一、适用场景
1、企业内部网络无法访问外网,所以搭建WSUS服务器,可以让内网环境进行更新补丁。
2、校园内部的电脑实训室一般不用外网资源,偶尔开启外网使用时,电脑实训室集体自动更新占用外网资源量大,所以搭建WSUS服务器,在内部网络完成更新,节约外网资源。
3、在LAN局域网内部更新速度比外网更新速度更快,效率高。
4、系统补丁的及时更新,关系到操作系统的安全性,就算有还原或保护系统,漏洞依然存在,所以有必要及时更新补丁。
5、有还原或保护的情况下,需要经常使用外网的电脑实训室,更应该要及时进行补丁的更新,否则每次开机、开外网时,就要先完成更新的自动下载,反复多次的占用外网资源。
6、企业内有很多各种不同的专业软件,需要用到不同的库文件、类、包等时,需要在系统是最新版的补丁包的情况下。
WSUS是Windows Server Update Services的简称。搭建WSUS服务器,节省了网络资源,避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。通过配置,将客户端和服务器端关联起来,就可以自动下载补丁了。包括windows安全补丁、关键补丁、Office、SQL Server、MSDE和Exchange Server等内容。
二、遇到的情况及分析:
(一)流量分析
注意看,以下截图中,107网段每台电脑更新的流量占用,共有50台这样的win10系统,那么大部分带宽都被这个更新占用了。
1、同一时间内,192.168.107.0/24网段使用的上行与下行速率都较高,如下图:
2、在内部网络中,除了107网段上网,自然还有的其他网段也需要用外网,如下图:
(二)确认自动更新的终端所在网段
若在整观全局的网络运行状况时,大多数流量都集中在同一个网段时,就在DHCP服务器上查看,到底是哪个实际地理位置的VLAN中的终端占用外网的带宽。
(三)确认占用的外网带宽的是系统更新
1、打开该网段的所有电脑,开启该网段的外网后,不进行任何操作,就能看到该网段的每台设备占用外网的带宽流量,就说明此时带宽流量是系统更新。当一间电脑实训室的几十台电脑都进行在线更新时,那么外网的总带宽就会被占用完,如下图:
2、在设置——》更新和安全——》看到红色感叹号,提示需要更新,如下图:
3、任务栏显示红色感叹号,提示需要感叹号:
4、后台自动完成系统的关键更新、安全更新等补丁安装后,提示需要重启:
三、自建WSUS更新服务器配置过程
(一)使用OVF模板部署windows server 2016
1、创建一台新的虚拟机server 2016
2、指定新的WSUS服务器名称,并拖放备份好的OVF模板(此处也可使用ISO安装版本,进行新的server 2016安装)
3、选择部署server 2016的存储位置,如下图:
4、选择server 2016即将使用的网卡是哪张,如下图:
5、等待部署进度完成,如下图:
6、启动部署的虚拟服务器server2016
(二)添加新角色,用于WSUS服务器更新
1、打开服务器管理器,添加角色和功能,如下图:
2、进入向导,下一步,如下图:
3、基于角色或基于功能的安装,如下图:
4、从服务器池中选择服务器,如下图:
5、从角色列表中,勾选Windows Server更新服务,如下图:
6、勾选时,要求安装相应的功能,添加功能,如下图:
7、默认选项,下一步,如下图:
8、默认需要安装IIS角色,下一步,如下图:
9、角色服务中按下图的选项选择后,下一步,如图:
10、本例WSUS的更新服务器从“microsoft更新”下载更新,客户端从WSUS服务器下载更新,暂不配置SSL安全套接层,下一步,如下图:
11、本例暂不采用SQL Server,所以先选2项,如下图:
12、指定更新存储的位置,此处尽量不要选C系统盘,否则更新量大时,C盘满后负荷重,本例指定D:\WSUS文件夹,如下图:
13、此处可勾选“如果需要,自动重新启动目标服务器”,安装,如下图:
14、等待安装进度完成,如下图:
(三)配置WSUS的更新服务
1、打开管理工具中的windows server更新服务
2、指定本地存储更新的路径,点运行,如下图:
(1)指定路径(建议不放在C系统盘):
(2)等待安装完成,如下图:
(3)WSUS更新补丁路径不指定C盘的原因如下图,只更新一批win10的电脑后,WSUS的文件夹下就生成了46GB余的补丁
3、开始进入WSUS服务器的配置向导
4、加入microsoft更新改善计划,下一步,如下图:
5、本例中的WSUS服务器选择从micsoft更新中进行同步,如下图:
6、本例中的代理服务器不指定,就以1台自建的WSUS服务器为主,下一步:
7、指定语言的更新,本例指定英语和中文,如下图:
8、勾选企业内涉及到的操作系统,对应的补丁类型,此处若不确定时,可以先选常用的补丁类型,后续可以再修改产品类型,如下图:
9、选择主要更新的补丁程序的分类,如下图:
10、指定同步的时间计划,本例以更新大批量的电脑实训室为主,所以时间为上课时间以外,不能指定同步的具体时间,如下图:
11、开始初始同步,下一步,如图:
12、蓝色的文字,提示了我们后面需要做的事情,如图:
13、配置更新服务中的选项,如下图:
14、建立好各操作系统的分组,如下图:把对应的操作系统客户端放到对应的组中,更改成员身份,此时为灰色,如下图:
15、从WSUS的左侧,点选项,右侧选计算机,如下图:
16、修改为使用update Service控制台,确定,如下图:
17、此时,右击选中客户端,更改成员身份变亮,执行后,弹出对话框,如下图:
18、把连接上的客户端分配到之前创建的分组中,勾选对应分组,如下图:
(四)在WSUS服务器上审批更新(使对应版本的系统补丁,安装时更新到相应的操作系统上)
1、同步后,选中一个win11的补丁,开始审批,如下图:
2、选中对应的操作系统后,执行菜单中的“已审批进行安装”,如下图:
3、审批后,对应的操作系统版本前显示为绿色的勾,确定,如下图:
4、某些补丁在执行更新时,需要接受许可协议,如下图:
5、当在对话框中显示成功后,就可以在客户端的PC上执行更新,完成已审批选中的补丁更新了,如下图:
(五)WSUS服务器开启8530和8531端口号
1、WSUS服务器网卡抓包获取端口号(本例使用wireshark抓包分析):
说明:8530端口号给http协议使用
8531端口号给https协议使用
2、打开控制面板中的防火墙,高级设置,入站规则,如下图:
3、新建规则,TCP 8530和TCP 8531端口号开启,如下图:
4、从客户端电脑执行命令,测试WSUS服务器的8530端口是否开启
(1)telnet wsus服务器ip 8530
(2)左上角有光标在闪烁,测试连通性正常,如下图:
三、客户端的配置过程
(一)修改单台PC的组策略
1、按键 win+r,打开运行对话框,输入命令gpedit.msc,如下图:
2、计算机配置——》管理模板——》windows组件——》windows更新——》管理windows Server update service提供的更新——》指定intranet Microsoft更新服务位置,如下图:
3、指定intranet更新服务:http://WSUS服务器ip:8530,启用该策略,如下图:
4、下一步配置组策略,不要连接任何windows更新Internet位置,启用,第9步,如下图:
5、在客户端执行gpupdate /force命令,更新刚才配置的组策略,如下图:
6、等待更新策略完成,如下图:
7、客户端执行开始,设置,如下图:
8、点开windows更新,检查更新,如下图:
9、检查更新时,找到了刚在WSUS服务器上审批的更新补丁,安装后,要求重启,如下图:
(二)批量修改电脑的组策略
由于单台客户端需要修改组策略后,执行策略更新才能使配置生效,而面对几百上千台PC时,无疑工作量巨大,所以给出简单的批量客户端配置方法,如下图:
其余客户端PC拷贝comment.cmtx和registry.pol这2个配置好的文件到c:\windows\system32\GroupPolicy\Machine这条路径下之后,再执行一次gpupdate /force命令使配置生效,客户端的PC就可以从服务器审批后的补丁进行更新了。
四、验证结果
(一)单台客户端在无外网的情况下,能完成WSUS服务端指定审批后的更新
1、打开一台已经连接到WSUS服务器的客户端,开始——》设置——》windows更新——》检查更新,如下图:
2、在没有外网的情况下,可以完成更新补丁的下载,下图已经完成99%的补丁下载,从任务栏右下方的网络图标可见是无外网状态,如下图:
(二)当大量客户端同时在内网进补丁更新时,在WSUS服务器查看数据流量
1、查看WSUS服务器端网卡的流量情况:
2、在多台客户端PC更新的过程中,从上图WSUS服务器中的数据可以看出,963Mbps的突发流量,已经接近千兆,试问有多少企业能让上行、下行都达到千兆的外网速率?若达不到该速率,同时有几十或上百台PC在更新系统补丁中,表现出来的状况就是用户体验差,感觉外网速度慢、卡顿。所以本例有必要突出解决问题的本质。
3、查看WSUS的安全更新补丁
本文至此结束,既节约了外网带宽资源,又提高了补丁更新的效率,一举两得。而且能按自己指定的计划时间进行大批量的PC进行补丁更新。不足之处敬请批评指正。
