Windows Server Update Services (WSUS)是Windows用來部署更新的伺服器,其實我已經架設很久,但是又是懶病發作,一直沒有把資料放上來,最近因為解決了用GPO布署更新的一些問題,就順便把這段安裝過程全部寫進來。會用到這項服務的狀況,通常會是在企業內部的網路,因為某些Windows電腦不能夠讓它們連到外網,所以得要把更新資料先由WSUS主機下載好,再供其他網域內的電腦去下載更新,這種統籌的作法會比較安全和方便整合,適合超過20台Windows電腦的網域來做。
一.安裝流程
先準備一台Windows Server,CPU 4 core、8 RAM,硬碟空間建議至少200G,之前只準備100G,結果很快就爆了,畢竟是要下載很多更新檔,空間太小可不行,而且最好建立一個新的D磁區,不用跟C槽混用。
 |
| 選「新增角色和功能」 |
 |
| 直接下一步 |
 |
| 繼續下一步 |
 |
| 還是下一步 |
 |
| 勾選「Windows Server Update Services」 |
 |
| 點選「新增功能」 |
 |
| 勾選「Windows Server Update Services」 |
 |
| 如果沒有要額外裝什麼東西就繼續按下一步 |
 |
| 繼續按下一步 |
 |
| 這邊勾「WID資料庫」和「WSUS服務」 |
 |
| 要到自己電腦上新增一個資料夾,取名叫WSUS,建議放在D槽 |
 |
| 這邊指定WSUS要安放資料的路徑是D:\WSUS,下載下來的資料最後都會放在此處 |
 |
| 網頁伺服器是主要的建立通訊協議,不管是用戶報到還是主機部署,都是用http來通訊 |
 |
| 繼續下一步 |
 |
| 勾「必要時自動重新啟動目的地伺服器」,然後繼續 |
 |
| 接下來就會開始安裝了 |
 |
| 安裝大概只需要幾分鐘就搞定 |
 |
| 安裝完畢就按繼續 |
 |
| 安裝完後就會看到部署程式開始啟用 |
 |
| 跑完之後就會看到Windows Server Update Services出現在服務欄目內,點選它 |
 |
| 開啟以後就按下一步 |
 |
| 改進方案可以不用勾,然後按下一步 |
 |
| 不需要指定其他伺服器,我們只要從Microsoft Update官網上去下載更新檔 |
 |
| 直接按下一步 |
 |
| 準備測試跟微軟官方連線 |
 |
| 按「開始連線」 |
 |
| 連線中....... |
 |
| 被要求再做一次確認,要將安裝檔放在指定的路徑,跟前面設定一樣選D槽 |
 |
| 繼續給它跑 |
 |
| 跑完了 |
 |
| 安裝更新檔必須選中文和英文,其他沒必要就不選了,不然檔案會太多 |
 |
| 這邊就要自己選所需的更新套件種類,愈多的話容量就會被佔愈多 |
 |
| 給WSUS選擇一個去官網去下載資料的時間,這個排程就會每天自己去抓我們所指定的更新檔 |
 |
| 然後就下一步 |
 |
| 最後按「完成」 |
 |
| 開啟WSUS,這時候就會看見很多更新可下載了 |
二.用GPO部署用戶端更新
用戶端可以自己指定向WSUS報到,這樣就會自動去抓更新檔,但想也知道這樣太麻煩,用戶端太多的時候就會知道一台台自已安裝的痛苦,所以這時候網域GPO就是很好用的東西,一但部署成功的話,用戶電腦就會自己前來報到並抓更新。這邊我卡比較久,因為在設定GPO過過程中沒搞懂GPO的部署層級,後來弄懂後就得要好好紀錄一下流程,以免又忘記很多細節。
 |
| 到AD主機上的「群組原則管理」,新增一個原則物件,取名WSUS |
 |
| 再對WSUS物件按右鍵編輯,進到群組原則管理編輯器,選「電腦設定」>「原則」>「系統管理範本」>「Windows元件」>「Windows Upadate」,針對「設定自動更新」與「指定近端內部網路Microsoft更新服務的位置」這兩個項目 |
 |
| 「設定自動更新」要開啟並設定報到更新的時間 |
 |
「指定近端內部網路Microsoft更新服務的位置」要開啟,並指定WSUS那台主機的ip和8530 port,設定錯誤的話,用戶端報到更新就會失敗
|
 |
| 把WSUS原則放在Default Domain Policy下面,這樣網域內的Window電腦,包括server都會被部署,當然也可以直接在Default Domain Policy上設定,這由管理員自己決定就好 |
如果要用戶驗證的話,就找一台網域內的Windows電腦看一下有沒有被GPO部署成功就知道了。
 |
開啟cmd,輸入gpupdate /force,就會馬上更新電腦上的群組原則。
|
 |
| 搜尋regedit,並打開登錄編輯程式,到以下路徑就可以看到機碼有沒有WSUS報到的結果:電腦\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate |
三.清理舊資料
前面雖然說到要先準備200G的硬碟空間,但如果沒有設定好要下載的項目或者是太多過時的膽檔案,200G空間塞爆是非常快又容易發生的情況。記得我第一次安裝WSUS時,勾了下載全部工具和套件,結果硬碟一天內就滿了,所以在設定要安裝什麼檔案時要慎選,然後偶爾去清理一下過時資料,像有Windows Server 2008的套件,在我把相關的服務系統都關掉後,WSUS就沒必要保留了,不用留著佔空間。
 |
| 啟用伺服器清理精靈 |
 |
| 很簡單地就可以直接進行 |
 |
| 這功能可以把一些過時的檔案和清除掉已從網域離線很久的主機 |
四.安全性更新的管理
如何管理和部屬也是一門重點,主要是管理者要可以判斷哪些安全性更新要下載並部署,除了關係到部署的必要性之外,也要考慮到資源的限制,不能把所有的安全性都核准,不然硬碟遺下就爆了,也不能太草率地馬上把更新檔部署到每一台電腦上,因為也不知道是否更新後會出問題(尤其是剛出來的更新檔),所以識別更新檔的能力也是很重要的。
 |
| 如果是重大更新的話通都會盡快核准,但如果是安全性的話就要視情況決定 |
以上圖為例,先識別此項的安全性更新中的數據
1.「需要安裝這個更新的電腦:85 台」:
表示 WSUS 檢測到 85 台電腦確實適用該更新,且目前還未安裝。
2.「已安裝或不適用的電腦:17 台」:
.「已安裝」→這些電腦已成功安裝此更新。
.「不適用」→WSUS 確認這些電腦不需要此更新,可能的原因包括:
這些設備沒有安裝 Office 2016 64 位元版,因此無需更新。
這些設備已經安裝了該更新的較新版本,或者是不同版本的 Office(例如 32 位元)。
3.「沒有狀態的電腦:17 台」:
這些電腦尚未回報其更新狀態,可能的原因:
.這些電腦近期沒有聯繫 WSUS 伺服器。
.WSUS 尚未收到這些電腦的報告(可能是 GPO 設定問題或同步未完成)。
.這些電腦不再使用 WSUS 進行更新管理(例如已經移除或離線)。
至於「已安裝或不適用的百分比:14%」的計算方式是:
85+17/17×100=14%
(表示所有回報的設備中,只有 14% 的電腦已經處理(安裝或不適用)此更新,其餘 86% 仍未安裝。)
 |
| 若確定要部署的話就按下核准,系統將針對可安裝且需要的電腦部署 |
 |
| 勾選需部署的群組,通常都選所有電腦,然後確認 |
 |
| 接下WSUS就會去抓更新檔並且依GPO部署台電腦上 |
四.隨時追蹤最新的更新檔問題
常有新聞出來警示微軟所發布的最新更新檔有重大瑕疵,很可能會導致用戶系統安裝後出問題,其實也不光是Windows,Apple的iOS也時常讓用戶當白老鼠,先安裝者發生各種奇怪的問題,所以當遇到更新出包的時候要特別小心,最好是等到下一版本的更新出來之後再觀察後安裝。
出現這種情形,就知道這個更新檔很有問題,當然得要擱置並觀察一段時間再做處理。
 |
| 剛出現災情,此時遇到這種更新檔就不要急於核准 |
這套系統比較適合用於Windows比較多的網域,畢竟它無法對MacOS或Linux做更新,如果Windows電腦沒有很多台的公司環境,其實也不一定要架設這台更新系統,就看公司規模及需求來決定。
沒有留言:
張貼留言