| 架設區域網路更新伺服器 用WSUS打更新檔 |
| 如果不及時安裝作業系統的更新檔,會帶來什麼後果呢?沖擊波、震蕩波的厲害之處,想必大家都領教過了。是以及時更新作業系統的漏洞更新檔,目前已成為提高系統安全性的主要手段。 然而,你會發現使用Windows自帶的Update下載下傳更新檔,速度比較慢。如果你所在的公司内網中的員工計算機不能上網,你又該如何為大家打更新檔呢?恐怕使用預設的Update是無法實作的吧。 現在,我們可以利用微軟提供的WSUS(Windows Server Update Services)建立一個内部Update伺服器,讓公司内網中的計算機直接到這台Update伺服器上下載下傳更新檔,以縮短使用者打更新檔的時間,及時提高計算機和網絡的安全性。沒有連接配接Internet的計算機隻要在内網中能順利通路Update伺服器,也可實作随時打更新檔,有效地防止漏洞型病毒在内網傳播。 了解:走近WSUS 軟體全稱:Windows Server Update Services 軟體版本:2.0正式版 軟體平台:Windows 2000/2003 下載下傳位址:[url]http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe[/url] WSUS(Windows Server Update Services)是微軟公司繼SUS(Software Update Service)之後推出的替代SUS的産品,目前版本為2.0。使用過SUS的網管都知道,雖然可用它建立自動更新伺服器,不過配置很麻煩,更新更新檔的産品種類也較少,同時在實際使用中經常會因為網絡帶寬擁堵而造成客戶機更新失敗。那麼WSUS具有哪些特性呢? ●支援對更多微軟産品進行更新,除了Windows外,Office、Exchange、SQL等産品的更新檔和更新包都可通過WSUS釋出,而SUS隻支援Windows系統。 ●提供了中文操作界面,以前的SUS操作界面為英文,不便于操作。 ●比SUS更好地利用了網絡帶寬。 ●對客戶機的管理更強大,可針對不同客戶機配置設定不同的使用者組,并配置設定不同的下載下傳規則。 ●在設定和管理上比SUS更簡單直覺。 硬體要求:如果網絡中要更新的用戶端計算機少于500台,那麼架設WSUS伺服器的硬體至少得是750MHz主頻的處理器以及512MB記憶體,當然還需要充足的硬碟空間來儲存更新程式的安裝檔案。 實戰:部署WSUS 筆者所在公司的網絡處于教育網之中,客戶機連接配接微軟官方的Update站點速度很慢,更新更新檔的時間較長。為了提高公司網絡的安全,加快更新檔更新速度,筆者打算選擇一台伺服器通過WSUS建立一個公司内部的Update站點,讓所有員工計算機到這個Update站點更新更新檔,伺服器名稱為softer。 準備工作:由于軟體需要很多必備元件,如果在Windows 2000 Server上安裝WSUS則需要安裝這些元件,不過這些元件都是預設安裝在Windows 2003上的,是以筆者建議大家使用Windows 2003部署WSUS伺服器,同時建議大家不要在該伺服器上安裝其他Web網站。 1.安裝WSUS 安裝WSUS之前,先要保證WSUS必需的硬體條件,還要安裝相應的元件,如IIS等。 在Windows 2003中沒有啟用IIS服務,是以我們需要安裝“應用程式伺服器”元件,并把IIS添加到本地計算機。下載下傳WSUS并輕按兩下安裝程式,程式将會自動解壓縮。 #p# 現在,開始安裝WSUS,所有步驟和安裝普通軟體一樣。在出現選擇安裝路徑的界面時,需要注意的是,安裝空間必須要有6GB,而且所在驅動器必須是NTFS格式的檔案系統。 如果大家的Windows 2003中沒有安裝SQL Server,那麼該軟體還會在計算機上安裝SQL Server桌面版。 在網站選擇視窗,選擇“使用現有IIS預設網站”即可,如果本地計算機還開啟了其他站點服務。由于架設的是獨立的更新伺服器而不是其他伺服器的鏡像站點,是以在“鏡像更新設定”中不用進行選擇。現在,開始在本地計算機上安裝WSUS。 2.設定更新檔類型 由于微軟的産品很多,我們不可能對它的所有産品都進行更新,是以需要根據公司的實際情況對更新檔的類型進行設定。 WSUS安裝完畢後,打開浏覽器,使用位址[url]http://localhost/wsusadmin[/url]通路WSUS的管理界面,也可直接輸入計算機名或IP位址進行通路,在這裡筆者輸入[url]http://softer/wsusadmin[/url]進行通路。輸入Windows 2003系統的管理者賬戶和密碼即可成功登入WSUS伺服器。 第一次成功登入WSUS的界面後,會在下方“待做事項清單”中看到“同步伺服器,現在就開始”的提示資訊(圖1),點選該選項開始設定WSUS。  圖1 在同步選項設定界面,供我們設定的參數較多,由于篇幅有限這裡不詳細講解了。平常用到最多的是“計劃”下的“手動同步”或“每天定時同步”,一般情況下設定為“每天定時同步”。另外還有“産品和分類”下方的設定,我們可以在産品處選擇可供更新的産品種類,除了Windows外,還有Office、Exchange、SQL等産品的更新檔和更新包都可以通過WSUS釋出。在“更新分類”處可以詳細設定提供下載下傳的更新檔類别(圖2)。  圖2 設定“産品和分類”與“更新分類”後,我們還要選擇更新的語言種類,在同步選項設定界面的最下方有一個“進階同步選項”,通過它我們可以設定更新的語言為簡體中文。 至此,便完成了更新檔類型及語言的設定工作,所有的前期工作已告一段落,接下來就需要對伺服器和客戶機進行具體操作了。 3.下載下傳并審批更新檔 我們如何将相應更新檔從微軟網站下載下傳到伺服器上供公司内部計算機更新呢?這就需要下載下傳并審批更新檔。 在圖2所示界面的左側點選“立即同步”将啟動伺服器的同步功能,伺服器将連接配接微軟官方Update伺服器下載下傳相應更新檔。更新檔類型已經在設定更新檔操作中進行了選擇,伺服器将隻下載下傳滿足設定條件的更新檔,下載下傳的更新檔供用戶端使用。在下載下傳過程中我們不能進行任何操作,隻能點選“停止同步”來結束更新操作。 大概等待2到3個小時就可完成更新檔的更新,下載下傳所用的時間是根據選擇的更新檔數量決定的。由于公司内網中的大部分計算機使用的都是Windows 2000作業系統,是以筆者隻選擇了更新Windows 2000更新檔包及驅動程式。 僅僅下載下傳完更新包還不能提供更新檔更新服務,我們還需要對剛剛下載下傳的“安全和關鍵更新”進行複查和準許,經過準許的更新檔才能讓用戶端下載下傳(實際上準許過程就是伺服器對下載下傳更新檔進行檢查的過程)。在待做事項清單中點選“複查安全和關鍵更新”。 在“更新”界面中可将所有更新檔選中,選擇完畢點選左側“更新任務”欄中的“更改準許”,這樣就會準許安裝剛才下載下傳的所有更新檔。如果你不希望用戶端下載下傳某個更新檔程式,則不選擇該更新檔(圖3)。 圖3 點選“更改準許”後會進入“準許更新”視窗,可在準許下拉選項中選擇“安裝”,然後點選“确定”。現在,所有用戶端就可下載下傳并安裝剛剛準許下載下傳的更新檔程式了,至此伺服器上的所有設定完畢。 至此,伺服器的設定操作就全部完成了,不過現在還要對用戶端進行相應的設定,以使本來會使用Windows Update的用戶端能夠通過WSUS進行更新。 4.用戶端設定 預設情況下客戶機進行更新檔更新都要到Windows Update站點,而我們希望将它修改為WSUS伺服器的位址,是以還需要進行一些設定。 我們需要對每一個用戶端進行設定,當然設定一次即可,因為預設情況下,這些計算機都是通過微軟官方的Update伺服器下載下傳更新檔的,我們需要将它們的Update伺服器手動修改為剛剛建立的WSUS伺服器。首先,在“運作”欄中輸入“gpedit.msc”啟動組政策。 提示:如果公司内部使用的是域建立的網絡,那麼直接在域控制器上設定組政策即可。 依次點選“本地計算機政策→計算機配置→管理模闆”,右鍵點選“管理模闆”,選擇“添加/删除模闆”。通過“添加”按鈕将wuau模闆加入到“目前政策模闆”中,添加這個模闆後我們才能對Update站點資訊進行修改。接着依次進入“本地計算機政策→計算機配置→管理模闆→Windows元件→Windows Update”,輕按兩下“配置自動更新”,然後選擇自動更新更新檔的類型,可以是手動更新也可以是自動更新。 接着在“Windows Update”中輕按兩下“指定Intranet Microsoft更新服務位置”,将剛剛建立的WSUS伺服器位址添加進來。 最後,進入指令行模式,輸入“wuauclt.exe /detectnow”指令啟動更新,客戶機會立刻連接配接WSUS伺服器下載下傳并安裝更新檔。在組政策的“配置自動更新”中設定自動更新讓用戶端定時到WSUS伺服器下載下傳更新檔。 當用戶端啟動了更新設定後,我們就可以在伺服器上通過管理界面看到這些用戶端。當然所有的更新檔安裝過程都是在背景進行的,我們在用戶端上是不容易察覺的,要想了解用戶端的更新檔安裝情況,隻有通過伺服器上的管理界面來進行檢視。 5.部署成功 經過以上四個步驟,WSUS的設定工作就算完成了,現在公司内部計算機都可使用配置好的WSUS伺服器來更新多個微軟産品的更新檔,下載下傳速度比連接配接官方站點快得多。而且,在實際使用過程中,我們還可通過WSUS的分組設定功能将不同使用者劃分到不同的更新組,進而實作公司内部計算機更新檔下載下傳的權限管理。 自從采用WSUS搭建企業内部更新檔更新平台之後,筆者發現公司員工的上網速度提高了,員工抱怨病毒騷擾的情況減少了,看來這一措施有效地防範了病毒、木馬在公司内網中的擴散,公司網絡變得更加安全和穩定了。 責任編輯 趙毅 zhaoyi#51cto.com TEL:(010)68476636-8001 |