Windows Server 2012 筆記(一) WSUS 4.0 安裝設定

Windows Server 2012 WSUS 4.0 安裝設定

  • WSUS 簡介
  • WSUS 4.0 安裝需求工具軟體
  • WSUS 4.0 安裝
  • 設定用戶端自動更新(AD環境)
  • 設定用戶端自動更新(none AD 環境)
  • WSUS 用戶端相關指令

 

  1. WSUS 簡介
    • 架設WSUS 服務,達到統一控管企業內部主機端及用戶端的更新程式
    • 且降低企業對外連線頻寬網路負擔
      wsus4-26
  2. WSUS 4.0 安裝需求工具軟體
    • Windows Server 2012 光碟片
    • Microsoft Report Viewer Redistributable 2008 或 Microsoft Report Viewer Redistributable 2008sp1
  3. WSUS 4.0 安裝
    [STEP0] 安裝 Microsoft Report Viewer Redistributable 2008 或 Microsoft Report Viewer Redistributable 2008sp1
    wsus4-25
    [STEP1]  開啟伺服器管理員 —> 點選 新增角色及功能
    wsus4-1
    [STEP2] 下一步
    wsus4-2
    [STEP2] 選取  角色型或功能型安裝
    wsus4-3
    [STEP3] 選擇 目的伺服器
    wsus4-4
    [STEP4]  勾選 Windows Server Update Services 然後會跳出需要額外安裝的服務或功能 點選 [新增]
    wsus4-5
    [STEP5] 勾選 .NET Framework 3.5 功能
    wsus4-6
    [STEP6] 選擇wsus 服務使用的資料庫安裝類型,若有其他SQL 資料庫,請勾選資料庫
    此範例選 WID 內建資料庫
    wsus4-7
    [STEP7] 設定更新檔存放路徑 ,此範例為E:\WSUS
    wsus4-8
    [STEP8] IIS 角色安裝,下一步即可
    wsus4-9
    IIS相關角色服務安裝,點選下一步即可
    wsus4-10
    [STEP9]
    因為需要安裝 .NET Framework 3.5 (2.0) 在Windows Server 2012 光碟中的sources\sxs 目錄,所以可以點選
    下方 [指定替代路徑] ,若沒有指令會連上windows update 網站下載
    wsus4-11
    wsus4-12
    [STEP10] 點選 安裝後 即開始安裝WSUS
    [STEP11] 安裝完畢,點選[啟動後續安裝工作],完成後續設定
    wsus4-13
    [STEP12] 切換至開始功能表選單,執行 Windows Server Update Services ,出現組態精靈設定 下一步
    wsus4-14
    [STEP13] 自行選擇是否參加改善方案
    wsus4-15
    [STEP15] 選擇由 Microsoft Update 同步,若是企業內部有其他台WSUS 可以另外選擇
    wsus4-16
    [STEP16]  若連接網際網路須透過proxy ,需要填寫proxy主機及相關所需帳號密碼等資訊
    wsus4-17
    [STEP17]  點選 開始連線,與Microsoft Update 取得更新程式相關資訊
    wsus4-18
    [STEP18] 選擇所需更新程式語系
    wsus4-19
    [STEP19] 選擇欲下載更新的各項產品
    wsus4-20
    [STEP20] 選擇 更新分類
    wsus4-21
    [STEP21] 設定同步排程,自行選擇 手動或自動同步
    依據 technet 文件說明[自動同步]範例說明如下:
    如果選擇 [自動同步處理],則 WSUS 伺服器將在指定的間隔進行同步處理。
    設定 [第一次同步處理] 的時間,並指定這部伺服器 [每天同步處理] 的次數。
    例如,假設您指定每天從上午 3:00 開始進行四次同步處理,則同步處理時間將是上午 3:00、上午 9:00、下午 3:00 和下午 9:00。
    wsus4-22
    [STEP22] 勾選開始初始同步處理
    wsus4-23
    [STEP23] 在WSUS  console 中,即可看到目前同步的進度
    wsus4-24
  4. 設定用戶端自動更新(AD環境)
    在網域環境下,可使用群組原則的設定達成用戶端自動更新
    [STEP1]至DC主機,打開群組原則工具
    wsus4-27
    [STEP2]  在網域名稱上 > 滑鼠右鍵> [在這個網域中建立GPO並連結到]
    wsus4-28
    新增一個名稱為 GPO-WSUS
    wsus4-29
    [STEP3] 在GPO-WSUS >滑鼠右鍵>編輯
    wsus4-30
    展開>電腦設定>系統管理範本>Windows 元件>Windows Update
    wsus4-31
    [STEP4] 設定自動更新
    wsus4-32
    選取 [啟用設定]
    自動更新部分則依照公司政策來設定
    wsus4-33
    其中選取 [自動下載和排程安裝]選項,則需設定安裝日期及時間
    wsus4-34
    個人公司管理的經驗設定兩個GPO分別套用server及PC

    • 伺服器主機設定自動下載更新,通知我安裝選項
    • 用戶端PC則設定固定時間自動下載排程安裝

    [STEP5]指定內部網路更新位置
    預設 WSUS port 為
    更新服務位置及統計伺服器輸入相同定即可
    wsus4-35
    [測試]
    此範例中網域有一台pc1 為 win8 且已經加入網域
    當GPO設定完畢後,預設約90-120分鐘 PC端才會套用此設定,所以可以在PC端執行
    gpupdate /force 來強制套用GPO-WSUS
    更新GPO後 用戶端,Windows Update 設定就無法更動
    wsus4-36
    在WSUS主控台,可以看到PC1 報到
    wsus4-37

  5. 設定用戶端自動更新(none AD 環境)
    未加入網域的電腦則可以直接使用gpedit.msc 本機群組原則(在命令提示字元下下達該指令)
    範例為一台未加入 pmail.idv.tw  網域電腦
    wsus4-39
    編輯本機群組原則
    wsus4-38
    展開>電腦設定>系統管理範本>Windows 元件>Windows Update
    設定自動更新
    wsus4-40
    指定內部網路更新位置
    預設 WSUS port 為
    更新服務位置及統計伺服器輸入相同定即可
    因該台win7尚未加入網域,所以連線 wsus 主機時DNS解析可能需要輸入完整的[hostname+domain name]
    所以建議未加入網域的電腦,只接輸入IP位址及可
    wsus4-41
    待本機群組原則生效後,就可以看到win7 來找 wsus 報到
    wsus4-42
  6. WSUS 用戶端相關指令
    • wuauclt /detectnow  > 手動讓用戶端立即至WSUS報到
    • wuauclt /reportnow   > 手動讓用戶端立即回報更新狀態


本篇瀏覽人數: 31927
本篇發表於 Windows Server 2012 筆記, Windows Server 2012 篇。將永久鏈結加入書籤。

Windows Server 2012 筆記(一) WSUS 4.0 安裝設定 有 31 則回應

  1. Lin 說道:

    你好,我有一個關於將第二台dc退出的疑問,是否能向你請教?

    打擾之處,請見諒

    我將問題貼在這裡:

    http://blog.pmail.idv.tw/?p=350#comment-5529

  2. Marcella Rush 說道:

    一、必要性或實用性要看您自已去考慮,假如內部架設一台,也可以節省一些頻寬,也可以自行決定使用者要更新的項目,前提要先加一台群組原則才可以指定wsus更新位置吧! 二、不一定要獨立一台。 三、可以指定要更新的項目沒有問題。

  3. ike 說道:

    榮哥您好:
    我有一些關於WSUS4.0的問題想要請教一下
    WSUS預設的PORT為8530 我想把他改為80PORT
    我參照下面的步驟做設定
    1) Go to Start -> RUN -> inetmgr
    2) Go to "WSUS Administration" Site
    3) Under "Edit Site", click on "Bindings"
    3) Change the ports which you required(for e.g. 80), and click OK
    4) Open Registry Editor with Start -> RUN -> regedit
    5) Goto HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup
    6) Change "Port Number" Value to Required Port No (for e.g. 80)
    7) Goto Command prompt and type following command
    cscript "WSUS Installation Location\Update Services\setup\installselfupdateonport80.vbs
    但是碰到2個問題
    1.找不到installselfupdateonport80.vbs這個cscript
    2.再改完IIS跟機碼之後開起服務會顯示無法連到伺服器
    請問我還要去哪裡更改設定呢
    不好意思 麻煩你了 感謝

  4. Ken 說道:

    榮哥您好:
    目前碰到WSUS windows xp client 無法更新情形 我再wsus server 有看到xp 但
    下指令wuauclt /reportnow 回傳給SERVER 回傳後再已安裝或不適用欄位還是0%沒辦法回傳值回去,另外一個問題是再wsus砍掉xp電腦要再加回去無法加回請問您有碰過此問題情形嗎?

    • 榮哥 說道:

      您好

      1.wsus砍掉xp電腦要再加回去===>可以在用戶端下達一個wuauclt /Resetauthorization

      2.wuauclt /reportnow 回傳的問題這個我就不是很確定,我印象中過過一段時間用戶端才會完整回報完畢

  5. Rex 說道:

    以下兩個問題請教
    建了WSUS 4.0 client和其他server都有向WSUS報到並更新
    1.但是其中兩台DC還是自己向微軟更新而非透過WSUS更新也沒向WSUS報到?
    2.有些client在WSUS上顯示有更新沒安裝但到client檢查更新卻沒新的更新?

    • 榮哥 說道:

      您好

      關於第一個問題~我想您應該是用GPO來設定用戶端的更新指向WSUS
      請問這些SERVER 及 用戶端 電腦物件是統一集中在某個OU下,然後再套用您設定的GPO嗎?
      如果是,那這兩台DC沒有套用應該是正常,因為DC電腦物件會是放在Domain Controllers容器中
      有兩個方法將GPO套用在最上層,或修改default domain controllers policy。

      關於第二個問題 嘗試先到那一台用戶端看一下even log 看看是否有相關wsus 安裝更新的錯誤或警告訊息。

      以上提供您參考囉

      • Rex 說道:

        關於第一個問題原來是這樣

        但第二個問題幾乎所有電腦都這樣只有少數沒有
        找其中一台log如下回應是找不到更新?
        2014-03-06 11:29:54:462 240 1c4 Agent * Found 0 updates and 66 categories in search; evaluated appl. rules of 683 out of 1197 deployed entities
        2014-03-06 11:29:54:462 240 1c4 Agent *********
        2014-03-06 11:29:54:462 240 1c4 Agent ** END ** Agent: Finding updates [CallerId = AutomaticUpdates]
        2014-03-06 11:29:54:462 240 1c4 Agent *************
        2014-03-06 11:29:54:477 240 70c AU >>## RESUMED ## AU: Search for updates [CallId = {F0F216EB-3B35-45B3-B765-2278AD1DC73F}]
        2014-03-06 11:29:54:477 240 70c AU # 0 updates detected
        2014-03-06 11:29:54:477 240 70c AU #########
        2014-03-06 11:29:54:477 240 70c AU ## END ## AU: Search for updates [CallId = {F0F216EB-3B35-45B3-B765-2278AD1DC73F}]
        2014-03-06 11:29:54:477 240 70c AU #############
        2014-03-06 11:29:54:477 240 70c AU Successfully wrote event for AU health state:0
        2014-03-06 11:29:54:477 240 70c AU Featured notifications is disabled.
        2014-03-06 11:29:54:477 240 70c AU AU setting next detection timeout to 2014-03-07 00:11:50
        2014-03-06 11:29:54:477 240 70c AU Successfully wrote event for AU health state:0
        2014-03-06 11:29:54:477 240 70c AU Successfully wrote event for AU health state:0
        2014-03-06 11:29:59:469 240 1c4 Report REPORT EVENT: {2B682C2B-693B-432C-9370-EB1D97FDA4EC} 2014-03-06 11:29:54:462+0800 1 147 101 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Software Synchronization Windows Update Client successfully detected 0 updates.
        2014-03-06 11:29:59:469 240 1c4 Report REPORT EVENT: {01A3D385-753F-41B5-9732-5EF760682E30} 2014-03-06 11:29:54:462+0800 1 156 101 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Pre-Deployment Check Reporting client status.
        2014-03-06 11:29:59:469 240 1c4 Report CWERReporter finishing event handling. (00000000)
        2014-03-06 11:34:18:562 240 1c4 Report Uploading 2 events using cached cookie, reporting URL = http://192.168.32.2:8530/ReportingWebService/ReportingWebService.asmx
        2014-03-06 11:34:18:562 240 1c4 Report Reporter successfully uploaded 2 events.

  6. try 說道:

    最近在測試wsus 4.0
    GPO的" 設定自動更新"
    設定為 "4.自動下載和排程安裝"
    但發現client 雖然會下載更新
    但卻不會自動安裝
    想請問是否有遇過這種情形

  7. Marc 說道:

    榮哥您好,請問WSUS要如何建立Pilot Group呢? 可以教學一下嗎? 謝謝瞜。

    • 榮哥 說道:

      您好

      您應該是要建立一個類似測試的群組,然後有要派送的更新讓這個群組中的電腦先做測試吧
      這樣應該說,您可以在wsus主控台中您可以在[電腦]節點建立一個新的電腦群組,然後把目前已經跟這台wsus報到的用戶若是要讓他擔任pilot 就把她拉進這個電腦群組
      然後再對這群組設定派送更新
      以上提供您參考

      • Marc 說道:

        Hi 榮哥,謝謝您的分享,那我再請教您一個問題,我目前是都沒有設定群組,所有電腦裡面有一項,尚未指派的電腦(裡面有很多台),但是我發現都會自動去更新,這樣是對的嗎? 如果照字面尚未指派,應該都是在等待更新的,再麻煩您指導了。

        • 榮哥 說道:

          您好

          請問你gpo有設定用戶自動下載更新嗎?還有wsus是否有設定當微軟發布更新時自動核准
          我目前想到可能原因是這樣。

          • Marc 說道:

            Hi 榮哥,好像跟你講的是一樣的,但是現在又有一個問題了,我有新灌幾台電腦,都有加入AD但是都沒有報到(等了兩天),有辦法強制報到之類的嗎?

          • 榮哥 說道:

            您好
            以下這兩行指令到用戶端測試看看囉
            wuauclt /detectnow > 手動讓用戶端立即至WSUS報到
            wuauclt /reportnow > 手動讓用戶端立即回報更新狀態

          • Marc 說道:

            HI 榮哥,請問可以從AD直接派嗎? 因為到USER那邊不太方便,謝謝。

          • 榮哥 說道:

            您好

            從AD指派~~這我就不清楚了,或許把它寫成script 讓用戶端開機自動跑或許可以吧

  8. Ding 說道:

    請問榮哥!! 謝謝您的經驗分享!!我照您方式建置了一台WSUS!!
    但是有個問題想請教您,您放資料的空間是用了多少呢?
    因為 我把資料放在D朝,給了500G!! 但是他長得非常快耶!! 現在已經不夠空間了!!
    想請教 榮哥,這樣的空間算是正常嗎? 要怎麼做才可以比較省空間呢?

  9. peter 說道:

    Hi,榮哥

    預計在Windows Server 2012 R2 安裝wsus伺服器

    目前的AD環境是建在Windows Server 2008的環境下

    不知道如果在Windows Server 2012 R2裝了WSUS 4.0的話

    會不會造成問題?(例如派送問題、連絡的問題…etc.)

  10. 藍色水瓶 說道:

    請問榮哥,wsus的資料可以備份還原到另一台wsus主機嗎?

  11. a-hui 說道:

    榮哥,你好~
    WSUS 4.0版要完整移除時,是要從移除角色將WSUS移除完後,還需將d:\wsus的資料夾整個刪除嗎?還是要再做其他刪除?
    再麻煩你回覆,謝謝!

  12. Sadern 說道:

    榮哥:
    我按您的教學順利都在公司完成了新的 wsus 6.3 的安裝。
    您的教學和圖文解說都淺顯易懂,WSUS 改預設8530 port to 80的教學也很有幫助,超讚!感謝您!

Lin 發表迴響 取消回覆

您的電子郵件位址並不會被公開。 必要欄位標記為 *

*

您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>