步驟 1:準備部署 WSUS
步驟 2:安裝 WSUS 伺服器角色
步驟 3:設定 WSUS 伺服器 與 用戶端
步驟 4:核准和部署 WSUS 更新
步驟 X:WSUS上線過程過到的毛毛整理記錄
參考資料
參考資料
步驟 1:準備部署 WSUS
重點註記:
- 評估足夠空間,WSUS會因為所選擇的產品項目而有不同的下載容量需求。
本次測試勾選:Windows Server 2003,2008,2012, Windwos XP,7與IE更新等項目,所佔用空間約431GB(包括DB-WDI)...重點在於勾選產品時並不會告訴你需準備多少容量,直到開始同步時才會告訴你空間不足...所以...可以的話盡量多預留一些空間讓WSUS存放吧。 - 關於硬體需求的部份,在四核8GB的VM環境下跑(實體為Xeon E5620*2),在開啟WSUS管理員和報表時,還是會卡一下…但觀察記憶體實際用量平均落在4.3GB,所以8GB應該是比較適合的。除非還有身兼其它角色。
- 即使已有AD環境,WSUS也不一定要安裝於加入AD網域的系統上。
步驟 2:安裝 WSUS 伺服器角色
- 在 [伺服器管理員] 中的 [新增角色及功能]可以進行WSUS角色的安裝,安裝過程可以設定是否仍有上層WSUS主機(如果該WSUS是要做為備機或異地更新來源時)。
步驟 3:設定 WSUS
- 設定網路連線
進行網路相關設定包括本機與網路環境,確保WSUS與M$ Update、WSUS 伺服器之間以及WSUS伺服器與用戶端之間的服務是暢通的(2012以前使用80,443 Port;2012以後使用8530,8531) - 使用 WSUS 設定精靈設定 WSUS
在 [伺服器管理員] 瀏覽窗格中,依序按一下 [儀表板]、[工具],或是 [開始]、[ 所有程式 ]、[系統管理工具]中均可開啟WSUS管理工具[Windows Server Update Services]。接下來,只要繼續設定要接收更新系統語系、M$產品別、同步時間排程即可,完成設定後WSUS的管理介面就可以看到同步進度。 - 設定電腦群組
在 WSUS 系統管理主控台中建立電腦群組(例如:[已指派的電腦],以管理組織中的更新。 - 設定用戶端更新
指定將自動更新套用到用戶端電腦的方式和時機。
AD環境可透過GPO將使用本地端WSUS進行更新的設定套用至AD內指定的使用者、電腦、群組。
非AD環境也可以在用戶端執行gpedit.msc來調整Windows Update的來源。
在 GPMC 中依序展開 [電腦設定]、[原則]、[系統管理範本] 、 [Windows 元件] 、[Windows Update],可設定 [設定自動更新] 與 [設定偵測更新的近端內部網路更新服務]。這部份可參考MIS背影中的建議,將SERVER與CLINET分成兩個GPO各別套用。
Server:自動下載更新,通知我安裝選項
Client:固定時間自動下載排程安裝 - 使用安全通訊端層通訊協定來確保 WSUS 的安全
設定安全通訊端層 (SSL) 通訊協定,以協助保護 Windows Server Update Services (WSUS)。
事實上…我覺得沒有必要進行此項設定… - 用戶端測試
假定有一部Win7已經加入網域,當GPO設定完畢後,預設約90-120分鐘 PC端才會套用此設定。
PC端執行「gpupdate /force」 可強制套用GPO-WSUS
PC端執行「gpresult /z」可檢查已套用的GPO有哪些,來查看是否有成功套用。
GPO成功套用後 用戶端的Windows Update 設定就會無法更動
步驟 4:核准和部署 WSUS 更新
- 核准和部署 WSUS 更新
使用 WSUS 管理主控台來核准和部署 WSUS 更新。
在 WSUS 管理主控台上按一下 [更新]。 右窗格會顯示 [所有更新]、[重大更新]、[安全性更新] 以及 [WSUS 更新] 的更新狀態摘要。
在 [所有更新] 中可對於尚未核準的更新進行選擇(可用SHIFT與CTRL進行複選),按右鍵進行 [核淮]。 - 設定自動核准規則
設定 WSUS 來自動核准安裝所選群組的更新,以及如何核准現有更新的修訂。
開啟 WSUS 管理主控台,在 [Update Services] 的 [選項]中,按一下 [自動核准]。
在 [更新規則] 中,進行 [新增規則]。 - 使用 WSUS 報告檢閱安裝的更新
使用 WSUS 報告功能檢閱已經安裝的更新、接收這些更新的電腦及其他詳細資料。
步驟 X:WSUS 上線後的毛毛
- 用戶端進行Windows Update時出現錯誤 0x80072EE2 0x80244010 ...
可能原本在微軟的Windows Update上看到的Patch更新,但尚未下載到本機端,就改成內部的WSUS Server,而內部的WSUS Server並沒有這隻Patch,所以導致更新失敗。
解決方式:
用戶端執行「DOS Script to Reset Windows Update Agent」
https://gallery.technet.microsoft.com/scriptcenter/Dos-Command-Line-Batch-to-fb07b159
將更新服務停止後移除暫存檔與登錄檔,再重啟服務。
伺服器端在WSUS管理主控台的 [選項] 中執行「伺服器清理精靈」,全選清除即可。
如果遇到內容太多導致錯誤,也可分次清除。
參考資源:
Microsoft MSDN - 在組織中部署 Windows Server Update Services
https://msdn.microsoft.com/zh-tw/library/hh852340
MIS的背影 - Windows Server 2012 筆記(一) WSUS 4.0 安裝設定
http://blog.pmail.idv.tw/?p=3914
Microsoft Community - WSUS 用戶端無法更新資料
https://answers.microsoft.com/zh-hant/windows/forum/windows_7-update/wsus/3f9fa04c-6821-451b-a8ab-20266645e846
FrozenBlue - WSUS Clients 無法偵測回報問題
http://frozenblue2.blogspot.tw/2016/01/wsus-clients.html
Microsoft Community - WSUS 用戶端無法更新資料
https://answers.microsoft.com/zh-hant/windows/forum/windows_7-update/wsus/3f9fa04c-6821-451b-a8ab-20266645e846
FrozenBlue - WSUS Clients 無法偵測回報問題
http://frozenblue2.blogspot.tw/2016/01/wsus-clients.html
