Windows Server 2012 上安裝 Windows Server Update Services (WSUS 4.0) 與設定群組原則發佈
Hello, 參加完Microsoft Techdays 2013, 又回去做了一個實驗環境準備做一些測試
這次在ESXI上建立了3台Windows Server 2012, 一台Windows 8 Client, 以後會因需要增加
4台機都接入一個內部網絡, 只有一個叫win2012gate的VM擁有兩張網卡, 其中一張接到網際網絡
為了把系統功能都升級到最新狀態, 就先做一個WSUS Server吧,
現在Windows Server 2012上的WSUS版本也已經升級到4.0了
我知道很多人應該更想知道如果把舊有的WSUS服務轉移到Windows Server 2012上
但這次就暫時沒能做到了, 如果有需要的人可以參考Technet文章:
http://technet.microsoft.com/en-us/library/hh852339.aspx
還有些特殊需要的公司需要把沒有加入AD網域的Client電腦經由WSUS派送更新, 這裡也有教學
http://technet.microsoft.com/en-us/library/cc720464(v=ws.10).aspx
為什麼要用WSUS?
安裝WSUS可以為系統管理人員帶來很多方便,
你可以通過手動或自動核准模式來把Windows Update派送給各種Windows Server/Client
再用群組原則控制他們安裝更新的模式, 還可以查看整個群組裡的更新狀況
還有一個好處就是減省WAN Link的使用, 只要WSUS把更新下載一次,
就可以經由內部網絡快速發送, 這在有很多使用者的網絡裡功效尤其顯著
以下是測試環境的網絡部署, 應該跟很多中小企業現實環境差不多了,
各VM已預先加入到justinlab.com的網域中,
win2012gate是DHCP,
win2012dc (win2012test2)是網域控制器, 也是DNS Server
win2012app暫時沒有功能, windows8test也是普通一個Windows 8
先安裝新的角色, 以Role-based or Feature-based installation
選擇自己做安裝對象
選Windows Server Update Services, 把所有預設features選項都包括
再來你需要選擇把WSUS 的資料庫放到Windows Internal Database (WID) 還是其他MS SQL database
WSUS WID不同於SQL Express, 它是沒有容量限制的, 所以如果環境不大, 也可以安心使用
有幾個情況下會建議使用WID:
1. 你不會使用Network Load Balanced WSUS
2. 你在分公司建立WSUS而且經上遊WSUS派送更新
3. 公司規模不大…沒錢買完全版的MSSQL來做這種事…
再來要選擇一個放置更新檔的位置, 在日後轉移WSUS服務時就可以整個資料夾遷移
WSUS需要用到IIS服務來發佈更新, 用預設選項就好
最後按安裝就可以開始了
安裝完成會有提示還有一些工作要做
耐心等一下…可能需要5-10分鐘
完成後開啟Windows Server Update Services工具, 首次開啟會出現設定精靈
你可以選擇加入微軟的改進計劃
再來是選擇更新來源, 預設是使用微軟的Microsoft Update
如果你的企業是主幹網絡分發更新, 那麼你的分公司就可以用主公司的WSUS作為上游
WSUS 4.0使用的8530埠與以往的WSUS 3.0不同, 以前是使用80埠的, 再防火牆設定上就要有所更改了
如果你的WSUS需要經過Proxy才能走到網際網絡也可以在這裡設定
再來需要連接到上游服務拿到更新項目清單, 這需要一點時間
完全後下面綠色條條會停止轉動, 這樣才能按Next
再下來的選擇要比較小心考慮, 先是要下載的更新需要那種語言
如果你的WSUS不是擁有無限大磁碟機的話, 請小心選擇你真正需要更新的視窗語言
再來這個畫面更誇張, 它基本上包含了微軟所有產品目錄
也請小心檢視環境裡真正使用的產品才勾選, 免得浪費時間和空間去儲存更新檔
而最大問題是往後批核更新的難度, 選少了往後可以加, 全選的話多數要推倒重來…
它預設把所有Office和Windows Client版本都勾選, 建議把不需要的項目取消
再來要選擇更新的分級, 這3個項目是預設的, 選擇項目多少會令更新列表長度倍增
留意如果某些產品出了Service Packs, 在這個設定下會不下載來用
這時你可以在WSUS控制項目裡加入Service Packs再排期改變群組原則來更新
再來設定這台WSUS多久會跟上游同步一次
配合往後的自動核准設定就可以把所有更新和發放全自動化
最後可以勾選進行第一次同步
系統會提示還有些項目要在同步完成後做
畫面條轉到主控頁面, 請耐心等候第一次同步, 時間視你所選的更新多少而定
這時先忽略其他項目, 去設定好群組原則
投產環境建議為不同電腦建立不同更新原則, 至少要把使用者電腦和服務Server分開來管理
要區分不同的電腦可以用WMI Filter, 這篇不詳細討論, 有興趣的可以參閱:
http://technet.microsoft.com/en-us/library/cc779036(v=ws.10).aspx
我會建立一條新原則來包含所有的電腦, 事前建兩個Security Group把不同電腦包起來
把更新目標電腦放入Security Filtering,
到Settings頁面, 右鍵編輯設定
詳細細項可以參考
http://technet.microsoft.com/en-us/library/cc720539(v=ws.10).aspx
關於WSUS的設定資料夾位置是
Computer Configuration –> Administrative Templates –> Windows Components –>Windows Update
最重要的是Specify Intranet Microsoft update service location
把原則設定為Enable, 再以http://computername:8530的方式指派WSUS位置
如果有啟用SSL的話就要用https://computername:8531
第二重要的是啟用Windows Update的設定,
你可以選擇不同的更新方案, 預設是WSUS Client自動下載更新, 但不自動安裝
我會先用預設選項
再設定WSUS Client每隔多久會向WSUS Server檢查更新一次,
這裡可以配合之前WSUS與上游同步的時間
這樣就完成最基本的群組原則設定了, 其他細項請慢慢研究 
我們回到WSUS主機, 開始批核更新項目, 不然WSUS Client就算連的上也沒有更新可用
到Updates分頁, 可以查看有甚麼更新下載回來, 如果沒有設定自動批核
回見到所有更新會等待你的核準才會發放出去, 這樣也有好處,
有些公司會自己寫軟體, WSUS的某些更新項目可能會引發衝突
如果有這種擔憂的話, 或許自己先在測試環境試用更新, 再批核給投產環境WSUS是比較好的
如果沒有這種憂慮, 我們大可以用Automatic Approvals 自動根據某些原則的方式來批核更新
你會見到一條預設批核方案, 但沒有被使用中, 我們大可清除自己再建
按New Rule, 把想要自動批核的更新類型, 作業系統設定好
為了區分設定效果我只包含Windows 8的更新, 按OK
再運行這條規則
現在走到一台Windows 8上, 檢查Windows Update,
如果你見到接收更新的方式被系統管理員規範, 設定就算成功了
假如更新的時候有任何問題可以到C:\Windows\WindowsUpdate.txt查看原因和排除錯誤
