本文档详细介绍了为 Microsoft 产品安装 Microsoft Update Server 的过程, 我们将看到我们拥有的安装选项，然后我们将了解如何在我们感兴趣的位置分发这些更新.

WSUS 的主要功能 3.0 是所有 Microsoft 产品的更新服务器, 他将负责下载更新，以便通过基于 Windows 的作系统或我们的 SQL Server 产品分发它们, Exchange 服务器, 办公室… 最重要的是，它是一个免费产品, 少得多!

WSUS 安装 – 这里,
WSUS 配置和管理 – 这里,

WSUS 安装,

首先是获取 WSUS, 我们可以从 Microsoft 下载网站下载: www.microsoft.com/wsus. 那么我们必须满足安装要求, 如果我们安装的服务器是什么, 什么是正常情况, 我们必须有: IIS公司, ASP.NET, .NET 框架 1.1 和后台智能传输服务 (位) 2.0 – 这里. 我们运行安装向导, “以后”,

在这里，他问我们要安装什么, 服务器和管理控制台是常态, 管理控制台可以安装在我们的 XP/Vista 上，以便能够远程管理 WSUS, 虽然我们也可以在线进行. 马克 “完整的服务器安装，包括管理控制台” 和 “以后”,

我们接受许可证, “我同意许可协议的条款” & “以后”,

WSUS 的有趣之处在于，除了分发更新, 它的配置是将这些更新存储在专用于它的磁盘上, 这样，不是每个帖子都必须下载互联网更新并使我们在 Internet Joint 中饱和. 马克 “在本地存储更新” 我们说一个目录，我们将在那里存储它们, 这个目录将根据我们想要下载的内容及其语言而增长… “以后”,

它询问我们将 WSUS 数据库存储在何处. 如果我们有一个小型组织，并且网络中没有 SQL Server，我们将选择第一个选项来安装 “Windows 内部数据库” 在这台计算机上，或者如果我们有 SQL，我们会指示它, 就像我的情况一样, 这是最好的选择. “以后”,

连接到 SQL Server…

还行, 我们看到它与 DB 服务器连接良好, “以后”,

在 IIS 中为我们创建站点, 我们有两个选择, 使用我们为 WSUS 提供的网站, 如果我们没有托管网站并且我们不打算拥有托管网站，那将是理想的, 如果不是, 我们应该创建一个单独的网站. 让我们看看如何配置站点, “以后”

我们检查我们设置的内容, 如果我们现在按 “以后” 产品安装将开始…

… 我们等待它安装完毕…

准备, “结束”,

现在，将打开一个配置向导, 之后我们可以出去手动设置, 我跟着他. “以后”,

如果我们想参与 Microsoft Update 改进计划，请检查, 否则, “以后”,

不错, 我正在安装单个 WSUS 服务器, 如果我们只有一个，我们将检查第一个选项，该选项指示将下载 Microsoft 服务器的更新. 如果我们计划拥有多个 WSUS 服务器，并且该服务器将更新分发到其他 WSUS，例如，每个公司的每个委派中一个, 然后这些到最终的团队. “以后”

如果要从这个 WSUS 服务器连接到 Internet，我们要通过代理，这就是我们将配置它的地方. “以后”,

我们必须连接到 Microsoft Update 服务器，以向我们展示我们可以下载哪些类型的更新, 哪些产品和哪些语言, 点击 “开始连接”,

… 等待几秒钟…

“以后”,

现在它询问我们将以哪些语言下载更新, 我们选择环境中的语言, 如果我们的 SO 是西班牙语的，而我们的服务器是其他语言或他们的服务，并且我们计划为他们使用 WSUS，我们将在此处标记他们的语言. 我们标记语言和 “以后”,

在这里，我们必须选择我们将在网络中使用的产品，并且我们想要为它们下载更新, 就我而言，我有一个装有 Windows XP 的计算机网络, Windows 版, 办公室 2003, 办公室 2007, 交换 2003 和 SQL 2005, 我将选择我有兴趣更新的产品. “以后”,

对于每种产品，我们都有分类, 我们想从产品中下载什么？, 如果只有关键更新, 安全更新… 或直接使用 Service Pack… 我们标记我们感兴趣的内容，并且 “以后”,

同步为, 当此 WSUS 服务器要从另一个 WSUS 服务器或 Microsoft Update 下载更新时，我们刚刚指定的内容. 正常, 每天至少一次，并且在不影响用户生产的时间. 就我而言，我每天都会在 1:30是. “以后”,

如果我们现在有兴趣打开控制台，我们将选中第一个检查. 如果我们希望立即开始同步并下载截至当前日期的所有补丁, 我们必须留下支票 “开始初始同步”, “以后”,

现在它告诉我们必须遵守的步骤, 如何启用 SSL 以确保我们通过 Web 连接的地方之间的连接是安全的, 其余的我们稍后再做. “结束”.

WSUS 配置和管理,

从这里，我们将看到我们剩下要在 WSUS 中配置的选项以及用于管理它的参数, 然后如何使用 Active Directory 中的策略部署 WSUS.

这是 WSUS 的主控制台, 我们将在其中看到 WSUS 服务器及其状态, 我们的设备和更新状态. 目前它是空的，因为我们还没有把球队放进去…

在 “同步” 是我们将看到下载进度的地方, 我们在安装过程中如何表示现在同步, 我们看到他穿着 10% 在这里，我们将看到未来同步的状态.

不错, 更新后, 我们查看是否成功或是否有错误, 在这种情况下，我们看到 I 第一次下车 1344 patchs 和下一个 none, 因为 Microsoft 不会在那段时间内发布任何新的 (这是最正常的事情).

不错, 首先要做的是创建一组团队, 我们可以为整个公司创建一个 ONE，所有更新都将平等地应用于该, 或按部门或直接按作为服务器和其他 PC 的一组计算机. 所以我们点击 “设备” > “所有团队” > “添加设备组…”

我们指示一个名称, 在我的情况下，它将与公司的, 点击 “加”, 然后我们将团队放在这个组中, 我将使用 Active Directory 策略来执行此作.

不错, 现在让我们看看 “选项” 我们有, 点击左侧的菜单.

“设备”, 如果我们想将新设备直接放入一个名为 “未分配的设备” 然后我们手动将它们移动到我们感兴趣的组中，或者如果通过组策略，我们将配置将哪些计算机放入哪些组, 这是我的选择和框架: “在计算机上使用组策略或注册表设置”. “接受”,

我们也可以在面板 “选项” 点击 “WSUS 对象清理向导” 在服务器本身上执行过时对象的清理, 如何 “未使用的更新更新和补丁”, “未连接到服务器的计算机”, “不必要的更新文件”, “过期的更新” 或 “替换的更新”, 如果我们不知道它指的是什么，我们会阅读描述，然后我们会进行清洁, “以后”,

… 删除不需要的更新…

在这种情况下，没有任何东西被擦除, 因为我的服务器只有几天的历史，而 Microsoft 还没有发布补丁来替换其他服务器… “结束”,

在 “选项” > “电子邮件通知” 我们可以配置为发送到一个电子邮件帐户或服务器状态或同步事件的多个报告, 所有这些都在 “常规”.

在 “电子邮件服务器” 是我们将配置邮件服务器以发送这些电子邮件的位置. 配置完成后，我们将单击 “尝试”…

这是我电子邮件帐户中令人满意的测试电子邮件.

不错, 在 “选项” > “自动审批” 我们可以自动批准将这些安装在 PC 上. WSUS 首先通过同步从 Microsoft Update 服务器下载更新，然后才能分发更新, 它必须获得批准，否则, 它不会安装在最终的 PC 上. 我们可以手动批准更新以批准我们感兴趣的更新或从此处 (“更新规则”) 设置审批规则. 在本例中，我已编辑此规则，所有关键更新和安全更新都将获得批准，用于所有计算机组. 我们可以编辑规则或创建新规则，具体取决于更新类型和最终组. 在这种情况下，我同步了 WSUS 服务器，但更新未获得批准, 批准我感兴趣的, 点击 “运行规则”.

… 我们等待它批准我已经下载的所有更新…

完善.

不错, 一旦 WSUS 服务器或多或少地配置完毕，您所要做的就是定义组策略, Active Directory 中的 GPO，用于将 WSUS 客户端配置为使用我们刚刚设置的此服务器. 我们打开策略控制台，或者如果没有，请从 “AD 用户和计算机”. 我说了什么, 我们创建一个新指令.

我们给你一个名字, 就我而言 “WSUS 3.0 客户端配置” & “接受”,

我们对其进行编辑,

在这里，我们将配置我们感兴趣的所有选项, 我将把这个指令应用到一个组织单位，这个单位就是团队, 所以我对从 “设备设置” > “管理模板” > “Windows 组件” > “Windows 更新”. 在那里，我们将看到可能的配置.

“未显示“安装更新并关闭”选项’ 在 Power Off （关闭电源） 对话框中”:

通过此策略设置，可以确定“安装更新并关闭”选项’ 显示在 “退出 Windows” 对话框中.

如果启用此策略, '安装更新并关闭’ 它不会作为选项显示在 Quit Windows （退出 Windows） 对话框中, 即使当用户从“开始”菜单中选择“关闭”选项时有更新可供安装.

如果禁用或未配置此策略If you disable or don't configure this policy, 选项“安装更新并关闭”’ ，如果当用户从“开始”菜单中选择“关闭”选项时有可用更新，则会显示在“退出 Windows”对话框中.

“未将默认选项设置为“安装更新并关闭”’ 在 Shut Down （关机） 对话框中”:

通过此策略设置，可以确定“安装更新并关闭”选项’ 在 Quit Windows （退出窗口） 对话框中显示为默认选项.

如果启用此策略, Last user closure 选项 (冬眠, 重新启动, 等。) 将是 退出 Windows 对话框中的默认选项, 无论是否选择“安装更新并关闭”选项’ 在“What do you want the team to do”列表中可用。?’.

如果禁用或未配置此策略If you disable or don't configure this policy, 选项“安装更新并关闭”’ 将是 退出 Windows 对话框中的默认选项，前提是当用户从“开始”菜单中选择“关机”选项时可以安装更新.

请注意，如果启用了“计算机配置”选项，此设置将不起作用管理模板Windows 组件Windows Update不显示“安装更新并关闭”’ 在 Quit Windows 对话框的策略设置.

“设置自动更新”:

指定此电脑是否将通过 Windows 自动更新服务接收安全更新和其他重要下载.

此选项允许您指定是否在此计算机上启用自动更新. 如果服务已启用, 您必须选择可用于组策略的四个选项之一:

2 = 下载更新前通知，安装更新前再次通知.

当 Windows 检查适用于您计算机的更新时, 状态区域中会显示一个图标，并显示一条消息，指示更新现在可供下载. 单击图标或消息以访问选择要下载的特定更新的选项. 下一个, Windows 在后台下载选定的更新. 下载完成后, 该图标将再次出现在状态区域中，并通知现在可以安装更新. 单击图标或消息以访问选择要安装的更新的选项.

3 = (违约) 自动下载更新并在可以安装时发送通知.

Windows 会检查适用于您计算机的更新，并在后台下载这些更新 (在此过程中，用户不会收到任何通知或中断). 下载完成后, 该图标显示在状态区域中，并通知现在可以安装更新. 单击图标或消息以访问选择要安装的更新的选项.

4 = 自动下载更新并按照下面指定的计划安装它们.

使用组策略选项指定计划. 如果未指定任何编程, 所有安装的默认设置为每天 3:00 上午. 如果任何更新需要重新启动计算机才能完成安装, Windows 将自动执行此作. (如果用户在 Windows 即将重新启动时登录到计算机, 用户将收到通知，并可能延迟系统重启。)

5 = 允许本地管理员选择自动更新通知和安装更新的配置模式.

使用此选项, 本地管理员将能够使用 Automatic Updates dashboard 来选择他们选择的配置选项. 例如, 他们可以选择自己的计划安装时间. 本地管理员将无法禁用 Automatic Updates 设置.

使用此设置, 单击 Enabled 并选择其中一个选项 (2, 3, 4 或 5). 如果选择 4, 您可以设置定期计划 (如果未指定任何编程, 所有安装将每天在 3:00 上午).

如果状态设置为 Enabled, Windows 将识别您的计算机是否处于联机状态，并使用您的 Internet 连接检查 Windows Update 网站，以获取适用于此计算机的所有更新.

如果状态设置为 Disabled （禁用）, Windows Update 网站上提供的更新需要从 HTTP 手动下载和安装://windowsupdate.microsoft.com.

如果状态设置为 Not Configured, 不会为组策略指定自动更新的使用. 然而, 经理仍然可以从控制面板设置自动更新.

“指定 Microsoft Update 服务在 Intranet 上的位置”:

指示 Intranet 服务器承载 Microsoft Update 网站的更新. 您可以使用此更新服务自动更新网络上的计算机.

此选项允许您指定网络中的一个服务器作为内部更新服务. 自动更新客户端将检查此服务中是否有适用于您网络上计算机的更新.

使用此选项, 您必须设置两个服务器名称值: 自动更新客户端检测并下载更新的服务器，以及更新的工作站将统计信息上传到的服务器. 您可以在同一服务器上设置这两个值.

如果状态设置为 Enabled, 自动更新客户端连接到指定的 Intranet Microsoft Update 服务, 而不是 Windows 更新, 检查和下载更新. 通过启用此选项, 组织中的最终用户无需使用防火墙来获取更新，并且, 另外, 您将能够在分发更新之前对其进行测试.

如果状态设置为 Disabled （已禁用） 或 Not Configured（未配置），并且, 另外, 自动更新不会被用户策略或首选项禁用, 自动更新客户端直接连接到 Internet 上的 Windows Update 网站.

“启用客户端作为目标”:

指定应用于从 Intranet 上的 Microsoft Update 服务接收更新的目标组的名称.

如果状态设置为 Enabled, 将指定的目标组信息发送到 Intranet 上的 Microsoft Update 服务, 使用它来确定应将哪些更新部署到此计算机.

如果 Intranet 的 Microsoft Update 服务支持多个目标组, 此策略可以指定多个组名称，以分号分隔. 否则, 必须指定单个组.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 目标组信息不会发送到 Intranet 上的 Microsoft Update 服务.

“重新计划自动更新的计划安装”:

指定自动更新在系统引导后应等待的时间, 在继续执行先前无法执行的计划安装之前.

如果状态设置为 Enabled, 尚未执行的计划安装将在下次计算机启动后的指定分钟后执行.

如果状态设置为 Disabled （禁用）, 尚未执行的计划安装将在下一次计划安装时执行.

如果状态设置为 Not configured, 尚未执行的计划安装将在设备下次启动后一分钟进行.

“在安装自动更新时不自动重启”:

它指定, 完成计划的安装, 自动更新应等待任何已登录的用户重新启动计算机, 而不是自动重新启动计算机.

如果状态设置为 Enabled, 如果用户登录到计算机，则自动更新不会在计划安装期间自动重新启动计算机. 相反, 自动更新将通知用户他们必须重新启动计算机才能使更新生效.

请注意，计算机必须重新启动才能使更新生效.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 自动更新将通知用户计算机将自动重启 5 分钟完成安装.

“自动更新检测频率”:

指定 Windows 将用于确定在检查可用更新之前应等待多长时间的时间. 确切的等待时间是通过从此处指定的总小时数中减去 0-20% 相同的. 例如, 如果使用此策略指定 20 小时, 此策略适用的所有客户端将检查更新时间 16 自 20 小时.

如果状态设置为 Enabled, Windows 将按指定的时间间隔检查可用的更新.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, Windows 将在默认间隔 22 小时.

“允许立即安装自动更新”:

指定自动更新是否应自动安装某些不会中断或重新启动 Windows 服务的更新.

如果状态设置为 Enabled, 自动更新将在下载并准备好安装这些更新后自动安装.

如果状态设置为 Disabled （禁用）, 此类更新不会自动安装.

“延迟计划安装的重启”:

指定自动更新在继续计划重启之前应等待的时间.

如果状态设置为 Enabled, 安装完成后，将在指定的分钟数内进行计划的重启.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 默认超时将为 5 纪要.

“重新提示用户干预以使用计划安装重新启动”:

指定自动更新在要求用户再次使用计划的重启进行干预之前应等待的时间.

如果状态设置为 Enabled, 计划重启将在上一个推迟的用户干预请求后的指定分钟后进行.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 默认间隔将为 10 纪要.

“允许非管理员接收更新通知”:

指定非管理员用户, 当您登录时, 根据自动更新设置接收更新通知. 如果设置了自动更新 (按指令或本地) 在下载之前或仅在安装之前通知用户, 此类通知将在任何非管理员用户登录计算机时提供.

如果状态设置为 Enabled, 在确定哪些已登录用户应接收通知时，自动更新将包括非管理员.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 自动更新将仅通知已登录的管理员.

“通过自动更新启用推荐更新:

指定自动更新是否同时提供重要更新和 Windows Update Update 服务推荐的更新.

启用此策略后, 自动更新将安装推荐的更新, 以及来自 Windows Update 服务的重要更新.

禁用或未配置时, 自动更新将继续提供重要更新（如果已设置）.

“启用 Windows Update 的电源管理以自动唤醒系统”:

指定自动更新是否将使用 Windows 电源管理功能自动将系统从休眠状态唤醒, 如果有计划安装的更新.

仅当 Windows Update 配置为自动安装更新时，Windows Update 才会自动唤醒系统. 如果系统在计划的安装时间到达时处于休眠状态，并且有需要应用的更新, Windows Update 将使用 Windows 电源管理功能自动唤醒系统并安装更新.

如果达到安装截止日期，Windows Update 还将唤醒系统并安装更新.

除非有要安装的更新，否则系统不会唤醒. 如果在 Windows 更新唤醒时系统正在使用电池运行, 不会安装更新，系统将在 2 纪要.

“允许来自 Intranet 上 Microsoft Update 服务位置的签名内容”:

指定当更新来自 Intranet 上的 Microsoft Update 服务位置时，自动更新是否应接受由 Microsoft 以外的实体签名的更新.

如果状态设置为 Enabled, 自动更新将接受从 Intranet 上的 Microsoft Update 服务位置接收的更新，前提是这些更新由证书存储中的现有证书签名 “受信任的发布者” 主队.

如果状态设置为 Disabled （禁用）, 来自 Intranet 上 Microsoft Update Services 位置的更新必须由 Microsoft 签名.

来自 Intranet 上 Microsoft Update 以外的服务的更新必须始终由 Microsoft 签名，无论此策略是 Enabled （启用） 还是 Disabled （禁用）.

不错, 配置策略后，我们关闭控制台并从域控制器运行 GPupdate，以便立即应用我们刚刚配置的策略.

如果我们再次打开控制台并转到 “设备” > “所有团队” 和我们的集团, 一段时间后，我们将看到在我们的组中他们已经添加了位置，然后我们将看到他们每个人的状态, 一开始，如果我们没有完全更新它们，我们将看到很多警报或错误.

在 “更新” 我们将看到团队可用的更新状态,

在 “更新” 在 “关键更新” 我们将确切地看到我们拥有什么以及它们处于什么状态, 如果他们获得批准, 有错误… 我们可以应用过滤器来可视化它们.

当然，我们可以生成任何类型的报告，以查看状态图表或将其展示给我们的上级。, 所有这些都在 “报告”.

我们可以为每台计算机生成报告，也可以直接在 WSUS 服务器上生成报告, 和不同类型的.

例如，我们看到我们拥有的设备，但我们看到其中一台设备丢失了 15 updates 和其他已经安装了它们.

我们如何检查一切是否正常？? 例如，查看应用了我们上面生成的策略的 PC 的事件查看器, 例如，我们在这台 PC 上看到哪些已经安装了.

www.bujarra.com – 赫克托·埃雷罗 – NH*****@bu*****.c噢 – v 1.0