WSUS 3.0 系列之二 補丁分發

利用WSUS 3.0進行補丁分發

 

 

在上一篇文章中我們完成了對WSUS3.0的安裝以及其初步的配置部署，今天我們就來介紹如何利用WSUS3.0來對客戶機進行補丁的分發.首先我們來看下今天的實驗拓撲圖:

如圖所示FLORENCE是WSUS.COM的域控制器,BEIJING 爲WSUS3.0服務器.PERTH 爲工作站.如下圖所示WSUS服務器已經進行同步選項中對產品及類別進行了設置，也已完成了同步。我們接下來就要利用這個環境進行補丁分發。

首先我們來介紹下要完成補丁分發需要注意的幾個要點

1、             WSUS對計算機的分組管理

2、             組策略的設置

3、             WSUS更新審批

瞭解了這些注意以後，現在我們來介紹具體的內容

一 、WSUS分組管理

分組管理可以把WSUS客戶機放入不同的組中進行管理，每個組可以有不同的補丁管理策略，這些對於管理工作的細化很有好處。如下圖所示，WSUS安裝時默認創建了兩個組，一個是“所有計算機”組，一個是“未指定的計算機”組。默認情況下每個WSUS的客戶機都會屬於這兩個組

我們來準備來創建兩個組來完成今天實驗。一個爲TEST，一個爲SYSTEM。TEST組用於測試補丁的客戶機。右鍵點擊上圖中的“所有計算機”，選擇‘添加計算機組’添加彈出對話框要求我們輸入組名，如下圖所示，我們爲計算機組命名爲SYSTEM。這樣我們就創建出了一個計算機組，然後用同樣的方法再創建一個名爲“TEST”的計算機組。

在我們創建完計算機組後，如何來把客戶機放入到我們剛纔創建的兩個組中呢？彆着急，聽我給大家慢慢道來。如下圖所示，在你需要的計算機名字上右擊選擇‘更改計算機成員身份’就會出現和下圖一樣的對話框。這樣就完成了計算機的分組情況

到目前爲止，我們部署了WSUS服務器，創建了計算機組。但客戶機如何知道哪臺計算機是自己需要的WSUS服務器？要解決的這個問題就是我們下面要說的通過組策略來實現客戶機自動從WSUS服務器上選擇補丁更新！

 

 

組策略的設置：

如果在域環境下，用組策略是效率最高的方法。我們只要部署一個域級別的組策略，就可以輕鬆完成WSUS設置。在域控制器Florence上依次點擊 開始－程序－管理工具－Active Directory用戶和計算機，右鍵點擊wsus.com域，選擇屬性。在屬性中切換到組策略標籤，如下圖所示，選擇默認組策略“Default Domain Policy”，點擊編輯按鈕。

在組策略編輯器中展開計算機配置－管理模板－Windows組件－Windows Update，如下圖所示，在此我們可以進行WSUS相關策略的設置。

編輯“配置自動更新”策略，如下圖所示，在此策略中我們選擇啓用自動更新，並且將自動更新模式配置爲自動下載並通知安裝，在此模式下客戶機會自動下載補丁但在安裝補丁前會通知用戶。

編輯“指定Intranet Microsoft更新服務位置”策略，如下圖所示，在此策略中可以設定WSUS更新服務器和統計服務器。Intranet更新服務器提供補丁下載，Intranet統計服務器提供報表統計，在此例中我們用一臺服務器同時提供這兩種服務。我們描述服務器可以使用Netbios名稱，完全合格域名或IP

完成上述設置後，基本已經可以滿足WSUS實驗需求，其他策略我們就不一一列舉了

 

三 WSUS更新審批

做完了以上的配置現在我們就進入實質性的WSUS補丁分發管理。上篇博文中我們對WSUS服務器進行的同步設置中規定了WSUS只能涉足Win2003平臺下的安全更新和關鍵更新，這些更新必須經過WSUS服務器批准安裝才能分發到客戶機上。下圖中我們可以看到已經

有15個更新的補丁得到批准安裝在計算機上。那麼這些操作具體是怎麼進行的呢，下面我就來給大家介紹下：

 

如下圖所示我們選中需要安裝的補丁，點擊右邊的‘審批’選項，選擇需要更新的計算機組這樣就完成了補丁文件的審批工作

好了，WSUS服務器端的設置已經基本完成，讓我們去客戶機上看一下吧。首先在客戶機上可以運行gpupdate /force來加速組策略的生效，否則域成員服務器或工作站等候組策略生效可能最多需要90分鐘。然後可以運行wuauclt /detectnow，這樣客戶機可以立即連接到WSUS服務器而不需要等待20分鐘的延時，過程如下圖所示。

做完以上的操作以後大家耐心的等待一段時間，客戶機的右下角就會出現提示，告訴我們有新的更新需要安裝，如下圖所示客戶機從WSUS服務器上找到了5個需要更新的補丁文件

安裝過程如下圖所示:

客戶機如果想知道到底安裝了哪些更新，可以輸入命令systeminfo，如下圖所示，客戶機安裝補丁的數量和名稱都已經列出來了。

 

至此，我們完成了WSUS服務器的補丁分發.

 

管理員如果想了解補丁的部署情況，就可以使用WSUS3.0 強大的報表功能.由於WSUS 3.O有Microsoft Report Viewer 2005 SP1 的支持所以它的報表功能也比得2.0強大的多, 在這裏我就不做過多的介紹了,大家可以在自己實驗的時候多多體會!