Windows Server 2003 - 架設 Windows Server Update Services 3.0

1、前言

簡單說就是由公司一台 WSUS Server 去跟 Windows Security Patch Server Update 後,再派送給內部網路電腦使用,如此可以使得內部網路更新 Patch 速度加快,更節省了不必要浪費的頻寬。






文章目錄

1、前言
2、實作環境
3、安裝及設定 WSUS 3.0
          步驟1.安裝 Windows Server Update Services 3.0
          步驟2.設定 Windows Server Update Services 3.0 組態
4、設定 WSUS Client (無 AD 環境)
          步驟1.開啟本機群組原則
          步驟2.新增 WSUS 系統管理範本
          步驟3.管理 Windows Updates 原則
5、設定 WSUS Client (有 AD 環境)
6、WSUS Server 管理介面
7、參考
8、Me FAQ
          Q1.無法順利安裝 Windows Server Update Services 3.0?





2、實作環境






3、安裝及設定 WSUS 3.0

步驟 1. 安裝 Windows Server Update Services 3.0

至 Windows Server Update Services 3.0 - 繁體中文 下載 WSUS 3.0 安裝檔案 (WSUS3Setupx86.ex)
點二下 WSUS3Setupx86.exe 準備開始安裝 Windows Server Update Services 3.0。


安裝模式選擇,請選擇【包括管理主控台的完整伺服器安裝】。


授權合約聲明。


指定更新來源,若有勾選【在本機存放更新】則 WSUS Server 會從 Microsoft 下載安全性更新檔存放到您指定的資料夾,若 WSUS Server 安裝時沒有勾選此設定則屆時 WSUS 用戶端還是會連線到 Microsoft Patch Server 去下載安全性更新檔。


指定資料庫選項,您可以使用 MSSQL 或是使用 Windows Internal Database 資料庫,此次我們選擇使用【Windows Internal Database】。


指定 WSUS Service Listen Port,指定屆時啟動的 WSUS Service 要 Listen Port 是 80 或 8530,此次我們選擇使用【使用現有的 IIS 預設網站】也就是到時 WSUS Service 會 Listen 80 Port.。


設定值確定,顯示剛才回答的 WSUS 相關設定內容,確定無誤後按下【下一步】便開始安裝。


正在安裝 WSUS 3.0 (資料設定及寫入中)。


WSUS 3.0 安裝完成。





步驟 2. 設定 Windows Server Update Services 3.0 組態

WSUS 組態設定精靈,安裝完 Windows Server Update Services 3.0 後會自動帶起 Windows Server Update Services 3.0 組態精靈來繼續設定。


是否參與 Microsoft Update 改進方案。


選擇上游伺服器,請選擇【從 Microsoft Update 同步處理】。


指定 Proxy 伺服器,我的環境並沒有使用 Proxy 所以直接按【下一步】繼續下個步驟。


連線到上游伺服器,因為我們指定上游伺服器為 Microsoft Update Server,所以當按下【開始連線】後會偵測 WSUS Server 的連線狀態 (與 Microsoft Update Server 之間的連線狀態),偵測完畢後就可以按【下一步】繼續設定 WSUS Server 組態了。


選擇語言更新,選擇 WSUS 要針對哪些語系的安全性設定檔進行下載,當然您選擇的語系愈多那麼佔用 WSUS Server 的磁碟空間將愈大。


選擇產品更新,選擇 WSUS 要針對哪些 Microsoft 軟體相關更新進行下載。


選擇下載分類,選擇 WSUS 要針對哪些類型的更新進行下載。


設定更新排程,設定 WSUS 向上游伺服器 (Microsoft Update Server) 下載更新檔的時間排程,【每天同步處理】次數指的是,若依我設定【第一次同步處理為 上午 5:00】,若我設定【每天同步處理】次數為【3】次的話 (24 小時 / 3 次 = 間隔 8 小時),則代表 WSUS Server 會在每天的上午 5:00、下午 1:00、下午 9:00 跟 WSUS 上游伺服器同步更新檔。


組態設定完成,按下【完成】確定剛才的組態設定值。


開啟 WSUS 3.0 管理介面,設定完 WSUS Server 組態後,我們便可以把 Windows Server Update Services 3.0 叫出來玩了。


進入 WSUS 3.0 管理介面後切換到【選項】裡面列出的項目,就是可以回到我們剛才設定 Windows Server Update Services 3.0 組態的那些選項。






4、設定 WSUS Client (無 AD 環境)

步驟 1. 開啟本機群組原則

點選左下角【開始】 > 【執行】 > 鍵入【gpedit.msc】 >【確定】。




步驟2.新增 WSUS 系統管理範本

點選【電腦設定】 > 【系統管理範本】 > 【新增 / 移除範本】。


按下【新增】。


選擇【C:\WINDOWS\inf\wuau.adm】後按下【開啟】。


可看到 【wuau】範本被新增了,按【關閉】離開系統管理範本。




步驟 3. 管理 Windows Updates 原則

Windows Updates 群組原則,新增 wuau 範本成功後,可在【電腦設定】-->【系統管理範本】-->【Windows元件】下發現【Windows Updates】項目,右邊則為所有可設定的原則項目。

步驟 3-1. 設定自動更新原則

準備設定自動更新原則。


設定 WSUS Client 排程找 WSUS Server 更新 Patch 的時間,點選【自動更新】-->【右鍵】-->【內容】,開始設定自動更新內容。


設定自動更新內容,設定為每天中午 12 點 WSUS Client 會找 WSUS Server 檢查是否有需要更新的 Security Patch。


自動更新排程內容,當套用原則之後 Client 端查看自動更新項目時會看到自動更新已經設定到每天中午 12 點了。


步驟 3-2. 設定 WSUS Server IP or Hostname

指定內部網路 Microsoft 更新服務的位置,指定我們架設的內部 WSUS Server IP 或 Hostname,點選【指定內部網路 Microsoft 更新服務的位置】-->【右鍵】-->【內容】。


輸入內部 WSUS Server IP 或 Hostname,此次實作的 WSUS Server 其 Hostname 為 KAV,因此設定為 http://kav。


步驟 3-3. 設定 WSUS Client 更新後是否重新啟動

不自動重新啟動排定的自動更新安裝,設定 WSUS Client 更新安全性更新檔案後本機電腦是否要重新啟動,點選【不自動重新啟動排定的自動更新安裝】-->【右鍵】-->【內容】。


設定是否啟用更新後重新啟動原則,「已啟用」WSUS Client 更新完成後會跳出自動更新通知 (立即重新啟動、稍後重新啟動),「尚未設定、已停用」WSUS Client 更新完成後會跳出五分鐘倒數視窗,若未取消則本機將自動重新啟動。


重新啟動視窗。


步驟 3-4. 設定 WSUS Client 是否自動安裝更新檔

是否允許立即安裝自動更新,設定 WSUS Client 自 WSUS Server 下載安全性更新後是否自動安裝安全性更新檔案,點選【允許立即安裝自動更新】-->【右鍵】-->【內容】。


設定是否啟用立即安裝自動更新,「已啟用」自 WSUS Server 下載安全性更新後自動安裝安全性更新檔案,「尚未設定、已停用」自 WSUS Server 下載安全性更新後通知是否要安裝安全性更新檔案。


步驟 3-5. 執行 WSUS Client 診斷工具

原則設定完成並套用後,我們可執行 WSUS Client Diagnostic Tool (WSUS Client 診斷工具) 來檢查我們的原則是否設定正確,至少要確定 WSUS Client 連接到 WSUS Server 的部份是正常的,執行 WSUS Client 診斷工具可看到目前 WSUS Client 要設定連接到 WSUS Server (我的 WSUS Server http://kav)


步驟 3-6. 查看 WSUS Client 更新狀態記錄檔

原則設定完成並套用後,我們可以查看 WSUS Client 的更新狀態記錄檔 (C:\WINDOWS\WindowsUpdate.log) 來查看是否運作正常,可看到是否連接到 WSUS Server、把 WSUS Client 的更新狀態回報給 WSUS Server、更新哪些安全性更新。





步驟 3-7. 匯出 WSUS Client 原則設定

因為是在無 AD 環境下所以無法套用群組原則 (GPO),來一次套用群組原則在大量的 WSUS Cleint 電腦,難道沒有 AD 環境就要一台一台設定嗎?當然不是,我們一樣可以設定一台 WSUS Client 確定運作無誤之後,匯出它的原則設定成為機碼 (Registry) 而其它台只要匯入該機碼後便等於套用 WSUS Client 原則設定了,不過前提記得是該主機已經有新增【wuau】系統範本了哦 (Windwos XP 預設就有了)。

點選左下角【開始】 > 點選【執行】 >  鍵入【regedit】,切換至【HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate】-->【右鍵】-->【匯出】-->輸入【機碼 (Registry)名稱】-->【儲存】,即完成 WSUS Client 原則設定機碼 (Registry) 匯出,之後需要套用的 WSUS Client 只要點選二下機碼 (Registry) 即可。




步驟 3-8. 手動更新群組原則

當 WSUS Client 群組原則設定完成後要經過多久時間才會出現在 WSUS Server 管理介面內?
  • 有 AD 環境: 下則為群組原則重新整理後的 20 分鐘 (預設下群組原則為 90 分鐘整理一次,但可能會有 0 ~ 30 分鐘的隨機時差)。
  • 無 AD 環境: 下則當群組原則套用後預設為立刻生效,若手動重新整理群組原則需花費 20 分鐘。

如果你希望手動手動更新群組原則的話,可以依如下步驟操作:
【開始】>【執行】> 鍵入【gpupdate /force】          //手動更新群組原則

步驟 3-9. 手動命令 WSUS Client 立刻找 WSUS Server 更新

WSUS Client 預設會在您設定的【自動更新】排程時才會去找 WSUS Server 看是否有需要更新的安全性更新檔案,若您想讓 WSUS Client 立刻去找 WSUS Server 則可輸入以下命令。
 【開始】 > 【執行】 > 鍵入【wuauclt.exe /detectnow】   //手動更新群組原則





5、設定 WSUS Client (有 AD 環境)

  1. 在 WSUS 伺服器上點選左下角【開始】
  2. 執行
  3. 輸入 gpedit.msc
  4. 電腦管理
  5. 系統管理範本
  6. Windows 元件,其設定原則的方式同上面所介紹的無 AD 環境一樣





6、WSUS Server 管理介面

當 WSUS Client 執行報告回覆 (Reporting) 給 WSUS Server 時,這時 WSUS Server 便可看到該 WSUS Client 主機硬體資訊及相關狀態 (例如 還有多少未更新的安全性更新)。



WSUS Client 更新後是否重開機狀態顯示。


也可執行 WSUS Server Diagnostic Tool (WSUS Server 診斷工具) 來檢查 WSUS Server 設定是否正常。


核准更新,記得 WSUS Server 必須對下載的安全性更新核准,如此一來 WSUS Client 才會下載安全性更新。






7、參考






8、Me FAQ

Q1. 無法順利安裝 Windows Server Update Services 3.0?

Error Message:
點選 WSUS3Setupx86.exe 欲開始安裝 Windows Server Update Services 3.0 但在安裝途中會出現如下訊息而停止安裝。


Ans:
在安裝 Windows Server Update Services 3.0 前 WSUS Server 請檢查如下項目: