建立內網Windows補丁服務器

• 建立內網Windows補丁服務器
• • 實施方案
  • • 一、完成內網WSUS服務器的架設。
    • 二、對客戶端計算機進行設置。
    • 三、進行外網WSUS服務器的架設。

建立內網Windows補丁服務器

眾所周知，Windows系統有著種種安全漏洞和不足，這些都要依靠微軟發布的一個個補丁來彌補，但公司內網無法訪問Internet,，不能及時地下載更新。補丁的分發是微軟應盡的責任，所以他們開發了Windows Server Update Services（簡稱WSUS）這一軟件，可以實現通過一臺服務器下載更新后，通過內部網絡分發補丁。

實施方案

WSUS是一個C/S架構的軟件，公司大部分機器的操作系統版本是Windows XP SP2,這個版本已經內置了WSUS的客戶端。我們首先要做的是完成服務器的設置。
一般來說，WSUS服務器是需要訪問互聯網來下載更新的，但是由于公司內網與外網完全物理隔離，所以只能采用以下略顯繁瑣的方案。
架設兩臺WSUS服務器，一臺連接Internet下載更新數據，然后導出更新程序數據，通過其他存儲介質復制到連接內網的WSUS服務器上（此服務器使用192.168.0.190即可），最后導入更新程序數據，一樣可以實現WSUS服務器更新程序的同步，此過程如下圖所示。
客戶端方面，雖然不需要安裝，但是需要進行一定的設置，將更新服務器由默認的Windows Update服務器改為內網的WSUS服務器。這個可以通過生成一個注冊表文件，然后放在文件服務器上請大家下載后運行導入，就可以完成設置。
關于更新的周期，由于微軟是在每月第二周的周二發布新的補丁，所以手動拷貝的周期暫時定為一個月，如果有臨時發布重要補丁隨時更新。
具體操作流程及相關設置：

一、完成內網WSUS服務器的架設。

1．在192.168.0.190這臺服務器上安裝WSUS軟件及相關服務。WSUS支持集中管理和分布管理兩種管理模式。集中管理模式主要用于鏈式的WSUS服務器，我們使用分布管理模式。數據庫選擇默認選項即可，為Windows Server 2003下自帶的WMSDE。
2．WSUS服務器的默認端口為TCP 80，由于192.168.0.190這臺服務器上已有公司OA站點，80端口已被占用，所以采用自定義的8530端口。但是客戶端的自我更新必須通過TCP 80端口，所以需要在默認站點下建立虛擬目錄Selfupdate，使沒有安裝客戶端的機器可以自我更新安裝客戶端。
3．通過服務器端定位，可以在管理控制臺創建計算機組，然后對客戶端計算機進行分組。（需要注意的是，安裝在域環境下的WSUS服務器也可能不能正常識別非域成員的客戶端計算機，就算這些客戶端計算機可以正常通過此WSUS服務器進行更新。）
4．設置“自動審批”選項，拷貝到內網服務器的更新文件都是無需審批的。

二、對客戶端計算機進行設置。

由于公司內網機器沒有處于域環境下，我們可以通過本地組策略的方式或者修改注冊表來完成。兩者的性質是一樣的。用gpedit.msc命令打開本地組策略，在彈出的編輯器中，依次展開計算機配置、管理模板、Windows組件、Windows Update，為了讓客戶端計算機正常的從WSUS服務器獲取更新，必須配置以下兩個選項：
1．配置自動更新。必須設置為已啟用，在此選擇自動下載并通知安裝，然后點擊確定；
2．指定Intranet Microsoft更新服務位置。在此指定內網的WSUS服務器地址，由于我們使用自定義的站點，所以必須指明端口，即192.168.0.190:8530
在注冊表中導出項HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
生成注冊表文件，放到文件服務器上請各客戶端計算機下載后運行導入即可。

最后使用命令wuauclt.exe /detectnow檢測客戶端計算機與服務器之間的通訊狀況。

三、進行外網WSUS服務器的架設。

1． 完成WSUS軟件及相關服務的安裝，由于我們要將更新元數據及更新文件手動拷貝到內網WSUS服務器上，所以存儲方式選擇本地存儲，將更新文件全部下載到本地(不勾選延遲下載的選項)，需要注意的是留有足夠的硬盤空間（至少6G以上）。其他設置與內網服務器基本相同。
2. WSUS服務器將與Windows Update服務器進行同步，同步方式設定為手動同步即可。根據具體需要來選擇更新的產品及程序。對公司現在的狀況來說，一些影響性能的關鍵更新是最為重要的。很多針對遠程控制的漏洞補丁相對并不是那么重要。更新語言選擇中文簡體即可。
3. 下面是整個方案中較為重要的一個部分，完成從外網WSUS服務器與內網WSUS服務器之間的數據轉移。首先我們需要確保外網服務器和內網服務器的快速安裝文件特性和語言設置完全匹配。
然后實現更新文件的導出導入，這比較簡單，只要將外網服務器的C:\WSUS\WsusContent目錄復制到內網服務器的C:\WSUS\WsusContent目錄即可。最后完成元數據的導出導入，使用工具wsusutil,在命令行下輸入wsusutil export c:\wsus.cab c:\wsus.log，其中export是wsusutil的一個導出參數，c:\wsus.cab是導出的數據文件，c:\wsus.log是導出的日志文件。將導出的元數據復制到內網服務器器上，放在C盤根目錄下，運行命令提示符，執行導入操作，命令是：wsusutil import c:\wsus.cab c:\wsus.log。導入便成功了。此時在內網服務器上執行安裝更新的操作即可完成內網客戶端計算機的更新。

總結

以上是生活随笔為你收集整理的建立内网Windows补丁服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。