Windows 2008 R2 SP1部署WSUS 3.0 SP2

1 实验环境

1）域：

域名为fengxja.com；

网段：192.168.0网段，不连接外网。

域功能级别和林功能级别为Windows server
2003模式。

2）DC服务器：

域控制器；

Windows2008 R2 SP1企业版；

主机名:DC01

5个操作主机角色服务器；

证书服务器；

DNS服务器IP地址为192.168.0.101；

IP地址为192.168.0.101。

3）WSUS服务器：

Windows2008 R2 SP1企业版；

主机名：WSUS01；

不加入fengxja.com域；

主机双网卡：

网卡一的IP地址为192.168.0.108；

网卡二的IP地址为DHCP自动分配，连接外网。

4）客户端：

Windows7企业版X86；

主机名:WIN701；

加入fengxja.com域；

DNS服务器IP地址为192.168.0.101；

IP地址为192.168.0.103。

2 安装WSUS SP2准备

1) 以本地管理登陆WSUS01服务器。

2) 安装Microsoft Report Viewer Redistributable 2008，下载链接：

http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=6ae0aa19-3e6c-474c-9d57-05b2347456b1

http://www.microsoft.com/zh-cn/download/details.aspx?id=577

3) 运行Report Viewer.exe文件，下一步。

4) 接受协议，选择“安装”。

5) 选择“完成”。

6) 安装IIS组件。

7) 打开“服务器管理器”，选择“角色---添加角色”，选中“Web服务器(IIS)”，下一步。

8) 如果您要安装 Web 服务器 IIS，则在“Web 服务器 (IIS)”页中，单击“下一步”。在“Web 服务器 (IIS) 角色服务”页中，除了选中的默认设置外，还请选择“ASP.NET”、“Windows 身份验证”、“动态内容压缩”和“IIS 6 管理兼容性”。如果出现“添加角色向导”窗口，请单击“添加必需的角色服务”。单击“下一步”。

9) 选择“安装”。

3 安装WSUS

1) 下载WSUS30-KB972455-x64补丁包，执行安装。

下载链接：

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=A206AE20-2695-436C-9578-3403A7D46E40

http://www.microsoft.com/en-us/download/details.aspx?id=521

2) 运行WSUS30-KB972455-x64安装包。

3) 下一步。

4) 选择“包括管理控制台和完整服务器安装”，下一步。

5) 接受协议，下一步。

6) 选择“本地存储补丁”，默认存储本地C：WSUS，下一步。

注意：如果更新的补丁较多，建议放在一个单独分区中。

7) 选择“在此计算机安装windows Internal Database”，下一步。

备注：

①在“数据库选项”页中，选择用于管理 WSUS 3.0 数据库的软件。默认情况下，此安装向导将安装 Windows 内部数据库。

②如果不希望使用 Windows 内部数据库，需选择“使用此计算机上的现有数据库”或“使用远程计算机上的现有数据库服务器”为 WSUS 提供要使用的 SQL Server 实例。在相应的框内键入实例名。该实例名应显示为 <serverName><instanceName>，其中
serverName 是服务器的名称，instanceName 是 SQL 实例的名称。进行选择，然后单击“下一步”。然后在出现“连接到 SQL
Server 实例”页中，WSUS 将尝试连接到指定的 SQL
Server 实例。当它已成功连接后，单击“下一步”继续。

8) 网站首选项，选择使用现有IIS默认网站，下一步。

说明：在“网站选择”页中，指定 WSUS 将使用的网站。如果希望在端口 80 上使用默认网站，则选择“使用现有 IIS 默认网站”。如果端口 80 上已有一个网站，可以通过选择“创建一个 Windows Server
Update Services 3.0 SP2 网站”，在端口 8530 上创建一个备用网站。单击“下一步”。

9) 下一步。

10) 等待安装完成，点击完成。

4 同步WSUS

1) 安装完成后，自动打开配置向导，点击下一步。

注意：

配置前网络准备:

① 检查WSUS服务器的防火墙配置为允许客户端访问服务器

②WSUS连接到上游服务器（如 Microsoft Update）。

③如果需要设置代理服务器，是否需要名称和用户凭据

④如果 WSUS 和 Internet 之间设有企业防火墙，要从 Microsoft Update 获取更新，WSUS 服务器将端口 80 用于
HTTP 协议，而将端口 443 用于 HTTPS 协议，需要保证这些端口可以访问，可以加入以下微软更新网站：

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

2) 选择“不加入客户端体验计划”，下一步。

3) 保持默认，下一步。

4) 保持默认，下一步。

5) 选择“开始连接”。

6) 等待连接完成后，选择下一步。

7) 选择要适用的语言，这里选择“中文（简体）”点击“下一步”。

8) 选择需要更新的产品（这里为了测试，只选择Office2010和Window
7），然后“下一步”。

9) 选择要下载的更新分类（这里按默认即可），点击下一步。

10) 选择手动同步（真实部署环境可以选择自动同步，单独设置同步周期），下一步。

11) 保持默认，下一步。

12) 点击“完成”。

13) 完成后，自动打开WSUS界面，可以查看同步进度（等待同步100%后）。

5 配置域用户WSUS服务器

注意：本步骤为域用户通过组策略统一设置WSUS服务器。如果不是域用户，而是单独的工作组用户，可以通过本地组策略来设置。

1) 以域管理登陆DC01服务器。

2) 打开“Active Directory 用户和计算机”。

3) 右键选择新建“组织单元”。

4) 新建名为WSUS的组织单元。

5) 找到“计算机（Computer）”中需要设置策略计算机名，这里为WIN701，右键选择“移动”。

6) 选择“WSUS”，确定。

7) 打开“管理工具---组策略管理”，找到“林---域---fengxja.com---WSUS”

8) 单击WSUS，右键选择“在这个域中创建GPO并在此处连接”

9) 输入新建GPO名称，点击确定。

10) 右键选择新建的GPO，然后选择“编辑”。

11) 在 GPMC 中，依次展开“计算机配置---策略---管理模板---Windows 组件”，然后单击“Windows Update”。

12) 在详细信息窗格中，双击“配置自动更新”。

13) 单击“已启用”，选择更新日期和时间，然后确定。

说明：

①通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。

②自动下载并通知安装。该选项自动开始下载更新，然后在安装更新之前通知已登录的管理用户。

③自动下载并计划安装。此选项自动开始下载更新，并在您指定的日期和时间安装更新。

④允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如，他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。

14) 在“Windows Update”详细信息窗格中，双击“指定
Intranet Microsoft 更新服务位置”。

15) 单击“已启用”，然后在“设置检测更新的 Intranet 更新服务”框和“设置 Intranet 统计服务器”框中统一键入WSUS 服务器的 HTTP URL，这里都为http://WSUS01/。

16) 选择“自动检索更新的频率”，将“间隔”设置为默认22小时，设置为“已启用”。

17) 选择“允许自动更新立即安装”。

18) 选择“启用”，确定。

19) 以域用户身份登陆客户端WIN701主机。

20) 在运行中输入“gpupdate /force”，强制刷新组策略。

21) 打开“Windows update----更改设置”，查看当前状态。如下图，说明组策略已经生效。

6 管理更新补丁

1) 以本地管理员登陆WSUS01服务器。

2) 打开“管理工具---Windows Server Update Services”。

6.1 创建和管理计算机组

注意：此步骤，可以将客户端进行分组，用于区分客户端不同操作系统版本、不用用途等。（可选）

1） 选择“Updtae Services---WSS01---计算机”，右键单击“所有计算机”，选择“添加计算机组”。

2） 输入组名，然后点击“添加”。

3） 选择“Updtae Services---WSS01---计算机---所有计算机---未分配的计算机”，右键选择需要更新补丁的客户端主机名，这里为win701.fengxja.com，选择“更改成员身份”。

4） 选择“WIN7”组，确定。

6.2更新补丁

1) 选择“Updtae Services---WSS01---更新---所有更新”，在“所有更新”详细信息页面，选择“未经审批”和“任何”，然后点击“刷新”。

2) 根据需要选择需要更新的补丁，然后选择WIN7组。

3) 选择“已审批进行安装”

4) 点击“确定”。

5) 点击关闭。

注意：以上步骤执行完成后，客户端会立即安装补丁，而是按组策略规定时间安装补丁。

来自为知笔记(Wiz)