启用”，在此计算机的目标组名称输入“测试服务器组”，然后单击“确定”。注意：输入的“测试服务组”必须要和WSUS控制台内计算机分组名称相同，否则组策略无法自动把计算机分组。备注：以上为测试服务器组撰写组策略设置，其他组设置相同。7. 编辑完组策略，刷新组策略（gpupdate /force），在 WSUS控制台中刷新，可以看到对应域计算机OU中的计算机分配到了对应的 WSUS计算机组中。3.5.2 启动 WSUS 检测的步骤1. 在客户端计算机上，使用提升的权限打开“命令提示符”窗口。2. 输入 wuauclt.exe /detectnow，然后按 Enter 键。参考：4. KMS安装部署4.1 安装批量激活服务