2017年1月18日 星期三

Windows Server Update Services (WSUS) 建置記錄

能夠部署最新的 Microsoft 產品更新。 WSUS 是 Windows Server 伺服器角色,可以安裝以管理和散佈更新。 WSUS 伺服器也可以是組織內其他 WSUS 伺服器的更新來源。 做為更新來源的 WSUS 伺服器稱為「上游伺服器」。 在 WSUS 實作中,網路中至少要有一部 WSUS 伺服器必須連線到 Microsoft Update,以取得可用的更新資訊。 系統管理員可以根據網路安全性和設定,決定有多少其他伺服器可以與 Microsoft Update 直接連線。

步驟 1:準備部署 WSUS
步驟 2:安裝 WSUS 伺服器角色
步驟 3:設定 WSUS 伺服器 與 用戶端
步驟 4:核准和部署 WSUS 更新
步驟 X:WSUS上線過程過到的毛毛整理記錄
參考資料

步驟 1:準備部署 WSUS


重點註記:
  1. 評估足夠空間,WSUS會因為所選擇的產品項目而有不同的下載容量需求。
    本次測試勾選:Windows Server 2003,2008,2012, Windwos XP,7與IE更新等項目,所佔用空間約431GB(包括DB-WDI)...重點在於勾選產品時並不會告訴你需準備多少容量,直到開始同步時才會告訴你空間不足...所以...可以的話盡量多預留一些空間讓WSUS存放吧。
  2. 關於硬體需求的部份,在四核8GB的VM環境下跑(實體為Xeon E5620*2),在開啟WSUS管理員和報表時,還是會卡一下…但觀察記憶體實際用量平均落在4.3GB,所以8GB應該是比較適合的。除非還有身兼其它角色。
  3. 即使已有AD環境,WSUS也不一定要安裝於加入AD網域的系統上。

步驟 2:安裝 WSUS 伺服器角色

  1. 在 [伺服器管理員] 中的 [新增角色及功能]可以進行WSUS角色的安裝,安裝過程可以設定是否仍有上層WSUS主機(如果該WSUS是要做為備機或異地更新來源時)。

步驟 3:設定 WSUS

  1. 設定網路連線
    進行網路相關設定包括本機與網路環境,確保WSUS與M$ Update、WSUS 伺服器之間以及WSUS伺服器與用戶端之間的服務是暢通的(2012以前使用80,443 Port;2012以後使用8530,8531)
  2. 使用 WSUS 設定精靈設定 WSUS
    在 [伺服器管理員] 瀏覽窗格中,依序按一下 [儀表板]、[工具],或是 [開始]、[ 所有程式 ]、[系統管理工具]中均可開啟WSUS管理工具[Windows Server Update Services]。接下來,只要繼續設定要接收更新系統語系、M$產品別、同步時間排程即可,完成設定後WSUS的管理介面就可以看到同步進度。
  3. 設定電腦群組
    在 WSUS 系統管理主控台中建立電腦群組(例如:[已指派的電腦],以管理組織中的更新。
  4. 設定用戶端更新
    指定將自動更新套用到用戶端電腦的方式和時機。
    AD環境可透過GPO將使用本地端WSUS進行更新的設定套用至AD內指定的使用者、電腦、群組。
    非AD環境也可以在用戶端執行gpedit.msc來調整Windows Update的來源。

    在 GPMC 中依序展開 [電腦設定]、[原則]、[系統管理範本] 、 [Windows 元件] 、[Windows Update],可設定 [設定自動更新] 與 [設定偵測更新的近端內部網路更新服務]。這部份可參考MIS背影中的建議,將SERVER與CLINET分成兩個GPO各別套用。
    Server:自動下載更新,通知我安裝選項
    Client:固定時間自動下載排程安裝
  5. 使用安全通訊端層通訊協定來確保 WSUS 的安全
    設定安全通訊端層 (SSL) 通訊協定,以協助保護 Windows Server Update Services (WSUS)。
    事實上…我覺得沒有必要進行此項設定…
  6. 用戶端測試
    假定有一部Win7已經加入網域,當GPO設定完畢後,預設約90-120分鐘 PC端才會套用此設定。

    PC端執行「gpupdate /force」 可強制套用GPO-WSUS
    PC端執行「gpresult /z」可檢查已套用的GPO有哪些,來查看是否有成功套用。
    GPO成功套用後 用戶端的Windows Update 設定就會無法更動

步驟 4:核准和部署 WSUS 更新

  1. 核准和部署 WSUS 更新
    使用 WSUS 管理主控台來核准和部署 WSUS 更新。
    在 WSUS 管理主控台上按一下 [更新]。 右窗格會顯示 [所有更新]、[重大更新]、[安全性更新] 以及 [WSUS 更新] 的更新狀態摘要。

    在 [所有更新] 中可對於尚未核準的更新進行選擇(可用SHIFT與CTRL進行複選),按右鍵進行 [核淮]。
  2. 設定自動核准規則
    設定 WSUS 來自動核准安裝所選群組的更新,以及如何核准現有更新的修訂。

    開啟 WSUS 管理主控台,在 [Update Services] 的 [選項]中,按一下 [自動核准]。
    在 [更新規則] 中,進行 [新增規則]。
  3. 使用 WSUS 報告檢閱安裝的更新
    使用 WSUS 報告功能檢閱已經安裝的更新、接收這些更新的電腦及其他詳細資料。

步驟 X:WSUS 上線後的毛毛

  1. 用戶端進行Windows Update時出現錯誤 0x80072EE2 0x80244010 ...
    可能原本在微軟的Windows Update上看到的Patch更新,但尚未下載到本機端,就改成內部的WSUS Server,而內部的WSUS Server並沒有這隻Patch,所以導致更新失敗。

    解決方式:
    用戶端執行「DOS Script to Reset Windows Update Agent」
    https://gallery.technet.microsoft.com/scriptcenter/Dos-Command-Line-Batch-to-fb07b159
    將更新服務停止後移除暫存檔與登錄檔,再重啟服務。

    伺服器端在WSUS管理主控台的 [選項] 中執行「伺服器清理精靈」,全選清除即可。
    如果遇到內容太多導致錯誤,也可分次清除。

參考資源:

Microsoft MSDN - 在組織中部署 Windows Server Update Services
https://msdn.microsoft.com/zh-tw/library/hh852340

MIS的背影 - Windows Server 2012 筆記(一) WSUS 4.0 安裝設定
http://blog.pmail.idv.tw/?p=3914

Microsoft  Community - WSUS 用戶端無法更新資料
https://answers.microsoft.com/zh-hant/windows/forum/windows_7-update/wsus/3f9fa04c-6821-451b-a8ab-20266645e846

FrozenBlue - WSUS Clients 無法偵測回報問題
http://frozenblue2.blogspot.tw/2016/01/wsus-clients.html

沒有留言:

張貼留言