規(guī)劃和部署WSUS

在Windows Server 2012中，Windows Server Update Services（WSUS）提供了一些新的功能，例如可以使用服務(wù)管理器進行添加和刪除WSUS角色，允許通過PowerShell管理WSUS中的一些重要任務(wù)，添加了SHA256哈希功能，提高了安全性等。在安裝WSUS之前，建議禁用防病毒軟件，防止在WSUS安裝過程中鎖定文件。當(dāng)WSUS安裝后，再啟動防病毒軟件，為了避免無關(guān)干擾，需要將WSUS內(nèi)容文件夾，“%windir%widdata”，“SoftwareDistributionDatastore”，“Software DistributionDownload”等相關(guān)文件夾排除在防病毒軟件監(jiān)控范圍外。WSUS部署分為簡單部署和多臺部署兩種方案，前者適用于規(guī)模較小的企業(yè)。

對于大型企業(yè)來說，可能存在眾多的分支機構(gòu)，分布在不同的位置。這就需要使用多臺WSUS部署方案，來提供補丁包的分發(fā)效率。例如，可以在公司總部設(shè)置一臺上游WSUS服務(wù)器，用來從微軟網(wǎng)站上下載更新，在各個分支機構(gòu)中設(shè)置下游WSUS服務(wù)器，并通過上游WSUS服務(wù)器執(zhí)行更新操作。這樣，可以為分布在不同地理位置上的客戶機提供最佳的補丁下載服務(wù)。WSUS支持兩種部署模式，包括自治和副本模式，對于自治模式（也稱分布式管理）來說，下游的WSUS服務(wù)器處于獨立管理狀態(tài)，不接收來自上游的WSUS服務(wù)器的更新批準(zhǔn)狀態(tài)或者計算機組信息。當(dāng)下游的WSUS服務(wù)器獲得了所需的更新后，其管理員可以獨立執(zhí)行測試，分發(fā)，部署等操作，這是最常用的部署模式。

對于副本模式（也稱集中管理），下游的WSUS服務(wù)器可以繼承上游WSUS服務(wù)器的更新批準(zhǔn)，不能脫離上游WSUS服務(wù)器進行獨立管理。如果有多臺副本服務(wù)器連接到上游WSUS服務(wù)器，不要在其上同時執(zhí)行同步操作，以避免出現(xiàn)帶寬占用率突然增高的情況。

如果啟用了使用快速安裝文件功能，會引發(fā)相當(dāng)于實際更新體積三倍的初始下載容量，但是這可以減少在企業(yè)內(nèi)網(wǎng)上更新客戶端計算機所需的帶寬。如果禁用了該功能，初始下載的規(guī)模會比較小，但是之后必須將所有下載大小分配給企業(yè)內(nèi)網(wǎng)中的每臺客戶機。

使用組策略，實現(xiàn)自動更新

在域環(huán)境，可以根據(jù)不同計算機組的要求來配置對應(yīng)的WSUS自動更新策略，實現(xiàn)靈活管控。在DC域控制器上打開“Active Directory用戶和計算機”窗口，在左側(cè)選擇“xxx.com”域名項，在其右鍵菜單上點擊“新建”、“組織單元”項，創(chuàng)建所需的OU，如“Sales”、“Test”等。 選擇“Computers”容器，在其中選擇對應(yīng)的主機，在其右鍵菜單上點擊“所有任務(wù)”、“移動”項，將其移動到上述新建的OU中。打開組策略管理器，在左側(cè)的“XXX.com”、“Default Domain Policy”項，右擊“編輯”項，在組策略編輯器左側(cè)選擇“計算機配置”、“策略”、“管理模版”、“Windows組 件”、“Windows更新”項，在右側(cè)雙擊“指定Intranet Microsoft更新服務(wù)器位置”項，在彈出窗口中選擇“已啟用”項，在“選項”欄中輸入更新服務(wù)器以及統(tǒng)計服務(wù)器網(wǎng)址，例如“http://192.168.1.50:8530”。

雙擊 “自動更新檢測頻率”項，在彈出窗口中選擇“已啟用”項并設(shè)置檢測更新的周期，默認為22小時。雙擊“允許自動更新立即安裝”項，在彈出窗口中選擇“已啟用”項，可自動安裝既不中斷Windows服務(wù)，也無需重啟系統(tǒng)的更新包。雙擊“對于有已經(jīng)登錄用戶的計算機，計劃的自動更新不執(zhí)行重新啟動”項，在彈出窗口中選擇“已啟用”項，表示當(dāng)更新完畢后，不會強制重啟系統(tǒng)。

雙擊“配置自動更新”項，在彈出窗口中選擇“已啟用”項，在“配置自動更新”列表中尋則更新方式。例如選擇“自動下載并計劃安裝”項，可以自動下載并安裝更新，無需用戶的干預(yù)，在其下設(shè)置計劃安裝的日期和時間。這樣，就實現(xiàn)了針對默認組策略的配置操作。當(dāng)然，也可以針對不同的OU，來配置相關(guān)的組策略。

這樣，不同的計算機分組，就分別擁有了自己的WSUS更新策略。在DC和相關(guān)主機上執(zhí)行“gpupdate /force”命令，來刷新組策略。在客戶機上執(zhí)行“wuauclt /detectnow”命令，可以立即檢測WSUS服務(wù)器等。

管理計算機組和客戶端目標(biāo)

在更新服務(wù)控制臺選擇“計算機”、“所有的計算機”項，右擊“添加計算機組”項，輸入組名可以創(chuàng)建新的計算機組。在控制臺左側(cè)選擇“選項”項，在右側(cè)點擊“計算機”鏈接，在打開窗口中如果選擇“使用Update Service控制臺”項，表示新連入的客戶機自動添加到“未分配的計算機”組中。管理員在該組中需手動選擇合適的主機，在右鍵菜單中點擊“更改成員身份”項，選擇合適的計算機組，將其移動到該計算機組中。如果選擇“使用計算機上的組策略或注冊表設(shè)置”項，那么可以先創(chuàng)建和AD用戶和計算機管理窗口中OU同名的組名，例如“Sale”、“Test”等。

之后在DC上打開組策略管理器，在其中選擇某個OU（例如“Sales”），在其下點擊“SalesGPO”項的右鍵菜單上點擊“編輯”項，在“計算機配置”、“策略”、“管理模版”、“Windows組 件”、“Windows更新”項，在右側(cè)雙擊“允許客戶端目標(biāo)設(shè)置”項，在彈出窗口中選擇“已啟用”項，在“次計算機的目標(biāo)組名稱”欄中輸入“Sales”，點擊“確定”保存。注意，如果在該OU中存在多級的OU結(jié)構(gòu)，例如在“Sales”中包含“Sales01”?！癝ales02”等，可以同時輸入，彼此之間以分號相隔。

例如，在該OU中存在名為“PC1”的主機，在該機上刷新組策略，并執(zhí)行“wuauclt /detectnow”命令后，該機會自動添加到更新服務(wù)控制臺對應(yīng)的計算機組中。例如“PC1”屬于“Sales”的OU，那么其就會存儲到“計算機”、“所有的計算機”、“Sales”組中。

這樣，就省去了手工移動的繁瑣。但AD中的OU組名，WSUS中的計算機組名以及組策略中的客戶端目標(biāo)設(shè)置名稱三者必須一致。按照以上方法，可以將不同OU中的計算機，分別自動添加到WSUS的與OU同名的計算機組中。

查看更新報告信息

為查看WSUS更新的報告信息，需要安裝Microsoft Report Viewer 2008可再分發(fā)組件。當(dāng)然，這需要先安裝.NetFramework 3.5組件。在更新服務(wù)控制臺左側(cè)選擇“更新”、“所有更新”項，可顯示所有的更新項目。在選定的項目的右鍵菜單上點擊“狀態(tài)報告”項可查看詳細報告信息。在窗口底部“狀態(tài)”欄中點擊“已安裝更更新/更新不適用的計算機”鏈接，可查看關(guān)于該更新項目的不適用信息。點擊“需要此計算機的更新”鏈接，可查看哪些主機適用該更新項目。在左側(cè)選擇“報告”項，在右側(cè)可查看更新報告、計算機報告、同步報告等類別。如點擊“同步報告”項，在彈出窗口中設(shè)置合適的日期范圍，點擊“運行報告”項，即可查看該時間段內(nèi)的同步信息。

配置自動審批規(guī)則

對于一些更新包來說，無需經(jīng)過測試就可以進行分發(fā)，例如緊急更新包、高危漏洞補丁、防病毒定義更新等。利用WSUS的自動審批規(guī)則，可以自動分發(fā)這類更新包。在WSUS更新服務(wù)控制臺左側(cè)選擇“選項”項，在右側(cè)點擊“自動審批”項，在彈出窗口中點擊“新建規(guī)則”按鈕，在“添加規(guī)則”窗口中的“步驟1：選擇屬性”列表中選擇“當(dāng)更新屬于特定產(chǎn)品時”項，在“步驟2：編輯屬性”欄中點擊“任何產(chǎn)品”鏈接，在“打開”窗口中只選擇所需的產(chǎn)品類型，例如“Windows Defender”。默認情況下，可以為所有的計算機審批更新，也可點擊“所有計算機”，來針對特定的計算機組中的計算機自動審批更新。

當(dāng)然，也可以選擇“當(dāng)更新屬于特定的分類時”項，可以在分類列表中選擇特定的類型。這樣，所有選定類別的更新都會自動審批。選擇“設(shè)置審批期限”項，可以精確的設(shè)置自動審批的具體期限。在“步驟3：指定名稱”欄中輸入名稱（如“Autosp”），點擊“應(yīng)用”按鈕保存。選擇該規(guī)則，點擊“運行規(guī)則”按鈕，WSUS可以自動審批符合條件的更新包。在控制臺左側(cè)“更新”、“所有更新”項，在右側(cè)的“審批”列表中選擇“已審批”項，在“狀態(tài)”列表中選擇“失敗或需要的”項，點擊“刷新”按鈕，在更新列表中可以顯示已經(jīng)審批的項目，可以看到和上述規(guī)則相關(guān)的更新已經(jīng)添加進來了。

在“狀態(tài)”欄中點擊“需要此更新的計算機”鏈接，可以查看需要此更新的客戶機。在特定的客戶機上打開控制面板并打開“Windows Update”項，執(zhí)行檢測更新操作，就可以從WSUS上檢測并下載上述自動審批的更新包，之后進行安裝即可。注意，在列表中可以選擇不想安裝的補丁，再看右鍵菜單上點擊“隱藏更新”項，避免其頻繁出現(xiàn)提示更新。在需要時點擊“還原隱藏的更新”項，就可以安裝這些更新包了。在WSUS更新控制臺左側(cè)選擇“選項”項。在右側(cè)點擊“更新源和代理服務(wù)器”項，在彈出窗口中可設(shè)置更新源和代理服務(wù)器信息。點擊“產(chǎn)品和分類”項可更改需要更新的產(chǎn)品或類型等。

點擊“服務(wù)器清理向?qū)А表?，可以從WSUS中清除舊計算機。在一般情況下，建議每隔一個月執(zhí)行一次清理操作。在向?qū)Ы缑嬷羞x擇清理的內(nèi)容，包括未使用的更新和更新續(xù)訂、沒有連接到服務(wù)器的計算機、不需要的更新文件、過期的更新等，默認全部處于選擇狀態(tài)。點擊“下一步”按鈕，執(zhí)行具體的清理操作。在選項欄中點擊“報告匯總”項，可以設(shè)置是否從下游WSUS服務(wù)器將計算機的更新狀態(tài)匯總到本W(wǎng)SUS服務(wù)器。點擊“電子郵件通知”項，設(shè)置SMTP服務(wù)器地址、端口號、發(fā)件人信息等內(nèi)容，可以讓W(xué)SUS服務(wù)器通過郵件來向管理員發(fā)送同步更新和狀態(tài)報告信息。

補丁安裝流程分析

一般來說，安裝補丁需要經(jīng)過測試和安裝兩個環(huán)節(jié)。當(dāng)?shù)玫剿璧难a丁包后，需要先在測試環(huán)境中執(zhí)行安裝和評估操作來檢測是否對當(dāng)前正常的操作環(huán)境造成不利影響，當(dāng)測試通過后，才可以將其下發(fā)給客戶機來執(zhí)行打補丁操作。微軟推薦每個一次月，執(zhí)行依次補丁的安裝操作。一般微軟會在每月14號左右發(fā)送當(dāng)月的安全公告摘要，WSUS服務(wù)器也會在15號左右接收到微軟發(fā)放的補丁。通常對于安全級別為Low以上的各種安全補丁，關(guān)于操作系統(tǒng)的安全補丁，對于各種版本IE的安全補丁，以及其他常用軟件（如Windows Media Player等）的補丁，狀態(tài)為Updates修訂版本的補丁來說，無需手工批準(zhǔn)就可以進行分發(fā)。

打 開 網(wǎng) 址“https://t e c h n e t.m i c r o s o f t.com/zh-cn/security/bulletin”，可以查看微軟當(dāng)月的安全公告。打開安全摘要頁面，可以查看當(dāng)月發(fā)布的所有更新信息。但對于規(guī)模較大的企業(yè)來說，還需要結(jié)合實際情況，更加安全和規(guī)范的執(zhí)行補丁更新操作。在WSUS更新服務(wù)控制臺左側(cè)選擇“更新”、“所有更新”項，在右側(cè)的“審批”列表中選擇“未經(jīng)審批”項，在“狀態(tài)”列表中選擇“失敗或需要的”項，點擊“刷新”按鈕，同樣可以顯示本月的所有更新信息。在列表標(biāo)題欄上點擊右鍵，在彈出菜單上選擇“發(fā)布日期”和“到達日期”項，可以顯示補丁發(fā)布和到達的具體日期。選中需要測試的補丁（可多選），在右鍵菜單上點擊“審批”項，在審批更新窗口中選擇執(zhí)行測試操作的計算機組（如“Test”組），在右鍵菜單上點擊“已審批進行安裝”項，將其發(fā)送到選定的組。

之后在“審批”列表中選擇“已審批”項，刷新后可看到所有已審批的補丁。對于“Test”組中計算機來說，操作者可以下載并安裝審批的補丁，當(dāng)安裝測試沒問題后，可將情況反饋給WSUS服務(wù)器管理員，這樣，管理員就可以在上述列表中選擇這些補丁，在右鍵菜單上點擊“審批”項，在彈出窗口中選中其他計算機組（如“Sales”等），使其顯示綠色標(biāo)記，點擊“確定”按鈕就可以下發(fā)給這些組中的計算機。當(dāng)然，在實際操作時，對于普通的客戶機來說，可以通過組策略設(shè)置自動下發(fā)計劃，無需用戶干預(yù)就可以安裝補丁，對于生產(chǎn)服務(wù)器來說，需要提前通過電子郵件等方法通知補丁安裝事宜，經(jīng)管理員同意后方可為其安裝補丁。通過設(shè)置計劃任務(wù)重啟服務(wù)器，并提醒其在服務(wù)器重啟之后，檢測相關(guān)的應(yīng)用設(shè)置。

管理下游WSUS服務(wù)器

對于規(guī)模較大的企業(yè)來說，其分支機構(gòu)分布在各地。在總部設(shè)置了上游WSUS服務(wù)器，來連接Windows Update下載補丁，在個分支機構(gòu)會配置下游WSUS服務(wù)器，和上游WSUS服務(wù)器連接來下載所需的補丁。打開下游WSUS配置向?qū)Ы缑?，在“選擇上游服務(wù)器”窗口中選擇“從其他Windows Server Update Services服務(wù)器中進行同步”項，設(shè)置上游WSUS服務(wù)器的地址和端口號（默認為8530）。下游WSUS服務(wù)器可以使用自治和副本兩種模式，默認使用的是自治模式，可以根據(jù)實際需要來自由的管理更新的審批等操作。如果選擇“這是上游服務(wù)器的副本”項，表示啟用副本模式。

點擊“開始連接”按鈕，和上游WSUS服務(wù)器進行連接來獲得可用的更新類型、可更新的產(chǎn)品、可用的語言等信息。之后根據(jù)需要選擇語言的更新，設(shè)置同步計劃，點擊“完成”按鈕，執(zhí)行所需的配置操作，其余的設(shè)置與配置上游上述基本相同，這里就不再贅述。當(dāng)初始同步完成后，可以根據(jù)需要創(chuàng)建新的計算機組來管理該分支機構(gòu)中的客戶機，管理方法和上述基本一致。如果采用副本模式，可以從上游服務(wù)器中鏡像更新審批、設(shè)置、計算機和組等信息，而且只能在上游WSUS服務(wù)器上執(zhí)行審批更新操作。

當(dāng)選擇補丁項目后，其右鍵菜單中是無法使用審批和拒絕操作的。并且無法創(chuàng)建計算機組。副本W(wǎng)SUS可以繼承上游服務(wù)器的更新批準(zhǔn)信息，無法脫離上游服務(wù)器進行獨立的管理。而在自治模式下，所有的管理操作都不會受到上游服務(wù)器的影響。

排除問題，順利執(zhí)行更新操作

在實際管理中，有時需要對客戶端進行手動調(diào)控。例如，因組策略或刷新周期等原因造成客戶端沒有收到更新或更新失敗，就需要在客戶端上執(zhí)行手動操作來進行排錯處理。在客戶端執(zhí)行“gpupdate /force”命令來刷新組策略，如果刷新失敗，說明網(wǎng)絡(luò)配置存在問題，否則執(zhí)行“gpresult /h report.html”命令來收集組策略結(jié)果信息。打開生成的報告文件，可以查看該機的組策略配置詳細信息。如果沒有問題，執(zhí)行“wuauclt /detectnow”命令來手動聯(lián)系WSUS服務(wù)器。

之后執(zhí)行“netstat –ano | findstr "8530"”命令，如果找到相關(guān)網(wǎng)絡(luò)連接，說明本機已經(jīng)被添加到了WSUS中的未分配計算機組中了。如果以上操作還是無法聯(lián)系WSUS服務(wù)器，需要在本機打開名為“windowsupdate.log”文件來查看和更新相關(guān)的日志文件。例如在其中發(fā)現(xiàn)“404（0x194）”之 類 的代碼，說明無法連接到WSUS服務(wù)器。該錯誤是因為端口設(shè)置出錯，在WSUS30中端口為80，在WSUS4.0中端口為8530/8531。解決方法是在組策略中打開上述“指定Intranet Microsoft更新服務(wù)位置”窗口輸入正確的WSUS地址，例如“http://192.168.1.100:8530”等。如果在WSUS服務(wù)器上配置了SSL加密協(xié)議，需 修 改 為“https://192.168.1.100:8531”。

此外，還可手動重啟Windows Update服務(wù)來嘗試解決問題。也可以執(zhí)行微軟提供的“Mats_Run.WindowsUpdate.exe” 工 具對更新服務(wù)進行修復(fù)。如果出現(xiàn)補丁安裝異常的情況，可以先在服務(wù)管理器中停 止“Automaic Updates”（或“自動更新”）服務(wù)，之后在“C:Windows”目錄下刪除“SoftwareDistribution”目錄（其中保存補丁包），之后重啟“Automaic Updates”（或“自動更新”）服務(wù)，執(zhí)行“wuauclt.exe /detecnow”命令來聯(lián)系WSUS服務(wù)器獲取補丁包，之后可以手動安裝或等待系統(tǒng)自動安裝。

WSUS的版本升級和遷移

有些單位使用的Windows Server 2008系統(tǒng)，在其中部署了WSUS3.0組件。如果想對Windows 8和Windows Server 2012等客戶端進行補丁的更新工作，必須安裝KB2734608de補丁,之后在Windows 8或Windows Server 2012中刷新組策略，獲取WSUS服務(wù)器組策略配置信息。執(zhí)行“wucualt /detectnow”命令來聯(lián)系WSUS服務(wù)器,在WSUS服務(wù)器更新控制臺中將這些客戶端添加到對應(yīng)計算機組中來執(zhí)行補丁分發(fā)操作。

對于工作組中的計算機，可以編寫一個名為“wsusupdate.reg”文件，其中包含“Windows Registry Editor Version 5.00”等內(nèi)容。之后雙擊該文件導(dǎo)入注冊表，就可以順利聯(lián)系到WSUS服務(wù)器了。