使用ＷＳＵＳ ３．０布署校園網升級服務器

摘要：通過實例簡要介紹了WSUS 3.0的特性，安裝和管理方法，以及客戶端的安裝方法和常見故障排除。

關鍵詞：Windows Update；WSUS 3.0；客戶端

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)05-10856-03

1 引言

隨著校園信息化的不斷推進，校園網絡已成為校園信息化應用的基礎平臺，在學校的教學和科研中發揮著重要的作用。如何保證校園網安全、高效地運行成為網絡管理員面臨的課題。由于大多數網絡或者是病毒入侵是系統本身的漏洞造成的，而且校園網內計算機的分布呈高密度狀態，計算機之間極易發生病毒的交叉感染。因此，在補丁推出的第一時間安裝，已經成為校園網安全的重要一環。

通過部署WSUS，建立校園網內部系統更新服務器，讓學校的所有計算機直接到這臺更新服務器上下載補丁，這樣就避免了下載補丁時的低速以及大量電腦一起下載時對網絡出口帶寬的占用，使得更新補丁的時間大大縮短，提高了安全性。另外，對于沒有連接到Internet的計算機，只要在內網中可以訪問這臺更新服務器也可以更新系統補丁。

本文根據作者的實踐，來說明在校園網內部署WSUS 3.0，管理方法，客戶端布置方法以及一些常見問題的處理。

2 WSUS 3.0簡介

WSUS 3.0(Windows Server Update Services)是微軟公司推出的最新版WSUS版本，除了繼承2.0的優點外，還增加了以下一些主要新特性：

(1)從管理控制臺管理 WSUS：WSUS 3.0 管理控制臺已從基于 Web 的控制臺變為 Microsoft 管理控制臺 3.0 版的一個插件，更便于使用；

(2)配置向導：使用向導配置安裝后的任務，指導新用戶進行安裝后的服務器配置過程；

(3)準確性更高的多個報告：現在可以直接從更新視圖生成報告。可以報告更新的子集，如計算機需要但還未批準安裝的安全更新；

(4)可使用清除向導從服務器中刪除舊的計算機、舊的更新和舊的更新文件；

(5)更快獲得更新：使用 WSUS 3.0，可以將服務器配置為最快每隔一小時自動同步更新一次（而 WSUS 2.0 則是每天一次）；

(6)采用更快的性能：WSUS 3.0 可獲得比 WSUS 2.0 高大約 50％ 的可伸縮性。

3 WSUS 3.0的布置

3.1 WSUS的布置場景

WSUS的布置場景有單WSUS服務器環境、鏈式WSUS服務器環境、和Internet斷開的WSUS服務器環境三種，本文以最常見的單WSUS服務器、非域環境為例來說明，如下圖所示：

3.2 WSUS服務器端安裝需求

軟件：必需組件：Windows Server 2003 Service Pack 1或以上版本、IIS6.0或以上版本、BITS2.0或以上版本、Windows Installer 3.1或以上版本、Microsoft .NET Framework 2.0。可選擇的安裝條件：Microsoft Management Console 3.0、SQL Server 2005 Service Pack 1、Microsoft Report Viewer Redistributable 2005。

盡管安裝 WSUS 需要SQL SERVER數據庫軟件，但并不是一個必需組件，原因是 Windows Server 2003 上的默認 WSUS 安裝包括 Windows SQL ServerTM 2000 Desktop Engine (WMSDE) 數據庫軟件。

3.3 WSUS 3.0的安裝

添加必需組后，執行WSUS 3.0安裝文件，選擇“包括管理控制臺的完整服務器安裝”，然后根據具體需求依次選擇相應選項，如無特殊需求，建議使用系統默認選項。

安裝完成后，系統會自動啟動配置向導，根據向導依次設置更新源（從Windows Update進行同步）、設置語言、指定產品更新及更新分類、設定同步模式等，安裝完成后的界面如下圖所示：

4 WSUS 3.0的管理模式

4.1 本地管理

我們可以直接登錄到服務器上，在管理工具中選擇Microsoft Windows Server Update Services 3.0，啟動管理控制臺來管理WSUS 3.0服務器。所使用的登錄帳號必須屬于WSUS Administrators和WSUS Reporters組或者是Administrators組。

4.2 遠程管理

Wsus 3.0也支持遠程控制臺管理模式，可以在網絡中的任意一臺計算機上安裝WSUS 3.0管理控制臺以實現，具體方法如下：

首先在服務器端創建具有WSUS管理權限的帳號和密碼（隸屬于WSUS Administrators或者是Administrators組），在客戶端創建相同的帳號和密碼。然后在客戶端安裝下列組件：Mmc 3.0、.NET Framework 2.0、Windows installer 3.1，執行WSUS 3.0安裝文件，選擇“只安裝管理控制臺” ，安裝完成后會在系統管理工具中出現WSUS 3.0控制臺。右鍵單擊控制臺，選“運行方式”——“下列用戶”，輸入創建的帳號和密碼。打開控制臺后，選擇“連接到服務器”，輸入服務器的IP地址和所使用的端口號，即可正常連接到服務器。如果在網絡上有多臺WSUS 3.0服務器，均可在同一客戶端控制臺上進行管理。

5 客戶端的布置

以Windows Xp為例，一般有兩種方法：

5.1 通過本地安全策略設置

打開組策略編輯器（Gpedit.msc），依次打開本地計算機策略——計算機配置——管理模板——Windows組件——Windows Update，則會出現有關于客戶端升級配置的一些選項。一般我們只需要將 “配置自動更新”配置為已啟用；“指定Intranet Microsoft更新服務位置”配置為已啟用，輸入WSUS服務器和統計服務器的位置，例如“http://192.168.0.30”，如果使用的不是80端口，還要在后面加上所使用的端口號；“自動更新檢測頻率”配置為已啟用，根據需要定義時間。點確定后即可完成客戶端設置。其它的配置可根據具體需求定義。在此不再贅述。

5.2 編輯注冊表

對于某些Windows XP，可能不帶組策略編輯器組件，主要指OEM版XP，這時如果要使用WSUS，則需要編輯注冊表項，內容及相關注釋如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate]

\"WUServer\"=\"http://192.168.0.30 \"http://WSUS更新服務器位置

\"WUStatusServer\"=\"http://192.168.0.30\"http://WSUS更新統計服務位置

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU]

\"UseWUServer\"=dword:00000001//表明使用本地wsus更新服務器

\"DetectionFrequencyEnabled\"=dword:00000001//數據范圍：0，1。0：禁用自動更新檢測頻率策略；1：啟用自動更新檢測頻率策略。這里設置為1，下面的參數才有效。

\"DetectionFrequency\"=dword:00000001//數據范圍：1~22，相當于組策略設置中的“自動更新檢測頻率”的時間間隔設置，1～22代表自動更新檢測的時間間隔，單位小時。設置檢測的頻率。

\"AutoInstallMinorUpdates\"=dword:00000001//數據范圍 ：0，1。0 ：對較小的補丁包和安裝其他更新補丁包一樣予以提示 ；1 ：后臺靜默地安裝較小的補丁包而不予提示。

\"NoAutoUpdate\"=dword:00000001//數據范圍：0，1。0：啟用“配置自動更新”策略；1：禁用“配置自動更新”策略。設置為0，表明自動升級。

\"AUOptions\"=dword:00000004//數據范圍：2～5。2：在下載更新前提示；3：自動下載更新并提示安裝；4：下載更新后按預設的時間自動安裝（僅當scheduledDay and SheduledInstallTime項設置好后才有效）；5：選擇自動更新，但客戶端可以配置更新模式。

\"ScheduledInstallDay\"=dword:00000000//數據范圍：0～7。0：每天；1：每周日；2：每周1，3：每周2；…；7：每周6；設置為0，表示每天都檢測升級。

\"ScheduledInstallTime\"=dword:00000014//數據范圍：0～24，設置安裝補丁的時間。

將以上內容存為以REG為擴展名的注冊表文件，導入到注冊表中即可。也可用相關軟件將內容打包成可執行文件，在客戶端直接執行。關于WSUS注冊表還有其它一些設置，但以上內容已經可以使客戶端正常連接到服務器，其它內容不再詳述。

完成后，如果想使設置立即生效，則可在命令提示符下輸入wuauclt/detectnow，可以實現WSUS服務器和客戶端之間的偵測，可以很快連接上服務器下載更新。

6 客戶端布置時的主要問題

有時，按照上述方法完成后，發現客戶端計算機沒有在WSUS服務器上顯示出來，一般來說，有以下兩種情況：

6.1 設置完客戶端后，計算機不能立即顯示到WSUS服務器上

這是因為本地策略有刷新期，時間在90分鐘之內，只要網絡通信正常，只需要多等一些時間，客戶端就可正常顯示在服務器上。如果不想等待，則可在命令提示符下輸入“Gpupdate/force”來強制刷新本地策略。但可能仍然需要等待20分鐘左右。

6.2 克隆系統不能正常連接到WSUS服務器上

為了方便，很多系統都是通過GHOST方式安裝的，而通過GHOST制作的操作系統的SID值是相同的。由于WSUS是通過SID值來定位計算機，所以相同SID值的計算機同時只能有一臺出現在WSUS服務器。導致升級過程不正常。因此，需要修改系統的SID值。最常用的修改SID值的軟件是Newsid，運行后可隨機生成一個新SID。

7 結束語

通過作者在本單位校園網部署WSUS 3.0，目前已經有100多個客戶端通過WSUS 3.0服務器進行系統更新，運行正常。實踐證明，使用WSUS 3.0服務器可以更快的將更新分發到客戶端，更大的提高了網絡的安全性和可用性，不失為一種保障網絡安全、高效運行的有效手段。

參考文獻：

[1]Susan Norwood. Microsoft Windows Server Update Services 3.0 入門循序漸進指南[EB/OL]. http://www.microsoft.com/downloads/details.aspx?familyid=3B-A03939-A5A9-407B-A4B0-1290BA5182F8displaylang=zh-cn，2005-06-14．

[2]陳軍， 段輝良. 自動更新在校園網內的部署研究[J]. 網絡安全，2007.1.

[3]羅杰. WSUS服務客戶端部署的相關問題[J]. 中國傳媒科技，2007.8.