网管经验谈:操作系统打补丁我用WSUS

你可曾遇到过使用Windows自带的UPDATE下载补丁速度非常慢，往往要等待3小时以上甚至更多呢？这还仅仅局限在关键更新上，要是把驱动和非关键 更新也下载的话需要的时间会更长。如果公司只是在一个内网中员工计算机不容许上网的话你又是如何保证他们的补丁是较新的呢？恐怕使用默认的UPDATE都 不能实现这些功能。

微软替我们想出了一个办法――使用WSUS。通过WSUS我们可以建立一个内部的UPDATE服务器，让公司 的计算机直接到这台UPDATE服务器上下载补丁，使得更新补丁时间大大缩短，提高了安全性。另外对于没有连到INTERNET的计算机只要在内网中可以 访问这台UPDATE服务器也可以随时安装较新的补丁，有效的防止了漏洞型病毒在内网的传播。

一、Windows Server Update Services介绍

WSUS（Windows Server Update Services）是微软公司继SUS（Software Update Service）之后推出的替代SUS的产品。目前版本为2.0。想必有的网络管理员使用过SUS，那么WSUS具有哪些主要新特性呢？

（1）支持对更多微软产品进行更新，除了Windows，还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布，而SUS只支持Windows系统。

（2）支持更多的语言包括中文。

（3）使用2.0版的后台智能传输服务，比SUS更好的利用了网络带宽。

（4）对客户机的管理更加强大，可以对不同客户机分配不同的用户组，对不同组分配不同的下载规则。

（5）在设置和管理上比SUS更加简单直观。

如果你的网络要升级的客户端小于500台计算机的话需要WSUS服务器硬件较小是750MHz主频的处理器以及512MB内存，当然还需要有充足的硬盘空间来保存更新程序的安装文件。

二、部署Windows Server Update Services

理论上的说教效果不好，所以笔者将设定一个应用环境为大家讲解如何安装及配置WSUS服务器以及如何设置客户端通过这个WSUS服务器下载补丁。

Windows Server Update Services　小档案：
软件版本：2.0正式版
软件大小：　124MB
软件语言：多国语言
软件平台：Win2000/2003 Server
软件授权：共享软件
下载地址：http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe

实战：在企业内网建立WSUS服务器容许客户机通过这个服务器更新补丁

任务描述：笔者所在公司的网络处于教育网，客户机连接微软官方的UPDATE站点速度很慢，更新补丁时间比较长，为了提高公司网络的安全，加快补丁更新 速度选择一台服务器通过WSUS建立一个公司内部的UPDATE站点，让所有员工计算机到这个UPDATE站点更新补丁。服务器名称为softer。

准备工作：由于软件需要很多必备组件,如果在Win2000server上安装WSUS则需要安装这些组件,而这些组件都是默认安装在 Windows2003上的,所以笔者建议大家使用2003部署WSUS服务器。同时建议安装该服务器的服务器谨慎安装其它WEB网站。具体需求如图1。
　
图1
实现方法：

较早步：Win2003默认没有启用IIS服务，所以我们需要通过“控制面板->添加删除程序->添加删除Windows组件”，安装里面的“应用程序服务器”组件，安装的同时会把IIS添加到本地计算机。（如图2）
　
图2

第二步：下载WSUS并双击安装程序，程序将自动解压缩。（如图3）
　
图3

第三步：开始安装WSUS，所有步骤和安装普通软件一样。在出现选择安装路径的界面需要注意的是安装路径有6GB空间而且安装路径所在驱动器是NTFS格式的文件系统。（如图4）
　
图4

第四步：由于笔者的Win2003没有安装SQL SERVER，所以软件还会向计算机安装SQL SERVER桌面版。（如图5）
　
图5
第五步：在网站设置窗口我们选择“使用现有IIS默认网站”即可，如果本地计算机还开启了其他站点服务，80端口被占用的话，选择下方的使用8530端口选项即可，不过实际中会造成使用的不方便。（如图6）

　
图6

第六步：由于我们是独立的升级服务器而不是其他服务器的镜像站点，所以在镜像更新设置时不用选择。（如图7）
　
图7

第七步：开始安装WSUS到本地计算机。（如图8）
　
图8

第九步：接下来会出现输入正确的用户名和密码，我们直接输入Windows2003系统的管理员帐户和密码即可。

第十步：较早次成功登录WSUS的界面后我们会在下方“待做事项列表”中看到“同步服务器，现在就开始”的显示信息。点该选项开始设置WSUS。（如图9）

第八步：安装完毕后我们打开浏览器，使用http://localhost/wsusadmin访问WSUS的管理界面，当然直接输入计算机名或IP地址访问也是可以的，笔者输入http://softer/wsusadmin来访问。

第九步：接下来会出现输入正确的用户名和密码，我们直接输入Windows2003系统的管理员帐户和密码即可。

第十步：较早次成功登录WSUS的界面后我们会在下方“待做事项列表”中看到“同步服务器，现在就开始”的显示信息。点该选项开始设置WSUS。（如图9）
　
图9

第十一步：在同步选项设置界面可以提供给我们的参数比较多，由于篇幅有限这里不能详细讲解了。平常用到较多的是“计划”下的“手动同步”或“每天定时同 步”。另外还有“产品和分类”下方的设置我们可以在产品处选择可供更新的产品种类，除了Windows，还有Office、Exchange、SQL等产 品的补丁和更新包都可以通过WSUS发布。在“更新分类”处也可以详细的设置提供下载的补丁类别，例如是否提供驱动程序的下载等信息。（如图10）
　
图10

第十二步：设置完“产品和分类”与“更新分类”后我们还需要选择更新的语言种类，在上面界面的较下方有一个“高级同步选项”，通过他我们可以设置更新的语言为中文（简体）。（如图11）
　
图11

第十三步：在图9界面左边点“开始同步”将启动服务器的同步功能，服务器将连接微软官方UPDATE服务器下载设置的补丁以便以后客户端更新用。（如图12）
　
图12

第十四步：大概等待2到3个小时就完成了补丁的更新，当然具体时间还是根据你选择的补丁数量决定的。由于笔者公司大部分都是Win2000操作系统，所以我只选择了更新2000补丁包及驱动程序。

第十五步：仅仅下载完更新包还不能提供补丁更新服务，我们还需要对刚刚下载的安全和关键更新进行复查和批准。这时在待做事项列表中点“复查安全和关键更新”。（如图13）
　
图13

第十六步：在“更新”界面中我们将所有补丁选中，较简单的方法是按CTRL+A全选。选择完毕点左边“更新任务”下的“更改批准”。这样就会将刚刚下载的所有补丁进行批准安装。如果你不希望客户端下载某某更新则不选择该补丁名称即可。（如图14）
　
图14

第十七步：在“批准更新”窗口中我们在批准下拉选项中选择“安装”，然后确定即可。这样所有客户端就可以下载并安装刚刚批准的补丁了。至此服务器上的所有设置完毕。（如图15）
　
图15

第十八步：下面我们还需要对客户端的计算机进行设置，因为默认情况都是通过微软官方的UPDATE服务器下载补丁的。我们需要手动修改为刚刚建立的WSUS服务器的地址。首先通过“任务栏的开始->运行->输入gpedit.msc”启动组策略。

小提示：如果公司内部使用的是域建立的网络，那么直接在域控制器上设置组策略即可。

第十九步：在“本地计算机策略->计算机配置->管理模板”上点鼠标右键，选择添加删除模板。（如图16）