Windows2012内网更新服务器部署2016-09-27

河南省维佳计算机系统集成有限公司内部技术文档1Windows2012内网更新服务器部署文档整理人：李锋Mail：feng_liwj@yeah.net日期：2016-09-27目录Windows2012内网更新服务器部署..............................................................................................1一、准备工作.........................................................................................................................2二、安装SQLservice2008_x64_CHS......................................................................................3三、打开添加角色和功能安装windowsServer更新服务，.............................................6四、更新包和数据库的导出迁移.......................................................................................14五、设置客户端的自动更新...............................................................................................17河南省维佳计算机系统集成有限公司内部技术文档2一、准备工作全新安装的一台windows2012R2X64系统，为了区分，本文把外网服务器更名为WSUS，内网服务器更名为LSUS。1：通过添加角色和功能安装netframework3.5，以支持SQLservice2008勾选netframework3.5后直接下一步由于系统下不存放.net3.5的安装包，需要把windows2012的安装光盘放到光驱里，然后点｛指定备用源路径｝在路径里填写光盘里的SxS文件夹的绝对路径。确定后点安装即可2：安装ReportViewer2008报表控件，以支持SUS服务器查看报告双击下载后的ReportViewer2008安装包直接运行安装即可。此软件需要.net3.5河南省维佳计算机系统集成有限公司内部技术文档3的支持下载地址=3841二、安装SQLservice2008_x64_CHS1：下载地址：运行安装文件，需要有个解压过程解压完毕后会自动运行安装程序选择｛全新安装或向现有安装源添加功能｝=勾选接受许可条款，然后下一步，等待安装程序检索安装文件河南省维佳计算机系统集成有限公司内部技术文档4所有项目必须全部通过才能继续安装，如果有需要的程序异常就会停到这个界面，监察通过后会进入安装目录选择界面，我在这里为了方便管理，建立了个SQL的目录，把数据库安装进去。点击下一步河南省维佳计算机系统集成有限公司内部技术文档5在这里数据库名称我把外网的起名WSQL。内网的起名LSQL以方便区分，库的根目录要与上一步保持一致。添加管理员账户｛对所有的SQL服务使用相同的账户｝=》｛浏览｝=》｛高级｝=》｛立即查找｝=》选中Administrator确定，当然你也可以建立新的账户进行管理。=》输入该账户的密码。然后下一步河南省维佳计算机系统集成有限公司内部技术文档6引擎配置这一项不用做其他更改，除非有特殊要求。否则请下一步Server配置项选择安装本机模式默认配置即可，请下一步错误报告是否上传微软由自己决定，本文不勾选，请下一步安装配置规则如果自检全部OK，会自动执行安装命令。等待安装完成即可。完成后启动MicrosoftSQLServermanagementstudio连接数据库检查状态三、打开添加角色和功能安装windowsServer更新服务，河南省维佳计算机系统集成有限公司内部技术文档7选择数据库。我们使用SQL数据库选择存储位置，该分区要求是NTFS格式分区才可以。本次建立河南省维佳计算机系统集成有限公司内部技术文档8输入数据库名称，连接数据库本，名称是｛主机名\数据库名称｝WSUS\WSQLWeb服务器选择默认等到安装完成河南省维佳计算机系统集成有限公司内部技术文档9完成后启动安装后的初始化任务，点更多，点启动安装后任务。注意：以上操作在内外网更新服务器均要安装配置，1：让WSUS服务器与MicrosoftUpdate同步，让服务器直接从Microsoft网站下载更新程序与Metabase等。2：使用导入更新功能自己去微软网站筛选打开WSUS4.0控制台-----更新服务------WSUS，在右侧操作窗口里点击“导入更新”，从微软的更新目录里查找最新补丁，并查看该补丁有没有可代替的补丁包，如果有，放弃！选择完补丁包后，点击右上角的“查看选择栏”，然后导入更新，在WSUS4.0控制台里，点开“更新”---“所有更新”------“未审批”------“任何状态”，审批所有补丁程序。河南省维佳计算机系统集成有限公司内部技术文档10审批后，ＷＳＵＳ服务器自动下载补丁！！如果服务器需要通过企业内部的Proxy服务器联网，请在下图输入相关信息。点击开始连接，以便从WindowsUpdate网站取得更新程序相关信息。河南省维佳计算机系统集成有限公司内部技术文档11选择下载语言，根据内网客户端的系统来选择，选择需要下在的更新产品。默认系统会选择office和windows的更新，根据需求选择所需的更新包，选择下载所需类型，根据实际需要，建议Serverpack更新也选择河南省维佳计算机系统集成有限公司内部技术文档12选择手动或自动同步。选择自动同步，需要设置第一次同步的时间与每天同步的次数。执行第一次同步工作河南省维佳计算机系统集成有限公司内部技术文档13可以查看当前同步进度。如果要手动同步，选择同步选择中的立即同步如果要将手动同步改成自动同步，需要设置同步计划。前面安装的所有设置，都河南省维佳计算机系统集成有限公司内部技术文档14可以通过选项界面进行更改。在同步尚未完成之前，无法存储更改的设置，需要等待同步完成后更改设置。等服务器下载完所需的更新包即可。以上操作在内网更新服务器不需要设置。只在外网服务器上设置即可四、更新包和数据库的导出迁移ＷＳＵＳ服务器补丁下载完后，关掉更新服务窗口进行备份操作：1：复制补丁保存目录下wsuscontent目录到Ｕ盘或启动硬盘上2：登录数据库找到SUSDB数据库河南省维佳计算机系统集成有限公司内部技术文档15右键=》任务=》分离=》勾选=》确定即可分离数据库，在数据库安装目录里找到分离的SUSDB数据库和LOG文件，拷贝到U盘或者移动硬盘河南省维佳计算机系统集成有限公司内部技术文档16分别把wsucontent目录和SUSDB数据库文件以及log拷贝到内网LSUS服务器的相应目录。启动MicrosoftSQLServermanagementstudio右键点击｛数据库｝=》附件点击｛添加｝找到刚拷贝过来的susdb数据库文件，来完成数据库的挂载然后重新启动wsus服务后在启动wsus管理窗口河南省维佳计算机系统集成有限公司内部技术文档17检查LSUS服务器的补丁包识别是否与WSUS服务的一致，并检查自动审批规则和更新分类语言等是否复合规则需要。五、设置客户端的自动更新我们要让客户端计算机能够通过WSUS服务器下载更新程序，可以通过组策略进行设置。开始=》运行=》gpedit.msc河南省维佳计算机系统集成有限公司内部技术文档18展开计算机配置-策略-管理模板-windows组件。选择启用配置自动更新。通知下载并通知安装：在下载更新程序前会通知已登录的系统管理员，由他自行决定是否现在下载；下载完成后和准备安装前也会通知系统管理员，然后由他自行决定是否现在安装。自动下载并通知安装：自动下载更新程序，下载完成后和准备安装前会通知已登录的系统管理员，然后由他自行决定是否现在安装。自动下载并计划安装：自动下载更新程序，并且会在指定的时间自动安装。需要指定安装时间。河南省维佳计算机系统集成有限公司内部技术文档19允许本地管理员选择设置：此选项让在客户端的本地管理员可以通过控制面板自行选择更新方式。选择指定intranetMicrosoft更新服务位置，然后指定让客户端从wsus服务器获取更新程序，同时也设置让客户端将更新结果报告给WSUS服务器，这两处请输入http://更新服务器的IP地址:8530。设置完成后，必须等域内的客户端应用这个策略才能有效，而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。应用完成后，还必须等客户机与wsus服务器接触后，在wsus管理控制台才能看到这些客户机。不过需要等待20分钟才会主动联系WSUS服务器。在客户机上执行wuauclt/detectnow命令。审批更新程序在wsus管理界面可以看到所有客户端机器，如果还有机器仍为显示，可以想到这些计算机上执行组策略刷新命令。注：如果客户端有新的更新状态可报告，而你希望立即报告，请到客户端计算机河南省维佳计算机系统集成有限公司内部技术文档20上执行wuauclt/reportnow.创建新计算机组为了便于利用WSUS管理控制台来部署客户端计算机所需的更新程序，建议将计算机进行分组。例如要创建一个名为业务部计算机的组，并将隶属于业务部的计算机移动到此组内。选择添加计算机组。将隶属于改组的计算机从未分配的计算机组移动到刚刚创建的业务部计算机组中。审批更新程序的安装WSUS下载的所有更新程序都要经过审批后，客户端计算机才可以安装此更新程序，此处假设要审批某个安全更新，以便让业务组计算机安装此更新。河南省维佳计算机系统集成有限公司内部技术文档21由于WSUS默认会延迟下载更新程序，也就是WSUS服务器与MicrosoftUpdate同步时仅会下载更新程序的metadata。当我们审批更新程序后，更新程序才会下载。由于我们刚审批上述更新，WSUS服务器正要开始下载此更新，必须等下载完成后，客户端计算机才可以开始安装此更新。下图，审批栏目出现了安装1/3字样，表示当前有3个计算机组，只有其中一个组已经被审批安装此更新。客户端默认每隔17.6-22小时才会连接服务器检查是否有更新程序下载，可利用wuauclt/detectnow来手动检查。检查到后根据组策略的设置来进行更新。客户端可以通过组策略自动更新检测频率来更新检查时间。如果希望客户端计算机能够早一点自动检测，可以修改此值。河南省维佳计算机系统集成有限公司内部技术文档22只要客户端检查到可用下载，会自动右下角提示有更新。拒绝更新程序单击某个程序右侧的拒绝，则系统将解除其审批，同时在WSUS数据库内与此更新有关的报告数据都将删除，还有在此界面上也看不到此更新程序。如果要看到被拒绝的更新程序，请到审批处选择已拒绝后单击重新整理。河南省维佳计算机系统集成有限公司内部技术文档23自动审批更新程序可以设置当WSUS服务器与WindowsUpdate同步时，自动审批下载的更新程序。例如，如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机:单击选项中的自动审批，在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序，请单击允许规则。单击高级标签后，