Windows Server Update Services (WSUS)

ws2012r2-logo

Windows Server 2012 R2 下安装 WSUS

        Windows XP 的生命周期即将结束,但一些企业迫于某种原因不得不继续使用 XP,那么 IT 人员如何在微软停止服务后,能否继续为重新安装 XP 系统的客户端安装更新补丁呢?虽然目前很多第三方软件提供了 Windows 更新补丁推送服务,但是实际测试发现某些服务商提供的更新内容并不可靠。作为企业,在内网部署一台更新服务器才是明智之举!

        微软已在 Server 版操作系统内置 Windows Server 更新服务(WSUS)角色,在 Windows Server 2012 R2 上只需要启动添加角色和功能向导即可完成 WSUS 的安装。该角色包含三个可选组件:WID 数据库、WSUS 服务和数据库。WID 数据库,即:基于 Windows 内部数据库服务的 WSUS 数据库;WSUS 服务即主要组件;数据库则是基于 SQL Server 的 WSUS 数据库。

        本例中, WSUS 将使用企业内部已有的 SQL Server 作为 WSUS 数据库服务器,所以在安装过程中只需要安装 WSUS 的 WSUS服务和数据库组件即可。此外,在安装过程中还需要为更新内容指定存储位置,所以我们需要事先准备一个至少6GB空间的磁盘或分区卷,并手工创建一个用于存储更新数据的目录,如:WSUSDatas。安装过程可参考以下截图:

1

2

3

4

5

        由于我们使用独立的 SQL Server 作为 WSUS 的数据库服务器,所以在安装过程中还需进行数据库的配置过程,而当前安装 WSUS 的域账号应该在 SQL Server 上具有所需的权限。如果权限不当,或安装时未选择数据库组件,那么安装将会失败,我们可在安装日志中看到如下记录:

”2014-01-09 15:17:37  Generation of encryption key to save to the database failed. Error=System.Data.SqlClient.SqlException (0x80131904): 无法打开登录所请求的数据库 "SUSDB"。登录失败。用户 'contoso\wsusadmin' 登录失败。“

7

        完成 WSUS 的安装后将会进行首次设置,其过程与之前版本并无多大的区别,不再复述,可参见下面截图!

8

9

10

11

12

13

        在安装过程中将会完成 WSUS 的大部分设置,而之后我们也可以通过 WSUS 控制台进行修改。

        针对本例,在微软还未关闭 Windows XP 更新服务前,我们可以在 WSUS 控制台的选项中找到“产品和分类”选项,在产品选项卡中只勾选 Windows XP,并在分类选项卡中复选所有分类。

image

image

        然后切换至 WSUS 概览页面,在概述中的同步状态下找到“立即同步”,并点击执行它。在经过一段漫长的等待后,WSUS 将会完成信息同步,现在回到“选项”页面,运行“自动审批”,新建一条审批规则,当更新属于所有分类时,为所有计算机审批更新。之后运行这条规则,因为之前我们仅选择了 Windows XP 产品,和所有更新分类,所以 WSUS将会下载 Windows XP 的所有更新补丁,这样我们便会得到一个完整的 Windows XP 更新库,待微软终止 Windows XP 更新服务后,企业也无需担心那些重新安装 XP 系统又需要打补丁的客户端啦!

logo_mse 微软 WSUS 支持推送 MSE 更新

        当看到这个消息,相信 ITPro 一定会欣喜若狂!如果之前有阅读过《选择 Microsoft Security Essentials 需知的几点注意》,那么就会明白为什么 ITPro 会高兴。但是高兴地不要太早,虽然 WSUS 支持推送 MSE 更新,那么并不代表 MSE 就完全能够适合在企业中部署和使用。下面是 MU and Microsoft Security Essentials Teams 的一篇 Blog 原文:

Microsoft Security Essentials anti-malware definitions now available via WSUS

WSUS admins,

Microsoft Security Essentials antimalware definitions are now available via WSUS. Microsoft Security Essentials is a core antimalware service for consumers and home-based small businesses that Microsoft released in September of 2009. This was done because academic institutions around the world (particularly in Asia) provide students with low cost or free internet access and provide students with update services through WSUS.  Many students are protecting their computers with Security Essentials, and the universities requested that the definition updates be provided via WSUS.

With this change, there is a new product family (Microsoft Security Essentials) and product name (Security Essentials)  WSUS in the admin console.  Note that the addition of this product family and product name is only to accommodate the definition updates for Security Essentials.  This is not a replacement or a rename for any current Microsoft a/v product.

MU and Microsoft Security Essentials teams

        我们通过上文能够了解到,WSUS 推送 MSE 更新的目的是为了满足学生的需求,因为在众多大学内,学生都携带自己的电脑,并安装有 MSE 来保护自己的 PC,因为通常学校都提供有 WSUS 服务,那么他们可以轻松地通过校内的 WSUS 来进行 MSE 的病毒库更新。但是我想更大的意图也可能是通过此方法来占据更多的市场份额,我们不能忽视那些在使用 WSUS 的中小企业和一些组织机构的用户,虽然 MSE 不支持自动化部署,但是通过预安装的方法也是一种可行的部署方式。

立刻下载 MSE,保护您的电脑

Tags: ,

wsuslogo   升级至 Windows Server Update Services SP2

        Windows Server Update Services SP2(WSUSSP2)已经正式发布了,不过貌似微软的 Download Center 并没有提供中文版的下载,但是我们可以在 WSUS 服务器上使用 Microsoft Update 来获取到中文版的 WSUSSP2,如果你还没有启用 Microsoft Update,请先访问 Windows Update 根据网页上的提示升级到 Microsoft Update 就可以获取到更多微软产品的更新。

        WSUSSP2 包含了众多新特性和功能,首先就是与 Windows Server 2008 R2 的集成,并提供了对 BranchCache 功能的支持。此外,还增加了对 Windows 7 的支持。其他新功能还包括,自动审批规则允许为计算机或计算机组指定审批截止日期和时间。对下游服务器的语言选择操作进行改进处理,当决定下载指定语言更新时,会出现一个新的警告对话框。增强的状态报告以及与前一版本间兼容。在 WSUSSP2 中还对 Windows Update Agent 的已知问题进行了解决和修正。

        gOxiA 12分强烈的推荐大家在升级前阅读 WSUSSP2 的 ReleaseNotes,下载地址是:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7

        如果你打算全新安装 WSUSSP2,建议参考 Microsoft Windows Server Update Services 3.0 SP2 循序渐进指南 这篇官方文档。今天 gOxiA 与大家分享的是从现有 WSUSSP1 上升级到 WSUSSP2,其实过程非常 Easy,耗时也能接受!

        在开始前升级前,建议先下载 Report Viewer 2008 Redistributable 并安装它,否则会在升级过程中提示一个警告,当然你完全也可以在升级之后再安装个组件。

        首先,在 WSUS 服务器上打开 Microsoft Update,选中 WSUSSP2 更新进行安装,当 WSUSSP2 下载到本地并执行安装时将弹出向导。虽然跟随向导完成整个升级安装过程。在这一过程中首先会连接到数据库,并卸载掉之前的版本,不用担心虽然卸载了老版本但是相关的信息都还会保留,否则怎么会叫升级!下面是我截取得升级过程截图供大家参考!

1

2

3

4

5

6 

7

8

9

10

        整个升级过程非常顺利,单击完成后会自动运行 Windows server Update Services 配置向导,犹如全新安装一样引导我们对 WSUS 进行相关必要的配置。配置信息可以参考 gOxiA 之前的 Blog 一步一步体验 微软更新服务3.0(Windows Server Update Services 3.0),当然你也可以参考官方的手册,除了循序渐进指南外还可以参考:Microsoft Windows Server Update Services 3.0 SP2 Operations GuideMicrosoft Windows Server Update Services 3.0 SP2 Deployment Guide

11

12

13

14

15

16

17

18

19

20

21

22

WSUS 管理命令 - wsusutil.exe 命令行说明
WSUS 提供了一个管理命令 - wsusutil.exe 提供了丰富的管理使用程序。
wsusutil checkhealth
介绍:建议 WSUS 服务立即检查其组件的运行状况。结果将显示在 NT 事件日志中。
说明:检查运行情况

wsusutil configuressl
介绍:更改完 IIS 配置后更新 WSUS 服务器的注册表。
说明:configuressl

wsusutil configuresslproxy
介绍:管理 SSL 通信使用的独立代理服务器配置设置。
说明:configuresslproxy

wsusutil deletefrontendserver
介绍:在 WSUS 数据库中删除前端服务器记录。
说明:deletefrontendserver

wsusutil listinactiveapprovals
介绍:返回批准的更新标题列表,这些批准由于服务器语言设置处于永久不活动状态。
说明:listinactiveapprovals

wsusutil removeinactiveapprovals
介绍:由于 WSUS 服务器语言设置的原因,删除永久处于不活动状态的更新审批。
说明:removeinactiveapprovals

wsusutil export
介绍:将更新元数据库(不包含内容文件、批准或服务期设置)导出到导出包文件。然后在另一台 WSUS 服务器上导入该包文件。还可以在不使用网络连接的情况下允许服务器同步。
说明:export

wsusutil healthmonitoring
介绍:在数据库中配置运行状况监视值。如果未指定新值,则显示当前值。
说明:healthmonitoring

wsusutil import
介绍:将更新元数据(不包括内容文件、批准或服务器设置)从另一台 WSUS 服务器创建的导出包文件导入到此服务器。这可以在不使用网络连接的情况下同步此 WSUS 服务器。
说明:import

wsusutil listfrontendservers
介绍:列出 WSUS 数据库中的前端服务器信息。
说明:listfrontendservers

wsusutil movecontent
介绍:更改 WSUS 服务器存储内存的文件系统位置,并且可以选择将任何内容从旧位置复制到新位置。
说明:movecontent

wsusutil reset
介绍:检查数据库中的每个元数据行是否具有文件系统中存储的相应内容。如果内容丢失或损坏,WSUS将重新下载该内容。在还原数据库后,这是非常有用的。
说明:reset

wsusutil usecustomwebsite
介绍:将 WSUS Web 服务所用的端口号从 80 更改为 8530,反之既然。
说明:usercustomwebsite

wsusutil listunreferencedpackagefolders
介绍:列出与来自 Microsoft Update 以外的更新关联的文件夹。可以安全地将它们删除,因为 WSUS 服务器不再引用这些文件夹。注意:对于 MSI 更新,您可能需要保留完整的程序包文件夹,因为已安装该程序的客户端会继续将改文件夹用于 MSI 修复操作。WSUS 提供了 API (但没有 UI),以用于分发来自 Microsoft Update 以外的更新。可以使用 IUpdate.Delete API 从服务器重删除此更新的元数据,但更新内容仍保留在程序包文件夹中。
说明:listunrefrencedpackagefolders
Tags: ,

早先与大家分享了 WSUS3 的安装体验,最近忙于 Microsoft China IT Pro Experience 项目,涉及到了 Windows Server 2008 与 WSUS3,中间涉及到一些需要注意的环节,特与大家再次分享,以免走浪费宝贵时间。

目前 WSUS v3.0 with SP1(以下简称:WSUS3SP1) 支持 Windows Server 2008,如果您在安装时阅读了说明文件,那么OK!您可以不用往下看了。

本次评估环境是一台 Dell 2

Step-By-Step for Windows Server Update Services 3.0

      五一国际劳动节到了,终于可以好好的休息休息,高兴得同时又感觉几分失落,这一年过得太快了,好像并没有做什么,一年即将过去一半。黄金周这几天过得非常不错,5号那天终于腾出时间好好的上上网浏览一下自己关注的最新资讯,这才发现微软的下载中心在五一期间发布了很多新版本软件,其中就有ITPro们关注的Windows Server Update Services 3.0(以下简称为:WSUS3),真是兴奋!在经历了一段漫长的Beta测试后正式版终于发布了,微软对WSUS3的发布比较低调并没有作过多的宣传,在下载中心同时发布了WSUS3的技术相关文档,非常齐全。有兴趣的朋友可以前往WSUS技术中心获取相关的资讯,网址是:http://www.microsoft.com/technet/windowsserver/wsus/default.mspx

      本来打算看看资料就暂时作罢,待上班后再对WSUS3作安装和使用测试,但一想反正放假晚上也没有太多的事情于是决定对其作一下简单的测试。正好也可以实际感受一下自己心爱的小黑的性能,之前小黑的主要工作压力还是比较轻的,也就上上网,打打字,听听歌曲,连游戏都很少玩。唯一的技术性工作就是部署了一台虚拟的MDaemon 9.x,主要用来协助我做WorldClient的模板开发。话不投机半句多,闲扯的话还是少说为妙。下来就跟随我一起来感受一下WSUS3的新特性。

      首先,让我了解一下什么是WSUS,它是微软设计用来大量精简IT系统在执行重大更新时的程序。WSUS 让系统管理员们能够快速及确实的布署当前的重大更新在他们的系统:Windows2000 Servers/Professional(Service Pack 3 以上版本) 、Windows XP Home/Professional(Service Pack 1 以上版本)、Windows Server 2003、Exchange Server 2000/2003、Office 2002/XP/2003、SQL Server。而WSUS3版本除增加了对微软产品系列的支持(如:Windows Vista、Exchange 2007、Office 2007等等)以外,还重新设计了其管理方式,全面采用基于MMC3.0的管理界面,更加人性化,操作也更加简洁方便。提升了性能和可用性,并增强了更新过滤和报告服务。

      WSUS3的系统要求:
      System Requirements
      · Supported Operating Systems: Windows Server 2003 Service Pack 1
      · WSUS 3.0 Server Software Prerequisites: Windows Server 2003 SP1 or later
      · IIS 6.0 or later
      · Microsoft .NET Framework 2.0
      · Microsoft Management Console 3.0
      · Microsoft Report Viewer SQL Server 2005 SP1 is optional. Note if a compatible version of SQL Server is not installed already, WSUS 3.0 will install Windows Internal Database.

      WSUS 3.0 Administration Console Software Prerequisites:
      · Additional Supported Operating Systems: Windows Server 2003 SP1 or later, Windows XP SP2 and Windows Vista
      · Microsoft .NET Framework 2.0
      · Microsoft Management Console 3.0
      · Microsoft Report Viewer

      上述涉及到的软件可以通过网址:http://forum.hamstc.org/viewthread.php?tid=771&extra=page%3D1 获取到。

      依照惯例我先介绍一下我的测试环境:

      宿主机:T7200/1G-DDR2-667MHz*2/120G-5400pm/Intel Pro 1000PL+Intel Wireless 3945a/b/g

      宿主系统:Windows Vista Ultimate 简体中文版

      虚拟平台:Virtual PC 2007 并开启VT支持

      虚拟机:Windows Server 2003 Enterprise Edition With Services Pack 2 简体中文版
            分配256M内存,10G+16G虚拟磁盘,网卡桥接在宿主Intel Wireless 3945a/b/g

      准备:
      依照WSUS3的系统要求,我已经事先安装好了IIS、Microsoft .NET Framework 2.0、Microsoft Management Console 3.0、Microsoft Report Viewer,数据库使用WSUS3自带的Windows Internal Database。此外请注意:一定要为WSUS系统创建两个分区:一个系统分区、一个更新数据分区。(必需是NTFS格式)

      安装与配置:
      一切准备就绪后,我们即可开始此次体验旅程。


下载到的WSUS3是一个自解压并自动执行安装程序的压缩包,我们可以使用解压缩软件事先将其解开,这样做的好处就是当执行安装程序时,如果系统检测组件有问题,我们不必再次重新执行安装程序经历时间较长的解包过程。


执行安装程序自解包完成后,出现WSUS3的安装向导界面,点击“下一步”。


因为是全新安装并且要部署的是完整的WSUS3,所以默认选择“包括管理控制台的完整服务器安装”,如果你的环境内已经存在WSUS3,那么可以选择第二项只安装管理控制台。点击“下一步”继续。


安装向导准备安装并执行检测。


在许可协议这个界面选择“我接受许可协议条款”,并点击“下一步”继续。


配置WSUS3“本地存储更新”,如果你已经准备好额外的分区,那么这里会默认配置到额外分区上,确定无误后点击“下一步”继续。


数据库选项,因为我使用WSUS自带的Windows internal Database服务,所以保持默认。并点击“下一步”继续。如果你的环境中已经存在SQL数据库服务器可以配置“使用远程计算机上现有的数据库服务器”。注意:如果使用远程计算机上的数据库服务,我们需要事先在数据库服务器上创建WSUS数据库。


配置WSUS网站,这里有两个选项供我们选择,还记得我们使用早期版本的WSUS么?如果我们不使用默认的80端口可能会存在很多的问题,早期的WSUS版本设计非常欠考虑,微软好像就认定了企业会单独部署一台WSUS服务器,但实际环境中我们通常会将WSUS部署在一台多用途的应用服务器上。比如我在规划使用服务器时就不会去修改IIS的默认站点,其中的缘由众说纷纭,但是我的习惯是不会使用并设置它的。所以在这里,我选择为WSUS3单独创建一个网站,默认的配置使用了8530端口。大家请放心,WSUS3在这方便已经作了改进,起码在我安装之后并没有发现出现什么问题。


完成配置向导后,我们就可以正式开始安装WSUS3,确认我们的配置,点击“下一步”开始安装。


安装过程中会先安装配置Windows Internal Database,接下来会将WSUS3安装到我们的系统最后执行ASP.NET环境的配置等等,整个过程耗时大概5分钟左右。


至此,我们就完成了WSUS的全新安装。


在点击完成安装后,系统会自动弹出WSUS3的配置向导,我们通过配置向导可以配置我们已经安装好的WSUS服务器,为此点击“下一步”。


选择是否加入Microsoft update改善计划,根据自己的需要选择。


配置WSUS3的上游服务器,如果这台服务器是环境中的第一台WSUS3服务器,那么你应当选择Microsoft Update作为你的上游服务器,否则请正确地配置此台服务器所要连接环境中已经存在的上游WSUS3服务器。


如果你的WSUS3使用代理方式与外网连接,比如:你的网络出口一是台以代理方式运行的ISA服务器,那么你就需要在这里正确地为你的WSUS3配置使用代理服务器,并点击“下一步”继续。


完成上述配置后,我们就可以在此界面点击“开始连接”与Microsoft Update通讯并取得下载更新信息,完成连接后点击“下一步”继续。


选择我们需要下载那种语言版本的更新,为了减小磁盘空间的占用,请根据自己的环境需要选择适当的语言版本。


选择我们需要下载更新的产品,在这里我们几乎可以选择到微软所有的主流产品,是不是很满足。


选择我们需要下载的更新分类,根据需求配置。


配置同步计划,如果你希望减轻服务器的负担你可以选择手工同步,如果你希望减轻自己的负担就配置为自动同步即可。值得注意的是在配置自动同步时,我们应该将自动同步的时间安排在半夜,这样以来,服务器的同步过程中的压力就小得多,而且也不会影响到你的网络质量。


OK,到这里我们基本上就算结束了。根据需要复选在完成配置后自动运行WSUS管理管制台并自动开始初始同步。之后我们可以选择“下一步”获得额外的信息,当然你也可以直接点击“完成”。如果是第一次安装WSUS3,我强烈建议在这里选择点击“一下步”。


这个界面为我们准备了非常有用的产品使用帮助链接,不妨先看看这些帮助。 操作与管理: WSUS3的安装比起之前的WSUS2更加的贴近人心,并且使我深刻的感受到微软对这个免费产品的重视,使我认定WSUS3才是微软真正完整可靠的更新服务。早前的版本太多的问题困扰着我们,因此才没有真正地在企业环境中部署,现在我坚信时机已经成熟,我们是时候为企业内部部署一台WSUS3服务器,快速有效地更新我们使用的微软产品。接下来就让我们实际感受一下WSUS3的操作和使用。


打开WSUS的管理控制台,是不是令我们眼前一亮。这种管理方式对于使用过ISA2004或ISA2006的朋友并不陌生,整体界面非常的直观,在默认页我们可以看到WSUS3简洁的报告。


展开我们的WSUS3服务器,可以看到相关的操作和功能。


点击“更新”,在界面的中间窗体就会显示相关的信息报告,非常的直观。


通过选择“所有更新”、“关键更新”或“安全更新”,我们可以针对性地对其进行管理,如审批更新、拒绝更新,或获取更新的详细信息等等。


计算机下我们可以监视或管理受WSUS支持的客户端。


在同步下我们可以监视到同步进度等信息,同时也可以手工地执行或停止同步。


这里我们可以体验一下WSUS3全新的报告功能,它更加详细、更加直观。


在选项下,WSUS3为我们提供并增加了很多有用的设置。


我们可以设置规则,来自动执行审批。


WSUS3还为我们增加了清理功能,有效地解决了日后磁盘空间占用的问题。


此外,WSUS3还为我们提供了电子邮件通知功能,通过它我们可以定期地将WSUS状态报告发送到指定的邮件地址中。


此外我们可以配置我们需要使用的SMTP服务器信息,并且支持SMTP需要验证的服务器。


最后来看看WSUS3的另外一个新功能,就是Microsoft Update Catalog,通过访问Catalog网站可以使我们的WSUS3服务器获得更多的Microsoft Update在线信息。

      总结
      因为我是在虚拟环境下作的测试,并且使用的是无线连接,但是整体来说我对初始同步的完成时间还是非常满意的。与微软在线更新的连接速度还是非常快的,而且也很稳定。在同步过程中,CPU占用相对于WSUS2有了很大的改进,起码在同步过程中我的虚拟机依然可以执行其他操作,不过在宿主机的任务管理器里能看到资源占用也是相当高的,两个CPU核心的占用都接近70%。由于资源占用问题,我并没有去实际测试更新的下载速度和稳定性,有条件的朋友可以实际测试一下。

      在看完这篇文章后,你是不是也有想马上部署WSUS3的强烈欲望,呵呵!如果你正面临企业内部大规模的微软产品更新部署工作?!或者你一直对WSUS2有着不满而迟迟未部署更新服务?!别再犹豫,WSUS3绝对不会令你失望。

      作者:gOxiA
      日期:2007-5-8
      Blog:http://goxia.maytide.net
      QQ:12110534
      MSN:goxia@hotmail.com
      网站:http://forum.maytide.net
               http://forum.hamstc.org

      原创文章,如需转载请务必保留版权,谢谢你对作者的尊重。

      在SBS2003服务器上安装WSUS时可能会遇到安装失败的问题,通常这类情况是由于MSDE的安装所导致的,所以我们可以通过手工安装WSUS的MSDE来解决此故障问题。

步骤如下:

1、准备MSDE

Sqlrun03.msi InstanceName=WSUS BlankSAPwd=1 Reboot=ReallySuppress DisableNetworkProtocols=1 DisableAgentStarup=1 DisableThrottle=1

2、启动MSDE

3、安装WSUS

分页: 1/1 第一页 1 最后页 [ 显示模式: 摘要 | 列表 ]