Archive for 2012-05-08

WSUS客户端配置笔记

在生产环境中,一般都不会将所有的机器直接跟外网的机器进行通信的,一方面可以减少外来的攻击,保证服务器的安全性,另一方面可以节省IP地址和带宽资源。 在内网中搭建好了WSUS补丁更新服务器,对于加入了域的主机来说,只需要在域服务器上配置对应的组策略就可以了,而对于没有加入域的主机,就需要单独的配置,所以一般都建议将机器加入域来进行统一管理。 相对来说Windows server 2008的AD配置组策略要比Windows server 2003的AD组策略配置更加符合操作习惯。如果机器没有加入域,则需要单独的配置客户端,接下来介绍没有加入到域中的机器WSUS客户端配置。 首先在运行中输入:gpedit.msc 打开计算机本地组策略编辑器,其次选择计算机配置,在计算机配置中选择模板管理。 在模板管理中,选择window组件,之后选中Windows Update组件 在Windows Update组件中选择<配置自动更新>将其改为<已启用>状态 配置自动更新监测频率,一般启用,并设置为默认22小时即可。(可根据实际需求进行更改) 指定Intranet Microsoft更新服务位置,地址为内网搭建的WSUS服务器的IP地址,图中仅做示例演示。 配置客户端,允许客户端目标设置,该选项配置之后,客户端将自动分类到WSUS服务器端创建的计算机组中去。 配置完毕之后,使用wuauclt.exe /detectnow命令进行同步更新。 此时,我们可以在WSUS服务端看到客户端机器。 在我们部署过程中,客户端检查已经完成了所有的更新,但WSUS服务端还是未能显示百分之百全部更新。 我们可以在客户端使用wuauclt.exe /reportnow命令进行强制刷新报告。 在Windows 2008 域中,直接在domain组策略中可根据上面步骤进行配置即可,跟单独客户端机器配置没什么区别,但在Windows 2003域中,需要在域管理器中,选择域名之后编辑组策略方可进行编辑。 一般在域中配置好组策略之后,可使用rsop.msc命令进行查看域组策略是否生效。 –EOF–