大家好,我是一个技术不咋咋滴,但拥有10年网络运维经验的广东虾米。欢迎大家技术交流。
前言:
近期为了优化公司上网宽带,千方百计想尽办法。利用网络行为管理把娱乐、大流量网站该禁就要禁;对办公需求不大的,该限制就要限制;并对所有电脑与办公无关的软件该卸载就卸载。一顿猛如虎的操作,虽然有很大的成效。
但对于电脑数量较多的企业来说,电脑不规则自行*载下**并安装补丁,将占用上网宽带资源不容置疑是非常大的。另考虑有些补丁会对于系统、驱动、软件的稳定性存在一定影响,甚至更新补丁后,无法开机等问题。
考虑以上问题,花了点时间,部署一台Microsoft Windows Server Update Services(简称:WSUS)。WSUS对审核通过的补丁,让中午同事休息时,执行下发客户机更新。并对微软补丁按指定时间(在晚上时间)进行同步WSUS上。废话不多说了,看下面的部署过程。
筹备工作:
1、一台部署AD域控制器的服务器;
2、一台已加域的Server2019服务器(部署WSUS。);
3、服务器和客户机都必须在同一个局域网内,并且可互访;
操作步骤:
一、搭建WSUS服务器,操作如下:
默认你的Server2019服务器加域,不做展示。
1、开始---服务器管理器。
2、仪表板---添加角色和功能。
3、下一页。
4、选择“急于角色和急于功能的安装”,再点“下一页”。
5、选择“从服务器池中选择服务器”,再选择现在这台服务器,再点“下一页”。
6、角色中选择“Windows Server更新服务”,再点“添加功能”。
7、下一页。
8、下一页。
9、下一页。
10、勾选角色服务“WID Connectivity”和 “WSUS服务”,再点“下一页”。
11、勾选“在以下位置中存储更新选择***服务器上的有效本地路径和远程路径”,然后在下面输入正确的更新补丁文件保存的路径,再点“下一页”。
12、下一页。
13、默认,下一页。
14、勾选“如果需要,自动重新启动目标服务器”,弹出窗口,点“是”,再点“安装”。
15、提示安装成功,点“关闭”。
16、再回到服务器管理器的仪表板上,点“菜单栏”的感叹号的小旗,再点“启动安装后任务”。
17、等待提示“安装成功”,到这里就已经部署好一台WSUS服务器了。
二、初始化向导配置WSUS服务器。
1、服务器管理器---仪表板---工具---Windows Server更新服务。
2、如首次打开,自动弹出向导的。也可以手动调出向导,展开更新服务器---选项---WSUS服务器配置向导。
3、下一步。
4、下一步。
5、选择“Synchronize from Microsoft Update”,点“下一步”。
6、有代理服务器的可以勾选,并填写相关内容。否则点“下一步”。
7、开始连接。
8、进度条跑完后,点“下一步”。
9、按需求勾选语言,这样可以节省很多空间。
10、选择指定需要更新的产品。筛选可以节省很多空间,和同步的时间。再“下一步”。
11、勾选“安全更新程序”和“定义更新”,点“下一步”。
12、选择“自动同步”,设置第一次同步的时间,每天同步一次,点“下一步”。
13、可以勾选“开始初始化同步”,点“下一步”。
14、完成。
到此部署WSUS服务器已经完成了。
三、安装扩展组件。
此扩展组件能实现查看计算机更新状态和其他报告内容,需要安装以下两个组件,Microsoft System CLR Types for SQL Server 2012和 Microsoft Report Viewer 2012。
1、*载下**并安装:Microsoft System CLR Types for SQL Server 2012。
https://download.microsoft.com/download/F/E/D/FEDB200F-DE2A-46D8-B661-D019DFE9D470/ENU/x64/SQLSysClrTypes.msi
a、双击运行安装包,Next。
b、选择“I accept the terms in the license agreement”,点“Next”。
c、Install。
d、是。
e、Finish。
2、*载下**并安装:Microsoft Report Viewer 2012。
https://download.microsoft.com/download/8/2/9/829F85E3-AAA6-4B3D-BA75-33B23724DC2F/ReportViewer.msi
a、双击运行安装包,点“下一步”。
b、选择“我同意许可协议中的条款”,点“下一步”。
c、安装。
d、是。
e、完成。
f、验证结果,点“报告”,再点想查看的报告信息,即可查询。
经过以上部署,WSUS服务器的搭建和部署已经好了。
四、AD域控制器,组策略配置。
接着配合AD域控制器服务器,在default domain policy做一个影响全域计算机的自动更新策略。让加域电脑的更新服务器地址,改成本地WSUS服务器地址。
1、打开组策略管理控制台 (GPMC) 中,浏览到默认的default domain policy的 GPO,然后单击“编辑”。
2、依次展开"计算机配置"---"策略"---"管理模板"---"Windows 组件"---"Windows 更新",然后在右侧找到并双击"配置自动更新"。
3、选择"已启用",更新方式有多种,我选择"3-自动*载下**并通知安装",其他按照自己实际选择,然后击“应用和确定”。
4、依次展开"计算机配置"---"策略"---"管理模板"---"Windows 组件"---"Windows 更新",然后在右侧找到并双击"指定 Intranet Microsoft 更新服务位置"。
5、选择“已启用”,在“设置 Intranet 更新服务以检测更新”框和“设置 Intranet 统计服务器”框中键入相同 WSUS 服务器的 URL,例如 http://servername:8530,然后点"应用和确定"。
6、依次展开"计算机配置"---"策略"---"管理模板"---"Windows 组件"---"Windows 更新",然后在右侧找到并双击"自动更新检测的频率"。
7、选择"已启用",默认是22小时,可根据实际来调整间隔,再点"应用和确定"。
8、依次展开"计算机配置"---"策略"---"管理模板"---"Windows 组件"---"Windows 更新",然后在右侧找到并双击"对于已登录用户的计算机,计划的自动更新安装不执行重新启动"。【建议开启】当计算机存在已登录的用户时,装完更新是否重启取决于用户的行为,计算机不会强制重启。
9、选择"已启用",点"应用和确定"。
10、依次展开"计算机配置"---"策略"---"管理模板"---"Windows 组件"---"Windows 更新",然后在右侧找到并双击"允许自动更新立即安装"。
11、对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,可以配置启用"允许自动更新立即安装"。
全域级别的组策略设置完成后,如不想在默认GPO上操作,也可以自定义GPO优先级高于默认的域组策略,所以该GPO所链接到的计算机OU内的计算机客户端都会优先应用该策略。
到这里就结束了!关注我,与你一起学习进步。
如果大家有好的意见,或有不明白的地方,可以评论互动,或者私信我。写教程文章真的非常不易,视频1分钟讲完。写文章就花1-2小时截图、内容排版、内容审核,真的非常耗时。希望内容对你有帮助,帮忙收藏、转发、关注。感谢老铁们。