某企業WSUS服務實例介紹
背景介紹
經過永恒之藍這麽一鬧,客戶開始重視系統補丁更新,由於客戶保密級別很高,內網不允許與互聯網連接,而使用wsusoffline工具對每臺服務器手動更新補丁工作量大,而客戶也沒有預算購買第三方補丁更新軟件,於是嘗試使用WSUS服務器在不連接公網的情況下進行補丁更新。
環境介紹
客戶服務器都處於工作組環境下,內網的服務器由Windows Server 2003R2和Windows Server 2008R2兩種,而Windows Server 2008R2自帶的WSUS3.0SP1已不再受支持,添加WSUS角色時總會報錯,如果一定要用Windows Server 2008R2需要去微軟下載WSUS3.0SP2完成WSUS服務器的搭建,所以WSUS服務器選擇使用Windows
操作步驟
1.在公網環境搭建一臺WSUS服務器,以便下載補丁包(搭建過程略),搭建完成後設置更新文件和更新語言選項,語言選項是選擇下載那些語言版本的操作系統補丁,更新文件方式分為:
(1)只有在審更新後批後,才能將文件下載到此服務器。該選項是在審批允許下載前只下載補丁包的源數據而非補丁本身,優點是節省帶寬,缺點是只有審批後才會真正下載補丁包,微軟建議使用該選項,它也是默認選項。
(2)下載快速安裝文件。該選項是審批前直接將補丁包下載到本地,待審批通過後再進行安裝,它的優點是如果內網中的計算機已安裝過舊的補丁包,它只會安裝就補丁包與新補丁包之間差異的部分,緩解內網網絡負擔,缺點是對外網帶消耗大。
結合實際環境,此處選擇下載安裝文件,需要註意的是:後期在內網中WSUS服務器的更新文件和更新語言選項設置必須和此處的選項保持一致。而更新源和代理服務器、產品和分類、同步計劃設置可以不用考慮。
為方便下載,將自動審批選項設置為任何分類,然後開始進行補丁包下載。
2.下載完成後在指定的補丁存放路徑下找到WsusContent目錄,該目錄中存放的就是下載下來的補丁,可以使用各種備份軟件或Xcopy工具進行備份,然後到內網的WSUS服務器上進行恢復,註意不要更改該目錄下的層級結構,此處選擇最原始的方法直接復制一份。
3.只復制WsusContent目錄到內網的WSUS服務器上內網計算機依然無法正常下載補丁,還需要使用WSUS自帶的wsusutil工具將外網WSUS服務器上補丁包間的源數據導出,該工具位於C:\Program Files\Update Services\Tools目錄下,該工具無法通過雙擊打開,在命令行模式下可以執行,命令格式為:
wsusutil.exe export packagename logfile #packagename為.cab格式,logfile為.log格式,packagename和logfile名稱必須完全一致
4.在內網搭建一個WSUS服務器,補丁包存放的位置設置建議和外網服務器保持一致,將復制的WsusContent目錄考到內網WSUS服務器上
5.再使用wsusutil工具導入外網WSUS服務器補丁包的源數據,此時內網WSUS服務器補丁就算更新完成,以後每次更新補丁時都需要更新源數據
6.打開IIS管理器,確認WSUS使用的端口號
7.在內網中找一臺計算機,將組策略中WSUS服務器地址指向設置為實際的地址,完成後運行gpupdate /force刷新組策略
8.打開這臺計算機的註冊表,將Windows update鍵值導出成為一個reg註冊表文件,發給內網中其他計算機,雙擊運行完成WSUS服務器的指向,至此操作完成
補充說明
1.內網中其他計算機運行完reg文件後,註冊表的鍵值完成修改,但組策略中依然顯示未設置,此時可以正常從WSUS服務器獲取補丁,推測組策略和註冊表不是存放在同一位置。
2.經過反復測試,內網中其他計算機運行註冊表文件後是可以找到WSUS服務器的,只是有時候執行完註冊表後立即可以進行更新,有時候出現錯誤後重啟下系統也可以恢復正常,有時候反復重啟、刷新組策略始終報這個錯誤,網上查了下這個錯誤說是網絡故障引起的,因為都是處於同一個網絡環境下,就很奇怪這個故障怎麽解決,感覺這個故障的出現有很大的隨機性。
3.WSUS是通過計算機名來標識PC的,如果環境中存在2臺相同計算機名的PC,後向WSUS服務器報告的會被記錄在WSUS的所有計算機列表中,盡管這2臺PC都能從WSUS服務器獲取到補丁包。
本文出自 “兔樣兔森破” 博客,請務必保留此出處http://arkling.blog.51cto.com/2844506/1932531
某企業WSUS服務實例介紹