WSUS:微软为修补Windows应用程序提供的一个附加组件。除了免费之外,WSUS提供的基本功能使它对于主要的SMB来说是相对简单的选择。然而,在现实中,WSUS在许多方面存在不足;正因为如此,许多依赖WSUS来满足补丁需求的团队最终会投资于额外的工具,而这些工具通常会带来额外的成本。
我自己先实验过的了,出现的问题:在主域控上安装WSUS是失败了,不管什么方法都试试了,但还是无法安装成功,但是在其他的额外域控制器中安装时,却没有出现该问题,比如我在额外的windows server 2012/2016 R2中安装windows 更新可以安装,也一样实现了,原因现在还找不到原因
解决的方法:全部卸载掉有关windows 更新的服务功能,比如IIS,WEB有关的,然后在装一次
安装步骤:环境windows server 2012 R2 如下图勾选windows server 更新服务
一直到这里,不用勾选,直到下一步
下一步到这里是,可以看看你自己的WEB服务器是如何的,在做勾选
到这里是,看你自己的需求在做选择,我这里默认直接下一步
安装完后,点击工具,点击windows 更新,如下图
就会弹出下面的界面,此界面是做备份的,链接到上一层服务器,可以不做此步骤
WSUS了解服务的端口是8530,此端口建议不用时最好关闭,或者把它隐藏伪装起来
链接完后,在右击更新服务点击连接到服务器
输入该服务器的名称,如下图,要注意端口8530,把控好端口
我做了三个都安装了WSUS,前面安装的时候,主域控没有安装成功,知道现在才可以,在做痛的的时候,ADDC3成功了,其错误的原因,后面再说
为什么要安装此服务功能:原因是为了减少管理员的工作量,打补丁是,不用每一台或没一个账号更新;下面是实验结合在组策略里面的自动更新
组策略里面的自动更新
打开组策略管理器,根据需求,选择你要管理的GPO,默认的是default domain policy,建议不要在这里更改任何的数据,我这里选择的GPO是HR的,右击点击编辑,打开的界面是HR的组策略,而又两个方面的,就看你的需要了,而我这里是在计算机配置策略,点击策略à管理模板àwindows 组件àwindows 更新 如下图
下面的是安装了windows 更新服务功能的才有,下面的有各种组策略,如下图
只要强制性的更新几个策略
- 配置自动更新 2.指点指定 Intranet Microsoft 更新服务位置 3. 自动更新检测的频率 4. 对于已登录用户的计算机 5. 允许自动更新立即安装
1.由于有些计算机不更新,所有管理员可以自动配置更新,如下图,点击一启用,里面有各种选择和时间段等(该设置只在HR这个组织单位执行)
2.指点一个承受微软的补丁更新后,你的服务器也跟着更新,
当你键入 WSUS 服务器的 Intranet 地址时,确保指定准备使用哪个端口。默认情况下,WSUS 使用适用于 HTTP 的端口 8530 以及适用于 HTTPS 的端口 8531。
3.自动更新检测的频率,根据自己的需求,可以调整时间
4. 对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样的话,当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,计算机不会强制重启
5. 允许自动更新立即安装
设置完成后,刷新才算是启动所有的策略,可以等域的组策略自动刷新,也可以自己强制刷新,该命令是:gpupdate /force
WSUS查看状态报告
一般情况下,在WSUS控制台中是无法查看状态报告的,如果想正常的查看状态报告,需要一些插件和功能的支持,下面就来看整个实现的过程。
如下图,可以通过查找计算机的名字加全域名,如查找ADDC.hezz.com,如图,在通过状态报告点击它,会弹出第二个界面,如下面的第二个图
然后点击该网站,下载安装包,其步骤如下
下载完后,运行该程序,如下图,退出
安装下图的NET Framework 3.5功能,到下一步
安装步骤,如下图,已经在图上说明了
下一步就是安装了,下面的安装是成功安装完成的,点击关闭,后,在找到刚刚安装好的程序
如下图,这是刚刚下载的,点击安装就弹出下面的界面了
点击安装完成就好。
以上安装完成后,可以顺利打开状态报告功能,,在把状态调成任何状态下才有的,上面的操作查看和查询计算机的方法没有调成任何状态下,而下面的是调成任何状态才可以查看到图2的状态,如图
