架WSUS服務(wù)器 內(nèi)網(wǎng)自動(dòng)打補(bǔ)丁<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

病毒一直是我們網(wǎng)絡(luò)管理員的天敵，而殺毒軟件又總是有滯后性，縱觀所有危害性大的病毒，無不一是利用系統(tǒng)漏洞來傳播、感染的，而這時(shí)候，第一個(gè)提供解決方案的，往往是微軟自己——系統(tǒng)補(bǔ)丁。個(gè)人認(rèn)為給客戶端電腦打全系統(tǒng)補(bǔ)丁是防毒，而殺毒軟件是“殺”毒，相對(duì)來說，防毒更為重要，將病毒堵在門外，而不是讓殺毒軟件來亡羊補(bǔ)牢。

　　如果是小企業(yè)，內(nèi)網(wǎng)只有三五臺(tái)或者七八臺(tái)電腦倒還無所謂，自己手動(dòng)下載并安裝補(bǔ)丁，工作量相對(duì)來說并不是很大，但如果有幾十臺(tái)電腦怎么辦呢？工作量大不說，也不容易記清到底哪臺(tái)電腦打補(bǔ)丁了，哪臺(tái)電腦沒打補(bǔ)丁，都打了哪些補(bǔ)丁。也許有人提出開啟自動(dòng)更新服務(wù)不是可以很好的解決問題嗎？微軟發(fā)布補(bǔ)丁的日子基本上是固定的，這就會(huì)引起所有客戶端都去微軟網(wǎng)站下載補(bǔ)丁的問題，不僅會(huì)消耗大量帶寬，還容易造成企業(yè)網(wǎng)絡(luò)堵塞。

　　微軟提供的WSUS（Windows Server Update Services）無疑是最佳的解決方案，架設(shè)WSUS服務(wù)器，好比在企業(yè)內(nèi)網(wǎng)中建立一個(gè)微軟發(fā)布補(bǔ)丁的鏡像服務(wù)器，這樣，企業(yè)內(nèi)所有電腦都從內(nèi)網(wǎng)升級(jí)，每次更新補(bǔ)丁，只需要WSUS服務(wù)器到微軟網(wǎng)站下載一次即可，所有客戶端均從WSUS服務(wù)器下載，以內(nèi)網(wǎng)百Mbps的速率，補(bǔ)丁再多，也能很快更新完畢。

　　一、架設(shè)WSUS服務(wù)器的好處

　　既然架設(shè)WSUS服務(wù)器，肯定就要準(zhǔn)備服務(wù)器，無疑是企業(yè)另外一筆投資，如果沒有很明顯的好處，是很難打動(dòng)企業(yè)領(lǐng)導(dǎo)增添不能產(chǎn)生顯性價(jià)值的服務(wù)器的。

　　第一：補(bǔ)丁更新速度快。因?yàn)樗锌蛻舳烁卵a(bǔ)丁時(shí)都是從內(nèi)網(wǎng)服務(wù)器上下載，所以速度快是肯定的。

　　第二：補(bǔ)丁更新時(shí)間自定義。Windows自動(dòng)更新程序會(huì)不定時(shí)檢測(cè)微軟網(wǎng)站上的補(bǔ)丁發(fā)布情況，這就造成了時(shí)間不可控性。而架設(shè)WSUS服務(wù)器后，可以設(shè)定補(bǔ)丁更新的時(shí)間，服務(wù)器端下載完補(bǔ)丁后，可以在設(shè)定的時(shí)間點(diǎn)向客戶端推送補(bǔ)丁。并且WSUS服務(wù)器與微軟補(bǔ)丁服務(wù)器同步補(bǔ)丁時(shí)間也可以設(shè)定，這樣可以保存不在工作時(shí)間因同步補(bǔ)丁而占用帶寬，影響終端用戶使用網(wǎng)絡(luò)的情況。

第三：補(bǔ)丁全。WSUS服務(wù)器會(huì)自動(dòng)與微軟補(bǔ)丁服務(wù)器同步，因此補(bǔ)丁全，不會(huì)造成漏更新某一補(bǔ)丁的情況發(fā)生。并且可以自動(dòng)下載微軟全系列的補(bǔ)丁，包括Windows、Office等。

　　二、WSUS服務(wù)器的架設(shè)

　　第一步：安裝WSUS。首先從微軟網(wǎng)站下載WSUS安裝程序，目前最新版本為3.0，雙擊下載回來的安裝程序，自解壓完成后，會(huì)自動(dòng)彈出安裝向?qū)?#xff0c;單擊“下一步”按鈕，選擇“包括管理控制臺(tái)和完整服務(wù)器安裝”項(xiàng)，接下來就按照提示進(jìn)行相應(yīng)的設(shè)置即可完成安裝。

　　需要注意的是，安裝WSUS3.0，需要安裝IIS服務(wù)和.net 2.0組件，否則將無法完成安裝。另外MMC 3.0控制臺(tái)程序也需要安裝，否則將不能使用WSUS管理UI。

　　第二步：配置WSUS。在完成WSUS的安裝后，安裝程序會(huì)自動(dòng)跳轉(zhuǎn)到“WSUS 配置向?qū)А薄８鶕?jù)此向?qū)?#xff0c;我們就可以輕松完成WSUS的配置。連續(xù)單擊“下一步”，直到選擇“上游服務(wù)器”處，這里選擇“從Microsoft Update”進(jìn)行同步。

　　　如果是通過代理服務(wù)器上網(wǎng)的，接下來還需要“指定代理服務(wù)器”，然后依次選擇“語言”、“產(chǎn)品”、“分類”以及“同步計(jì)劃”，可以設(shè)置更新補(bǔ)丁的語言類型，微軟的產(chǎn)品類型、補(bǔ)丁的類型以及是手動(dòng)同步補(bǔ)丁還是自動(dòng)同步補(bǔ)丁。

?

　　至此，服務(wù)器端WSUS基本上算配置完畢了，在客戶端進(jìn)行一些簡(jiǎn)單設(shè)置即可享受到WSUS的好處了。

　　三、客戶端配置

　　運(yùn)行“Gpedit.msc”打開組策略編輯器。在組策略編輯器中，依次單擊“計(jì)算機(jī)配置→管理模板→Windows組件→Windows Update”。在右側(cè)雙擊“配置自動(dòng)更新”，將自動(dòng)更新策略設(shè)置為“啟用”，并設(shè)置為“自動(dòng)下載并計(jì)劃安裝”。

　　雙擊“指定Intranet Microsoft更新服務(wù)位置”，選擇“已啟用”項(xiàng)，在“為檢測(cè)更新設(shè)置Intranet夾新服務(wù)”下方輸入[url]http://WSUS[/url]服務(wù)器的機(jī)器名稱或者IP地址。重新啟動(dòng)計(jì)算機(jī)機(jī)，這時(shí)客戶端組策略便會(huì)刷新，設(shè)置便會(huì)起作用。

　　如果網(wǎng)絡(luò)環(huán)境是Active Directory的話，只要在域控制器上設(shè)置基于域的組策略對(duì)象，就可以一次性實(shí)現(xiàn)所有的域用戶的客戶端設(shè)置。如果是非域環(huán)境的話，就必須在每個(gè)客戶端上進(jìn)行本地組策略設(shè)置。當(dāng)然無論是設(shè)置域控制器上的組策略對(duì)象還是設(shè)置客戶端上的本地組策略，目的都是將客戶端的自動(dòng)更新指向我們架設(shè)的WSUS服務(wù)器上，讓客戶端自動(dòng)更新的時(shí)候不再連接微軟的網(wǎng)站，而是連接內(nèi)網(wǎng)的WSUS服務(wù)器，不過用戶還是可以直接登錄微軟自動(dòng)更新頁面去更新補(bǔ)丁。

　　 域環(huán)境客戶端設(shè)置。在“管理您的服務(wù)器”窗口中單擊“管理Active Directory中的用戶和計(jì)算機(jī)”，右鍵單擊域名，選擇屬性，在打開的對(duì)話框中切換到組策略標(biāo)簽，新建一個(gè)組策略模板并進(jìn)行編輯，具體的編輯操作同非域環(huán)境下客戶端的操作完全一樣。

　　四、總結(jié)

　　縱觀WSUS服務(wù)器的整個(gè)架設(shè)過程以及客戶端的設(shè)置過程均不復(fù)雜，但實(shí)實(shí)在在的可以更好的起到“補(bǔ)丁”的作用。特別是對(duì)于中、大型企業(yè)來說，這樣做顯得更為有必要。客戶端都會(huì)自動(dòng)進(jìn)行系統(tǒng)補(bǔ)丁的升級(jí)，我們?cè)诜奖恪p少工作量的同時(shí)，又管理好了網(wǎng)絡(luò)。

?

轉(zhuǎn)載于:https://blog.51cto.com/jiacai/131252

總結(jié)

以上是生活随笔為你收集整理的架WSUS服务器 内网自动打补丁的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。