在實際安裝執行前,先在網路找了很多資料參考.
看起來好像很簡單,但是事情通常不是表面看起來的那個樣子,並沒有想像的簡單,而且非常繁瑣的,在查找資料上及理解上和實際操作上,著實花費了非常多的時間,日也想,夜也想,公司想,在家也想.
WSUS:Windows Server Update Service[Windows Server 更新服務]
WSUS 伺服器系統定期透過網際網路直接連至國外 Microsoft Windows Update 網站檢查是否有新的 Windows 更新檔案,如果有新的更新檔案,即下載儲存.公司內 WSUS Client經由適當的設定後,可直接連至公司的 WSUS 伺服器自動下載套件更新 Windows 系統,Client無需再透過Internet連線更新,可節省網路頻寬且更能達到快速下載套件的目標.
目的:
1.節省Windows Update時的Internet網路流量.
2.節省Windows Update時的Intranet網路流量.
3.集中控管更新的套件(如:Service Pack,Hot Fix).
4.管理更新套件-核准,拒絕,移除.
5.分散部署更新套件.
6.縮短整體更新套件下載時間.
參考資料:
http://technet.microsoft.com/zh-tw/library/dd939822(v=ws.10).aspx
http://technet.microsoft.com/zh-tw/library/dd939822(v=ws.10).aspx
http://sakananote2.blogspot.tw/2010/05/windows-server-2008-wsus.html
http://my-fish-it.blogspot.tw/2012/11/ss-windows-server-2008-r2-wsus.html
http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/add557ff-29ff-4b7d-911a-993bb4877e62/
Windows Server Update Services 3.0 SP2 版本資訊
Windows Server Update Services 3.0 SP2 逐步指南
Microsoft Windows Server Update Services 3.0 SP2 循序漸進指南 下載
Microsoft Report Viewer 2008 SP1 Redistributable - 繁體中文 下載
大致步驟如下:
一. 安裝Windows Server 2008 R2 Standard Edition 64bits SP1作業系統.
七. 套用GPO
參考資料:
http://technet.microsoft.com/zh-tw/library/dd939822(v=ws.10).aspx
http://technet.microsoft.com/zh-tw/library/dd939822(v=ws.10).aspx
http://sakananote2.blogspot.tw/2010/05/windows-server-2008-wsus.html
http://my-fish-it.blogspot.tw/2012/11/ss-windows-server-2008-r2-wsus.html
http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/add557ff-29ff-4b7d-911a-993bb4877e62/
Windows Server Update Services 3.0 SP2 版本資訊
Windows Server Update Services 3.0 SP2 逐步指南
Microsoft Windows Server Update Services 3.0 SP2 循序漸進指南 下載
Microsoft Report Viewer 2008 SP1 Redistributable - 繁體中文 下載
大致步驟如下:
一. 安裝Windows Server 2008 R2 Standard Edition 64bits SP1作業系統.
安裝WSUS SP2前,執行作業系統Windows Update,將所有更新安裝上去.
二. 安裝 Microsoft Report Viewer 2008 SP1 Redistributable - 繁體中文.
三. 安裝 Windows Server Update Service.
點選 伺服器管理員 > 角色 > 新增角色
勾選 Windows Server Update Service
在安裝過程會要求同意下載Windows Server Update Service 3.0 SP2
- 包含管理主控台的完整伺服器安裝.
- 選擇存放更新套件的目錄 ( 預設 C:\WSUS ).
- 選擇資料庫的相關選項 ( 預設 C:\WSUS ) Windows Internal Database.
- 使用現有的IIS預設網站(http://伺服器名稱).
- 安裝
四. 安裝IIS網頁伺服器
勾選 網頁伺服器(IIS)
除預設外,另需勾選 ASP.NET,Windows 驗證,動態內容壓縮與IIS 6管理相容性.
五. 點選 開始 > 系統管理工具 > Windows Server Update Services
- 是否要參加 Microsoft Update 改進方案 (否)
- 選擇要同步處理的上游伺服器 [從 Microsoft Update 同步處理]
- 是否指定 Proxy 伺服器 [否]
- 點選 開始連線(S) 下載更新資訊
- 勾選要下載哪些語言 [中文(繁體),中文(簡體),英文]
- 勾選要更新哪些產品 [Office All Version,Windows 2000,Windows XP,Windows 7,Windows 2003,Windows 2008](不要一次勾選太多產品,否則從微軟Update網站下載的流量會太多)(5/17)
- 勾選要同步哪些分類 [Service Pack,功具,工能套件,安全性更新,更新,定義更新,重大更新]
- 勾選同步處理的方式與排程 [自動同步處理,第一次同步處理:上午12:10,每天同步處理:1次](5/16)
- 設定
六. 在Windows網域環境透過AD GPO來大量部署.
電腦設定>原則>系統管理範本>Windows 元件>Windows Update 設定相關更新參數.
- 啟用 不要在關機Windows對話方塊中顯示,"安裝更新並關機"選項 (不要顯示安裝更新並關機)
- 啟用 設定自動更新 [自動下載和排程安裝,每天 15:00 排程安裝]
- 啟用 指定內部網路Microsoft 更新服務的位置 [兩個都設定為http://伺服器名稱]
- 啟用 不隨著使用者登入而自動重新啟動已排定的自動更新安裝 (不會在使用者登入電腦的情況下,在排定的套件安裝完成後自動重新開機,而是會通知使用者重新開機)
- 啟用 自動更新偵測頻率 [5小時][4-5小時之間檢查一次](5/16)(指定 Windows 將用幾小時來判定等候時間,再檢查是否有可用的更新。確切的等候時間是由此指定的時數減去指定的 0% 到 20% 的時數。 例如,如果以此原則指定 20 小時偵測頻率,那麼所有適用於此原則的用戶端將會每 16 到 20 小時之間檢查一次是否有可用的更新。)
- 啟用 允許立即安裝自動更新(指定「自動更新」是否該自動安裝一些既不會插斷 Windows 服務,也不會重新啟動 Windows 的更新。)
- 啟用 再次提示排程安裝所需的重新啟動[必須等待的時間(分鐘:1440)](指定再次提示排程的重新啟動前,「自動更新」必須等待的時間。)(5/16)
- 啟用 允許非系統管理員收到更新通知. (This policy setting allows you to control whether non-administrative users will receive update notifications based on the "Configure Automatic Updates" policy setting.)
七. 套用GPO
- 不要修改Default Domain Policy GPO與Default Domain Controllers GPO,新增一GPO套用至OU.[可針對不同OU設定GPO]
- 依預設,群組原則每隔 90 分鐘在幕後更新一次,但會有 0 到 30 分鐘的隨機時差.如果想盡快更新群組原則,可在用戶端電腦的命令提示字元中輸入XP:gpupdate /force,2K:secedit /refreshpolicy machine_policy /enforce
- 手動讓 WSUS 伺服器開始進行偵測,在命令提示字元中,輸入 wuauclt.exe /detectnow
- 搭配資產管理軟體,如SmartIT的命令執行功能.
- 要顯示右下方更新的盾牌,GPO內的使用者設定>Windows設定>系統管理範本>Windows 元件>Windows update,取消 "移除使用所有Windows Update功能的存取"的Policy.
八. 設定代理WSUS伺服器[下游伺服器].(4/25)
下游伺服器為Windows Server 2003 R2 Standard Edition 32bits SP2
下載並安裝 Microsoft 報表檢視器可轉散發套件 2008_ReportViewer_繁體.
下載並安裝 WSUS30-KB972455-x86 版本.
安裝後,於下游伺服器的設定過程中設定上游伺服器資訊.
在上游伺服器的Console於下游伺服器ICON,點選新增伺服器到主控台,可於上游伺服器的Console中管理下游伺服器,要注意下游伺服器的連接PORT.
下載並安裝 Microsoft 報表檢視器可轉散發套件 2008_ReportViewer_繁體.
下載並安裝 WSUS30-KB972455-x86 版本.
安裝後,於下游伺服器的設定過程中設定上游伺服器資訊.
在上游伺服器的Console於下游伺服器ICON,點選新增伺服器到主控台,可於上游伺服器的Console中管理下游伺服器,要注意下游伺服器的連接PORT.
- 包含管理主控台的完整伺服器安裝.
- 選擇存放更新套件的目錄 ( 預設 D:\WSUS ).
- 選擇資料庫的相關選項 ( 預設 D:\WSUS ) Windows Internal Database.
- 不使用現有的IIS預設網站(http://伺服器名稱:8530),因該伺服器已有預設網站使用PORT80.
- 安裝
- 要注意,選擇要同步處理的上游伺服器 [從其他Windows Server Update Services 伺服器同步處理],輸入伺服器名稱時,不需輸入http://字串,並勾選這是上游伺服器的複本.
- 勾選同步處理的方式與排程 [自動同步處理,第一次同步處理:上午02:00,每天同步處理:1次](5/16)
九. 開始設定WSUS
目前先以總公司與台北分公司的Client來測試.
如何在WSUS Management Console操作更新設定?
何為沒有更新的狀態?
有太多套件沒有更新,要好好思慮一下,如何安排?
不要造成Intranet極大的負擔或是增加Client端Loading.
嘗試設定群組,將群組內的電腦減少,不要一次更新太多電腦,分散更新數量,也分散抱怨.(5/14)
加入所有分公司(6/10),這個動作最好是在下班時做,這樣才會在晚上及凌晨從WSUS抄寫至代理WSUS.
加入六個據點(7/15)
加入全部(11/8)
測試中.
何為沒有更新的狀態?
有太多套件沒有更新,要好好思慮一下,如何安排?
不要造成Intranet極大的負擔或是增加Client端Loading.
嘗試設定群組,將群組內的電腦減少,不要一次更新太多電腦,分散更新數量,也分散抱怨.(5/14)
加入所有分公司(6/10),這個動作最好是在下班時做,這樣才會在晚上及凌晨從WSUS抄寫至代理WSUS.
加入六個據點(7/15)
加入全部(11/8)
測試中.
注意事項:
1.核准後會開始下載更新套件,而且會同步至下游伺服器,要注意核准數量,否則會吃光Intranet頻寬.
2.當更新套件在安裝時,是不是呈現在svchost.exe上.
3.wuauclt.exe是Windows自動更新時的相關程序.(5/15)
4.如何確認WSUS有在運作?(5/23)
增加中.
沒有留言:
張貼留言