局域網內WSUS服務器的安裝與使用經驗

WSUS（Windows Server Update Services ）是Windows操作系統的升級服務，通過在內部網絡中配置WSUS服務器，所有Windows的更新都能集中下載到這個服務器中，內部網絡中的客戶機就可以通過WSUS服務器得到更新。升級操作系統補丁的時間可以縮短到幾分鐘，效果十分明顯，且只要一臺WSUS服務器就可保證全網絡內操作系統的自動升級。這既節省了資源，又避免了資源浪費，並且提高了效率。

近年來，浙江省紹興市菸草專賣局在內部網絡中建成使用了WSUS系統，現在全部終端已部署完成，終端操作系統通過WSUS系統自動安裝更新補丁，有效地避免了計算機病毒的***，有力地保障了系統和網絡的安全。目前，WSUS已升級至2.0版本，支持微軟的全部更新，包括ISA、OfficeXP、Office2003、SQL Server2000、MSDE 2000和Exchange Server2003，等等。

WSUS的安裝主要分4個步驟：系統準備與輔助軟件的安裝；WSUS服務器的安裝；配置和管理WSUS服務器；客戶機設置。

   1.系統準備與輔助軟件的安裝。

安裝WSUS服務器之前，要確保服務器符合SUS的最低硬件要求：奔騰III 750MHz或更高的處理器，512MB內存，8GB硬盤空間，NTFS文件系統格式，如需要升級的客戶機在500臺以上，對CPU的要求更高，內存應在1GB以上。

相關軟件要求如下：

①操作系統安裝：只有包含SP4或更高版本的Windows2000 Advanced Server（Windows2000 Server），以及Windows Server 2003才能夠作爲WSUS服務器，建議採用Windows2000 Advanced Server。
②在操作系統上安裝Microsoft Internet Information Services （IIS）5.0。
③在操作系統上安裝Background Intelligent Transfer Service （BITS）2.0。
④在操作系統上安裝Microsoft SQL Server2000及SQL的SP4補丁。
⑤在操作系統上安裝Microsoft Internet Explorer 6.0 Service Pack 1。
⑥在操作系統上安裝Microsoft
.NET Framework Version 1.1 Redistributable Package。
⑦在操作系統上安裝Microsoft
.NET Framework 1.1 Service Pack 1。
⑧最後打好所有的系統補丁。
以上相關軟件到微軟的網站上下載即可。

2.安裝WSUS。

默認情況下，Windows Server操作系統是不包含WSUS組件的，需要在微軟下載中心下載WSUS安裝包，再安裝至服務器。

①下載WSUS安裝程序。
②打開下載的WSUSSetup.exe文件，啓動安裝程序。
③單擊“下一步”，在“最終用戶許可協議”步驟中選擇“I accept the terms in the License Agreement”，並單擊“下一步”。
④選擇存儲分區，用來存放WSUS下載的更新文件。要注意的是，這個分區必須是NTFS格式，並且最少要有6GB的自由空間。
⑤接下來是選擇安裝WMSDE數據的存儲分區，這個分區也必須是NTFS格式，以及最少要有2GB的自由空間，如果把它與存儲本地更新文件裝在同一個分區，這個分區最少要有8GB的自由空間。
⑥選擇WSUS站點的管理工具與WEB服務網站的端口，可以使用默認端口(80)或是選擇一個獨立的端口(8530)，這是不能更改的。如果服務器上面還有別的網站，建議使用8530端口來實現WSUS的管理以及WEB服務更新。這裏使用系統推薦的80端口。
⑦WSUS提供了鏡像管理服務功能，它可以從網絡上的另一臺WSUS服務器中複製已批准的更新列表。
接下來就是安裝程序的自動安裝過程，大概需要15分鐘左右。

3.配置和管理WSUS服務器。

安裝完成，接下來需要進入它的管理頁面進行配置，默認情況下WSUS是不進行任何同步更新的。
從安裝時提示的管理地址進入WSUS的WEB管理界面。
點擊右上方“選項”菜單，進行系統設置。
①點擊“同步選項”。可以選擇手動同步服務器，查看同步狀態，指定代理服務器設置以及管理更新。也可以設置同步更新的時間，以及要求從微軟站點下載的產品、更新分類、代理服務器、更新源以及更新文件和語言。
②更新源：可以選擇讓該 WSUS服務器與 Microsoft Update 或者網絡上的某臺上遊WSUS服務器同步更新信息。如果使用 SSL，請確保上游WSUS 服務器配置爲支持 SSL。此服務器上的端口設置必須配置爲與上游 WSUS 服務器匹配。
③自動批准選項：可以指定如何爲選定組自動批准更新的安裝或檢測，以及如何批准對現有更新的修訂，即WSUS對同步下載的補丁是否執行自動批准加入系統的分發庫的命令，並設置分發的對象即計算機組。
④更新的修訂：對於已批准的更新，有時會有更新版本發佈，可以選擇是否自動批准修訂。如果不選擇自動批准修訂版本，則舊版本將繼續保持已批准狀態。
⑤WSUS更新：需要WSUS 更新，以確保可以正確更新計算機。如果 WSUS 更新未得到批准，則計算機可能無法正確檢測某些更新，默認是批准的。

4.客戶機設置。

如果客戶機與WSUS服務器在同一個域中，則只要通過域功能分發一下即可。如客戶機與WSUS服務器不在同一個域中，則每一臺客戶機都必須作如下設置才能起作用：
①打開“開始”菜單，點擊“運行”，輸入“Gpedit.msc”，啓動Windows策略組。
②在策略組中，點擊“管理模板”，選擇“添加/刪除模板”，點擊“添加”，選擇“wuau.adm”，再點“打開”即可。（圖一）
③雙擊“配置自動更新”，在打開窗口中，選擇“啓用”。
④雙擊“指定Internet Microsoft更新服務位置”，在打開窗口中，選擇“啓用”，並在紅色框中填上http://10.46.0.253（SUS服務器IP）即可。（圖二）
⑤爲保證客戶機立即更新，要在“開始”菜單下“運行”中輸入“secedit/refreshpolicy machine_policy /enforce”，客戶機將立即與WSUS服務器連接，下載並更新補丁。
作者單位：浙江省紹興市菸草專賣局