在本文中以在某臺(tái)Windows Server 2012中安裝WSUS（Windows Server Update Services）為例，該機(jī)已加入到“xxx.com”的域中，假設(shè)其名稱為“wsus1.xxx.com”，IP為192.168.1.50。

在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷械慕巧斜碇?選 擇“Windows Server更新服務(wù)”項(xiàng)，點(diǎn)擊“下一步”按鈕，在角色服務(wù)列表中選擇“WID數(shù)據(jù)庫(kù)”項(xiàng)，表示使用Windows內(nèi)部數(shù)據(jù)庫(kù)配合WSUS工作，這適用于規(guī)模不大的內(nèi)網(wǎng)環(huán)境。

圖1 WSUS安裝向?qū)Ы缑?/p>

若企業(yè)內(nèi)網(wǎng)規(guī)模很大，可選擇“數(shù)據(jù)庫(kù)”項(xiàng)。在下一步的內(nèi)容位置選擇窗口中選擇“在以下位置中存儲(chǔ)更新”項(xiàng)，輸入本地合適的目錄路徑（例如“D:gengxin”），當(dāng)然，也可以指定網(wǎng)絡(luò)共享路徑（如圖1）。如果選擇了“數(shù)據(jù)庫(kù)”項(xiàng)，在數(shù)據(jù)庫(kù)實(shí)例選擇窗口中輸入具體的實(shí)例名。

在服務(wù)器管理器中依次點(diǎn)擊菜單“工具”、“Windows Server更新服務(wù)”項(xiàng)，打開WSUS配置向?qū)Вㄈ鐖D 2），在“選擇上游服務(wù)器”窗口選擇“從Microsoft更新中進(jìn)行同步”項(xiàng)，如果采用了多級(jí)管理模式，可選擇“從其他Windows Server Update Services服務(wù)器中進(jìn)行同步”，設(shè)置上游服務(wù)器的名稱和端口號(hào)。如果在內(nèi)網(wǎng)中部

配置WSUS角色

圖2 WSUS配置界面

署了類似于ISA、foreFront TMG等防火墻服務(wù)器，需在指定代理服務(wù)器窗口中選擇“在同步時(shí)使用代理服務(wù)器”項(xiàng)，設(shè)置TMG等主機(jī)的名稱和端口號(hào)（默認(rèn)80），選擇“使用用戶憑據(jù)連接到代理服務(wù)器”項(xiàng)，輸入用戶名、密碼等參數(shù)。

在“下一步”窗口中點(diǎn)擊“開始連接”按鈕，從Microsoft Update中下載更新信息。之后依次選擇語(yǔ)言更新包，所需的補(bǔ)丁類型（例如安全更新程序，定義更新，關(guān)鍵更新程序等）。對(duì)于“Service Pack”類型來(lái)說(shuō)，建議采用手工方式進(jìn)行更新和測(cè)試。如果盲目直接安裝，有可能對(duì)生產(chǎn)環(huán)境造成不利影響。在配置同步計(jì)劃窗口可以選擇手動(dòng)同步或者自動(dòng)同步，點(diǎn)擊“完成”按鈕，完成所需的配置操作。在自動(dòng)打開的更新服務(wù)控制臺(tái)左側(cè)選擇“更新服務(wù)”、“WSUS服務(wù)器名”、“同步”項(xiàng)，右側(cè)顯示所有的同步項(xiàng)目。在該節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“立即同步”項(xiàng)，可以按照預(yù)設(shè)的配置信息，立即執(zhí)行同步操作。

新建OU組織單元

在DC域控制器上打開“Active Directory用戶和計(jì)算機(jī)”窗口，在其左側(cè)選擇“xxx.com”域名項(xiàng)，在其右鍵菜單上依次點(diǎn)擊“新建”及“組織單元”選項(xiàng)，創(chuàng)建所需的 OU，例如“Sales”，“Test”等。

選擇“Computers”容器，在其中選擇對(duì)應(yīng)的主機(jī)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”、“移動(dòng)”項(xiàng)，將其移動(dòng)到上述新建的OU中。

實(shí)現(xiàn)自動(dòng)更新

使用組策略，實(shí)現(xiàn)自動(dòng)更新

打開組策略管理器，依次選擇在左側(cè)的“XXX.com”、“Default Domain Policy”項(xiàng)，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在組策略編輯器左側(cè)依次選擇“計(jì)算機(jī)配置”、“策略”、“管 理 模 版”、“Windows組件”、“Windows更新”項(xiàng)，在右側(cè)雙擊“指定Intranet Microsoft更新服務(wù)器位置”項(xiàng)，在彈出窗口（如圖3）中選擇“已啟用”項(xiàng)，在“選項(xiàng)”欄中輸入更新服務(wù)器以及統(tǒng)計(jì)服務(wù)器的網(wǎng)址，例如“http://192.168.1.50:8530”。

配置自動(dòng)更新檢測(cè)頻率

圖3 設(shè)置WSUS服務(wù)器位置信息

雙擊“自動(dòng)更新檢測(cè)頻率”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“選項(xiàng)”欄中設(shè)置檢測(cè)更新的周期，默認(rèn)為22小時(shí)。雙擊“允許自動(dòng)更新立即安裝”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，可以自動(dòng)安裝那些既不中斷Windows服務(wù)，也無(wú)需重啟系統(tǒng)的更新包。雙擊“對(duì)于有已經(jīng)登錄用戶的計(jì)算機(jī)，計(jì)劃的自動(dòng)更新不執(zhí)行重新啟動(dòng)”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，表示當(dāng)更新完畢后，不會(huì)強(qiáng)制重啟系統(tǒng)。雙擊“對(duì)計(jì)劃的安裝再次提示重新啟動(dòng)”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，表示在在更新過(guò)程中，出現(xiàn)提示重啟信息的時(shí)間間隔，在“選擇”欄中可以設(shè)置合適的時(shí)間，默認(rèn)為10分鐘。

配置自動(dòng)更新參數(shù)

雙擊“配置自動(dòng)更新”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“配置自動(dòng)更新”列表中尋則更新方式，包括通知下載并通知安裝，自動(dòng)現(xiàn)在并通知安裝，自動(dòng)下載并計(jì)劃安裝，允許本地管理員選擇設(shè)置等。例如選擇“自動(dòng)下載并計(jì)劃安裝”項(xiàng)，可以自動(dòng)下載并安裝更新，無(wú)需用戶的干預(yù)，在其下設(shè)置計(jì)劃安裝的日期和時(shí)間。這樣，就實(shí)現(xiàn)了針對(duì)默認(rèn)組策略的配置操作。

當(dāng)然，也可以針對(duì)不同的OU，來(lái)配置相關(guān)的組策略。例如，選擇“Sales”組，在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，輸入GPO的名稱（例如“SalesGPO”），在該 GPO 項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口中可以針對(duì)上述和WSUS相關(guān)的策略進(jìn)行合適的配置。

這樣，不同的計(jì)算機(jī)分組，就分別擁有了自己的WSUS更新策略。在DC和相關(guān)主機(jī)上執(zhí)行“gpupdate /force”命令，來(lái)刷新組策略。在客戶機(jī)上執(zhí)行“wuauclt/detectnow”命令，可以立即檢測(cè)WSUS服務(wù)器。執(zhí)行“netstat -ano |findstr"8530"”命令，可以在網(wǎng)絡(luò)連接列表中搜索和WSUS服務(wù)器相關(guān)的連接，因?yàn)樵撨B接使用了TCP 8530端口，如果連接存在，說(shuō)明該機(jī)已經(jīng)和WSUS服務(wù)器建立了連接。在WSUS服務(wù)器上打開更新服務(wù)控制臺(tái)，在左側(cè)需依次選擇“計(jì)算機(jī)”、“所有的計(jì)算機(jī)”、“未分配的計(jì)算機(jī)”項(xiàng)，可以看到該機(jī)已經(jīng)出現(xiàn)在列表中（注意，這要經(jīng)過(guò)5分鐘左右的時(shí)間，才可以顯示其狀態(tài)信息）。

管理計(jì)算機(jī)組和客戶端目標(biāo)

管理計(jì)算機(jī)組

在更新服務(wù)控制臺(tái)依次選擇“計(jì)算機(jī)”、“所有的計(jì)算機(jī)”項(xiàng)，在其右鍵菜單上點(diǎn)擊“添加計(jì)算機(jī)組”項(xiàng)，輸入組名，可以創(chuàng)建新的計(jì)算機(jī)組。在控制臺(tái)左側(cè)選擇“選項(xiàng)”項(xiàng)，在右側(cè)點(diǎn)擊“計(jì)算機(jī)”鏈接，在打開窗口中如果選擇“使用Update Service控制臺(tái)”項(xiàng)，表示新連入的客戶機(jī)自動(dòng)添加到“未分配的計(jì)算機(jī)”組中。管理員在該組中需要手動(dòng)選擇合適的主機(jī)，在其右鍵菜單中點(diǎn)擊“更改成員身份”項(xiàng)，選擇合適的計(jì)算機(jī)組，將其移動(dòng)到該計(jì)算機(jī)組中。如果選擇“使用計(jì)算機(jī)上的組策略或注冊(cè)表設(shè)置”項(xiàng)，那么可以先創(chuàng)建和AD用戶和計(jì)算機(jī)管理窗口中OU同名的組名，例如“Sale”，“Test”等。

圖4 設(shè)置客戶端目標(biāo)

管理客戶端目標(biāo)

之后在DC上打開組策略管理器，在其中選擇某個(gè)OU（例如“Sales”），在其下點(diǎn)擊“SalesGPO”項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口中依次定位到“計(jì)算機(jī)配置”、“策略”、“管理模版”、“Windows組 件”、“Windows更新”項(xiàng)，在右側(cè)雙擊“允許客戶端目標(biāo)設(shè)置”項(xiàng)，在彈出窗口（如圖4）中選擇“已啟用”項(xiàng)，在“次計(jì)算機(jī)的目標(biāo)

組名稱”欄中輸入“Sales”，點(diǎn)擊“確定”按鈕保存配置。注意，如果在該OU中存在多級(jí)的OU結(jié)構(gòu)，例如在“Sales”中包含“Sales01”、“Sales02”等，可以同時(shí)輸入，彼此之間以分號(hào)相隔。

例如在該OU中存在名為“PC1”的主機(jī)，在該機(jī)上刷新組策略，并執(zhí)行“wuauclt /detectnow”命令后，該機(jī)就會(huì)自動(dòng)添加到更新服務(wù)控制臺(tái)對(duì)應(yīng)的計(jì)算機(jī)組中。例如“PC1”屬于“Sales”的OU，那么其就會(huì)存儲(chǔ)到“Sales”組中。需要注意，AD中的OU組名，WSUS中的計(jì)算機(jī)組名以及組策略中的客戶端目標(biāo)設(shè)置名稱三者必須一致。按照以上方法，可以將不同OU中的計(jì)算機(jī)，分別自動(dòng)添加到WSUS的與OU同名的計(jì)算機(jī)組中。

配置自動(dòng)審批規(guī)則

在WSUS更新服務(wù)控制臺(tái)左側(cè)選擇“選項(xiàng)”項(xiàng)，在右側(cè)點(diǎn)擊“自動(dòng)審批”項(xiàng)，在彈出窗口中點(diǎn)擊“新建規(guī)則”按鈕，在“添加規(guī)則”窗口（如圖5）中的“步驟1：選擇屬性”列表中選擇“當(dāng)更新屬于特定產(chǎn)品時(shí)”項(xiàng)，在“步驟2：編輯屬性”欄中點(diǎn)擊“任何產(chǎn)品”鏈接，在“打開”窗口中只選擇所需的產(chǎn)品類型，例如“Windows Defender”。默認(rèn)情況下，可以為所有的計(jì)算機(jī)審批更新，也可以點(diǎn)擊“所有計(jì)算機(jī)”鏈接，選擇特定的計(jì)算機(jī)組，來(lái)針對(duì)該組中的計(jì)算機(jī)自動(dòng)審批更新。

圖5 創(chuàng)建自動(dòng)審批規(guī)則

當(dāng)然，也可選擇“當(dāng)更新屬于特定的分類時(shí)”項(xiàng)，可以在分類列表中選擇特定的類型，例如定義更新，驅(qū)動(dòng)程序等。這樣，所有選定類別的更新都會(huì)自動(dòng)審批。選擇“設(shè)置審批期限”項(xiàng)，可以精確的設(shè)置自動(dòng)審批的具體期限。在“步驟3：指定名稱”欄中輸入其名稱（如“Autosp”），點(diǎn)擊“應(yīng)用”按鈕保存該規(guī)則。選擇該規(guī)則，點(diǎn)擊“運(yùn)行規(guī)則”按鈕，WSUS可自動(dòng)審批符合條件的更新包。默認(rèn)情況下，當(dāng)出現(xiàn)針對(duì)自動(dòng)審批更新的修訂版本時(shí)，WSUS會(huì)自動(dòng)對(duì)其執(zhí)行審批處理，而無(wú)需管理員的干預(yù)。

在客戶端執(zhí)行更新操作

在特定的客戶機(jī)上打開控制面板，在其中打開“Windows Update”項(xiàng)目，執(zhí)行檢測(cè)更新操作，就可以從WSUS上檢測(cè)并下載上述自動(dòng)審批的更新包，之后進(jìn)行安裝即可。在WSUS更新控制臺(tái)左側(cè)選擇“選項(xiàng)”項(xiàng)，在右側(cè)點(diǎn)擊“更新源和代理服務(wù)器”項(xiàng)，在彈出窗口中可設(shè)置更新源和代理服務(wù)器信息。

點(diǎn)擊“產(chǎn)品和分類”項(xiàng)，可以更改需要更新的產(chǎn)品或者類型。點(diǎn)擊“更新文件和語(yǔ)言”項(xiàng)，在彈出窗口中選擇“下載快速安裝文件”項(xiàng)，可以更快的進(jìn)行下載和安裝。點(diǎn)擊“服務(wù)器清理向?qū)А表?xiàng)，可以從WSUS中清除舊計(jì)算機(jī)，更新和更新文件。在

一般情況下，建議每隔一個(gè)月執(zhí)行一次清理操作。在向?qū)Ы缑嬷羞x擇清理的內(nèi)容，包括未使用的更新和更新續(xù)訂，沒有連接到服務(wù)器的計(jì)算機(jī)，不需要的更新文件，過(guò)期的更新，被取代的更新等，默認(rèn)全部處于選擇狀態(tài)。點(diǎn)擊“下一步”按鈕，執(zhí)行具體的清理操作。