某企業WSUS服務實例介紹

背景介紹

    經過永恒之藍這么一鬧，客戶開始重視系統補丁更新，由于客戶保密級別很高，內網不允許與互聯網連接，而使用wsusoffline工具對每臺服務器手動更新補丁工作量大，而客戶也沒有預算購買第三方補丁更新軟件，于是嘗試使用WSUS服務器在不連接公網的情況下進行補丁更新。

環境介紹

    客戶服務器都處于工作組環境下，內網的服務器由Windows Server 2003R2和Windows Server 2008R2兩種，而Windows Server 2008R2自帶的WSUS3.0SP1已不再受支持，添加WSUS角色時總會報錯，如果一定要用Windows Server 2008R2需要去微軟下載WSUS3.0SP2完成WSUS服務器的搭建，所以WSUS服務器選擇使用Windows Server 2012R2進行搭建。

操作步驟

    1.在公網環境搭建一臺WSUS服務器，以便下載補丁包（搭建過程略），搭建完成后設置更新文件和更新語言選項，語言選項是選擇下載那些語言版本的操作系統補丁，更新文件方式分為：

    （1）只有在審更新后批后，才能將文件下載到此服務器。該選項是在審批允許下載前只下載補丁包的源數據而非補丁本身，優點是節省帶寬，缺點是只有審批后才會真正下載補丁包，微軟建議使用該選項，它也是默認選項。

    （2）下載快速安裝文件。該選項是審批前直接將補丁包下載到本地，待審批通過后再進行安裝，它的優點是如果內網中的計算機已安裝過舊的補丁包，它只會安裝就補丁包與新補丁包之間差異的部分，緩解內網網絡負擔，缺點是對外網帶消耗大。

    結合實際環境，此處選擇下載安裝文件，需要注意的是：后期在內網中WSUS服務器的更新文件和更新語言選項設置必須和此處的選項保持一致。而更新源和代理服務器、產品和分類、同步計劃設置可以不用考慮。

    為方便下載，將自動審批選項設置為任何分類，然后開始進行補丁包下載。

    2.下載完成后在指定的補丁存放路徑下找到WsusContent目錄，該目錄中存放的就是下載下來的補丁，可以使用各種備份軟件或Xcopy工具進行備份，然后到內網的WSUS服務器上進行恢復，注意不要更改該目錄下的層級結構，此處選擇最原始的方法直接復制一份。

    3.只復制WsusContent目錄到內網的WSUS服務器上內網計算機依然無法正常下載補丁，還需要使用WSUS自帶的wsusutil工具將外網WSUS服務器上補丁包間的源數據導出，該工具位于C:\Program Files\Update Services\Tools目錄下，該工具無法通過雙擊打開，在命令行模式下可以執行，命令格式為：

    wsusutil.exe export packagename logfile    #packagename為.cab格式，logfile為.log格式，packagename和logfile名稱必須完全一致

    4.在內網搭建一個WSUS服務器，補丁包存放的位置設置建議和外網服務器保持一致，將復制的WsusContent目錄考到內網WSUS服務器上

    5.再使用wsusutil工具導入外網WSUS服務器補丁包的源數據，此時內網WSUS服務器補丁就算更新完成，以后每次更新補丁時都需要更新源數據

    6.打開IIS管理器，確認WSUS使用的端口號

    7.在內網中找一臺計算機，將組策略中WSUS服務器地址指向設置為實際的地址，完成后運行gpupdate /force刷新組策略

    8.打開這臺計算機的注冊表，將Windows update鍵值導出成為一個reg注冊表文件，發給內網中其他計算機，雙擊運行完成WSUS服務器的指向，至此操作完成

補充說明

   1.內網中其他計算機運行完reg文件后，注冊表的鍵值完成修改，但組策略中依然顯示未設置，此時可以正常從WSUS服務器獲取補丁，推測組策略和注冊表不是存放在同一位置。

   2.經過反復測試，內網中其他計算機運行注冊表文件后是可以找到WSUS服務器的，只是有時候執行完注冊表后立即可以進行更新，有時候出現錯誤后重啟下系統也可以恢復正常，有時候反復重啟、刷新組策略始終報這個錯誤，網上查了下這個錯誤說是網絡故障引起的，因為都是處于同一個網絡環境下，就很奇怪這個故障怎么解決，感覺這個故障的出現有很大的隨機性。

   3.WSUS是通過計算機名來標識PC的，如果環境中存在2臺相同計算機名的PC，后向WSUS服務器報告的會被記錄在WSUS的所有計算機列表中，盡管這2臺PC都能從WSUS服務器獲取到補丁包。