部署Windows Server Update Services 4.0

在 Windows Server 2012 中，WSUS 是可安装以管理和分配更新的服务器角色。WSUS 服务器可以作为组织内其他 WSUS 服务器的更新源。充当更新源的 WSUS 服务器被称为上游服务器。在 WSUS 实现过程中，网络中必须至少有一台 WSUS 服务器连接到 Microsoft 更新以获取可用的更新信息。管理员可以根据网络安全和配置确定其他服务器如何直接连接到 Microsoft Update。

本文提供Windows Server 2012 中的 Windows Server Update Service 部署过程。

(一)准备工作

关于WSUS 4.0部署前的准备工作可以参考以下链接内容:
http://technet.microsoft.com/zh-cn/library/hh852344.aspx

(二)安装WSUS4.0服务器角色

该安装过程仅包含使用 Windows 内部数据库 (WID) 安装 WSUS 的步骤。

使用作为本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。

在“服务器管理器”中，单击“仪表板”，然后单击“添加角色和功能”。

截图00

在“开始之前”页面上，单击“下一步”。

截图01

在“选择安装类型”页上，确认已选择“基于角色或基于功能的安装”选项，然后单击“下一步”。

截图02

在“选择目标服务器”页上，选择服务器所在的位置（从服务器池或虚拟硬盘中）。选择位置后，选择你想安装 WSUS 服务器角色的服务器，然后单击“下一步”。

截图03

在“选择服务器角色”页上，选择“Windows Server Update Services”。

截图04

截图05

在“添加角色和功能向导”对话框中，单击“添加功能”，然后单击“下一步”。

在“选择功能”页上，保留默认选择，然后单击“下一步”。

截图06

重要事项

WSUS 仅需要默认的 Web Server 角色配置。如果你在设置 WSUS 时收到有关额外 Web Server 角色配置的提示，你可安全接受默认值并继续设置 WSUS。

截图12

在“Windows Server Update Services”页上，单击“下一步”。

截图08

在“选择角色服务”页上，保留默认选择，然后单击“下一步”。

备注:保持默认勾选即可,不要勾选”数据库”,否则会报下图的错误.

截图09

在“内容位置选择”页上，键入有效的位置以存储更新，然后单击“下一步”。

截图10

在“确认安装选择”页上，查看所选的选项，然后单击“安装”。

截图13

在“安装进度”页上，单击“启动后安装任务”，并等到此任务顺利完成，然后单击“关闭”。

截图14

截图15

截图16

截图17

截图18

截图19

在服务器管理器中，验证是否出现提醒你需要重新启动的通知。根据安装的服务器角色，这可能有所变化。如果需要重新启动，请务必重新启动服务器以完成安装。

安装成功后,如图所示.

截图20

(三)配置WSUS 4.0

默认情况下，配置 WSUS 以将 Microsoft Update 用作获取更新的位置。如果你在网络上有代理服务器，则可配置 WSUS 以使用代理服务器。如果 WSUS 和 Internet 之间存有企业防火墙，你可能必须配置防火墙以确保 WSUS 可获得更新。

如果 WSUS 和 Internet 之间存有企业防火墙，你可能必须配置防火墙以确保 WSUS 可获得更新。若要从 Microsoft Update 获得更新，WSUS 服务器使用适用于 HTTP 协议的端口 80 和适用于 HTTPS 协议的端口 443。虽然大多数企业防火墙允许此类流量，但由于公司的安全策略，有些公司限制从服务器访问 Internet。如果你的公司限制访问，你需要获得授权才能从 WSUS 通过 Internet 访问以下 URL 列表：

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

在“服务器管理器”导航窗格中，单击“仪表板”，单击“工具”，然后单击“Windows Server Update Services”。

如果出现“完整的 WSUS 安装”对话框，请单击“运行”。

当安装成功完成时，在“完整的 WSUS 安装”对话框中，单击“关闭”。

Windows Server Update Services 向导出现在“开始之前”页上，单击“下一步”。

截图21

阅读“加入 Microsoft 更新改善计划”页上的说明，评估你是否想参与其中。如果要参与该计划，请单击“下一步”继续。

截图22

在“选择上游服务器”页上，你可选择将更新与 Microsoft Update 或其他 WSUS 服务器同步。

如果你选择从其他 WSUS 服务器同步，请指定服务器名称以及该服务器与上游服务器通信时所在的端口。
若要使用 SSL，请选中“同步更新信息时使用 SSL”复选框。服务器将使用端口 443 进行同步。（确保该服务器和上游服务器支持 SSL）。
如果这是副本服务器，请选择“这是上游服务器的副本”复选框。

为你的部署选择适当选项后，单击“下一步”继续。

截图23

在“指定代理服务器”页上，选中“同步时使用代理服务器”复选框，然后在对应的框中键入代理服务器名称和端口号（默认是端口 80）。

截图24

重要事项

如果你确定 WSUS 需要代理服务器才能访问 Internet，则必须完成上一步骤。

如果你希望通过使用特定用户凭据来连接代理服务器，请选择“使用用户凭据连接代理服务器”复选框，然后在对应的框中键入用户名称、域和用户密码。如果你希望启用已连接代理服务器的用户的基本身份验证，请选择“允许基本身份验证（以明文形式发送密码）”对话框。

此时，你完成了代理服务器配置。单击“下一步”转到下一页，这时你可以开始设置同步进程。

在“连接到上游服务器”页上，单击“开始连接”。

截图25

连接它时，然后单击“下一步”继续。

截图28

在“选择语言”页上，你可选择 WSUS 将收到更新的语言 — 所有语言或语言子集。选择语言子集将节省磁盘空间，但必须选择此 WSUS 服务器的所有客户端需要的所有语言。如果你选择仅获得特定语言的更新，请选择“仅下载这些语言的更新”，然后选择你希望获得更新的语言；否则保留默认选择。

为你的部署选择适当语言后，单击“下一步”继续。

截图29

警告

如果你选择“仅下载这些语言的更新”选项，且该服务器具有与其连接的下游 WSUS 服务器，该选项将强制下游服务器也仅使用所选的语言。

“选择产品”页允许你指定希望更新的产品。选择产品类别（如 Windows）或特定产品（如 Windows Server 2008）。选择产品类别将选择该类别的所有产品。

为你的部署选择适当的产品选项后，单击“下一步”继续。

截图30

截图31

截图32

截图33

在“选择类别”页上，选择要包含的更新类别。选择所有类别或其子集，然后单击“下一步”继续。

截图34

在“设置同步计划”页上，选择手动或自动执行同步。

截图35

如果你选择“手动同步”，你必须通过 WSUS 管理控制台启动同步过程。

如果你选择“自动同步”，WSUS 服务器将每隔一段时间执行同步。
设置“第一次同步”的时间，并制定你希望该服务器执行的“每天同步”次数。例如，如果你指定每天同步四次，从上午 3:00 开始，则同步将在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 发生。

为你的部署选择适当的产品选项后，单击“下一步”继续。

在“完成”页上，你可通过选择“开始初始同步”对话框，即时启动同步。如果你不选择此选项，你必须使用 WSUS 管理控制台来执行初始同步。如果你希望阅读有关其他设置的详细信息，请单击“下一步”，或单击“完成”来结束该向导并完成初始 WSUS 设置。

截图36

在单击“完成”后，WSUS 管理控制台会出现。

截图49

截图50

(四)设置WSUS计算机组及AD策略

根据需要,在AD中新建计算机分组。如图。

截图51

然后我们为服务器组的计算机设置组策略,以使其从WSUS获取更新,如图.

截图52

截图53

截图54

首选配置自动更新策略,如图.

截图55

这里我设置的服务器组的自动更新策略为自动下载并通知安装.如图.

截图56

然后我们"指定intranet microsoft更新服务位置”,也就是指定WSUS服务器的位置,如图.

截图57

配置自动更新检测的频率,如图.

截图59

配置客户端目标设置，如图。

截图61

所谓的客户端目标设置，就是在域里将不同部门，或者按照不同系统类型，将计算机进行分组，例如我们在域里创建了一个“销售部计算机组”，那么我们可以在WSUS里也创建一个“销售部计算机组”，名称必须与域里的相同，然后我们再在域组策略设置一条“客户端目标设置”，然后就可以将域里该计算机组里的成员自动通过组策略同步到WSUS同名的计算机组中。

当只有把WSUS控制台中:“选项”——“计算机”——“分配到组的方式”设置为“使用update services控制台”才可以“更改集合成员身份”。如果设置为“使用计算机上的组策略或者注册表设置”则该按钮是不能用的，计算机分组的方式将由域组策略或者本地组策略的下面条目控制：
例如：右击销售部WSUS GPO——编辑——计算机配置——管理模板——windows组件——windows update——允许客户端目标设置——已启用——此计算机的目标组名称：销售部计算机组

配置完成后的组策略如图所示.

截图62