Windows2012内网更新服务器部署2016

1、Windows2012内网更新服务器部署文档整理人：李锋Mail：feng_日期：2016-09-27目录Windows2012内网更新服务器部署1一、 准备工作2二、 安装SQLservice2008_x64_CHS3三、 打开添加角色和功能安装windows Server更新服务，6四、 更新包和数据库的导出迁移14五、 设置客户端的自动更新171、 准备工作全新安装的一台windows2012R2X64系统，为了区分，本文把外网服务器更名为WSUS，内网服务器更名为LSUS。1：通过添加角色和功能安装net framework3.5，以支持SQLservice20

2、08勾选net framework3.5后直接下一步由于系统下不存放.net3.5的安装包，需要把windows2012的安装光盘放到光驱里，然后点指定备用源路径在路径里填写光盘里的SxS文件夹的绝对路径。确定后点安装即可2：安装ReportViewer2008 报表控件，以支持SUS服务器查看报告双击下载后的ReportViewer2008 安装包直接运行安装即可。此软件需要.net3.5的支持下载地址/en-us/download/details.aspx?id=38412、 安装SQLservice2008_x64_CHS1：下载地址htt

3、p:/42//download/9/4/8/AB-52CA-40F1-8051-E6/SQLEXPRADV_x64_CHS.exe2：运行安装文件，需要有个解压过程解压完毕后会自动运行安装程序选择全新安装或向现有安装源添加功能=勾选接受许可条款，然后下一步，等待安装程序检索安装文件所有项目必须全部通过才能继续安装，如果有需要的程序异常就会停到这个界面，监察通过后会进入安装目录选择界面，我在这里为了方便管理，建立了个SQL的目录，把数据库安装进去。点击下一步在这里数据库名称我把外网的起名WSQL。内网的起名LSQL以方便区分，库的根

4、目录要与上一步保持一致。添加管理员账户对所有的SQL服务使用相同的账户=浏览=高级=立即查找=选中Administrator 确定，当然你也可以建立新的账户进行管理。=输入该账户的密码。然后下一步引擎配置这一项不用做其他更改，除非有特殊要求。否则请下一步Server配置项选择安装本机模式默认配置即可，请下一步错误报告是否上传微软由自己决定，本文不勾选，请下一步安装配置规则如果自检全部OK，会自动执行安装命令。等待安装完成即可。完成后启动Microsoft SQL Server management studio 连接数据库检查状态3、 打开添加角色和功能安装windows Server更新服务

5、，选择数据库。我们使用SQL数据库选择存储位置，该分区要求是NTFS格式分区才可以。本次建立输入数据库名称，连接数据库本，名称是主机名数据库名称WSUSWSQL Web服务器选择默认等到安装完成完成后启动安装后的初始化任务，点更多，点启动安装后任务。注意：以上操作在内外网更新服务器均要安装配置，1：让WSUS服务器与Microsoft Update同步，让服务器直接从Microsoft网站下载更新程序与Metabase等。2：使用导入更新功能自己去微软网站筛选打开WSUS 4.0控制台-更新服务-WSUS，在右侧操作窗口里点击“导入更新”，从微软的更新目录里查找最新补丁，并查看该补丁有没有可代

6、替的补丁包，如果有，放弃！选择完补丁包后，点击右上角的“查看选择栏”，然后导入更新，在WSUS 4.0控制台里，点开“更新”-“所有更新”-“未审批”-“任何状态”，审批所有补丁程序。审批后，服务器自动下载补丁！如果服务器需要通过企业内部的Proxy服务器联网，请在下图输入相关信息。点击开始连接，以便从Windows Update网站取得更新程序相关信息。选择下载语言，根据内网客户端的系统来选择，选择需要下在的更新产品。默认系统会选择office和windows的更新，根据需求选择所需的更新包 ，选择下载所需类型，根据实际需要，建议Server pack更新也选择选择手动或自动同步。选择自动同

7、步，需要设置第一次同步的时间与每天同步的次数。执行第一次同步工作可以查看当前同步进度。如果要手动同步，选择同步选择中的立即同步如果要将手动同步改成自动同步，需要设置同步计划。前面安装的所有设置，都可以通过选项界面进行更改。在同步尚未完成之前，无法存储更改的设置，需要等待同步完成后更改设置。等服务器下载完所需的更新包即可。以上操作在内网更新服务器不需要设置。只在外网服务器上设置即可4、 更新包和数据库的导出迁移 服务器补丁下载完后，关掉更新服务窗口进行备份操作：1：复制补丁保存目录下wsuscontent目录到盘或启动硬盘上2：登录数据库找到SUSDB数据库右键=任务=分离=勾选=确定即可分离数

8、据库，在数据库安装目录里找到分离的SUSDB数据库和LOG文件，拷贝到U盘或者移动硬盘分别把wsucontent目录和SUSDB数据库文件以及log拷贝到内网LSUS服务器的相应目录。启动Microsoft SQL Server management studio右键点击数据库=附件点击添加找到刚拷贝过来的susdb数据库文件，来完成数据库的挂载然后重新启动wsus服务后在启动wsus管理窗口检查LSUS服务器的补丁包识别是否与WSUS服务的一致，并检查自动审批规则和更新分类语言等是否复合规则需要。5、 设置客户端的自动更新我们要让客户端计算机能够通过WSUS服务器下载更新程序，可以通过组策略

9、进行设置。开始=运行=gpedit.msc展开计算机配置-策略-管理模板-windows组件。选择启用配置自动更新。通知下载并通知安装：在下载更新程序前会通知已登录的系统管理员，由他自行决定是否现在下载；下载完成后和准备安装前也会通知系统管理员，然后由他自行决定是否现在安装。自动下载并通知安装：自动下载更新程序，下载完成后和准备安装前会通知已登录的系统管理员，然后由他自行决定是否现在安装。自动下载并计划安装：自动下载更新程序，并且会在指定的时间自动安装。需要指定安装时间。允许本地管理员选择设置：此选项让在客户端的本地管理员可以通过控制面板自行选择更新方式。选择指定intranet Micros

10、oft更新服务位置，然后指定让客户端从wsus服务器获取更新程序，同时也设置让客户端将更新结果报告给WSUS服务器，这两处请输入http:/更新服务器的IP地址:8530。设置完成后，必须等域内的客户端应用这个策略才能有效，而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。应用完成后，还必须等客户机与wsus服务器接触后，在wsus管理控制台才能看到这些客户机。不过需要等待20分钟才会主动联系WSUS服务器。在客户机上执行wuauclt/detectnow 命令。审批更新程序在wsus管理界面可以看到所有客户端机器，如果还有机器仍为显示，可以

11、想到这些计算机上执行组策略刷新命令。注：如果客户端有新的更新状态可报告，而你希望立即报告，请到客户端计算机上执行wuauclt/reportnow.创建新计算机组为了便于利用WSUS管理控制台来部署客户端计算机所需的更新程序，建议将计算机进行分组。例如要创建一个名为业务部计算机的组，并将隶属于业务部的计算机移动到此组内。选择添加计算机组。将隶属于改组的计算机从未分配的计算机组移动到刚刚创建的业务部计算机组中。审批更新程序的安装WSUS下载的所有更新程序都要经过审批后，客户端计算机才可以安装此更新程序，此处假设要审批某个安全更新，以便让业务组计算机安装此更新。由于WSUS默认会延迟下载更新程序，

12、也就是WSUS服务器与Microsoft Update同步时仅会下载更新程序的metadata。当我们审批更新程序后，更新程序才会下载。由于我们刚审批上述更新，WSUS服务器正要开始下载此更新，必须等下载完成后，客户端计算机才可以开始安装此更新。下图，审批栏目出现了安装1/3字样，表示当前有3个计算机组，只有其中一个组已经被审批安装此更新。客户端默认每隔17.6-22小时才会连接服务器检查是否有更新程序下载，可利用wuauclt/detectnow来手动检查。检查到后根据组策略的设置来进行更新。客户端可以通过组策略自动更新检测频率来更新检查时间。如果希望客户端计算机能够早一点自动检测，可以修改

13、此值。只要客户端检查到可用下载，会自动右下角提示有更新。拒绝更新程序单击某个程序右侧的拒绝，则系统将解除其审批，同时在WSUS数据库内与此更新有关的报告数据都将删除，还有在此界面上也看不到此更新程序。如果要看到被拒绝的更新程序，请到审批处选择已拒绝后单击重新整理。自动审批更新程序可以设置当WSUS服务器与Windows Update同步时，自动审批下载的更新程序。例如，如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机:单击选项中的自动审批，在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序，请单击允许规则。单击高级标签后，还可以更改以下设置。WSUS更新：

14、可以用来设置是否要让WSUS产品本身的更新程序自动被审批。更新修订自动审批已审批的更新的修订：如果已审批的更新程序未来有修订版，则自动审批此修订版本的更新程序。当新修订导致更新过去时自动拒绝更新：当未来有新修订版本出现，而使得旧版本过期时，则自动拒绝这个过期的旧更新程序。自动更新的组策略设置本站介绍更多的关于自动更新的组策略，以便进一步管理客户端计算机与WSUS服务器之间的通信方式。通过另外创建GPO的方式进行配置，尽量不要通过内置的Defult Domain Policy GPO进行设置。配置自动更新此策略用来配置客户端下载与安装更新的方式。指定Intranet Microsoft更新服务位

15、置用来指定让客户端计算机从WSUS服务器获取更新程序。自动更新频率用来设置客户端多久与服务器连接，检查是否有新更新程序。允许立即安装自动更新当更新程序下载完成并且准备好安装时，会根据配置自动更新的策略来决定何时更新。启用此策略后，某些新程序会立刻安装。这些更新是指那些即不会中断Windows服务，也不会重新启动Windows系统的更新程序。重新计划自动更新计划的安装如果通过计划制定某个时间点来执行安装更新程序，但是时间到达时，客户端计算机却没有开机。此策略用来设置客户端计算机重新开机后，需要等多少时间后开始安装更新。允许客户端目标设置应用此设置的所有计算机会自动加入指定的计算机组内，不需要管理

16、员手动加入。下图，所有计算机会自动加入业务组计算机。允许来自Intranet Microsoft更新服务位置的签名更新如果此策略启用，客户计算机就可以从WSUS服务器下载由第三方开发和签名的更新程序;如果未启用，客户端只能下载Microsoft签名的更新程序。删除到Windows更新的链接和访问虽然WSUS客户端可以通过WSUS服务器来进行更新，但是系统本地管理依然可以通过开始菜单的windows更新来私自连接Microsoft Update网站。为了减少这种情况发生，建议通过此策略将客户计算机的windows update链接删除。完成后开始菜单的连接不会显示，控制面板的更新检查更新也会失效。用户配置-策略-管理模板-开始菜单和任务栏关闭对所有Windows更新功能的访问如果启用此策略，则会