星期二, 5月 04, 2010

Windows Server 2008 WSUS 安裝小記

因為要讓內部的 Windows Client 可以透過 WSUS 來更新套件
所以寫這個 Notes 提醒自己 ^^

首先安裝 IIS 網頁伺服器

  • 勾選 ASP.NET
  • Windows 驗證
  • IIS 6 Metabase 相容性
從 http://www.microsoft.com/downloads
下載 Microsoft Report Viewer Redistributable 2008 ( 有中文版 )
下載 Windows Server Update Service 3.0 SP2

安裝 Microsoft Report Viewer Redistributable 2008
安裝 Windows Server Update Service 3.0 SP2

  • 包含管理主控台的完整伺服器安裝
  • 選擇存放更新目錄 ( 預設 C:\WSUS )
  • 選擇資料庫選項 ( 預設 C:\WSUS ) Windows Internal Database
  • 使用現有的IIS預設網站
  • 完成安裝
設定 WSUS ( 安裝完畢也會出現精靈來設定 )
開始 --> 系統管理工具 --> Windows Server Update Service
  • 決定是否要參加 Microsoft Update 改進方案
  • 選擇上游伺服器 ( 從 Microsoft Update 同步處理)
  • 指定或是不指定 Proxy 伺服器
  • 點選 "開始連線" 下載更新資訊
  • 選取要支援的語言
  • 選取要支援的產品
  • 選取要同步處理的分類
  • 選取同步處理的排程 ( 我是選自動同步處理 )
  • 完成設定
利用 WSUS 選項內的 自動核准

  • 勾選 自動核准
  • 點選 執行規則
來達成自動核准大量更新的狀況


**** Client 端的設定 ****
透過 GPO 來進行設定
建立GPO 命名為WSUS, 設定以下原則
  • 電腦設定/原則/系統管理範本/Windows 元件/Windows Update
    • 設定自動更新
      • 啟用: 自動下載和排程安裝 每天 12:00  排程安裝
    • 指定進端內部網路Microsoft 更新服務的位置
      • 啟用: http://伺服器名稱
    • 重新排程已經排程好的自動更新安裝 ( 類似anacron 當workstation會關機錯過更新時間的時候, 開機等待幾分鐘後更新)
      • 啟用: 等待 20 分鐘 ( 這個部份依照實際狀況調整 )
將 GPO 連結到網域或是特定 OU

在 Client 使用 gpupdate /force 來更新( 或是等待 90 - 120 分鐘)
在 Server 可以使用 wuauclt  /detectnow 來偵測


Tips:
  • 當同步處理完畢會發現有幾千個 hotfix 要核准, 所以人類不可能一個一個去看, 所以可以利用 WSUS 選項內的 "自動核准" 功能
    • 勾選 "預設的自動核准規則"  來自動核准安全性更新 以及重大更新
  • 可以將電腦建立電腦群組, 針對不同的部份, 給予不同的軟體升級政策



4 則留言:

Leslie 提到...

感謝版主分享
小弟把WSUS安裝起來了

Max 提到...

您客氣了
^^

Vampire 提到...
作者已經移除這則留言。
Epharodedy 提到...

感謝分享 公司需要用到^^