201401111209建立自家的 Windows Update Server - WSUS

 在組織內部存在的一定數量的電腦,對於MIS人員來說最痛苦的是莫于新安裝作業系統時,漫長的 window update 等待時間。所以 MS 提供了一個服務『WSUS』讓管理者可以在近端架設一台更新主機,組織內的電腦不需再到 MS 去下載更新,只要透過這 WSUS服務就可以讓電腦近端、快速的更新。

微軟的 WSUS 首頁:http://technet.microsoft.com/zh-tw/windowsserver/bb332157.aspx

官方的安裝說明 

 

那麼我們就來安裝 Windows Server Update Services 吧!
因步驟繁多,我將文字的說明都列於「圖片的上方」,如果你有興趣歡迎一起來裝看看。

★★ 執行伺服器管理員 ★★★

 在儀表板項目選「新增角色及功能」

 

★★ 勾選 Window Server Update Services ★★★
勾選 WSUS 然後以精靈方式進行安裝 

 

★★ 使用 WID 資料庫 ★★★

在這個階段你可以使用自己的資料庫,也可以簡單的使用 WID 資料庫,如果所需的更新資料量不是異常的龐大,我想是不需要改用自己的資料庫的。

  

★★ 設定更新資料所存放的資料夾 ★★★

建議大家另外切割一個分割區(partition)來存放,以免因為持續的更新導致空間爆掉,造成作業系統的不正常。

 

★★ 新增 IIS 角色 ★★★

單純的下一步囉

  

★★ 選擇安裝 IIS 角色 ★★★

安裝 WSUS 預設也會帶起 IIS,如果你的 update server 只是單純做 WSUS 並沒有做額外的網站,那底下這些預設選項就OK了。

  

★★ 最後的確認 ★★★

點下安裝鈕,開始安裝WSUS。

  

★★ 安裝中... ★★★

  

★★ WSUS 設定 ★★★

接在安裝最後的這個階段,你可以點箭頭所指的地方去設定,也可以不用這麼麻煩,點關閉再到 WSUS 裡去設定就好了。

 

★★ 安裝完成 ★★★

 

★★ 伺服器管理員會自動跳出需要啟動後續動作的提示 ★★★

 

★★ 也可以執行底下這綠色的小 icon 來進行WSUS的後續設定 ★★★

 

★★ 進入精靈設定WSUS★★★

 

★★ 點下一步繼續★★★

 

★★ 可以設定上游 WSUS ★★★

接如果你要建立多層的WSUS架構(也就是組織單位的電腦眾多,單一台WSUS可能會應付不來),若這是第二台WSUS你就可以在這指向第一台WSUS。

 

★★ 設定 posxy ★★★

 

★★ 點「開始連線」 ★★★

 

★★ 這個階段會跑一陣子 ★★★

 

★★ 選擇更新所支援的語系 ★★★

預設會有中文、英文,若貴單位只有中文電腦(沒外籍人士),建議可以把英文取消,避免空間、下載時間的浪費

  

★★ 選需要更新的軟體項目 ★★★

這個階段最重要,你必須把公司、單位內有用到的MS軟體都加入這個清單中,若漏選了會造成該更新而沒有更新的情況。

不過上一步語系跟軟體清單,都是可以後續再修改的。

 

★★ 更新的分類 ★★★

預設只有安全性更新跟重大更新,如果空間不是太大的問題,建議這邊全勾起來,避免哪一項更新被遺漏掉。

 

★★ 更新清單的同步 ★★★

  

★★ 開始同步處理 ★★★

 

★★ 後續可以做的項目說明 ★★★

  

★★ WSUS 主要的設定畫面 ★★★

 

<<< ---- 自動核准更新項目 ---- >>>

在 WSUS 的預設設定裡,所有的更新都需要由 WSUS 的管理者來核可,並核可給哪些電腦,底下的電腦才會收到需要更新這些項目,以此做一個把關的動作。

但一個 window7 就有那麼多的更新,更何況 WSUS 包含了許多軟體及各式各樣的更新,像我所選的更新項目有 31541 ,如果要管理者逐一的核可,這不瘋掉才奇怪,所以需要設定自動核可

這~~~有風險,一旦管理者全部核可,也就代表著設定自動更新的 client 都會更新所有的項目。對於某些敏感的服務來說,有些更新是會影響執行的,這點需要由 WSUS 管理者自行斟酌。

★★ 點「選項」 ★★★

然後點右邊的自動核可

  

★★ 預設就會有一個「預設的自動核准規則」 ★★★

但預設是不會勾選的,各位可以把他打勾起來,然後在底下第2步驟,慎選哪些更新類別需要被自動核可。

最後按下執行規則他就會開始套用在已經同步的更新項目中。

  

★★ 按執行規則 ★★★

 

★★ WSUS 總攬 ★★★

再下圖中你就可以觀看,你的 WSUS 跟 MS 主機的同步狀況,也可以看到有多少更新被抓回來,還有多少需要下載。

 

 

 <<< ---- 使用者端修改更新主機 ---- >>>

★★ 執行 gpedit.msc ★★★

接這個步驟的目的是單位內電腦,尋求更新的對象改到我們建立的 WSUS 主機,所以這個動作是在使用者的電腦上執行。

當然貴單位如果有使用 AD,就可以直接派送群組規則,不用一台一台改。

  

★★ 進行編輯 ★★★

點選「已啟用」,然後再下方輸入 http://wsus主機網域_ip:8530 ,預設 WSUS 是走 8530 port ,當然你也可以改成80或其他PORT。


  

★★ 在 gpedit.msc 裡設定後 ★★★

可以執行 gpupate /force  強制更新電腦原則
還可以執行  wuauclt /detectnow 立即向 WSUS 進行連線偵測

點選控制台然後進行更新,然後利用 netstat -a 檢查是否已經改向新建的 WSUS 進行更新的要求。

 

--------------------------------------------------

在更新的時候,你可能會遇到下圖的錯誤「重設伺服器節點」,這個問題我認為是 WSUS 連線到 MS 更新時間逾期問題,你只需要點重設伺服器節點即可。

 

 

~ End

回應
Google Search
Google
累積 | 今日
loading......
平均分數:0 顆星
投票人數:0
我要評分:
Google