Windows2003Server：Windows Server Update Services 3.0 架設

資料來源：http://www.weithenn.idv.tw/cgi-bin/wiki.pl/Windows2003Server%EF%BC%9AWindows_Server_Update_Services_3.0_%E6%9E%B6%E8%A8%AD

【前言】

簡單說就是由公司一台 WSUS Server 去跟 Windows Security Patch Server Update 後，再派送給內部網路電腦使用，如此可以使得內部網路更新 Patch 速度加快，更節省了不必要浪費的頻寬。

【作業環境】

Windows Server 2003 SP2

[Windows Server Update Services 3.0 - 繁體中文]

Windows Server Update Services 3.0(含) SP1繁體中文

[Microsoft .NET Framework 2.0 版可轉散發套件 (x86)]

[Microsoft Report Viewer Redistributable 2005]

[WSUS Server Diagnostic Tool (WSUS Server 診斷工具)]

[WSUS Client Diagnostic Tool (WSUS Client 診斷工具)]

關於更詳細的軟、硬體安裝需求可以參考[Microsoft Windows Server Update Services 3.0 入門逐步指南]

【安裝及設定】

　

安裝 Windows Server Update Services 3.0

Step1.開始安裝 Windows Server Update Services 3.0

點選下載的 WSUS3Setupx86.exe 開始安裝 Windows Server Update Services 3.0

Step2.指定更新檔存放處

指定更新檔存放處，若有勾選【在本機存放更新】則 WSUS Server 會下載更新檔存放到您指定的資料夾，若沒有勾選屆時 WSUS 用戶端還是會連線到 Microsoft Patch Server 去更新。

Step3.指定使用何種資料庫

可以使用 MSSQL 或是使用 Windows Internal Database 資料庫。

Step4.指定 WSUS Service Listen Port

指定到時啟動的 WSUS Service 要 Listen Port 是 80 或 8530。

　

設定 Windows Server Update Services 3.0 組態

Step1.開始設定 Windows Server Update Services 3.0 組態

安裝完 Windows Server Update Services 3.0 後會自動帶起 Windows Server Update Services 3.0 組態精靈來繼續設定。

Step2.測試 WSUS 上游伺服器連線狀態

本次我的實作所指的上游伺服器指的是 Microsoft Update Server，按下【開始連線】後會偵測連線狀態，偵測完畢後就可以按【下一步】繼續設定 WSUS Server 組態了

Step3.設定跟 WSUS 上游伺服器同步更新檔時間排程

【每天同步處理】次數指的是，若依我設定【第一次同步處理為 上午 5:00】，若我設定【每天同步處理】次數為【3】次的話 (24 小時 / 3 次 = 間隔 8 小時)，則代表 WSUS Server 會在每天的上午 5:00、下午 1:00、下午 9:00 跟 WSUS 上游伺服器同步更新檔。

Step4.開啟 Windows Server Update Services 3.0

設定完 WSUS Server 組態後，我們便可以把 Windows Server Update Services 3.0 叫出來玩了，進入 WSUS 後切換到【選項】裡面列出的項目，就是可以回到我們在【設定 Windows Server Update Services 3.0 組態】的那些選項。

　

設定 WSUS Client (無 AD 環境)

Step1.開啟本機郡組原則

【開始】-->【執行】-->鍵入【gpedit.msc】-->【確定】

Step2.新增 WSUS 系統管理範本

點選【電腦設定】-->【系統管理範本】-->【新增 / 移除範本】

按下【新增】-->【C:\WINDOWS\inf\wuau.adm】-->【開啟】後可看到 【wuau】範本被新增了，按【關閉】離開

Step3.管理 Windows Updates 原則

新增【wuau】範本後，可在【電腦設定】-->【系統管理範本】-->【Windows元件】下發現【Windows Updates】項目，右邊則為所有可設定的原則項目

Step3-1.設定自動更新原則

設定 WSUS Client 排程找 WSUS Server 更新 Patch 的時間，點選【自動更新】-->【右鍵】-->【內容】，設定為每天中午 12 點 WSUS Client 會找 WSUS Server 檢查是否有需求更新的 Patch。

套用原則之後當你在檢查你的自動更新項目時會看到自動更新已經設定到每天中午 12 點了。

Step3-2.設定 WSUS Server IP or Hostname

指定我們架設的內部 WSUS Server IP 或 Hostname，點選【指定內部網路 Microsoft 更新服務的位置】-->【右鍵】-->【內容】，此次我實作的 WSUS Server 其 Hostname 為 KAV，因此設定為 http://kav

Step3-3.設定 WSUS Client 更新後是否重新啟動

設定 WSUS Client 更新安全性更新檔案後本機電腦是否要重新啟動，點選【不自動重新啟動排定的自動更新安裝】-->【右鍵】-->【內容】。

　

• 已啟用：更新完成後會跳出自動更新通知 (立即重新啟動、稍後重新啟動)
• 尚未設定、已停用：更新完成後會跳出五分鐘倒數視窗，若未取消則本機將自動重新啟動

Step3-4.設定 WSUS Client 是否自動安裝更新檔

設定 WSUS Client 自 WSUS Server 下載安全性更新後是否自動安裝安全性更新檔案，點選【允許立即安裝自動更新】-->【右鍵】-->【內容】。

　

• 已啟用：自 WSUS Server 下載安全性更新後自動安裝安全性更新檔案
• 尚未設定、已停用：自 WSUS Server 下載安全性更新後通知是否要安裝安全性更新檔案。

Step3-5.執行 WSUS Client 診斷工具

原則設定完成並套用後，我們可執行 [WSUS Client Diagnostic Tool (WSUS Client 診斷工具)] 來檢查看我們的原則設定是否正確，至少要確定連接到 WSUS Server 的部份是正常的，執行 WSUS Client 診斷工具可看到目前 WSUS Client 要設定連接到 WSUS Server (我的 WSUS Server http://kav)

Step3-6.查看 WSUS Client 更新狀態記錄檔

原則設定完成並套用後，我們可以查看 WSUS Client 的更新狀態記錄檔來查看是否運作正常，可看到是否連接到 WSUS Server、把 WSUS Client 的更新狀態回報給 WSUS Server、更新哪些安全性更新。

　

 C:\WINDOWS\WindowsUpdate.log

Step3-7.匯出 WSUS Client 原則設定

因為是在無 AD 環境下所以無法套用郡組原則 (GPO)，來一次套用郡組原則在大量的 WSUS Cleint 電腦，難道就要一台一台設定嗎？當然不是，我們一樣可以設定一台完成之後，匯出他的原則設定成為機碼 (Registry) 每台只要匯入該機碼後便等於套用 WSUS Client 原則設定了，不過前提記得是該主機已經有新增【wuau】系統範本了哦 (Windwos XP 預設就有了)

【開始】-->【執行】-->鍵入【regedit】-->切換至【HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate】-->【右鍵】-->【匯出】-->輸入【機碼 (Registry)名稱】-->【儲存】，即完成 WSUS Client 原則設定機碼 (Registry) 匯出，之後需要套用的 WSUS Client 只要點選二下機碼 (Registry) 即可。

Step3-8.手動更新郡組原則

當 WSUS Client 郡組原則設定完成後要經過多久時間才會出現在 WSUS Server 內？

　

• 若是在 AD 環境下則為郡組原則重新整理後的 20 分鐘 (預設下郡組原則為 90 分鐘整理一次，但可能會有 0 ~ 30 分鐘的隨機時差)
• 無 AD 環境下則當郡組原則套用後預設為立刻生效，若手動重新整理郡組原則需花費 20 分鐘。

　

 【開始】-->【執行】-->鍵入【gpupdate /force】          //手動更新郡組原則

Step3-9.手動命令 WSUS Client 立刻找 WSUS Server 更新

WSUS Client 預設會在您設定的【自動更新】排程時才會去找 WSUS Server 看是否有需要更新的安全性更新檔案，若您想讓 WSUS Client 立刻去找 WSUS Server 則可輸入以下命令。

　

 【開始】-->【執行】-->鍵入【wuauclt.exe /detectnow】    //手動更新郡組原則

WSUS Server 畫面補充

當 WSUS Client 執行報告回覆 (Reporting) 給 WSUS Server 時，這時 WSUS Server 便可看到該 WSUS Client 主機硬體資訊及相關狀態 (例如還有多少未更新的安全性更新)。

WSUS Client 更新後是否重開機了。

也可執行[WSUS Server Diagnostic Tool (WSUS Server 診斷工具)]來檢查 WSUS Server 設定是否正常。

記得 WSUS Server 必須對下載的安全性更新核准，如此一來 WSUS Client 才會下載安全性更新。

【參考】

[Microsoft Windows Server Update Services 3.0 說明檔]

[自動更新的群組原則設定說明檔]

[自動更新概觀說明檔]

[Windows Server 2003 - SUS Software Update Services]

[Microsoft Windows Server Update Services 入門逐步指南]

[Windows Server Update Services 3.0 - 繁體中文]

[Microsoft Windows Server Update Services 3.0 入門逐步指南]

[Readme for Microsoft Windows Server Update Services 3.0]

[以 WSUS 規劃整合]

[Microsoft Windows Server Update Services Tools and Utilities]

[WSUS Server Diagnostic Tool (WSUS Server 診斷工具)]

[WSUS Client Diagnostic Tool (WSUS Client 診斷工具)]

[Microsoft Windows Server Update Services (WSUS) SelfUpdate 服務並不會將自動更新]

[NewSID v4.10]

[關於磁碟複製的 Windows XP 安裝的 Microsoft 原則]

[wsus client有部份未出現在主控台中 - 微軟技術論壇 (Microsoft TechNet Forum) for IT Professionals and IT Managers]

[WSUS Client FAQ]

[vLAB Forums :: 觀看文章 - 請問有關WSUS問題..]

【Me FAQ】

Q1.無法順利安裝 Windows Server Update Services 3.0

Error Meaage:

點選 WSUS3Setupx86.exe 欲開始安裝 Windows Server Update Services 3.0 但在安裝途中會出現如下訊息而停止安裝。

Ans:

在安裝 Windows Server Update Services 3.0 前 WSUS Server 請檢查如下項目

　

• IIS Service 是否正確啟動
• [Microsoft .NET Framework 2.0 版可轉散發套件 (x86)]
• [Microsoft Report Viewer Redistributable 2005]

【Log】

初稿-2007/08/13

文件資料重製-2008/05/08