WSUS技术说明书.doc

《WSUS技术说明书.doc》由会员分享，可在线阅读，更多相关《WSUS技术说明书.doc（31页珍藏版）》请在三一办公上搜索。

1、WSUS全攻略之三：WSUS操作指南在安装好WSUS服务器之后，你可以通过WSUS管理控制台来对WSUS服务器进行管理。WSUS管理控制台是基于Web浏览器的，你可以通过以下地址 http:/WSUS_Website_url/WSUSAdmin % 5 r7 H I8 fC8 Y4 : l来访问WSUS管理控制台，在默认情况下WSUS Web站点使用默认Web站点，WSUS管理控制台的访问路径是 + % S L3 c: e9 ?http:/servername/WSUSAdmin 1 3 Z6 z8 s) U. M6 P你必须将浏览器配置为允许活动脚本和ActiveX控件。如果在计算机上已启用

2、了Internet Explorer增强安全配置组件，你应该将WSUS管理控制台地址添加到受信任的站点中。 % A7 R8 P8 X! |* 6 F 6 t2 t9 ?WSUS安装时将创建一个名为WSUS Administrators的用户组，这便于你委派用户进行WSUS的管理。默认情况下，只有属于内建的Administrators组或WSUS Administrators组的用户可以访问WSUS管理控制台。 7 A& j0 i9 Z, yj2 j6 V在WSUS管理控制台中你可以执行以下任务： P1 D) O, a+ 5 h+ 3 y, s1 P) O. O$ E; D配置WSUS服务器选项

3、并进行同步； $ 7 l% ?1 E% k, K2 i: L1 e0 Y$ U3 n6 G管理计算机及计算机组； * K) % _/ d/ C7 Z$ K/ f6 L& l7 B% e8 t # l9 m管理更新（批准或拒绝更新）； : n6 y+ Y7 j R. V& W6 b$ t0 O* J, b! t1 U5 o2 N: A: L3 O+ r通过报告监控WSUS服务器的实现情况。 0 E0 lt z+ B) s; 3 P4 s0 s; E9 l 9 e% S# % F4 l2 a ) G: p9 mX. z& ; J: ?配置WSUS服务器选项并进行同步 0 O# m 4 c; w)

4、c) z1 g3 D点击开始，再点击管理工具中的Microsoft Windows Server Update Services进入WSUS管理控制台，此时会弹出身份验证对话框，输入具有访问权限的用户账户及密码，然后点击确定，如下图所示， ( b3 ; b( e3 w8 V9 B- + Y( g% w7 Y3 X& r8 k, t. h5 g由于采用了增强的Internet Explorer安全配置，在弹出的警告提示框中，点击添加， & _% s6 E) : a3 X, N/ , b b/ o( y3 Y$ d) A然后在可信站点对话框上，点击添加。这样就把WSUS管理控制台加入了到受信任的站

5、点中，再点击关闭。 1 j, 2 |$ d7 I; a9 G! f6 h0 A: _; o) 0 G进入WSUS管理控制台后，主页界面如下图所示，在此你可以看到WSUS服务器的运行状态和提醒你需要做的待办事项。由于默认情况下WSUS服务器配置为手动进行同步，因此没有任何更新。首先我们需要配置WSUS服务器选项，点击右上角WSUS管理工具栏中的选项链接。 + + S, 5 B& X q/ W& G& . n5 ( / X3 L$ b8 # B在选项页面中，你可以选择配置以下三种选项： : l5 q- h* i3 A) r J0 Y4 f3 K& O4 h0 OW3 s- d# Y7 u4 w+

6、E同步选项；在同步选项中，你可以配置同步的方式 、同步的产品及分类、同步使用的代理服务器及更新源和下载更新的语言； - 6 1 r% i0 y5 a# q* o# e1 1 n% ? N6 # i( v自动批准选项；在自动批准选项中，你可以配置是否批准更新自动进行检测以及选择哪种更新自动进行检测、是否批准更新自动进行安装以及选择哪种更新自动进行安装、是否自动批准更新的修订以及是否自动批准WSUS更新； ) Y7 E5 l* D* M: B/ D+ l8 n. H, f1 d: v9 sl2 i2 T! u计算机选项；在计算机选项中，你可以选择如何对客户端计算机进行分组，详细信息请参见部署与规划

7、一文。 % i- 0 $ F& a) Z v7 T5 L# e: n3 d, M+ m, G/ Rr9 D % N: o z# j$ 同步选项 ) d: b* A, v$ ?& 0 4 l首先点击同步选项链接配置同步选项，如下图所示。你可以在计划框架中选择同步的方式，默认为手动同步。你可以设置为手动同步或者每天定时同步；如果使用每天定时同步，则选择每天同步时间，再输入计划进行同步的时间。请根据你的需要来选择同步的方式；如果采用每天定时同步，则根据自己企业的外部网络访问情况来决定何时进行同步，应计划为外部网络访问活动较少的时段，例如凌晨。在此我保留为使用手动同步。 & s1 N! P, ! I;

8、 S& . Q% L% N4 o5 R在下面的产品和分类框架，你可以选择你想要进行同步更新的产品和更新分类，默认情况下同步所有支持自动更新的Windows产品（Windows 2000家族，Windows XP家族，Windows server 2003家族及数据中心版本）的安全更新和关键更新。 # r1 W7 G( / _; H- e点击产品下面的更改按钮进行产品类型的修改，如下图所示。在WSUS服务器未和Microsoft Update进行同步前，只包含Windows产品；当和Microsoft Update进行同步后，WSUS服务器还可以支持SQL Server、Exchange 200

9、0/2003、Office XP/2003等系统更新的同步，并且将来会支持微软全系列产品的同步。由于选择太多的产品类别会导致下载的更新占用大量的WSUS数据库容量和服务器磁盘空间，所以请根据你企业网络中的实际需要，在弹出的添加/删除产品对话框中进行选择。微软的产品按照层次结构显示在其所属的产品系列下，你可以选择需要服务器自动同步更新的产品或产品系列，可以一次指定同一产品系列中的多个产品；在选中父复选框的同时也就选中了其下面的所有项目。对于每种选择，你也会自动选择其未来版本。在此由于我的网络中客户端计算机均为Windows server 2003，因此我只保留Windows server 200

10、3家族的选择，然后点击确定； f: c _0 X. K: y- e3 D* y/ X9 X2 ! Y& a- k Q6 x. e, ?; 点击更新分类下面的更改按钮进行更新分类的修改。更新分类代表更新的类型，对于任何给定的产品或产品系列，都可能有多种分类的更新（例如，Windows XP系列的关键更新和安全更新）。在WSUS服务器中，支持你选择以下类别的更新： B$ A) N# I; a3 N; t1 f0 L1 r0 U1 3 DService Pack：自产品发行以来创建的所有修补程序、安全更新、关键更新和更新的总集合，也可能包括有限多个客户请求的设计更改或功能； ! ( h* E4 N$

11、 4 F3 U8 |# / J; A: l5 ( + F# u3 J |! 安全更新程序：针对特定产品广泛发行的修补程序，旨在解决安全问题； # x9 ) l6 W q0 y5 t0 ( Y3 j) 7 l$ j更新程序：针对特定问题广泛发行的修补程序，旨在解决非关键的非安全错误； 1 h# A |$ _4 f; C. . ?% J) W0 Z; U* e* p更新汇总：为简化部署而封装在一起的修补程序、安全更新、关键更新和更新的总集合；通常针对特定的范畴（例如，安全性）或特定的组件（例如，Internet信息服务）； ; J) k$ . a0 W# 2 E7 n6 M: B, W6 5 V

12、r7 B! 8 E工具：协助完成一项或一组任务的工具或功能； + U. F# D) 6 W0 RB% ( u5 K j功能包：通常在下一次发行时纳入产品的新功能版本； * A, Y$ & 5 E4 a: f: y/ M; w7 O7 $ x3 ?9 - Q关键更新：针对特定问题广泛发行的修补程序，旨在解决关键的非安全错误； 6 n; ?4 : f7 J0 M) X/ H. * Z1 S/ m s, 4 N* z3 W S6 V驱动程序：旨在支持新硬件的软件组件。 hv5 m, |# f% e0 v由于选择太多的更新分类会导致下载的更新占用大量的WSUS数据库容量和服务器磁盘空间，所以请根据你企

13、业网络中的实际需要，在弹出的添加/删除分类对话框上进行选择。在此我只保留安全更新程序，取消勾选关键更新程序，然后点击确定。 3 K6 S* M5 2 f3 b 5 v8 b; l2 L8 7 _- - u2 U2 f YQ9 Vu2 X在下面的代理服务器框架，你可以配置同步时使用代理服务器连接到Microsoft Update或上游服务器。如果要使用代理服务器，则勾选同步时使用代理服务器，输入代理服务器名称及代理服务端口；如果代理服务器要求进行身份验证，则勾选使用用户凭据连接到代理服务器，然后在相应的文本框中输入用户名、域和用户密码；如果代理服务器要求用户使用基本身份验证，则选中允许基本身份验

14、证(密码以明文文本发送)。 / F6 v i E# u9 # S+ _ F: b: T/ p# N8 c?% d . l# Y( W: ( Q- u% k9 ?; k在下面的更新源框架指定WSUS服务器获取更新程序的位置。你可以选择Microsoft Update或另一台WSUS服务器，这取决于你的WSUS服务器部署方式，默认情况下WSUS服务器配置为从Microsoft Update获取更新。 : m+ o4 - Q$ y 5 U2 y( N7 O% q9 h6 V# , o7 Z0 C# W如果希望WSUS服务器直接从Microsoft Update进行同步，请选择从 Microsoft

15、Update 进行同步。如果此WSUS服务器在复制模式下运行，则此选项不可见； / ! K1 & x* r, w* l ?; D2 f# i2 b B7 P8 I, _5 T r如果要从其他WSUS服务器进行同步，请选择从上游 Windows Server Update Services 服务器进行同步，然后在服务器名文本框中输入上游服务器的服务器名称，在端口号文本框中输入上游服务器所使用的HTTP协议端口号；如果要在同步更新信息（仅针对同步更新程序的元数据）时使用SSL，请在端口号中输入上游服务器用于SSL连接的端口号，然后勾选同步更新信息时使用 SSL。当WSUS服务器配置为此模式时，不能

16、配置下面的更新文件和语言框架中的高级选项，只能继承上游WSUS服务器的配置。 5 C1 9 J9 * 3 k4 k) v% KF3 |: i- F- j% ?) k8 t如果WSUS服务器在复制模式下运行，则只需在服务器名文本框中输入服务器名；上游服务器不用必须设置为此WSUS服务器的管理服务器，也可以是另一台复制模式服务器。 7 0 i6 S7 d4 l- a, B& H9 q: 9 b* t5 ; ? q0 P5 M在底部的更新文件和语言框架，点击高级按钮设置更新文件下载的方式及此WSUS服务器进行同步时所下载的更新程序的语言类别。由于修改高级选项将重置该WSUS服务器上的更新文件下载状态

17、，在配置完成之前，客户端计算机不能从此WSUS服务器获得更新程序，因此，单击高级按钮时WSUS服务器会提醒你这一点，在警告对话框上点击确定，就出现了高级同步选项对话框，如下图所示： , w6 s; t4 l/ 1 n& K- f9 m $ ?5 x0 K6 v: p; y+ D在更新文件框架中，你可以配置如下选项（关于这些选项的详细说明，请参见部署与规划一文）： 0 G& F/ d* P7 P/ r3 X4 i0 : FB) 在此服务器上本地存储更新文件；将更新文件存储在WSUS服务器上，这节省了企业外部网络连接的带宽，因为客户端计算机直接从WSUS服务器获取更新。默认勾选只有在更新得到批准后

18、，才会将更新文件下载到服务器，这将启用WSUS服务器的延迟更新下载特性：WSUS服务器进行同步时只同步更新文件的元数据，当批准更新安装时才下载更新文件，这将大大的节省了WSUS服务器所使用的企业外部网络的带宽，建议你总是使用这一配置。如果你想使用快速安装文件特性，则勾选下载快速安装文件，这以多消耗WSUS服务器所使用的企业外部网络带宽为代价来节省企业内部网络中的客户端计算机从WSUS服务器下载更新所使用的网络带宽，请根据你的网络情况仔细考虑是否使用这一特性。 ! 8 W) P7 p3 c) L# u: w5 k3 nD0 l& P+ O* G* r) _% x0 X+ M本地不存储更新；客户端

19、从Microsoft Update 安装；当选择此配置时，更新文件远程存储在Microsoft Update上。当WSUS服务器和Microsoft Update进行同步时，将只下载元数据；你可以通过WSUS控制台批准更新，安装时客户端计算机直接从Microsoft Update获取更新文件。 + f! P: w9 E: _: A9 X6 A在下部的语言框架中，你可以选择以下三个选项之一： * v J8 K _* H: K( P7 5 E- U2 / X3 T( # j0 M仅下载与该服务器的区域设置匹配的那些更新；WSUS服务器只下载和自己的区域设置语言相同的更新程序，在此我的WSUS服务器

20、为中文简体版本，所以只会下载中文简体的更新程序； 5 U: M$ g1 W- D, m3 j0 p& H+ N4 mE; ?# # 7 _D下载所有语言的更新，包括新语言；此选项将下载所有语言的更新程序，包括未来的新语言。虽然这是默认选项，但是你应当尽量不使用此选项。 * h# k8 H+ s P* e7 s8 ; l0 n0 o) S仅下载所选语言的更新；下载你所选择的语言的更新程序，选择此项后，在下面的语言列表中勾选你想下载更新程序的语言。 8 H% s b5 a9 k当修改语言选项后，WSUS服务器同步时不会下载基于已取消的语言的更新程序版本，但是已下载的基于已取消的语言的更新程序会仍然

21、保留；对于客户端计算机的区域语言设置不符合WSUS服务器上下载的更新程序语言时，WSUS服务器将不会为该客户端计算机提供服务。当你修改同步选项中的语言选项时，微软建议你立即手动同步主服务器和复制服务器。这避免了当在主服务器上修改了语言选项时，主服务器上批准的更新程序数和复制服务器上批准的更新程序数不匹配。 , |0 / T7 Z, q* 6 x# W1 l7 |- N. p在此我选择仅下载与该服务器的区域设置匹配的那些更新，然后点击确定；修改配置后记得点击页面左上角的任务列表中的保存设置连接保存修改后的配置。如果要立即开始同步，则点击立即同步链接，同步时不能修改任何同步选项。 i c- L,

22、p7 a9 I1 b o s# f+ c) D5 $ o9 f你可以在下面的同步状态框架中或者主页的同步状态中看到同步的当前状态，如下图所示： - L( 0 Z; R& H7 0 w, Q9 T; p8 d: # e* l1 R# b2 v# h r在同步更新的过程中，你不能修改同步选项，但是可以修改其他两个选项。 # A ; k$ I0 u0 B4 h9 T8 , h, V% 9 H: v1 n$ C D) s5 v% K, I; y# ?自动批准选项 + h0 & s$ n# 在选项页点击自动批准选项链接进入自动批准选项设置，自动批准用于当更新程序或者更新元数据下载到WSUS服务器后自动进

23、行批准操作，如下图所示： ; O g& E! l3 X4 _+ P7 Y3 a# A1 _2 F* Pj$ uW9 c# o% n7 : z批准进行检测的含义是当更新程序或更新元数据下载到WSUS服务器后，按照定义的配置（是否进行操作、对哪些分类的更新程序进行、对哪些计算机组进行）进行更新程序的自动检测操作，默认情况下自动对所有计算机组进行安全更新程序、关键更新程序的检测操作，在此我接受默认配置，你可以根据你的需求进行配置。 % K U. s Z! 2 k, f4 7 u/ q8 b批准进行安装的含义当更新程序或更新元数据下载到WSUS服务器后，按照定义的配置（是否进行自动操作、对哪些分类的更

24、新程序进行、对哪些计算机组进行）进行更新程序的自动安装操作，默认不会启用，你可以根据你的需求进行配置。 P7 H0 rK7 i|在下部的更新的修订框架，默认会选择自动批准更新的最新修订。修订是在原有更新基础上的修改，例如，原有更新可能已经过期或者EULA已经不适用。如果你取消此选项，你必须手动对新的更新程序进行批准。 ) % 4 Ee5 s& e6 ; U最下部还有一个默认启用的选项自动批准WSUS更新，它是自动批准WSUS服务所使用的更新程序，你应该总是启用此选项。 1 w8 Z u( S9 ( s7 L# e2 V$ J. N$ F _/ M) A# p0 z! C x( n修改配置后，记

25、得点击左上角任务列表中的保存设置链接。 8 M0 4 R8 W( u/ r: q$ s+ P: J- |5 u. : V5 U0 W+ B- _计算机选项 ) Z/ hn# V8 H9 ox* ! q5 c O计算机选项中配置非常简单，默认选择为使用 Windows Server Update Services 中的“移动计算机”任务，这代表采用服务器端定位的计算机分组选项，你必须在WSUS管理控制台中手动将客户端计算机对象移动到不同的计算机组中。 ; c& * O; P, d, U如果选择使用计算机上的“组策略”或注册表设置，则代表采用客户端定位的计算机分组选项，你必须通过组策略来告知客户端

26、计算机所加入的计算机组。 4 af- p6 7 d5 p但是无论你选择哪一种定位方式，你都必须先在WSUS服务器中创建相应的计算机组。修改配置后记得点击保存设置链接。 S9 h1 a+ q5 ?l/ 2 a+ c x W# K8 y6 G; a) $ E; e8 A 8 : t* a! n! U( M2 e8 b1 8 . D& ?W1 r& J $ L) H, W7 _7 A: p, y2 r& O你可以在主页上观察同步状态，等待同步完成。同步完成后的情况如下图所示： 5 r( G! b9 l7 G3 K) T0 根据我的配置，总共下载了86个更新程序（元数据），由于我已经配置了客户端计算机

27、使用此WSUS服务器，所以已经有两台客户端计算机连接到此WSUS服务器。由于默认情况下会自动对所有计算机组进行安全更新程序、关键更新程序的检测操作，所以WSUS服务器对这两台客户端计算机进行了检测操作，发现有19个更新程序是客户端计算机所需要的。你可以点击对应的链接进行详细的了解。 pD4 | E# g+ Y ! _6 + d& H5 L( W6 s* H; U 9 Nk& * z& P/ / T: Z1 i. e: J& r3 f6 X( & _) 7 q* B Y9 y3 $ & |管理计算机及计算机组 0 R; C) I* Y6 n现在，我们先针对客户端计算机创建计算机组，然后再对不同的

28、计算机组进行更新的批准，这便于不同更新程序的分发以及测试更新程序。在WSUS中内建有两个计算机组：所有计算机和未指定的计算机。默认情况下，任何一个客户端计算机访问WSUS服务器时，都将被加入到这两个组中。你可以创建计算机组，并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中，但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机，而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。 / O5 m; n5 I9 O% m点击WSUS管理工具栏上的计算机链接进入计算机管理控制台，如下图所示。在此你可

29、以在右上部看到连接到本WSUS服务器的客户端计算机及各自上一次进行状态报告的时间，当选择某台客户端计算机时，在右下部可以看到它的详细信息，点击状态则可以看到更新程序的安装情况，例如安装了哪些更新程序，需要哪些更新程序，不需要哪些更新程序。 * + w# g$ k! z8 z& O2 o$ ?点击左上方任务列表中的创建计算机组链接创建计算机组，在此我将针对域控制器和域成员服务器来创建两个不同的计算机组。 ( Y& . Z K p+ 3 o . i* f2 U5 i6 G在弹出的创建计算机组对话框中，输入新计算机组的名称，在此我命名为Domain Controllers，点击确定； & ?/ k*

30、 q0 r4 i# G; M$ p5 s6 t ( S4 W h# ?; J此时，新创建的计算机组Domain Controllers出现在了左下方的计算机组列表中，在计算机列表中选择域控制器berlin.winsvr.org，然后点击任务列表中的移动选定计算机链接。如果要选择多个连续的客户端计算机，请在选择时按住 Shift 键；要选择多个不连续的客户端计算机，请在选择时按住 Ctrl 键；如果要选择列表中的全部客户端计算机，则可以使用Ctrl A 快捷键。注意，如果你在计算机选项中采用客户端定位的方式，则不会出现移动选定计算机链接。 4 o0 T1 z1 , W8 O2 s# / f$ a

31、. D/ u6 S# r, A0 _, ! v1 _3 q; 1 a在弹出的移动计算机对话框中，选择你要将客户端计算机移动到的计算机组，在此我选择Domain Controllers，点击确定。注意，你不能选择移动到所有计算机或者此客户端计算机属于的原计算机组。 8 x* n: Z: 6 u7 V; S6 Z; T |! L K2 e G2 n# Z% R; |按照同样的方法我创建另外一个名为Domain Members的计算机组，并将另外一个客户端计算机munich.winsvr.org移动到此计算机组中，完成后的计算机管理页面如下图所示： ! T$ z7 c5 V y( _2 s- - V

32、. D# 2 Y; N如果需要删除某个计算机组，则先点击左下方计算机组列表中的对应计算机组，然后在左上方的任务列表中点击删除选定组链接， : ! - W: s+ R. T9 K9 K& ?+ c, v9 u. W3 K在弹出的删除计算机组对话框中，选择一个处理该计算机组所包含的客户端计算机的选项，然后点击确定即可。 8 3 c6 z% r+ L; x9 B1 K ) z5 R6 w p4 N% u# T5 C1 D1 Q7 其中从 Windows Server Update Services 删除则将该计算机组中所包含的客户端计算机全部从WSUS服务器列表中删除，而移动到“未指定的计算机”组则

33、将该计算机组中所包含的客户端计算机全部移动到未指定的计算机组中。 , 7 M8 W$ w4 C 3 p* b你同样可以删除某个客户端计算机，在右上方的计算机列表中选择某台客户端计算机，然后点击左上方任务列表中的删除选定计算机链接，如果此客户端计算机不属于未指定的计算机计算机组，则提示你选择删除此客户端计算机对象或者将此客户端计算机对象移动到未指定的计算机组中。如果将某个客户端计算机从WSUS服务器的计算机列表中删除，则WSUS服务器不再保存此客户端计算机的相关信息，此客户端计算机也不能连接到WSUS服务器获取相关更新。不过等待客户端计算机再次和WSUS服务器进行通讯后，它将再次出现在WSUS服

34、务器的计算机列表中，只是属于未指定计算机组。 8 O% p. o& j3 m6 B6 f2 v5 k( X7 b& f& D3 0 o7 R) T6 _3 Z2 t8 K9 Y& h! 管理更新 5 u, M& h7 M+ A8 G* U4 你可以在WSUS管理工具栏上点击更新链接进入更新管理页面。默认情况下将对更新列表进行筛选，从而只显示那些批准在客户端计算机上进行检测的关键更新和安全更新，如下图所示： + k5 R2 s. F) q$ 1 d/ T8 l/ v( S9 y. W* 你可以在左下方的查看框架中修改筛选更新程序的方式，你可以根据更新程序的产品和分类、批准状态、同步时间或者包含文

35、本进行筛选。其中包含文本是从更新程序的标题、描述和知识库文章号中进行检索。 4 R! U# B/ J( B( R5 R F在右上方选择某个更新程序后，你可以在右下方详细信息中了解此更新程序的完全属性，例如更新针对的程序、适用的操作系统等等，你也可以在状态中查看不同计算机组对此更新程序的部署情况，例如是否已安装、是否需要等等。 8 d% e1 Z M 3 z* i ?( E. 6 b3 Z + Z B# _% V5 I2 h 2 G: |- c当WSUS服务器同步后，将根据配置情况获得相应的更新列表。你需要对更新进行批准，以便进行安装或检测；你可以选择一个或多个更新进行批准，如果选择多个更新，那

36、么客户端计算机会一次性进行安装。批准更新的方式有以下五种： 7 S+ 7 c Y2 h+ b# f1、仅检测 4 H6 k2 x* t& Y当你批准更新只是进行检测时，更新并不会在客户端计算机上进行安装。但是，WSUS会在批准更新对话框上所应用到的计算机组上进行检测，以确定此更新是否适合客户端计算机或者客户端计算机是否需要。此检测动作计划在当客户端计算机下次和WSUS服务器进行通讯时发生，你可以通过更新报告状态或者在更新页面点击更新程序的状态标签来查看结果。如果显示为需要，则表明客户端计算机需要此更新。默认情况下，关键更新和安全更新将自动批准进行检测。 , f8 t: l1 ) J2、安装 5

37、 8 A! V3 v; c批准更新在批准更新对话框所指定的计算机组中进行安装。在批准更新时，你可以选择客户端计算机安装更新的不同方式： - z; t1 0 d, Y# q4 m1 b/ V: G) z; T$ Q使用客户端计算机的设置来决定如何安装更新。当你使用此方式时，批准更新所应用到的计算机组中的客户端计算机将根据自己的设置来决定如何安装更新程序，可能会提示当前的用户进行安装，也可以根据组策略的设置自动进行安装。 8 B2 i0 n, m3 d. v9 m& M! V, o$ |9 6 f% T- AW# P定义自动安装的最后期限。当你使用此方式，你可以指定更新程序在客户端计算机上安装的日

38、期和时间，此设置会覆盖客户端计算机上的任何设置。你可以指定一个过去的时间，这样会导致客户端计算机在下次访问WSUS服务器时立刻进行安装操作。注意，你不能为需要用户输入的更新程序进行最后期限定义的自动安装，否则安装会失败。你可以在更新程序的详细信息中查看可能要求用户输入字段来确定更新程序是否需要用户输入，并且在批准更新时在批准更新对话框上也会有相应的提示。 ( R Sc6 L6 n# u) q3、拒绝更新7 6 V& m# N! s! e/ a8 g此选项只是存在于更新页面的更新任务列表中。如果你选择此选项，此更新将从可用更新列表中删除，而不再进行任何其他操作。只有在查看视图中选择查看已拒绝或者

39、所有更新类别的更新程序时才可见。8 H0 W# A- S, / g+ ?1 n4、删除) b5 ?( cO! _3 l你可以批准某个更新进行删除，即从相应的客户端计算机上进行卸载。此选项只有更新程序支持删除时才会出现。针对删除更新操作，你也同样可以定义最后期限，当你想让客户端计算机立即执行时，你可以指定一个过去时间为最后期限。 / l7 y: gt$ P0 f5、未许可& A+ w: y5 e! Z! M这是默认的批准选项。WSUS服务器同步更新程序后，更新程序的默认状态即为未许可。在此状态下，WSUS服务器不会对更新程序进行任何操作，客户端计算机也不能对此更新进行检测或安装，你必须手动批准更

40、新进行安装或检测。 4 r( QE, R A- x 6 w5 m5 & r以上五个批准操作方式中，除了拒绝更新是通过点击更新页面的更新任务列表中的拒绝更新链接来实现外，其他均通过点击更改批准链接实现。 + E3 u8 A* Ii& G+ zL L7 i) T4 p0 G 1 ; C: xi7 ?6 j首先在更新列表上，选择要批准安装的更新。如果要选择多个连续的更新，请在选择时按住 Shift 键；要选择多个不连续的更新，请在选择时按住 Ctrl 键；如果要选择列表中的全部更新，则可以使用Ctrl A 快捷键。 : a Z; a# Y+ s# y. , S) H然后在更新任务下，根据不同的批准操

41、作方式，点击不同的链接，如果是拒绝更新，则点击单击拒绝更新（选定单个更新）或者拒绝选定的更新（选定多个更新）链接；如果是其他操作方式，点击更改批准链接。 6 k. n: s. W, T在此我决定向Domain Members计算机组部署部分更新，并且想让客户端尽快安装更新。则首先选中我想要部署的更新，然后点击更改批准链接，弹出的批准更新对话框如下图所示， ( U0 3 y1 a: G( U+ v0 d- o2 o9 g1 b由于我只是想为Domain Members计算机组部署这些更新，所以我将默认对所有计算机的选定采取仅检测的批准方式，然后点击Domain Members的批准方式，将其从默

42、认的与“所有计算机”组相同修改为安装，如下图所示， 5 F3 Y1 P4 T% + i. g/ Q, % j2 f# e - t* J% d G4 y6 p+ a因为我想让它们尽快在客户端计算机上进行安装，所以我将最后期限设置为一个过去的时间，点击最后期限列的无，在弹出的编辑最后期限对话框中，选择按选定的日期和时间安装更新，然后输入一个过去的日期，这样会导致客户端计算机在下次访问WSUS服务器时立刻进行安装操作，最后点击确定按钮。 ) M& E1 F3 _8 x3 M- _) r8 K$ H; c9 A6 w然后在批准更新对话框上点击确定， , s; _1 V) c4 l5 C/ - H1 *

43、 t x2 j! p点击确定按钮，由于这些更新都已经被自动批准为检测，所以WSUS服务器提示你替换现有的批准还是仅添加新批准项，在此我选择替换现有的批准，然后点击确定。 l& A; v9 f( c+ 9 S - # 1 L8 % 9 u此时，WSUS服务器就将进行批准操作。由于WSUS服务器所采用延迟更新下载特性，只有当某个更新被批准安装时，WSUS服务器才会从Windows Update进行更新文件的下载，所以WSUS现在开始进行更新程序的下载，你可以在首页上看到更新下载的状态。当某个被更新批准应用到的客户端计算机下次和WSUS服务器进行同步时，将按照更新批准中的设置进行更新的安装。 1 f

44、% X% b- e9 K# RG+ m2 t如下图所示，蓝色的图标表示更新文件已经下载到本地WSUS服务器，而灰色的图标表示更新文件并未下载到本地。批准列的值指明了批准的方式，由于我不是对所有计算机进行相同的操作，所以显示为混合式，你可以点击下半部的状态来查看此更新程序的具体批准情况。 5 i, c8 k, & M$ U 4 W8 U, r. _+ J- Q5 p# K1 Q! B, J2 A当客户端计算机连接到WSUS服务器获取更新后，由于此更新批准的最后期限是过去的时间，所以客户端计算机会自动安装更新程序，如果更新程序需要重启计算机，则会强制重启计算机，如下图所示： / E& y1 m,

45、J/ H$ Z4 ! |! Q5 : X. z5 c6 A4 ? , C- b! q: V# h. f3 v6 S: D9 U J而批准更新时没有设置最后期限或者在客户端计算机连接到WSUS服务器获取更新时没有超出最后期限，则根据组策略中客户端计算机部署更新的方式来决定如何安装更新。在此我在组策略中选择的方式是通知下载并通知安装，因此当具有适合客户端计算机的更新时，自动更新将通知该客户端计算机上登录的管理员（默认配置）或其他用户（可配置），如下图所示， - C3 C; k* k# a Z X, H t# J& r5 1 * ?( C2 z点击自动更新图标，选择你想要下载的更新，然后点击下载按钮

46、，自动更新会自动从WSUS服务器下载选择下载的更新程序； 0 e9 b% b4 l/ u9 S- ( g$ i$ c3 U2 J+ u& J# X当下载完成后，自动更新会提醒你更新已经准备好，如下图所示，点击自动更新图标， 4 Q, l J; Q# o J( |* K6 o# j你可以选择安装更新的方式：你可以简单的接受默认的选择快速安装，然后点击安装按钮；也可以点击自定义安装来决定安装哪些更新程序。 9 Y, S) X% G* C$ - $ j- V. S|8 P& B2 x, t% G安装完成后，根据更新程序的要求，自动更新会提示你是否需要重启计算机。 * ( i* M& E4 s( C$

47、 r5 M+ m/ v, 4 x2 W& R# h! o) F9 M通过报告监控WSUS服务器的实现情况 . K; E9 b5 w* o, n& u5 l# F为了更好的监控WSUS服务器的实现情况，WSUS服务器提供了详尽的报告功能。点击WSUS管理工具栏上的报告链接进入报告页面。 * c S& , a6 k3 7 Y A, c) h/ S. vb你可以选择生成四种不同的报告： / x. E/ J4 c l/ o5 w7 U1、更新的状态报告，它显示每个更新程序的状态（安装与否、需要与否）等等，如下图所示： & m( Y9 C2 |) _. p+ V N7 C 8 I- F3 Z5 & e你可以通过更新程序状态和计算机组的组合筛选更新列表；点击更新程序名可以查看更新程序的详细信息；依次展开更新（点击 + 号）则可以按计算机组查看更新的状态，展开单个计算机组可查看该计算机组中每台客户端计算机对应更新的状态。 0 k$ D! W( t- # 9 I# F2、计算机的状态报告，它显示每台客户端计算机所进行更新的状态，如下图所示： / c1 l$ Y- |4 C* P, F$ ! P