校园网虽然有WSUS升级服务器以及诺顿升级服务器,但是内网的大部分服务器和工作站都是不能访问校园网或者外网,因此系统不能更新,杀毒软件也没有什么用,因此就着手自己建一个WSUS服务器,诺顿的升级服务器由于要涉及诺顿收费问题,因此就在校园网的诺顿升级服务器上增加了一个一卡通专网的IP,然后在各个客户端添加Wins地址为新增的地址,这样杀软就OK了,WSUS服务器就自己搞吧,找了一台HP的380机器,考虑到所有更新文件放本地的话会占很大空间,又把后面的四块硬盘改成Raid5,并且只分了一个分区,最初安装SUS1.0的程序,发现不能作为校园网已有WSUS的下游服务器,后来才知道是版本太低,不过可以直接冲微软同步,但是速度非常慢,后来重新下载WSUS 3.0 X86版本,安装过程比较简单,对系统要求如下:
安装运行硬件条件:1G 以上CPU;1G内存;WSUS存储空间目录应该不小于2G,推荐30G
本次用的是HP380G的机器:双四核至强E5405CPU,16G内存,WSUS所在分区410G(146G*4 Raid5)Windows Server 2003 Service Pack 2
WSUS 3.0 Server Software Prerequisites:
Windows Server 2003 SP1 or later
IIS 6.0 or later
Microsoft .NET Framework 2.0
Microsoft Management Console 3.0
Microsoft Report Viewer
SQL Server 2005 SP1 is optional. Note if a compatible version of SQL Server is not installed already, WSUS 3.0 will install Windows Internal Database.
WSUS 3.0 Administration Console Software Prerequisites:
Additional Supported Operating Systems: Windows Server 2003 SP1 or later, Windows XP SP2 and Windows Vista
Microsoft .NET Framework 2.0
Microsoft Management Console 3.0
Microsoft Report Viewer
准备工作:
安装相关windows组件(各组件均可从微软网站下载http://www.microsoft.com/downloads/Search.aspx?displaylang=zh-cn)
安装顺序为:MMC 3.0-->IIS 6.0-->.NET Framework 2.0-->ReportViewer
安装数据库(其中选一)
1.SqlServer2000(SP4)数据库或者SqlServer2005(SP1)数据库
2.WSUS 3.0安装过程中自动安装的WSMED(Windows)数据库
安装WSUS 3.0
安装WSUS过程中会创建一个web服务,可选择使用TCP的80端口或是TCP的8530端口。如果当前服务器安装的其它web站点已占用了80端口,WSUS的web服务要配置成8530端口。这时配置客户端访问服务器使用的RUL:http://服务器IP:8530。安装完成以后根据实际的要求配置WSUS 3.0服务器。
WSUS客户端的配置
1.配置Active Directory中的计算机
在Active Directory中选择需要配置成为客户端的组织单位,也可新建一个组织单位。鼠标右键选择的组织单位-->属性-->新建组策略(名称自取)-->编辑。打开组策略编辑窗口,依次展开“计算机配置”-->“管理模板”-->“windowsComponents”-->“Windows Update”,在右边的列表中
启动“配置自动更新”并配置
启动"指定企业局域网更新服务地址"并配置
2.通过本地策略配置的计算机(非Active Directory中的计算机)
运行"gpedit.msc",编辑组策略。相关操作同AD中的计算机一样。
3.或者也可以修改注册表进行配置客户端
保存一下内容为reg格式文件,在客户端计算机上运行导入即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://你的WSUS服务器名称或者IP地址"
"WUStatusServer"="http://你的WSUS服务器名称或者IP地址"
"ElevateNonAdmins"=dword:00000001
"TargetGroupEnabled"=dword:00000001
"TargetGroup"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000a
"UseWUServer"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000001e
"RescheduleWaitTime"=dword:00000005
"RescheduleWaitTimeEnabled"=dword:00000001
"NoAUShutdownOption"=dword:00000001
"NoAUAsDefaultShutdownOption"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000022
"NoAutoRebootWithLoggedOnUser"=dword:00000001
"RebootWarningTimeout"=dword:00000010
"RebootWarningTimeoutEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WSUS Update"="wuauclt.exe /detectnow"
----------------------------------------------以下是详细说明------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://wsus.yoursite.com"
设置你的wusserver服务器
"WUStatusServer"="http://wsus.yoursite.com"
"ElevateNonAdmins"=dword:00000000
设置为1时, 非管理组成员也可以为计算机打补丁
"TargetGroupEnabled"=dword:00000001
注意:只有设置了这个,客户端的计算机才能被wsus的服务器检测到!!
"TargetGroup"="superuser"
目标组--就是客户端自动注册到wsus服务器的哪个计算机组,可以为空。
网上的很多注册表中少了这两个键值,自然无法被wsus服务器检测到客户端,从而无法进行客户端的管理。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
设置为0,表明自动升级
"AUOptions"=dword:00000004
设置为4,表示下载后自动安装。3是提醒安装
"ScheduledInstallDay"=dword:00000000
设置为0,表示每天都检测升级
"ScheduledInstallTime"=dword:0000000a
设置安装补丁的时间,因为AUOptions设置为4,所以这里设置自动安装的时间为a,也就是十进制的上午十点,到上午十点,自动安装补丁。
"UseWUServer"=dword:00000001
//表明使用wsusserver,也就是你自己搭建的wsus服务器,而不是去微软公司的网站升级。
"AutoInstallMinorUpdates"=dword:00000001
设置为1,表明后台安装,就是悄悄地,补丁已经打上了。
"RebootRelaunchTimeoutEnabled"=dword:00000001
//设置为1才可以设置下面的参数
"RebootRelaunchTimeout"=dword:00000014
表明提示重启动间隔时间,这里设置为20分钟,十六进制
"DetectionFrequencyEnabled"=dword:00000001
这里设置为1,下面的参数才有效
"DetectionFrequency"=dword:00000005
设置检测的频率,这里为了测试用,所以频率设置为了5,应该设置为22即可,一天一次
"NoAutoRebootWithLoggedOnUser"=dword:00000001
设置为1,表明用户可以选择是否等一会在重新启动,设置为0的话,5分钟之内重启动
"RebootWarningTimeout"=dword:00000010
安装计划的升级后,提示重启的时间
"RebootWarningTimeoutEnabled"=dword:00000001
设置为1,上面的健设置才有效。设置为0的话,默认为10分钟
"RescheduleWaitTime"=dword:00000005
如果一个更新错过了安装时间后,下次开机提示的时间,比如,你上午十点的时候没开机,自然没安装,设置这个参数后,表示开机5分钟以后,提示你安装。
"RescheduleWaitTimeEnabled"=dword:00000001
主要为了让上面那个参数有效。
A. HEEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU 键值名称:NoAutoUpdate 键值数值:0或者1 n=0:允许自动升级(默认值)n=1:不允许自动升级 键值类型:Reg_DWORD 键值名称:AUOptions 键值数值:2,3,4 n=2:在下载和安装时进行通知 n=3:自动下载并且安装时进行通知 n=4:自动下载并且设定时间表安装键值类型:Reg_DWORD 键值名称:ScheduledInstallDay 键值数值:0~7 n=0:每天 n=1~7:代表每周的周日(1)到周六(7)键值类型:Reg_DWORD 键值名称:ScheduledInstallTime 键值数值:0~23,数值等于一天的24小时的分布 键值类型:Reg_DWORD 键值名称:UseWUServer 键值数值:设置值为1是配置使用软件升级服务而取代Windows升级键值类型:Reg_DWORD
