WSUS 允许您控制和分发更新 Windows 从单个服务器
它的实施需要正确安装角色、配置防火墙和客户端
使用 GPO,您可以自动执行域中所有计算机上的更新过程。
使用 SSL 和证书可提高 WSUS 连接的安全性
正确配置 WSUS(Windows Server 更新服务) 对于使用 Windows 系统的公司来说,维护安全高效的工作环境至关重要。该服务集中管理操作系统安全和功能更新,减少网络流量并提高管理员对设备群的控制。
在整个指南中,我们将回顾您必须遵循的所有步骤。 从头开始安装和配置 WSUS。您将了解从服务器准备到客户端计算机应具有的 GPO 设置的所有内容,包括网络设置、端口、代理使用以及 SSL 证书的实施以提高安全性。
在服务器上安装 WSUS 角色
开始使用 WSUS 的第一步是 在将用作更新中心的服务器上安装相应的角色。该服务器必须是最新的,网络角色配置正确,并且最好是 Active Directory 域的一部分。
从 服务器管理员,访问选项 添加角色和功能。在打开的向导中,选择 基于角色或功能的安装 并选择相应的目标服务器。然后,勾选 Windows服务器更新服务.
该向导还会要求您添加一些必要的功能。确认默认建议。在 内容位置,您必须指定 WSUS 将存储下载的更新的本地路径。建议将此文件夹放在具有足够可用空间的驱动器上(至少 40 GB,如果您要管理多台计算机,最好超过 150 GB)。此外,确保有效安装更新以避免出现问题也很重要,您可以在 此链接.
接下来,您将安装 IIS(Internet 信息服务),这是 WSUS Web 环境运行所必需的。除非您有自定义版本,否则不要更改其设置。最后,检查选择,按 安装 并等待该过程完成。
安装完成后,运行 后续任务 从进度窗口。这准备好从 WSUS 管理控制台启动初始配置的环境。
Instagram 故事:如何更改音乐的长度?初始 WSUS 配置
安装角色后,下一步是打开WSUS初始配置向导。该向导将指导管理员定义从哪里检索更新、下载哪些语言、产品和分类以及如何执行同步。
当你开始时,请查看介绍,如果你愿意,可以选择参与 Microsoft 更新改进计划。之后,你必须选择 从 Microsoft Update 同步 或从另一台 WSUS 服务器。第二种选择在具有多个站点和中间服务器的大型环境中很有用。
如果您的公司网络使用代理访问互联网,则必须配置该选项。指定代理主机和端口(默认 80),并在必要时输入凭据。 WSUS 支持基本身份验证和集成 Windows 身份验证。
连接到更新源后,选择 语言 您想要包含的内容。减少语言数量可以节省空间并加快同步速度。然后选择 产品 您想要保持最新的 Microsoft 版本:可能是 Windows 10、Windows Server 2019、Office 等。
在下一步中,标记 更新分类 WSUS 需要管理。通常会选择关键更新、安全定义和软件增强功能。如果您在更新过程中遇到问题,请查看以下可能的解决方案 本指南.
最后,您可以选择手动同步还是自动同步。如果您决定自动化,请定义每天执行同步的次数和时间。您每天最多可以进行 24 次同步。
最后,你可以 启动初始同步 直接从向导中。此步骤将下载初始元数据并准备服务器运行。
网络配置、端口和外部访问
为了使 WSUS 能够与更新服务器和客户端计算机正常工作,必须 打开必要的端口 在设备之间可能存在的各种防火墙和路由器中。
要连接到 Microsoft Update,WSUS 服务器需要在端口上进行出站 80(HTTP) y 443(HTTPS)。如果您的组织使用严格的出站规则,请确保允许访问以下域:
windowsupdate.microsoft.com
*.update.microsoft.com
下载.microsoft.com
*.delivery.mp.microsoft.com
如果您有多个 WSUS 服务器,并且正在设置分层链, 辅助服务器必须能够访问主服务器 通过港口 8530(HTTP) y 8531(HTTPS).
客户端计算机也需要通过相同的端口与 WSUS 服务器通信。确保服务器的防火墙允许传入连接,并且本地网络级别没有限制。有时用户可能会遇到与更新设置相关的连接问题,因此建议检查 本文.
如何发现有人在 Facebook 上屏蔽了您如果公司使用出站代理服务器,则必须支持 HTTP 和 HTTPS,并具有处理 WSUS 流量的适当权限。您可以为每个协议使用一个代理或两个单独的代理。
使用证书和 SSL 实现安全性
WSUS 允许您通过以下方式保护通信 SSL 协议 (HTTPS),它对流量进行加密以防止攻击和信息泄露。要启用它,您需要从内部或外部 CA(认证机构)颁发有效证书。
获得证书后,您必须在 WSUS 服务器的 IIS Web 服务中对其进行配置。确保仅在必要的虚拟文件夹上启用 HTTPS 以确保兼容性:
简单身份验证Web服务
DSSAuthWeb服务
服务器同步Web服务
APIremoting30
客户端Web服务
包含可下载内容(例如更新或报告)的文件夹不需要 SSL。还必须将 HTTPS 端口号设置为 8531,将 HTTP 端口号设置为 8530,或者如果您选择自定义,则使用相邻的端口对。
在 IIS 中应用更改后,打开 命令提示 以管理员身份运行命令:
wsusutil configuressl NOMBRE_SERVIDOR
此步骤完成WSUS服务器的安全配置。请记住还要将证书作为受信任的根证书颁发机构导入到所有客户端计算机上,以避免 SSL 信任错误。
创建和管理 WSUS 计算机组
WSUS 允许您将客户端设备分类为 自定义组 能够控制每组机器接收什么类型的更新。默认情况下,有两个组: 所有球队 y 未分配的团队.
从 WSUS 控制台,您可以创建新组(例如“服务器”、“办公室 A”等)并根据组织标准分配每台计算机。这种细分对于 批准分阶段更新 并避免大规模实施中可能出现的错误。此外,如果您需要解决更新挂起问题,请查看 本指南.
另外,您可以选择 两种分配方式:
服务器端: 从 WSUS 控制台手动进行。
客户端: 使用组策略,当应用时,自动将每台计算机放入相应的组中。
配置客户端以从 WSUS 接收更新
默认情况下,Windows 电脑会使用该服务从互联网下载更新 Windows更新。为了将您的请求重定向到 WSUS 服务器,我们必须 配置适当的 GPO.
Windows 10中放大光标和更改鼠标指针的方法如果您有 Active Directory 环境,则此任务非常简单。只需创建一个新的 GPO(建议专用于 WSUS)并从策略编辑器对其进行编辑。导航至:
Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update
在该路线内,激活以下策略:
配置自动更新: 根据所需选项启用下载和安装(例如,在预定时间自动进行)。
指定 Intranet 上的 Microsoft Update 服务的位置: 输入 WSUS 服务器的 URL 或 IP,如果使用 HTTP,则添加端口 8530;如果使用 HTTPS,则添加端口 8531。
启用客户端收件人: 询问计算机所属的 WSUS 组的名称(它必须与 WSUS 控制台中配置的名称完全匹配)。
将 GPO 应用到相应的 OU。使用命令 gpupdate /force 立即应用更改或重新启动客户端计算机。然后,运行 wuauclt /detectnow 强制检测更新。
检查状态和管理更新
大约 20-30 分钟后,客户端计算机将开始出现在 WSUS 控制台中。正确配置的将显示其名称、操作系统、组和更新状态。
从这里你可以 手动批准或拒绝更新、查看合规性统计数据、导出报告或设置电子邮件通知。有时可能会出现配置问题,因此建议检查 此链接.
建立一个内部策略是一个好主意,其中某些机器(例如测试服务器或试点电脑)在其他机器之前接收更新,以便在大规模部署之前检测到不兼容或错误。
部署和配置 WSUS 并不太复杂,但确实需要仔细注意每一个细节:从安装、代理配置、语言和产品同步、使用 SSL 证书的安全步骤到组策略的有效部署。如果一切操作正确,WSUS 将在更新方面为您提供更加可控、安全和高效的环境。
相关文章:Windows Update 目前无法检测到更新,因为没有更新
艾萨克对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识,这就是我在这个博客中要做的,向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。