WSUS全攻略之二：安装WSUS - Windows - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» Windows » WSUS全攻略之二：安装WSUS [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

特爱蚂蚁

管理员

帖子 1261
精华 3
无忧币 3102
积分 1300
阅读权限 255
来自 (保密)

注册日期 2008-6-3

最后登录 2008-9-5

离线

[查看资料] [发短消息] [Blog]

发表于:2008-6-27 10:24　　标题：WSUS全攻略之二：安装WSUS
＜上一帖 | 下一帖＞

安装需求
硬件安装需求 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离{:qA3k/q Cs`kt
对于安装WSUS服务的计算机硬件配置具有以下要求，关于它们的详细描述，请参见部署与规划一文：

系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式； 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离%v"VkH3x

系统分区至少有1G的剩余空间； G%z.^"Q|:?3_p

进行本地存储时，存储WSUS更新文件内容的分区至少需要6G剩余空间，推荐30G，详见部署与规划一文；
0KF
ZnV}Y4z
安装WMSDE的分区至少要求有2GB的剩余空间。 51CTO技术论坛5Q3F)GN)c^p

应根据服务的客户端数量来决定服务器的硬件配置，对于服务500个客户计算机的WSUS服务器，推荐采用至少为CPU 1G/内存 1G的硬件配置。
　 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离k"H4_v%c
软件安装需求
WSUS服务器只能在Windows 2000服务器或者Windows server 2003上进行安装。在不同的操作系统上进行安装时，WSUS所要求的已安装软件略为不同，具体为： /NX#c\[6QOc9f4Y5d
在Windows server 2003上进行安装时，要求已安装以下软件：

Internet信息服务（IIS）6.0；

后台智能传输服务（BITS）2.0；可以从http://www.microsoft.com/downloads/details.aspx?FamilyID=3fd31f05-d091-49b3-8a80-bf9b83261372&DisplayLang=zh-cn下载； 51CTO技术论坛:\vA)V&M\#[,@

Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003，可以从http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=AE7EDEF7-2CB7-4864-8623-A1038563DF23下载；
安装WSUS需要安装数据库软件，但是此处并没有将其列出，原因是在Windows Server 2003安装WSUS时默认会包括Windows SQL Server™ 2000 Desktop Engine (WMSDE) 数据库软件，关于WMSDE的详细描述，请参见部署与规划一文。对于最新的Windows server 2003 SP1，已经满足上述要求，你只需要添加应用程序服务器中的启用网络COM+访问和IIS组件中的万维网服务即可，其他组件在安装WSUS时会自动进行配置。
　
在Windows 2000服务器上进行安装时，要求已安装以下软件：
bbs.51cto.com4S_0~&A1x
Windows 2000 Server Service Pack 4，可以从http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=dc27b8c6-2a5a-4399-ad3d-4a97a25f41d9下载；

Internet信息服务（IIS）5.0；
(x3B\T-g/cEZj
后台智能传输服务（BITS）2.0；可以从http://www.microsoft.com/downloads/details.aspx?familyid=3ee866a0-3a09-4fdf-8bdb-c906850ab9f2&displaylang=zh-cn下载； W
sZ"~l$Yj
Ld,j
iI
和Microsoft SQL完全兼容的数据库软件，推荐使用MSDE，可以从http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=413744d1-a0bc-479f-bafa-e4b278eb9147下载； Xz;@Oe2S;A:u

Microsoft Internet Explorer 6.0 Service Pack 1；可以从http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6下载； 51CTO技术论坛Hov!}C
^C6rtr
Lf{+gzs
Microsoft .NET Framework Version 1.1 可再发行组件包；可以从http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=262d25e3-f589-4842-8157-034d1e7cf3a3下载； 'e0B7Q
y`1Y

Microsoft .NET Framework 1.1 Service Pack 1；可以从http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=a8f5654f-088e-40b2-bbdb-a83353618b38下载。 51CTO技术论坛O2e
rDggi_#^\
在Windows 2000上进行安装时，要求IIS中必须具有Web站点，否则WSUS会安装失败。
　
强烈推荐大家在Windows server 2003上安装WSUS服务器。在安装WSUS服务器之前，你应该做好服务器的安全配置，关于WSUS服务器的安全配置，我将另文阐述。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离&j FtbK4C'X3B#_
默认情况下，WSUS Web站点会使用IIS中的默认站点，也建议大家这样做。WSUS会在现有默认Web站点中添加部分文件和虚拟目录，但是不会影响原有Web站点的运行。你可以按照修改普通Web站点属性那样来修改WSUS Web站点的属性，例如主机名头、站点绑定的IP地址等等，只要确保客户端计算机可以通过组策略中配置的Intranet更新服务位置正常访问WSUS Web站点即可。但是不应修改WSUS Web站点的虚拟目录和目录结构，并且修改目录访问权限之前必须仔细考虑。 bbs.51cto.com U9A(bJQa
你可以在独立服务器上安装WSUS服务器，也可以在域成员服务器、域控制器上安装WSUS。但是如果想修改域中安装了WSUS的服务器的级别，例如从域成员服务器提升为域控制器或者从域控制器降级为域成员服务器，你必须先卸载WSUS服务器，进行提升或降级操作后再安装WSUS服务器。并且对于将安装了WSUS服务器的域控制器降级为域成员服务器的场景，在完成降级操作后，你还需要完成以下步骤：

创建一个名为 ASPNET 的用户帐户；
"G:hE'ysqT,s
在命令提示符下，运行aspnet_regiis -i。
然后再安装WSUS服务器。
51CTO技术论坛8O*K%a/Z"M
_,S&o$z7w
f;L.\

51CTO技术论坛N(D]%H8a(j
安装WSUS
你可以从微软免费下载WSUS服务器，目前最新版本为2.0.0.2472，大小为124M，下载地址为
http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe
　 A;n
~ y%Z
k&k+}g8h
在服务器满足以上条件之后，双击下载的WSUSSetup.exe进行安装。在此我是在一台操作系统为Windows server 2003 SP1的服务器上进行安装，此服务器为WinSVR.ORG域的域控制器。
在欢迎使用WSUS安装程序向导页，点击下一步； :a7HU2U6_6Me-o

w*}_W3Z*vJsM
　 bbs.51cto.com2\k"\%Nc.p
在许可协议页，在查看许可协议后，点击我接受许可协议中的条款，点击下一步； #h
g;W"Zv-_[.H

"phl5^|K(P
　
在选择更新源页，根据你的需要选择是否本地存储更新，详细说明请参见部署与规划一文；在此我选择本地存储更新，然后选择本地存储路径，此存储路径所对应的驱动器必须采用NTFS文件系统格式并且至少具有6G剩余空间，点击下一步；

　 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离.Wp^-aF&]2F
在数据库选项页，选择你使用的数据库类型。在Windows server 2003上安装时默认使用WMSDE数据库，也推荐你使用它。如果你想使用本地服务器上现有的SQL Server数据库服务器，那么选择使用该计算机上现有的数据库服务器并选择数据库服务器实例。在此我接受默认的在该计算机上安装SQL Server Desktop Engine（Windows），然后选择存储数据库文件的本地路径。此路径对应的驱动器必须要求采用NTFS文件系统格式以及具有2G以上剩余空间；如果和存储更新文件的本地驱动器相同，那么此驱动器必须至少具有8G以上剩余空间，选择好后点击下一步； 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8KMKJ+w+hb

　 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离UxGP)B
y
在网站选择页，你可以选择使用端口TCP 80的默认Web站点，也可以选择创建一个使用端口TCP 8530的Web站点。当使用自定义Web站点时，必须把端口号包含在提供给客户端计算机的更新位置地址中；并且为了实现自动更新客户端的自我更新，你必须在使用端口TCP 80的Web站点中创建自我更新目录，详细说明请参见部署与规划一文。强烈建议你选择使用现有IIS默认Web网站。注意看下部文本框中提供的WSUS管理控制台访问地址和客户端计算机访问更新的位置，点击下一步； bbs.51cto.comg.\NN].Qx$J%E

　
在镜像更新设置页，选择这台服务器担当的角色。根据WSUS管理模式的不同，WSUS服务器可以担当的角色也不同。在分布管理模式中，WSUS服务器只能作为独立管理的服务器；在集中管理模式中，WSUS服务器可以作为独立管理的服务器（主服务器），也可以作为复制主服务器配置的复制服务器，详细说明请参见部署与规划一文。如果你要将此WSUS服务器配置为复制服务器，则选择该服务器应继承来自以下服务器的设置并输入服务器名和端口号，此服务器就将配置为目标服务器的复制服务器。此配置只能在安装WSUS服务器时进行，安装完成后不能修改。在此我将此WSUS服务器安装为独立管理服务器，不选择任何选项，点击下一步；

　 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;Wh%V$c$JpG
在准备安装Microsoft Windows Server Update Service页，回顾你所选择的配置，然后点击下一步； 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离y.qc [\D2}A%n

51CTO技术论坛
eBUin?
　 8F$DNP w
E
此时，WSUS开始进行安装，稍等片刻后，安装完成，在正在完成Microsoft Windows Server Update Services安装程序向导页，勾选启动Web管理工具，点击完成。 3PB3R m3s0M(PO8D[/F%j

此时，WSUS服务器的安装就完成了。 bbs.51cto.com"J#gXT4i#sV5a
/f;e]+[d;q
s
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离&VP)KlE9t!e2k
51CTO技术论坛)j*ky;VI
配置客户端计算机使用WSUS服务器进行更新 51CTO技术论坛^/s
Ww-FQ
当WSUS服务器安装好以后，你还需要配置客户端计算机通过WSUS服务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境：在域环境中，可以使用基于域的组策略对象 (GPO)；在非域环境中，可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后，客户端计算机上控制面板中的自动更新就会失效。
在域中通过组策略进行部署时，微软建议添加一个针对WSUS更新的组策略对象，而不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的，具体的位置在计算机配置->管理模板->Windows组件->Windows Update。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离#u2ck]e5ZZ4TkTa
由于我是在域环境中部署的WSUS服务器，所以我通过添加域组策略对象的方式来配置客户端计算机使用WSUS服务器进行自动更新： #h+[0d5T8lb$DH
W
点击开始，再点击管理工具，然后点击Active Directory 用户和计算机，在弹出的Active Directory 用户和计算机管理控制台，右击域WinSVR.ORG，选择属性，在弹出的WinSVR.ORG属性对话框，点击组策略标签，然后点击新建按钮；

51CTO技术论坛BC:?i!CC
将新建的组策略对象重新命名为WSUS Deployment，然后点击编辑按钮；

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离A;K{oz$q
在弹出的组策略编辑器中，依次展开计算机配置、管理模板、Windows组件、Windows Update，如果你没有找到Windows Update模板，可以右击管理模板选择添加/删除模板再选择添加%systemroot%infwuau.adm模板添加。

为了让客户端计算机正常的从WSUS服务器获取更新，你必须配置以下两个选项：
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离l$nyBL*uK
配置自动更新。必须设置为已启用，并根据你的需要选择自动更新类型。关于不同自动更新类型间的区别，请参见部署与规划一文。在此我选择通知下载并通知安装，然后点击确定；

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离p
Uq(vP6Ai&?M
　
51CTO技术论坛
c&Pf:i&@5f5a2TD/I5j
指定Intranet Microsoft更新服务位置。在此指定企业内部网络中的WSUS Web站点地址，此地址必须是客户端计算机可以正常访问的地址。你可以使用IP地址，也可以使用计算机名，但是建议总是使用FQDN；如果你使用FQDN，必须确保客户端计算机可以正常解析此FQDN。在此我已经做好DNS解析，将wsus.winsvr.org域名解析到WSUS服务器，并且由于WSUS Web站点使用的默认Web站点，所以我的WSUS Web站点地址为http://wsus.winsvr.org。如果WSUS Web站点使用非标准的HTTP协议端口，例如默认的自定义WSUS Web站点使用端口TCP 8530，你必须在此地址中包含你的端口，即http://wsus.winsvr.org:8530。将地址分别输入在这两个文本框中，点击确定。

　 51CTO技术论坛@EQ+?&q9OfRHg7T
最后在关闭组策略编辑器对话框，然后在WinSVR.ORG属性对话框上点击关闭。 mh Eee0[&Y
此时，刚才创建的组策略已经生效，但是在默认情况下，客户端计算机每隔90分钟刷新一次组策略，刷新的时间可能随机偏移0到30分钟。如果想要让客户端计算机更快的刷新组策略，您可以在操作系统是Windows XP或Windows server 2003的客户端计算机上运行gpupdate /force，在操作系统是Windows 2000的客户端计算机上运行secedit /refreshpolicy。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 LK$[
Wagw8J
对于使用本地组策略配置的客户端计算机，将立即应用组策略。但是组策略应用以后，客户端计算机大约会在20分钟后检测WSUS服务器上的可用更新，只有当客户端计算机和WSUS服务器进行通讯后，该计算机才会显示在WSUS管理控制台中的计算机列表中。 51CTO技术论坛2s5h/jFH9S%xn
一旦应用了组策略，便可手动启动检测，这样则不必等待20分钟便可将客户端计算机连接到WSUS服务器，手动启动检测的方式为运行wuauclt.exe /detectnow命令。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离kx
Y.E5Sd

至此，WSUS服务器的安装和客户端计算机的配置就完成了。你现在需要管理WSUS服务器，让WSUS服务器和Windows Update进行同步，从而让客户端计算机通过WSUS服务器获取更新，关于WSUS服务器的配置及管理，请参见WSUS操作指南一文。

作者：风间子