Windows Server 2012 R2 WSUS 部署

Windows Server 2012 R2 WSUS-1:部署环境概述

从今天开始,我将开始撰写一个新的系列文章,从WSUS的规划部署到运维和排错,这个系列会涉及到WSUS的方方面面。这个系列的介绍将以Windows Server 2012 R2中的WSUS为基础。

目前WSUS更新服务器在企业中应用还是比较广泛的,不管是单独使用,还是和SCCM整合使用,都为企业客户端安装各种补丁更新提供了高效、稳定的途径。然而把这个东西用起来和把这个东西用好,是两码事。搭建好SUS之后,还涉及到后期很多运维工作、流程工作、变更的管理等等。此次我将从以下各个方面对WSUS做一个讲解,下图是一个比较简单的WSUS的学习思维导图。

截图51

在 Windows Server 2012 中,WSUS 是可安装的管理和分配更新的服务器角色。WSUS 服务器可以作为组织内其他 WSUS 服务器的更新源。充当更新源的 WSUS 服务器被称为上游服务器。在 WSUS 实现过程中,网络中必须至少有一台 WSUS 服务器连接到 Microsoft 更新以获取可用的更新信息。管理员可以根据网络安全和配置确定其他服务器如何直接连接到 Microsoft 更新。

此次部署,我的demo环境包含以下几台机器,他们分别安装了不同的服务器角色和功能。

截图50

现在部署的环境和概述我已经说完了,下一篇将正式开始WSUS部署前的准备工作。

Windows Server 2012 R2 WSUS-2:部署前的规划工作

其实在technet library里面对部署要做的准备工作已经说明的很详细了,但是实际部署过程中还是存在一些需要考量的规划问题、需要注意的细节问题。

那么,在本文的场景下,我要部署的是一个包含一级WSUS和二级WSUS的环境,下面就以这个环境为例来看看我们都要做哪些准备工作。

(一)系统要求

其实WSUS对系统的硬件要求不是特别高,就目前来说,如果企业的WSUS客户端的数量在4000台以下,8G内存足够了。对于操作系统,则可以选择windows server 2008 R2 SP1(WSUS 3.0 SP2),也可以选择windows server 2012系统。同时,对于WSUS的部署来说,可以选择刀片服务器、机架服务器,也可以选择部署在虚拟化平台上面。本文的demo环境是在vmware的虚拟化平台上部署的WSUS。对于系统要求来说,有一些注意事项如下。

1、必须在将安装 WSUS 服务器角色的服务器上安装 Microsoft .NET Framework 4.0。这个条件已经具备了,对于windows server 2012 R2操作系统来说,默认是安装的。

2、NT Authority\Network Service 帐户必须拥有以下文件夹的完全控制权限,以便 WSUS 管理管理单元正确显示:%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files。这个条件需要在部署完成WSUS后,去手动调整,在未部署WSUS之前,由于没有安装IIS,所以是没有这个文件夹的。

截图106

添加相应的权限。

截图107

(二)数据库要求

对于数据库来说,可以选择内部数据库,本文的部署场景选择的就是内部数据库。也可以选择SQL server数据库,对于SQL server的版本来说,只要是SQL server 2008 R2 SP1以上版本都可以支持。如果选择SQL server,则会多一个选择数据库实例的步骤,如图。

截图38

WSUS 数据库存储以下信息:

  • WSUS 服务器配置信息
  • 描述各个更新的元数据
  • 有关客户端计算机、更新和交互的信息

(三)防病毒排除要求

某些厂商的防病毒软件,可能会对WSUS产生一定的影响,所以在部署WSUS之前,最好能对WSUS的防病毒排除做一个规划;在部署之后,立马进行防病毒的排除操作。微软建议的防病毒排除项目如下图。

截图150

(四)部署架构准备工作

在部署WSUS之前,我们最好针对整个公司的实际情况,进行架构的规划工作,不能盲目的去部署,导致一些后期的维护难题。

WSUS的部署分为简单部署和多台部署两种方式,如果企业的客户端不是特别多,那么就放一台WSUS就够了,如果总部客户端比较多,而且存在客户端数量比较多的分公司或者办事处,可以考虑多台部署的方式,来提高补丁分发的效率。下图是微软的多台WSUS服务器部署架构图。

IC661071[5]

(五)WSUS服务器层次结构规划

WSUS 服务器层次结构部署具有以下几个优点:

  • 你可以一次从 Internet 下载更新,然后使用下游服务器将更新分配给客户端计算机。该方法将节约企业 Internet 连接上的带宽。
  • 你可将更新下载到接近实际的客户端计算机(例如在分支机构)的 WSUS 服务器。
  • 你可设置独立的 WSUS 服务器以服务使用 Microsoft 产品不同语言的客户端计算机。
  • 对于客户端计算机数量超出一台 WSUS 服务器有效管理范围的大型组织而言,你可以扩展 WSUS。

我们建议你不要创建三个级别以上的 WSUS 服务器层次结构。每个级别将增加向整个连接的服务器传播更新的时间。虽然在理论上层次结构没有受到限制,但 Microsoft Corporation 只对五个级别的层次结构部署进行了测试。

你可在“自治”模式(旨在实现分布式管理)或“副本”模式(旨在实现集中管理)下连接 WSUS 服务器。

本例中,我们选择的是自治模式,在“自治”模式中,上游 WSUS 服务器与下游服务器在同步期间分享更新。独立管理下游 WSUS 服务器,它们不接收来自上游服务器的更新批准状态或计算机组信息。使用分布式管理模式,每个 WSUS 服务器管理员选择更新语言、创建计算机组、将计算机分配给各组、测试和批准更新,并确保将正确的更新安装到适当的计算机组。以下图像显示你可能在分支机构环境中部署自治 WSUS 服务器的方式:

IC594401

(六)防火墙配置

如果公司在WSUS与internet之间存在防火墙,那么要确保防火墙已经打开了WSUS到如下microsoft站点的通信。而且如果WSUS放置在专用的服务器DMZ区的话,要打开相应的更新端口,在windows server  2012中,WSUS 4.0使用端口8530和8531。

截图151

以上简单介绍了部署WSUS前需要考虑的一些主要的准备工作,如果想了解更多关于准备工作的信息,可以访问WSUS的library文档,其他的一些需要考虑的事项例如:分支机构带宽的优化、补丁下载模式等等。

Windows Server 2012 R2 WSUS-3:安装服务器角色

本篇来介绍一级WSUS服务器角色的安装,安装的整个过程还是比较简单的,只需要一直下一步下一步即可。

使用作为本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。

“服务器管理器”中,单击“仪表板”,然后单击“添加角色和功能”

“开始之前”页面上,单击“下一步”

截图29

“选择安装类型”页上,确认已选择“基于角色或基于功能的安装”选项,然后单击“下一步”

截图30

“选择目标服务器”页上,选择服务器所在的位置(从服务器池或虚拟硬盘中)。选择位置后,选择你想安装 WSUS 服务器角色的服务器,然后单击“下一步”

截图31

“选择服务器角色”页上,选择“Windows Server Update Services”

截图32

“添加角色和功能向导”对话框中,单击“添加功能”,然后单击“下一步”

截图33

截图34

“选择功能”页上,保留默认选择,然后单击“下一步”

截图35

Important重要事项

WSUS 仅需要默认的 Web Server 角色配置。如果你在设置 WSUS 时收到有关额外 Web Server 角色配置的提示,你可安全接受默认值并继续设置 WSUS。

“Windows Server Update Services”页上,单击“下一步”

截图36

“选择角色服务”页上,保留默认选择,然后单击“下一步”

这里我使用的是WID内部数据库,因为环境比较少,用这个数据库就足够了,如果比较大的环境或者想做WSUS的高可用,也可以考虑选择使用SQL server数据库。

截图37

“内容位置选择”页上,键入有效的位置以存储更新,然后单击“下一步”

截图39

存储更新的位置可以是WSUS的本地路径,也可以放到UNC共享里面。

截图40

“确认安装选择”页上,查看所选的选项,然后单击“安装”

截图41

截图42

截图43

截图44

“安装进度”页上,单击“启动后安装任务”,并等到此任务顺利完成,然后单击“关闭”

截图45

服务器管理器中,验证是否出现提醒你需要重新启动的通知。根据安装的服务器角色,这可能有所变化。如果需要重新启动,请务必重新启动服务器以完成安装。

Windows Server 2012 R2 WSUS-4:使用配置向导

当我们安装完成一级WSUS服务器角色之后,第一次使用WSUS的时候会进入WSUS的配置向导,对WSUS做一个基本的设置。当然这个配置向导是集成在WSUS里面的,可以在任何时间使用配置向导对WSUS进行配置。

在“服务器管理器”导航窗格中,单击“仪表板”,单击“工具”,然后单击“Windows Server Update Services”

截图49

Windows Server Update Services 向导出现在“开始之前”页上,单击“下一步”

截图52

阅读“加入 Microsoft 更新改善计划”页上的说明,评估你是否想参与其中。如果要参与该计划,请单击“下一步”继续。

截图53

“选择上游服务器”页上,你可选择将更新与 Microsoft 更新或其他 WSUS 服务器同步。

  • 如果你选择从其他 WSUS 服务器同步,请指定服务器名称以及该服务器与上游服务器通信时所在的端口。
  • 若要使用 SSL,请选中“同步更新信息时使用 SSL”复选框。服务器将使用端口 443 进行同步。(确保该服务器和上游服务器支持 SSL)。
  • 如果这是副本服务器,请选择“这是上游服务器的副本”复选框。

为你的部署选择适当选项后,单击“下一步”继续。

因为目前部署的是一级WSUS服务器,所以我选择直接从microsoft进行同步。

截图54

“指定代理服务器”页上,选中“同步时使用代理服务器”复选框,然后在对应的框中键入代理服务器名称和端口号(默认是端口 80)。

Important重要事项

如果你确定 WSUS 需要代理服务器才能访问 Internet,则必须完成上一步骤。

如果你希望通过使用特定用户凭据来连接代理服务器,请选择“使用用户凭据连接代理服务器”复选框,然后在对应的框中键入用户名称、域和用户密码。如果你希望启用已连接代理服务器的用户的基本身份验证,请选择“允许基本身份验证(以明文形式发送密码)”对话框。

此时,你完成了代理服务器配置。单击“下一步”转到下一页,这时你可以开始设置同步进程。

由于测试环境中没有代理服务器,所以不勾选。

截图55

“连接到上游服务器”页上,单击“开始连接”

截图57

连接它时,然后单击“下一步”继续。

这里要求必须有internet链接。

截图58

“选择语言”页上,你可选择 WSUS 将收到更新的语言 — 所有语言或语言子集。选择语言子集将节省磁盘空间,但必须选择此 WSUS 服务器的所有客户端需要的所有语言。如果你选择仅获得特定语言的更新,请选择“仅下载这些语言的更新”,然后选择你希望获得更新的语言;否则保留默认选择。

为你的部署选择适当语言后,单击“下一步”继续。

中国大陆一般选择英文和简体中文。

截图59

如果你选择“仅下载这些语言的更新”选项,且该服务器具有与其连接的下游 WSUS 服务器,该选项将强制下游服务器也仅使用所选的语言。

“选择产品”页允许你指定希望更新的产品。选择产品类别(如 Windows)或特定产品(如 Windows Server 2008)。选择产品类别将选择该类别的所有产品。

截图60

截图61

为你的部署选择适当的产品选项后,单击“下一步”继续。

“选择类别”页上,选择要包含的更新类别。选择所有类别或其子集,然后单击“下一步”继续。

截图62

“设置同步计划”页上,选择手动或自动执行同步。

  • 如果你选择“手动同步”,你必须通过 WSUS 管理控制台启动同步过程。
  • 如果你选择“自动同步”,WSUS 服务器将每隔一段时间执行同步。

设置“第一次同步”的时间,并制定你希望该服务器执行的“每天同步”次数。例如,如果你指定每天同步四次,从上午 3:00 开始,则同步将在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 发生。

为你的部署选择适当的产品选项后,单击“下一步”继续。

截图63

“完成”页上,你可通过选择“开始初始同步”对话框,即时启动同步。如果你不选择此选项,你必须使用 WSUS 管理控制台来执行初始同步。如果你希望阅读有关其他设置的详细信息,请单击“下一步”,或单击“完成”来结束该向导并完成初始 WSUS 设置。

截图64

在单击“完成”后,WSUS 管理控制台会出现。

截图66

同步过程如图所示。

截图67

同步完成后,如图所示。

截图79

使用WSUS的配置向导进行初始配置之后,下面我们将利用WSUS控制台对WSUS服务器进行进一步的配置工作。

Windows Server 2012 R2 WSUS-5:组策略配置自动更新

如果公司具备域环境的话,我们可以根据不同的计算机组的要求,来配置不同的WSUS的自动更新策略。比如测试机器链接一套GPO,生产服务器链接一套GPO,针对于测试环境和生产环境的服务器和客户端的策略都是不一样,可以进行自定义设置的。当然如果机器比较少,环境比较简单,也可以直接新建一个覆盖全域的GPO,来做WSUS的策略。

在我的一级WSUS服务器上,我新建了四个计算机组,这四个计算机组都对应到AD中相应的计算机的OU(关于计算机组的设置和客户端目标的设置将在下篇文章介绍),我们可以为域级别、测试计算机组OU和生产计算机组OU来制定不同的WSUS组策略。

首先我们来在default domain policy做一个影响全域计算机的自动更新策略。

在组策略管理控制台 (GPMC) 中,浏览到默认的default domain policy的 GPO,然后单击“编辑”

截图82

在 GPMC 中,依次展开“计算机配置”“策略”“管理模本”“Windows 组件”,然后单击“Windows Update”

截图83

在详细信息窗格中,双击“配置自动更新”

单击“已启用”,然后单击“配置自动更新”设置下的以下选项之一:

  • 下载通知和安装通知。该选项会在你下载和安装更新之前通知登录的管理用户。
  • 自动下载和通知安装。该选项将自动开始下载更新,然后在安装更新之前通知登录的管理用户。
  • 自动下载和计划安装。该选项自动开始下载更新,然后在你指定的当天和时间安装更新。
  • 允许本地管理员选择设置。该选项可让本地管理员使用控制面板中的自动更新来选择配置选项。例如,他们可以选择计划的安装时间。本地管理员不能仅用自动更新。

这里我选择3-自动下载并通知安装,然后单击“确定”。

截图84

Windows Update 详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置”

截图85

单击“已启用”,然后在“设置 Intranet 更新服务以检测更新”框和“设置 Intranet 统计服务器”框中键入相同 WSUS 服务器的 URL例如,在这两个框中(其中服务器名称是 WSUS 服务器的名称),键入 http://servername,然后单击“确定”

截图86

当你键入 WSUS 服务器的 Intranet 地址时,确保指定准备使用哪个端口。默认情况下,WSUS 使用适用于 HTTP 的端口 8530 以及适用于 HTTPS 的端口 8531。例如,如果使用 HTTP,则应键入 http://servername:8530

可以设置“自动更新检测的频率”,默认是22小时,我们可以根据实际的需要来调整间隔。如图。

截图87

可以启用“对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样的话,当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,计算机不会强制重启,如图。

截图88

对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,我们可以配置启用“允许自动更新立即安装”,如图。

截图89

全域级别的组策略设置完成后,我们还可以针对测试组合生产组来配置不同的自动更新策略。

下面我们来为测试服务器组配置一个自定义的GPO,该GPO的优先级会高于默认的域组策略,所以该GPO所链接到的计算机OU内的计算机客户端都会优先应用该策略。

右击“测试服务器组”计算机OU,选择“在这个域中创建GPO并在此处链接”,如图。

截图91

输入新建的GPO的名称,如图。

截图92

然后我们右击新建的GPO,选择编辑,如图。

截图93

然后我们就可以为该GPO设置不同的自动更新策略了,所有链接到这个策略的计算机OU都会应用该策略。

一般来说:测试环境的服务器和客户端我们可以配置自动下载通知安装或者自动下载计划安装,对于生产环境的客户机我们可以设置自动下载并计划安装,对于生产服务器组,如果需要手动控制打补丁的行为和重启时间,我们可以配置自动下载并通知安装,具体要看需求。

下图是我为生产客户端计算机组设置的自动下载并计划安装的策略。

截图100

设置策略之后,客户端计算机几分钟后,计算机将出现在 WSUS 管理控制台中的“计算机”页上。对于配有基于域的组策略对象的客户端计算机,组策略将花费大约 20 分钟才能将新的策略设置应用于客户端计算机。默认情况下,组策略会在后台每隔 90 分钟更新一次,并将时间作 0 到 30 分钟的随机调整。如果你希望更快地更新组策略,可在客户端计算机上打开“命令提示符”窗口,并键入 gpupdate /force。

Windows Server 2012 R2 WSUS-6:配置计算机组和客户端目标

对于WSUS来说,配置计算机的方式有两个出发点,一个是使用update services控制台来配置计算机组,计算机分组的管理都需要手动维护,第二种是使用计算机上的组策略和注册表设置,可以利用组策略中自动更新策略中的客户端目标设置,来让应用到组策略的用户自动被分配到对应的计算机组里,这两种方式,如下图所示。

截图110

首先我们来看第一种,使用update service控制台来设置和维护计算机组。默认情况下只有一个未分配计算机组,如图。

截图68

右击所有计算机,选择“添加计算机组”,如图。

截图69

输入计算机组的名称,如图。

截图70

按照上面同样的方式,我分别创建了四个计算机组,如图。

截图71

这个时候在WSUS控制台——选项——计算机设置中,要选择“使用update services控制台”,如图。

截图72

在使用上面的配置情况下,默认WSUS收到的客户端会被放到未分配计算机组里面,我们可以右击某一台计算机,选择“更改成员身份”,将其手动挪到其他计算机组里面,如果有多个机器的话,也可以按住CRTL键进行多选。

截图108

选择“测试服务器组”,我们把这台PC手动移动到测试服务器组里面。如图。

截图109

上面我们说了第一种情况,现在开始说另外一种情况,另外一种情况就是我们可以在配置WSUS控制台——选项——计算机设置中,选择“使用计算机上的组策略或注册表设置”,如图。

截图110

当使用这个选项之后,我们发现更改集合成员身份按钮就不能用了,如图。

截图111

因为如果设置为“使用计算机上的组策略或者注册表设置”则该按钮是不能用的,计算机分组的方式将由域组策略的下面条目控制:右击测试服务器组GPO——编辑——计算机配置——管理模板——windows组件——windows update——允许客户端目标设置——已启用——此计算机的目标组名称:测试服务器组,如图。

截图94

截图95

所谓的客户端目标设置,就是在域里将不同部门,或者按照不同系统类型,将计算机进行分组,例如我们在域里创建了一个“销售部计算机组”,那么我们可以在WSUS里也创建一个“销售部计算机组”,名称必须与域里的相同,然后我们再在域组策略设置一条“客户端目标设置”,然后就可以将域里该计算机组里的成员自动通过组策略同步到WSUS同名的计算机组中。

在AD中创建计算机组,每个组里面都有成员客户端。

截图103

WSUS控制台也设置对应的计算机组。

截图104

然后再配置客户端的目标设置,就可以了。

Windows Server 2012 R2 WSUS-7:查看状态报告

默认情况下,在WSUS控制台中是无法查看状态报告的,如果想正常的查看状态报告,需要一些插件和功能的支持,下面就来看整个实现的过程。

首先我们随意右击一台客户端,选择“状态报告”,如图。

截图112

系统会提示我们,此功能需要使用microsoft report viewer 2008可再分发组件,如图。

截图113

我们可以点击上图中的链接,打开microsoft的网站进行下载,如图。

截图114

然后我们来安装这个组件,如图。

截图115

安装的过程中,提示我们需要.net framework的支持,如图。

截图116

我们先暂停安装,回到添加角色和功能,把.netframework 3.5.1的功能装上,具体安装的步骤可以参考我之前的文章,安装过程中是需要指定备用源路径的,安装完成后,如图所示。

截图117

然后我们继续完成组件的安装,如图。

截图118

截图119

以上安装完成后,可以顺利打开状态报告功能,如图。

截图120

Windows Server 2012 R2 WSUS-8:配置自动审批规则

有一些类型的补丁可以不经过测试,直接往生产环境分发,例如:高危漏洞,紧急更新,定义更新等。对于这一类补丁,我们可以设置补丁的自动审批规则,利用规则来自动分发相关的补丁,而不需要人为的审批。下面以设置windows defender的自动审批规则为例。

首先我们在WSUS的控制台中,选择“选项”,然后在右侧的窗格中选择“自动审批”,如图。

截图134

在自动审批选项卡,选择更新规则,“新建规则”,如图。

截图135

这里我使用的属性为:当更新属于特定产品时。

然后指定产品分类为:windows defender

指定该产品的更新分发到的组为:测试服务器组、测试客户机组、生产服务器组、生产客户机组

如图。

截图136

配置完成后,如下图所示。

截图137

以后只要是windows defender的更新,都会自动下发到指定的服务器组中,不需要管理员手动审批,人为干预。

Windows Server 2012 R2 WSUS-9:常用控制台选项配置

在WSUS控制台中,默认提供了很多选项,这些选项为我们更好的管理和使用WSUS提供了很好的途径。首先,来看看“计算机清理向导”,一般我们可以每个月运行一次计算机清理向导,来清理不需要的更新,释放磁盘空间等等,具体清理向导打开的方式如下。

截图138

打开之后可以做的清理操作如下。我们可以默认全部选择,也可以根据需要进行自定义的选择。如果公司的环境中计算机的数目比较多,这个清理向导还是很有用处的。

截图139

另外一个功能就是我们可以配置电子邮件通知。选择“选项”,“电子邮件通知”。截图140

在电子邮件通知的常规选项卡,我们做如下图的设置。

可以看到可以通过WSUS发送新更新和状态报告的通知。可以配置多个收件人,配置同步频率和时间信息。

截图141

在电子邮件服务器选项卡,可以配置接收通知的电子邮件服务器信息,发件人信息,SMTP验证信息。

截图142

点击上图的“测试”,系统提示我们在测试之前将其保存,选择“是”。

截图144

正在发送测试电子邮件,如图。

截图143

测试成功,如图。

截图145

我们现在打开126邮箱的收件箱,可以看到刚才发送的测试邮件。

截图146

最后,如果我们的WSUS在上网download更新的时候,需要经过代理服务器,那么我们还需要配置代理服务器信息,如图。

截图148

同样的,同步计划也是可以随时调整,修改的,之前我设置的是手动同步,这里我把它改成自动同步,并设置同步的日期和次数,如图。

截图147

除了以上可以配置的东西,我们还可以调整更新的语音类型,在微软发布新产品之后,还可以调整产品及分类,添加新的产品分类等等。

Windows Server 2012 R2 WSUS-10:流程概述

本篇文章来大概说一说打补丁的流程,一般来说打补丁的流程分为测试环境测试和生产环境安装两个部分。如果企业规模比较小,没有完善的流程制度,也是有一些打补丁的原则可以遵循的,比如:

对于安全级别为Low以上的各种安全补丁应该分发;

对于操作系统的安全补丁应该分发;

对于各种IE版本安全补丁应该分发;

对于其他各种安全补丁(如Media Player、OutLook Express等)应该分发;

对于状态为Updates修订版本的安全补丁,无需手工批准,系统会自动发布;

那么对于规模稍微复杂的企业来说,除了上述的原则以外,其实我们还可以通过结合流程来更加规范和安全的开展update的更新工作。

微软的最佳实践是补丁至少一个月安装一次。一般微软的安全中心会在每个月的14号左右发送当月的安全公告摘要,WSUS也会在15号左右接收到微软发放的补丁。

下面举一个简单的例子,假如我们的公司有自己的流程管理系统(有电子邮件系统也可以,就是很麻烦)。我们可以通过结合一些流程管理系统来做补丁的测试、审批工作。

(1) 每月由补丁管理员及时检查微软新发布补丁,具体检查的方式是:通过WSUS控制台和登陆technet的安全中心查看公告;

(2) 收到补丁后,补丁管理员会发起一个测试的事件,并将当月收到的补丁分发到测试组(测试组的测试机器由其他部门反馈提供),然后通知各组对相关补丁进行测试(通知的方式可以是通过流程会审,也可以发邮件通知);

下面几张图描述了一个完整的WSUS测试补丁审批过程。

截图121

截图122

截图123

截图124

(3) 其他部门在指定的时间内将测试结果进行反馈(可以通过邮件或者流程系统的方式进行反馈);

这里如果测试没有问题的话,我们就会把补丁审批到生产环境,如果有问题的话,先处理补丁问题。

(4) 补丁管理员根据反馈情况对当月补丁进行批准、发放;

下面描述了WSUS往生产环境审批补丁的一个过程。

截图125

截图127

截图128

截图129

备注:如果是为生产服务器安装补丁,需提前通知各部门,经同意后为生产服务器安装补丁,并设定计划任务重启服务器,然后提醒各部门在服务器重启完成后,注意检查应用。

当客户端收到补丁后,就可以安装了,一般客户机我们可以通过组策略设置自动下发计划安装,这样就不需要用户手动的干预了。

下面描述了一个客户端收到补丁后,手动安装的情况。

截图130

截图132

截图133

截图162

微软的补丁,有些安装完成后是不需要重启服务器或者客户端的,有些是必须重启服务器或者客户端的,下图说明了一个安装更新后不需要重启的情况。

截图163

Windows Server 2012 R2 WSUS-11:经典的客户端排错操作

在实际的WSUS运维中,可能会出现需要手动调整客户机或者服务器的情况,比如因为组策略的原因,或者刷新间隔未到,客户端(包括客户机和服务器)未收到更新,这个时候就需要我们在客户端上执行一些操作来定位问题,确认是什么原因导致补丁未收到。

(一)刷新组策略并收集组策略结果集,以确保客户端获取到了WSUS相关的策略

首先我登陆一台客户端,打开CMD,输入组策略的刷新命令gpupdate /force,如图。

截图152

刷新成功后,我们使用gpresult /h gpreport.html来收集组策略结果,如图。

截图153

收集完成后,结果被保存到当前路径下,生成的是一个gpreport的html文件,如图。

截图154

然后我们双击打开这个报告文件,可以看到已经应用了WSUS的组策略信息,如图。

截图155

截图156

(二)使用检测命令手动联系WSUS服务器

在cmd中输入wuauclt /detectnow,如图。

截图157

如果成功联系WSUS的话,我们使用下面的命令可以看到客户端已经连接到了WSUS的相关端口。

如果是WSUS 3.0则连接的是80端口;

如果是WSUS 4.0以上版本,则连接的是8530或者8531端口;

截图158

做完上面的操作之后,默认已经联系到WSUS的机器会被放到WSUS的未分配计算机组里面。

(三)看客户端的windowsupdate log文件

如果做完上面两个步骤的操作,还是无法联系WSUS服务器的话,那么我们可能需要查看本地的LOG文件了,来看看日志中是不是记录了相关的报错信息。

看下图,我的日志记录是正常的,没有报错。

截图160

(四)如果更新不正常,要看本地windows update组件是不是正常

这个主要是要看本地的windows update服务是否开启等等,这个在接下来的排错文章中会做介绍。

(五)如果更新不正常,需要确定是不是产品的BUG

这个主要是去看WSUS的team blog,或者technet发布的KB,或者是跟代理商确认来判断。

Windows Server 2012 R2 WSUS-12:经典的排错操作举例

本文主要讨论两类错误,一个是在实际部署中,由于错误的配置步骤导致的更新不正常的报错,另外一种就是WSUS部署完成后,在后期运维过程中出现的错误,一般错误主要集中的后期运维时期,可能会出现各种各样的客户端无法更新的报错。

(一)部署过程中,错误配置导致客户端无法更新

客户端无法联系WSUS服务器进行补丁更新,通过查看客户机本地的windows update的log文件,发现文件中有下面的错误,如图。

截图104

其实上面的这个报错是典型的部署粗心的错误,在前面的文章中我已经多次提到过,在WSUS 3.0时代,默认更新使用的是80端口,而到了WSUS 4.0时代,则默认使用的是8530端口,如果在部署WSUS 4.0的时候,参考的却是WSUS 3.0的部署文档,就容易出现这种问题,正确的做法是:设置组策略的时候,指定更新服务器的地址时后面加上8530的端口号,如图。截图86

(二)后期运维的报错

比较常见的一种错误是windows update更新的时候报错误代码。

第一种处理方式:

首先在“服务”中分别停用Automatic Update和Crytographic Service服务,再更改%systemroot%\SoftwareDistribution和%systemroot%\windows\system32\CatRoot2的目录名,最后将刚才的两个服务重新启动即可。

第二种处理方式:

使用在线修复的方式,可以在线访问windows update troubleshooter(bing搜索即可)工具,对本地的windows update进行检测,自动修复后,再尝试更新。

第三种方式:

根据错误代码,在网上搜索相关的KB,以确定是否是已知问题,然后安装已知问题的的hotfix进行修复。

Windows Server 2012 R2 WSUS-13:部署二级WSUS

在一些比较大的分公司,人数可能上千人,这个时候可以考虑在该分公司单独放置一台WSUS服务器,该WSUS服务器直接联系总部的一级WSUS进行更新,然后再通过针对分公司设置的组策略和计算机组将补丁下发到分公司的客户端。

下面我们就具体来看看二级WSUS的部署过程。

首先我准备了一台服务器,名称为wsus02.contoso.com。然后我在该服务器上安装WSUS服务器角色,安装的过程和一级SUS的安装过程一模一样,这里不再重复描述,安装完成后如图所示。

截图13

然后我们重点来看看二级WSUS的配置过程。在配置二级WSUS的时候,我们可以指定二级WSUS的工作模式,一种是自治模式,一种是副本模式。今天我们部署采用的模式是自治模式,下面是自治模式的介绍和架构图。

“自治”模式(也称为分布式管理)是 WSUS 的默认安装选项。在“自治”模式中,上游 WSUS 服务器与下游服务器在同步期间分享更新。独立管理下游 WSUS 服务器,它们不接收来自上游服务器的更新批准状态或计算机组信息。使用分布式管理模式,每个 WSUS 服务器管理员选择更新语言、创建计算机组、将计算机分配给各组、测试和批准更新,并确保将正确的更新安装到适当的计算机组。以下图像显示你可能在分支机构环境中部署自治 WSUS 服务器的方式:

IC594401

下面我们来看看自治模式下的二级WSUS的配置步骤。

首先打开二级WSUS的管理控制台。

截图14

在配置向导的开始页面,选择下一步。

截图15

选择是否加入microsoft更新改善计划,然后下一步。

截图16

在选择上游服务器界面,指定从WSUS服务器进行同步,这里我输入一级WSUS服务器的地址和端口号,其他选项保持默认,如图。

截图17

在代理服务器界面,选择是否指定代理服务器,如图。

截图19

在连接到上游服务器界面,选择开始连接,从wsus01.contoso.com中下载更新信息(也就是从我的上游服务器下载更新信息),如图。

截图20

下载成功后,选择下一步。

截图22

在选择语言界面,保持默认,如图。

截图23

设置同步计划,如图。

截图24

完成初始配置之后,勾选“开始初始同步”,然后点击完成。

截图25

二级WSUS开始从一级WSUS服务器同步更新,如图。

截图27

更新完成后,如图所示。

截图28

截止到目前为止,二级WSUS在自治模式下的部署和配置就介绍完成了。

当然,这里再提一下,我们其实也可以将二级WSUS部署为副本模式:拥有与下游服务器分享更新、批准状态和计算机组的上游 WSUS 服务器,即可使用“副本”模式(也称为集中管理)。

副本服务器将继承更新批准,并且不能脱离其上游 WSUS 服务器进行管理。以下图像显示你可能在分支机构环境中部署副本 WSUS 服务器的方式:

IC594402

其实配置副本模式也很简单,我们打开WSUS的服务器配置向导,在选择上游服务器的步骤,勾选”这是上游服务器的副本“即可。当我们勾选这个选项之后,二级WSUS的一些服务器选项将会被禁用,这些选项的行为将由一级WSUS来控制。

截图18

在自治模式下,二级WSUS可以单独管理,配置更新、计算机组、选项等等信息,但是在副本模式下,有些选项是被禁用的,也就是说只能遵从一级WSUS的配置,下面我们来看看,到底有哪些功能是禁用的。

副本模式下不允许更改产品和分类。

截图34

副本模式下不允许设置更新规则。

截图35

副本模式下不允许设置报告汇总选项。

截图40

副本模式下不能修改更新改善计划。

截图42

所以由上面可以看出,副本服务器将继承一级WSUS的更新批准,但是不能脱离其上游 WSUS 服务器进行单独管理。

而在自治模式下,所有的管理操作都不受一级WSUS的影响,比如新建计算机组,审批补丁等等。如图。

截图29

截图30

关于二级WSUS的部署和配置就介绍到这里,下一篇将继续介绍WSUS的powershell管理。

Windows Server 2012 R2 WSUS-14:powershell管理WSUS

在windows server 2012 R2平台下的WSUS服务器,有很多可用的powershell管理命令,涉及到WSUS的安装、配置等等。使用powershell可以更好地加深我们对更新服务器的理解,提高我们的管理效率。同时,在脚本中心,也有很多实用的powershell管理WSUS的脚本示例。

通过下图的命令可以查看WSUS服务器可安装的功能。我们不能通过powershell来安装WSUS的所有功能,因为在下图所列的功能列表中同时存在WID数据库和SQL数据库的选项,我们只能二选一。

截图45

默认情况下,我们在安装WSUS的时候会安装WID数据库,如图。我们使用Whatif选项来预演一下WSUS的安装过程,可以看到安装的是WID内部数据库。

截图46

下面我把whatif选项去掉,来使用powershell安装一下WSUS,如图。

截图47

安装成功后,如图所示。

截图48

在安装完成之后,我们需要使用WSUS的配置工具来对安装好的服务器进行基本的配置,通过输入下图的命令,我们可以看到wsusutil.exe命令的所有可用选项。

截图49

截图50

在配置WSUS之前,我已经提前创建好了C:\WSUS文件夹,用来存放WSUS的一些文件,然胡我们进入tools目录后,通过使用wsusutil.exe工具来指定WSUS的content目录,如图。

截图51

执行上面的命令之后,我们可以看到在C:\WSUS文件夹下面创建了updateservicespackages目录和wsuscontent目录,如图。

截图52

同时在做完上述的配置之后,我们还可以执行下图的命令来对安装好的WSUS服务器进行BPA的扫描,如图。

截图53

扫描完成后,我们再使用下面的命令来查看BPA最佳实践的扫描结果,如图。

截图54

我们通过扫描结果可以清晰地看到哪些配置符合最佳实践的做法,哪些配置不符合最佳实践的做法,如图。

截图55

同时呢,我们还可以通过一些写好的powershell脚本来配置同步选项和需要更新的产品分类,更新分类信息。

可以通过下面的脚本来配置更新的语言,并进行手动同步。

截图56

通过下面的脚本可以来配置需要同步的产品类型和更新类型,如图。

截图57

我们可以把上面的txt中的powershell脚本文件另存为ps1格式,然后在powershell下面执行就可以了,如图。

截图58

截图60

对于powershell管理WSUS服务器更多更深入的内容,大家可以参考下面的blog进行更加深入的练习和理解。

http://blogs.technet.com/b/heyscriptingguy/archive/2012/01/16/introduction-to-wsus-and-powershell.aspx

本文只是起到一个抛砖引玉的作用,通过中文的表述来让大家更容易理解和掌握WSUS的powershell管理方式和技巧。

本文出自 “曾垂鑫的技术专栏” 博客http://543925535.blog.51cto.com/