站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

Windows 2003 Server-Windows Server Update Services 3.0 架設

前言

簡單說就是由公司一台 WSUS Server 去跟 Windows Security Patch Server Update 後,再派送給內部網路電腦使用,如此可以使得內部網路更新 Patch 速度加快,更節省了不必要浪費的頻寬。

實作環境

安裝及設定

安裝及設定 Windows Server Update Services 3.0

步驟1.安裝 Windows Server Update Services 3.0

  1. [Windows Server Update Services 3.0 - 繁體中文] 下載 WSUS 3.0 安裝檔案 (WSUS3Setupx86.ex)
  2. 點二下 WSUS3Setupx86.exe 準備開始安裝 Windows Server Update Services 3.0
  3. 安裝模式選擇,請選擇【包括管理主控台的完整伺服器安裝】
  4. 授權合約聲明
  5. 指定更新來源,若有勾選【在本機存放更新】則 WSUS Server 會從 Microsoft 下載安全性更新檔存放到您指定的資料夾,若 WSUS Server 安裝時沒有勾選此設定則屆時 WSUS 用戶端還是會連線到 Microsoft Patch Server 去下載安全性更新檔
  6. 指定資料庫選項,您可以使用 MSSQL 或是使用 Windows Internal Database 資料庫,此次我們選擇使用【Windows Internal Database】
  7. 指定 WSUS Service Listen Port,指定屆時啟動的 WSUS Service 要 Listen Port 是 80 或 8530,此次我們選擇使用【使用現有的 IIS 預設網站】也就是到時 WSUS Service 會 Listen 80 Port.
  8. 設定值確定,顯示剛才回答的 WSUS 相關設定內容,確定無誤後按下【下一步】便開始安裝
  9. 正在安裝 WSUS 3.0 (資料設定及寫入中)
  10. WSUS 3.0 安裝完成

2.WSUS3 安裝精靈 3.安裝模式選擇 4.授權合約聲明 5.指定更新來源 6.指定資料庫選項 7.指定 WSUS Service Listen Port 8.設定值確定 9.正在安裝 WSUS 3.0 10.WSUS 3.0 安裝完成

步驟2.設定 Windows Server Update Services 3.0 組態

  1. WSUS 組態設定精靈,安裝完 Windows Server Update Services 3.0 後會自動帶起 Windows Server Update Services 3.0 組態精靈來繼續設定。
  2. 是否參與 Microsoft Update 改進方案
  3. 選擇上游伺服器,請選擇【從 Microsoft Update 同步處理】
  4. 指定 Proxy 伺服器,我的環境並沒有使用 Proxy 所以直接按【下一步】繼續下個步驟
  5. 連線到上游伺服器,因為我們指定上游伺服器為 Microsoft Update Server,所以當按下【開始連線】後會偵測 WSUS Server 的連線狀態 (與 Microsoft Update Server 之間的連線狀態),偵測完畢後就可以按【下一步】繼續設定 WSUS Server 組態了
  6. 選擇語言更新,選擇 WSUS 要針對哪些語系的安全性設定檔進行下載,當然您選擇的語系愈多那麼佔用 WSUS Server 的磁碟空間將愈大
  7. 選擇產品更新,選擇 WSUS 要針對哪些 Microsoft 軟體相關更新進行下載
  8. 選擇下載分類,選擇 WSUS 要針對哪些類型的更新進行下載
  9. 設定更新排程,設定 WSUS 向上游伺服器 (Microsoft Update Server) 下載更新檔的時間排程,【每天同步處理】次數指的是,若依我設定【第一次同步處理為 上午 5:00】,若我設定【每天同步處理】次數為【3】次的話 (24 小時 / 3 次 = 間隔 8 小時),則代表 WSUS Server 會在每天的上午 5:00、下午 1:00、下午 9:00 跟 WSUS 上游伺服器同步更新檔。
  10. 組態設定完成,按下【完成】確定剛才的組態設定值
  11. 開啟 WSUS 3.0 管理介面,設定完 WSUS Server 組態後,我們便可以把 Windows Server Update Services 3.0 叫出來玩了
  12. 進入 WSUS 3.0 管理介面後切換到【選項】裡面列出的項目,就是可以回到我們剛才設定 Windows Server Update Services 3.0 組態的那些選項。

1.WSUS 組態設定精靈 2.是否參與 Microsoft Update 改進方案 3.選擇上游伺服器 4.指定 Proxy 伺服器 5.連線到上游伺服器 6.選擇語言更新 7.選擇產品更新 8.選擇下載分類 9.設定更新排程 10.組態設定完成 11.如何開啟 WSUS 3.0 管理介面 12.WSUS 3.0 管理介面

設定 WSUS Client (無 AD 環境)

步驟1.開啟本機群組原則

  1. 點選左下角【開始】
  2. 【執行】
  3. 鍵入【gpedit.msc】
  4. 【確定】

開啟本機群組原則

步驟2.新增 WSUS 系統管理範本

  1. 點選【電腦設定】
  2. 點選【系統管理範本】
  3. 點選【新增 / 移除範本】
  4. 按下【新增】
  5. 選擇【C:\WINDOWS\inf\wuau.adm】後按下【開啟】
  6. 可看到 【wuau】範本被新增了,按【關閉】離開系統管理範本

3.新增 / 移除範本 4.按下新增 5.選擇 wuau 範本 6.新增 wuau 範本成功

步驟3.管理 Windows Updates 原則

  1. Windows Updates 群組原則,新增 wuau 範本成功後,可在【電腦設定】-->【系統管理範本】-->【Windows元件】下發現【Windows Updates】項目,右邊則為所有可設定的原則項目
步驟3-1.設定自動更新原則
  1. 準備設定自動更新原則,設定 WSUS Client 排程找 WSUS Server 更新 Patch 的時間,點選【自動更新】-->【右鍵】-->【內容】,開始設定自動更新內容
  2. 設定自動更新內容,設定為每天中午 12 點 WSUS Client 會找 WSUS Server 檢查是否有需要更新的 Security Patch。
  3. 自動更新排程內容,當套用原則之後 Client 端查看自動更新項目時會看到自動更新已經設定到每天中午 12 點了。

1.Windows Updates 群組原則 2.準備設定自動更新原則 3.設定自動更新內容 4.自動更新排程內容

步驟3-2.設定 WSUS Server IP or Hostname
  1. 指定內部網路 Microsoft 更新服務的位置,指定我們架設的內部 WSUS Server IP 或 Hostname,點選【指定內部網路 Microsoft 更新服務的位置】-->【右鍵】-->【內容】
  2. 輸入內部 WSUS Server IP 或 Hostname,此次實作的 WSUS Server 其 Hostname 為 KAV,因此設定為 [http://kav]

1.設定內部網路 Microsoft 更新服務的位置 2.輸入內部 WSUS Server IP 或 Hostname

步驟3-3.設定 WSUS Client 更新後是否重新啟動
  1. 不自動重新啟動排定的自動更新安裝,設定 WSUS Client 更新安全性更新檔案後本機電腦是否要重新啟動,點選【不自動重新啟動排定的自動更新安裝】-->【右鍵】-->【內容】
  2. 設定是否啟用更新後重新啟動原則
    1. 已啟用:WSUS Client 更新完成後會跳出自動更新通知 (立即重新啟動、稍後重新啟動)
    2. 尚未設定、已停用:WSUS Client 更新完成後會跳出五分鐘倒數視窗,若未取消則本機將自動重新啟動
  3. 重新啟動視窗

1.重新啟動原則 2.重新啟動原則內容 3.重新啟動視窗

步驟3-4.設定 WSUS Client 是否自動安裝更新檔
  1. 是否允許立即安裝自動更新,設定 WSUS Client 自 WSUS Server 下載安全性更新後是否自動安裝安全性更新檔案,點選【允許立即安裝自動更新】-->【右鍵】-->【內容】
  2. 設定是否啟用立即安裝自動更新
    1. 已啟用:自 WSUS Server 下載安全性更新後自動安裝安全性更新檔案
    2. 尚未設定、已停用:自 WSUS Server 下載安全性更新後通知是否要安裝安全性更新檔案

1.立即安裝自動更新原則 2.設定是否啟用立即安裝自動更新

步驟3-5.執行 WSUS Client 診斷工具

原則設定完成並套用後,我們可執行 [WSUS Client Diagnostic Tool (WSUS Client 診斷工具)] 來檢查我們的原則是否設定正確,至少要確定 WSUS Client 連接到 WSUS Server 的部份是正常的,執行 WSUS Client 診斷工具可看到目前 WSUS Client 要設定連接到 WSUS Server (我的 WSUS Server [http://kav])

WSUS Client 診斷工具

步驟3-6.查看 WSUS Client 更新狀態記錄檔

原則設定完成並套用後,我們可以查看 WSUS Client 的更新狀態記錄檔 (C:\WINDOWS\WindowsUpdate.log) 來查看是否運作正常,可看到是否連接到 WSUS Server、把 WSUS Client 的更新狀態回報給 WSUS Server、更新哪些安全性更新。

Windows Update Log 1 Windows Update Log 2 Windows Update Log 3 查看控制台中 Windows Update

步驟3-7.匯出 WSUS Client 原則設定

因為是在無 AD 環境下所以無法套用群組原則 (GPO),來一次套用群組原則在大量的 WSUS Cleint 電腦,難道沒有 AD 環境就要一台一台設定嗎?當然不是,我們一樣可以設定一台 WSUS Client 確定運作無誤之後,匯出它的原則設定成為機碼 (Registry) 而其它台只要匯入該機碼後便等於套用 WSUS Client 原則設定了,不過前提記得是該主機已經有新增【wuau】系統範本了哦 (Windwos XP 預設就有了)

  1. 點選左下角【開始】
  2. 點選【執行】
  3. 鍵入【regedit】
  4. 切換至【HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate】-->【右鍵】-->【匯出】-->輸入【機碼 (Registry)名稱】-->【儲存】,即完成 WSUS Client 原則設定機碼 (Registry) 匯出,之後需要套用的 WSUS Client 只要點選二下機碼 (Registry) 即可。

4.準備匯出 WSUS Client 原則設定機碼 4.匯出 WSUS Client 原則設定機碼 4.查看 WSUS Client 原則設定機碼內容

步驟3-8.手動更新群組原則

當 WSUS Client 群組原則設定完成後要經過多久時間才會出現在 WSUS Server 管理介面內?

 【開始】-->【執行】-->鍵入【gpupdate /force】          //手動更新群組原則
步驟3-9.手動命令 WSUS Client 立刻找 WSUS Server 更新

WSUS Client 預設會在您設定的【自動更新】排程時才會去找 WSUS Server 看是否有需要更新的安全性更新檔案,若您想讓 WSUS Client 立刻去找 WSUS Server 則可輸入以下命令。

 【開始】-->【執行】-->鍵入【wuauclt.exe /detectnow】   //手動更新群組原則

設定 WSUS Client (有 AD 環境)

  1. 在 WSUS 伺服器上點選左下角【開始】
  2. 執行
  3. 輸入 gpedit.msc
  4. 電腦管理
  5. 系統管理範本
  6. Windows 元件,其設定原則的方式同上面所介紹的無 AD 環境一樣

WSUS Server 管理介面

  1. 當 WSUS Client 執行報告回覆 (Reporting) 給 WSUS Server 時,這時 WSUS Server 便可看到該 WSUS Client 主機硬體資訊及相關狀態 (例如還有多少未更新的安全性更新)。
  2. WSUS Client 更新後是否重開機狀態顯示。
  3. 也可執行 [WSUS Server Diagnostic Tool (WSUS Server 診斷工具)] 來檢查 WSUS Server 設定是否正常。
  4. 核准更新,記得 WSUS Server 必須對下載的安全性更新核准,如此一來 WSUS Client 才會下載安全性更新。

1.WSUS Client Reporting 1 1.WSUS Client Reporting 2 2.WSUS Client 是否重開機狀態顯示 3.WSUS Server 診斷工具 4.核准更新

參考

[Microsoft Windows Server Update Services 3.0 說明檔]

[自動更新的群組原則設定說明檔]

[自動更新概觀說明檔]

[Windows Server 2003 - SUS Software Update Services]

[Microsoft Windows Server Update Services 入門逐步指南]

[Windows Server Update Services 3.0 - 繁體中文]

[Microsoft Windows Server Update Services 3.0 入門逐步指南]

[Readme for Microsoft Windows Server Update Services 3.0]

[以 WSUS 規劃整合]

[Microsoft Windows Server Update Services Tools and Utilities]

[WSUS Server Diagnostic Tool (WSUS Server 診斷工具)]

[WSUS Client Diagnostic Tool (WSUS Client 診斷工具)]

[Microsoft Windows Server Update Services (WSUS) SelfUpdate 服務並不會將自動更新]

[NewSID v4.10]

[關於磁碟複製的 Windows XP 安裝的 Microsoft 原則]

[wsus client有部份未出現在主控台中 - 微軟技術論壇 (Microsoft TechNet Forum) for IT Professionals and IT Managers]

[WSUS Client FAQ]

[vLAB Forums :: 觀看文章 - 請問有關WSUS問題..]

Me FAQ

Q1.無法順利安裝 Windows Server Update Services 3.0

Error Meaage:

點選 WSUS3Setupx86.exe 欲開始安裝 Windows Server Update Services 3.0 但在安裝途中會出現如下訊息而停止安裝。

警告訊息1 警告訊息2

Ans:

在安裝 Windows Server Update Services 3.0 前 WSUS Server 請檢查如下項目

  1. IIS Service 是否正確啟動
  2. [Microsoft .NET Framework 2.0 版可轉散發套件 (x86)]
  3. [Microsoft Report Viewer Redistributable 2005]
Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com