WSUS實(shí)戰(zhàn)之補(bǔ)丁分發(fā)完全攻略

1、WSUS實(shí)戰(zhàn)之補(bǔ)丁分發(fā)完全攻略 本文我們就來(lái)介紹如何利用WSUS進(jìn)行補(bǔ)丁分發(fā)。WSUS的實(shí)驗(yàn)拓?fù)淙缦聢D所示，F(xiàn)lorence是域控制器，Berlin是WSUS服務(wù)器，Perth是工作站。WSUS服務(wù)器已經(jīng)在同步選項(xiàng)中對(duì)產(chǎn)品及類別進(jìn)行了設(shè)置，也已完成了同步。我們接下來(lái)就要利用這個(gè)環(huán)境進(jìn)行補(bǔ)丁分發(fā)。（圖1）完成補(bǔ)丁分發(fā)，需要注意以下三點(diǎn)：一 WSUS分組管理二 組策略或注冊(cè)表設(shè)置三 WSUS更新批準(zhǔn)下面分別介紹具體內(nèi)容一 WSUS分組管理分組管理可以把WSUS客戶機(jī)放入不同的組中進(jìn)行管理，每個(gè)組可以有不同的補(bǔ)丁管理策略，這些對(duì)于管理工作的細(xì)化很有好處。舉個(gè)簡(jiǎn)單的例子，微軟已經(jīng)發(fā)布了Windowx

2、XP SP3，但這個(gè)補(bǔ)丁安裝后的效果如何管理員卻沒(méi)有把握。這時(shí)管理員可以創(chuàng)建一個(gè)測(cè)試組，僅允許測(cè)試組的計(jì)算機(jī)安裝Windows XP SP3，如果效果不錯(cuò)就向全體用戶推廣，如果效果不佳就停止部署。因此我們有必要先進(jìn)行計(jì)算機(jī)組的設(shè)置。在瀏覽器中輸入http:/berlin/wsusadmin，打開(kāi)WSUS服務(wù)器的管理頁(yè)面，在管理頁(yè)面中點(diǎn)擊"計(jì)算機(jī)"，如下圖所示，WSUS安裝時(shí)默認(rèn)創(chuàng)建了兩個(gè)組，一個(gè)是"所有計(jì)算機(jī)"組，一個(gè)是"未指定的計(jì)算機(jī)"組。默認(rèn)情況下每個(gè)WSUS的客戶機(jī)都會(huì)屬于這兩個(gè)組。（圖2） 我們準(zhǔn)備創(chuàng)建兩個(gè)組，一個(gè)名為ITET

3、，一個(gè)名為TEST。ITET組用于普通的客戶機(jī)，TEST組用于測(cè)試補(bǔ)丁的客戶機(jī)。點(diǎn)擊上圖中的"創(chuàng)建計(jì)算機(jī)組"，彈出對(duì)話框要求我們輸入組名，如下圖所示，我們?yōu)橛?jì)算機(jī)組命名為ITET。這樣我們就創(chuàng)建出了一個(gè)計(jì)算機(jī)組，然后用同樣的方法再創(chuàng)建一個(gè)名為"TEST"的計(jì)算機(jī)組。（圖3）計(jì)算機(jī)組創(chuàng)建完成后，如何將客戶機(jī)加入到指定的組中？WSUS提供了兩種方法供管理員選擇，我們可以在WSUS的管理頁(yè)面中點(diǎn)擊"選項(xiàng)"，如下圖所示，點(diǎn)擊"計(jì)算機(jī)選項(xiàng)"（圖4）在計(jì)算機(jī)選項(xiàng)中我們看到有兩種選擇，一種是用組策略或注冊(cè)表決定客戶機(jī)加入哪個(gè)計(jì)算

4、機(jī)組，一種是在WSUS服務(wù)器的管理頁(yè)面中用移動(dòng)計(jì)算機(jī)的方法將客戶機(jī)加入計(jì)算機(jī)組。 如果客戶機(jī)數(shù)量較少，移動(dòng)計(jì)算機(jī)的操作是比較簡(jiǎn)單的；但如果客戶機(jī)數(shù)量較多，顯然還是組策略更有效率。在此我們選擇利用組策略或注冊(cè)表進(jìn)行設(shè)置，點(diǎn)擊"保存設(shè)置"讓更改生效。（圖5）二 組策略或注冊(cè)表設(shè)置到目前為止，我們部署了WSUS服務(wù)器，創(chuàng)建了計(jì)算機(jī)組。但客戶機(jī)如何知道哪臺(tái)計(jì)算機(jī)是自己需要的WSUS服務(wù)器，客戶機(jī)應(yīng)該加入哪個(gè)計(jì)算機(jī)組呢？這些設(shè)置可以通過(guò)組策略或注冊(cè)表來(lái)完成（其實(shí)兩者是一樣的，組策略不過(guò)是提供了一個(gè)友好的修改注冊(cè)表的界面）。1） 用組策略設(shè)置如果在域環(huán)境下，用組策略是效率最高的方法。我

5、們只要部署一個(gè)域級(jí)別的組策略，就可以輕松完成WSUS設(shè)置。在域控制器Florence上依次點(diǎn)擊 開(kāi)始程序管理工具Active Directory用戶和計(jì)算機(jī)，右鍵點(diǎn)擊域，選擇屬性。在屬性中切換到組策略標(biāo)簽，如下圖所示，選擇默認(rèn)組策略"Default Domain Policy"，點(diǎn)擊編輯按鈕。（圖6） 在組策略編輯器中展開(kāi) 計(jì)算機(jī)配置管理模板Windows組件Windows Update，如下圖所示，在此我們可以進(jìn)行WSUS相關(guān)策略的設(shè)置（圖7）編輯"配置自動(dòng)更新"策略，如下圖所示，在此策略中我們選擇啟用自動(dòng)更新，并且將自動(dòng)更新模式配置為自動(dòng)下載并通知安

6、裝，在此模式下客戶機(jī)會(huì)自動(dòng)下載補(bǔ)丁但在安裝補(bǔ)丁前會(huì)通知用戶。（圖8）編輯"指定Intranet Microsoft更新服務(wù)位置"策略，如下圖所示，在此策略中可以設(shè)定WSUS更新服務(wù)器和統(tǒng)計(jì)服務(wù)器。Intranet更新服務(wù)器提供補(bǔ)丁下載，Intranet統(tǒng)計(jì)服務(wù)器提供報(bào)表統(tǒng)計(jì)，在此例中我們用一臺(tái)服務(wù)器同時(shí)提供這兩種服務(wù)。我們描述服務(wù)器可以使用Netbios名稱，完全合格域名或IP。（圖9）編輯"允許客戶端目標(biāo)設(shè)置"策略，如下圖所示，在此策略中我們可以設(shè)置客戶機(jī)加入的WSUS計(jì)算機(jī)組，我們將計(jì)算機(jī)的目標(biāo)組設(shè)置為剛創(chuàng)建的"ITET"（圖10

7、）完成上述設(shè)置后，基本已經(jīng)可以滿足WSUS實(shí)驗(yàn)需求，其他策略我們就不一一列舉了。2） 用注冊(cè)表設(shè)置如果部署環(huán)境是在工作組中，那么就沒(méi)有域環(huán)境這么方便了。雖然我們可以編輯每臺(tái)計(jì)算機(jī)的本地安全策略，但這么做對(duì)一名管理員的耐心是一個(gè)極大的考驗(yàn)。在這種情況下，管理員一般會(huì)采用導(dǎo)入/導(dǎo)入注冊(cè)表的方法來(lái)進(jìn)行設(shè)置。具體是這樣的，先在一臺(tái)模板計(jì)算機(jī)上編輯好本機(jī)的組策略，設(shè)置方法如前文介紹。然后用regedit打開(kāi)模板計(jì)算機(jī)的注冊(cè)表，定位到HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdate，如下圖所示，我們看到注冊(cè)表中已經(jīng)設(shè)好了WSUS

8、服務(wù)器的名稱，計(jì)算機(jī)加入的目標(biāo)組等參數(shù)。我們現(xiàn)在要做的就是把這些注冊(cè)表設(shè)置導(dǎo)出成文件，然后在其他的計(jì)算機(jī)上進(jìn)行導(dǎo)入操作。我們?cè)赪indowsUpdate上點(diǎn)擊右鍵，選擇"導(dǎo)出"（圖11）如下圖所示，我們選擇將Windowsupdate分支導(dǎo)出成文件，文件名為C:WSUS.REG。（圖12）然后我們只需將WSUS.REG文件利用電子郵件或文件服務(wù)器分發(fā)給其他用戶，每個(gè)用戶雙擊此注冊(cè)表文件進(jìn)行導(dǎo)入操作即可。三 WSUS更新審批完成了前面的設(shè)置，接下來(lái)就該進(jìn)行實(shí)質(zhì)性的操作，我們要在WSUS服務(wù)器上分發(fā)補(bǔ)丁了！上篇博文中我們對(duì)WSUS服務(wù)器進(jìn)行的同步設(shè)置中規(guī)定了WSUS只能涉足Wi

9、n2003平臺(tái)下的安全更新和關(guān)鍵更新，這些更新必須經(jīng)過(guò)WSUS服務(wù)器批準(zhǔn)安裝才能分發(fā)到客戶機(jī)上。下面我們來(lái)看看到目前為止哪些更新被批準(zhǔn)安裝了，打開(kāi)WSUS服務(wù)器的管理頁(yè)面，點(diǎn)擊頁(yè)面上方的"更新"，如下圖所示，在左側(cè)視圖中對(duì)"產(chǎn)品和分類"選擇"關(guān)鍵和安全更新"，對(duì)"批準(zhǔn)"選擇"安裝"，在"已同步"處選擇"任何時(shí)間"，這時(shí)右側(cè)面板中顯示被批準(zhǔn)安裝的更新只有兩個(gè)。一個(gè)是Windows install 3.1，一個(gè)是Bits2.0和Http5.1，這兩個(gè)更新是WS

10、US客戶端所必須的，肯定會(huì)被批準(zhǔn)安裝。問(wèn)題是那其他的更新為什么沒(méi)被批準(zhǔn)呢？原來(lái)WSUS服務(wù)器對(duì)安全更新和關(guān)鍵更新默認(rèn)只批準(zhǔn)檢測(cè)，不批準(zhǔn)安裝?，F(xiàn)在我們來(lái)批準(zhǔn)安裝一些更新。（圖13）1） 手工批準(zhǔn)更新在WSUS服務(wù)器的管理頁(yè)面中選擇更新中，在左側(cè)視圖中對(duì)"批準(zhǔn)"選擇"僅檢測(cè)"，如下圖所示，這時(shí)右側(cè)面板中顯示共有301個(gè)更新，每個(gè)更新前的圖標(biāo)是灰色的，代表此更新沒(méi)有被批準(zhǔn)安裝。我們選擇所有更新，點(diǎn)擊左上角的"更改批準(zhǔn)"（圖14）如下圖所示，我們對(duì)所有更新都批準(zhǔn)安裝。其實(shí)有些補(bǔ)丁并不適合當(dāng)前環(huán)境，例如有一些64位的補(bǔ)丁，但實(shí)驗(yàn)環(huán)境下我們就不仔

11、細(xì)篩選了。從下圖中還可以看到，對(duì)每個(gè)組可以采取不同的管理策略，例如有的組批準(zhǔn)安裝，有的組只批準(zhǔn)檢測(cè)，管理起來(lái)非常靈活。這也是我們?cè)O(shè)置計(jì)算機(jī)組的意義所在。（圖15）將更新的狀態(tài)從批準(zhǔn)檢測(cè)更改為批準(zhǔn)安裝后，WSUS開(kāi)始對(duì)補(bǔ)丁狀態(tài)進(jìn)行更改，如下圖所示。（圖16）如下圖所示，狀態(tài)更改完成，每個(gè)更新前的圖標(biāo)變成了綠色箭頭，這代表此更新被批準(zhǔn)安裝，現(xiàn)正在下載中，但還沒(méi)有下載完畢。如果下載完成，圖標(biāo)會(huì)變?yōu)樗{(lán)色桶狀。（圖17）2） 自動(dòng)批準(zhǔn)安裝如果覺(jué)得手工批準(zhǔn)安裝太麻煩，我們可以讓W(xué)SUS自動(dòng)批準(zhǔn)。打開(kāi)WSUS的管理頁(yè)面，在選項(xiàng)中點(diǎn)擊"自動(dòng)批準(zhǔn)選項(xiàng)"，如下圖所示（圖18）如下圖所示，我們選

12、擇對(duì)安全更新程序和關(guān)鍵更新程序批準(zhǔn)安裝，這樣以后只要WSUS服務(wù)器發(fā)現(xiàn)微軟的更新網(wǎng)站有了新的安全更新或關(guān)鍵更新，WSUS就會(huì)自動(dòng)批準(zhǔn)進(jìn)行檢測(cè)，進(jìn)行安裝！（圖19）好了，WSUS服務(wù)器端的設(shè)置已經(jīng)基本完成，讓我們?nèi)タ蛻魴C(jī)上看一下吧。首先在客戶機(jī)上可以運(yùn)行g(shù)pupdate /force來(lái)加速組策略的生效，否則域成員服務(wù)器或工作站等候組策略生效可能最多需要90分鐘。然后可以運(yùn)行wuauclt /detectnow，這樣客戶機(jī)可以立即連接到WSUS服務(wù)器而不需要等待20分鐘的延時(shí)，過(guò)程如下圖所示。（圖20）等待一段時(shí)間后，客戶機(jī)的右下角出現(xiàn)提示，告訴我們有一些更新需要安裝，如下圖所示，哈哈，WSUS開(kāi)

13、始工作了。（圖21）如下圖所示，客戶機(jī)從WSUS服務(wù)器上下載了四個(gè)更新，我們點(diǎn)擊安裝（圖22） 安裝過(guò)程如下圖所示（圖23）客戶機(jī)如果想知道到底安裝了哪些更新，可以輸入命令systeminfo，如下圖所示，客戶機(jī)安裝補(bǔ)丁的數(shù)量和名稱都已經(jīng)列出來(lái)了。（圖24）管理員如果想了解補(bǔ)丁的部署情況，就可以使用WSUS強(qiáng)大的報(bào)表功能。管理員可以打開(kāi)WSUS的管理頁(yè)面，選擇報(bào)告，如下圖所示，點(diǎn)擊"計(jì)算機(jī)的狀態(tài)"（圖25）如下圖所示，在左側(cè)的視圖中我們選擇查看ITET計(jì)算機(jī)組已安裝補(bǔ)丁的報(bào)表，點(diǎn)擊應(yīng)用。（圖26）如下圖所示，WSUS顯示了ITET組內(nèi)每臺(tái)計(jì)算機(jī)所安裝補(bǔ)丁的統(tǒng)計(jì)信息。（圖27）如果想查看詳情，可以點(diǎn)擊計(jì)算機(jī)名左側(cè)的號(hào)，如下圖所示，WSUS顯示了perth所安裝的6個(gè)更新的詳細(xì)信息。WSUS的報(bào)告功能還有很多用法，在此我們就不一一列舉了。（圖28）有一點(diǎn)大家要注意，在上一篇博文中我們看到WS