当WSUS服务器安装好以后,你还需要配置客户端计算机通过WSUS服务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境:在域环境中,可以使用基于域的组策略对象 (GPO);在非域环境中,可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后,客户端计算机上控制面板中的自动更新就会失效。
在域中通过组策略进行部署时,微软建议添加一个针对WSUS更新的组策略对象,而不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的,具体的位置在计算机配置->管理模板->Windows组件->Windows Update。
由于我是在域环境中部署的WSUS服务器,所以我通过添加域组策略对象的方式来配置客户端计算机使用WSUS服务器进行自动更新:
点击开始,再点击管理工具,然后点击Active Directory 用户和计算机,在弹出的Active Directory 用户和计算机管理控制台,右击域yejunsheng.com,选择属性,在弹出的yejunsheng.com属性对话框,点击组策略标签,然后点击新建按钮;见下图:
将新建的组策略对象重新命名为WSUS Deployment,然后点击编辑按钮;见下图:
在弹出的组策略编辑器中,依次展开计算机配置、管理模板、Windows组件、Windows Update,如果你没有找到Windows Update模板,可以右击管理模板选择添加/删除模板再选择添加%systemroot%infwuau.adm模板添加。见下图:
为了让客户端计算机正常的从WSUS服务器获取更新,你必须配置以下两个选项:
配置自动更新。必须设置为已启用,并根据你的需要选择自动更新类型。在此我选择通知下载并通知安装,然后点击确定;见下图:
指定Intranet Microsoft更新服务位置。在此指定企业内部网络中的WSUS Web站点地址,此地址必须是客户端计算机可以正常访问的地址。你可以使用IP地址,也可以使用计算机名,但是建议总是使用FQDN;如果你使用FQDN,必须确保客户端计算机可以正常解析此FQDN。在此我已经做好DNS解析,将wsus.yejunsheng.com域名解析到WSUS服务器,并且由于WSUS Web站点使用的默认Web站点,所以我的WSUS Web站点地址为http://wsus.yejunsheng.com。如果WSUS Web站点使用非标准的HTTP协议端口,例如默认的自定义WSUS Web站点使用端口TCP 8530,你必须在此地址中包含你的端口,即http://wsus.yejunsheng.com:8530。将地址分别输入在这两个文本框中,点击确定。见下图:
最后关闭组策略编辑器对话框,然后在yejunsheng.com属性对话框上点击关闭。
此时,刚才创建的组策略已经生效,但是在默认情况下,客户端计算机每隔90分钟刷新一次组策略,刷新的时间可能随机偏移0到30分钟。如果想要让客户端计算机更快的刷新组策略,您可以在操作系统是Windows XP或Windows server 2003的客户端计算机上运行gpupdate /force,在操作系统是Windows 2000的客户端计算机上运行secedit /refreshpolicy。见下图:
我来到一台计算机名称叫做WSUS-Client-1的计算机--在命令提示符里面输入gpupdate /force按回车键来刷新一下组策略--对着我的电脑右键--选择属性--按自动更新--可以看到现在的自动更新选项全变成灰色了(不可以选择了)-->说明现在WSUS-Client-1这台计算机已经是WSUS服务器的客户端了
对于使用本地组策略配置的客户端计算机,将立即应用组策略。但是组策略应用以后,客户端计算机大约会在20分钟后检测WSUS服务器上的可用更新,只有当客户端计算机和WSUS服务器进行通讯后,该计算机才会显示在WSUS管理控制台中的计算机列表中。见下图:
我来到WSUS服务器这台计算机打开WSUS管理控制台--按计算机--可以看到wsus-client-1.yejunsheng.com这台计算机显示在WSUS管理控制台中的计算机列表中了。
一旦应用了组策略,便可手动启动检测,这样则不必等待20分钟便可将客户端计算机连接到WSUS服务器,手动启动检测的方式为运行wuauclt.exe /detectnow命令。
至此,WSUS服务器的安装和客户端计算机的配置就完成了。你现在需要管理WSUS服务器,让WSUS服务器和Windows Update进行同步,从而让客户端计算机通过WSUS服务器获取更新。
本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/161329