[Windows] 透過Windows Server Update Service提供內部主機進行系統更新

  • 16836
  • 0

[Windows] 透過Windows Server Update Service提供內部主機進行系統更新

目前在個人電腦的使用上,主要還是以Windows為最主要的使用平台,但是,用過Windows的人都知道,Microsoft會不時的釋出修補程式提供使用者安裝以修復Windows本身的漏洞,也就是Windows Update。透過Windows Update是讓使用者的電腦連上微軟的更新主機,下載更新後安裝於電腦中以進行漏洞的修補,但是反過來想一下,如果公司內部有100台以上的電腦,光進行更新搞不好就會把網路給塞爆了吧。WSUS就是為了讓網管人員能夠提供快速的更新安裝服務所產生的功能。

簡單來說,WSUS可以先將Windows的更新下載至伺服器中,而內部網路中的電腦,只要將更新伺服器的IP或是網址指定到該伺服器就可以進行更新了。透過區網的速度下載更新,也好過連至Internet進行更新快多了吧

要準備WSUS很簡單,不過在建置上建議也搭配AD作規劃,對於網管來說會比較輕鬆容易,當然不規劃AD也可以,所以在本文中會針對AD與非AD的環境說明設定與建置的方式

 

1.首先,我們先準備兩台伺服器與一個AD網域,其中wsus的主機先加入至AD網域之中,以及另外準備一台在網域外的個人電腦

主機名稱 IP
dc.maduka.local 192.168.141.5
wsus.maduka.local 192.168.141.10
pc 192.168.141.15

image

dc.maduka.local準備好了

image

wsus.maduka.local也已經準備好了

 

2.打開wsus的伺服器管理員,安裝新的角色,Windows Server Update Services

image

針對Windows Server Update Services安裝的角色服務,必須選擇WID資料庫以及WSUS服務,這樣才能提供Windows Update的安裝資料

image

由於Windows Update的檔案會預先下載至WSUS的主機中,所以必須給予一個存放檔案的路徑,當然也可以不勾選,但是這樣Client端主機一樣必須連上微軟的Update主機下載更新檔,不勾似乎就無法達成我們要的目的

image

 

3.安裝完成後,進行WSUS的設定

在安裝完成之後,必須先進行一些基本的WSUS的設定內容

image

點選伺服器管理員工的[工具]==>[Windows Server Update Service]

image

設定時,WSUS會詢問是否要從Microsoft Update進行同步處理,一般預設都是選擇這個項目,除非你有更好的伺服器,如學術網路中的伺服器等等。

image

接著會在這裡進行連線的測試,大概會花上三分鐘左右的時候

image

然後選擇語言,可以針對所需的語言進行選取

image

再來是選擇要進行更新的產品,這邊列出了很多的產品項目,我是選擇Windows與Office的更新,當然也可以視需求調整

image

加入哪些更新分類

image

在這裡更新的同步處理,建議改為每天同步一次,不然每次都要手動同步處理很麻煩

 

4.由於剛裝好的Update項目,是必須經過網管人員核准後才能進行更新的派送,所以在同步完成後,必須先進行自動核准的設定,這樣在比較重要的更新發佈後,即使沒有經過管理人員的核准,也能自動派送到客戶端進行更新,這一個步驟很重要,因為剛裝好WSUS時,會發現Client都是最新狀態,完全沒有更新,那也是因為管理人員沒有進行更新的核准導致,所以這一個步驟一定要記得作

image

image

當然,自動核准的規則也可以由管理人員自行定義

WSUS到這個步驟完成後,基本的設定就已經完成了,再來就可以進行GPO的修改,以指定Client端電腦更新主機

 

5.於dc.maduka.local中開啟[群組原則管理],選擇[電腦設定]==>[系統管理範本]==>[Windows元件]==>[Windows Update],其目錄下的GPO項目,可以視需求進行設定,其中一定要設定的項目為[設定自動更新]、[指定近端內部網路Microsoft更新服務的位置]

image

image

設定自動更新的項目,設定為已啟用後,就可以設定自動更新的方式

image

指定近端內部網路Microsoft更新服務的位置,就把WSUS的IP或是網址打上去就可以了

GPO設定完成後,只要在Client端的電腦上執行 "gpupdate /force",就可以直接套用GPO的設定結果

 

6.設定非加入網域的電腦,只要編輯Registry就可以達到一樣的效果,設定的方式可以參考這篇文章如何設定機碼,讓client與WSUS Server同步

 

由於之前曾經發生過多次駭客利用Windows的漏洞進行破壞的動作,所以讓使用者養成了隨手進行Windows Update的習慣,而在企業內部,更需要因為資訊安全的關係,針對內部電腦進行Update的動作,透過WSUS的安裝與架設,就能有效的降低網路的使用量,並大幅的提升管理上的效益,在30人以上的公司企業中,WSUS確實是個不可缺少的伺服器角色