驭龙五式:实战 FCS 服务器和客户端部署——乘龙配凤:安装配置WSUS
相信您现在迫不及待想见真龙了,莫急莫急。俗话说,好马配好鞍,配龙当然不能只用鞍,能配得上龙的自然是凤啦。龙凤相配,事半功倍。 WSUS 就是 FCS 的凤。
作为“我最喜爱的微软产品”用户提名软件, WSUS 被越来越多的客户接受用来分发 Windows 更新。 FCS 的客户端组件和定义更新(病毒库)也可以通过 WSUS 来分发。这是非常方便的利用现有 IT 资源,简化企业管理的一种办法。
需要说明的是, FCS 客户端和定义更新的部署方式是非常灵活的。除了 WSUS ,完全可以利用其他已经存在的软件分发工具,如SCCM等。在这个系列的最后一部分,我们会介绍如何在没有 WSUS 的情况下部署 FCS 客户端并获得定义更新。
这篇文章分为三个部分:
安装 WSUS
在 WSUS 上为 FCS 配置更新
让客户端访问到 WSUS
一、安装 Windows Server Update Services ( WSUS )
在这个测试环境中,我们会安装最新的 WSUS 3.0 SP2 。
请注意:以下操作在 FCSServer 上完成。
1. 下载 WSUS 3.0 SP2
下载地址:
2. 在 FCSServer 上安装 WSUS 3.0 SP2.
3. 选择 ” 包括管理控制台的完整服务器安装 ” 。
4. WSUS 安装程序可能会提示
这是因为 WSUS 3.0 SP2 需要 Report View2008 来显示报表。我们可以在完成 WSUS 3.0 SP2 安装之后再安装 Report View2008 。
Report View2008 下载地址:
5. 选择存放更新文件的目录。由于 WSUS 将所有下载下来的更新文件都放在该目录,所以应选择空闲磁盘空间比较大的分区。
6. 选择将 WSUS 数据库保存在本地的 SQL Server 2005 数据库中。如果选择第一项, WSUS 会创建自带的 Windows Internal Database 。
7. 显示成功连接到 SQL Server 2005.
8. 使用现有 IIS 默认网站来创建 WSUS 。
9. 开始安装:
10. 完成安装后,会自动弹出 WSUS 配置向导。这个向导会帮助我们配置 WSUS ,如选择更新语言,产品和分类等。
11. 选择 ” 从 Microsoft Update 进行同步 ” 。通过同步 Microsoft Update , WSUS 可以获得最新的更新信息。
12. 如果需要代理服务器访问 Microsoft Update ,请在这里指定:
13. 点击 ” 开始连接 ” 。 WSUS 会连接到 Microsoft Update 去获取更新类型,更新产品以及语言信息。
14. 连接完成后,请点击“下一步”。
15. 选择 WSUS 管理的更新语言。在这个测试环境中,我们选择英语和简体中文。
16. 选择 WSUS 管理的更新产品。在这个测试环境中,我们选择:
Forefront Client Security
SQL Server 2005
Windows Server 2003
17. 在更新分类中,启用这些分类:
Service Pack
安全更新程序 (Security Update)
定义更新 (Definition Updates)
更新程序 (Updates)
更新更新集 (Update Rollups)
关键更新程序 (Critical Updates)
18. 配置同步计划。 FCS 的定义更新差不多每天会更新 4 次,我们可以把同步计划设为每天 4 次。
19. 完成配置,打开控制台并开始第一次同步。您也可以通过“开始” -> 管理工具 -> Windows Server Update Services 打开 WSUS 。
20. 检查 WSUS 的同步状态。第一次同步可能会花费比较长的时间。
21. 同步完成后,您可以在“更新”视图里查看所有的更新。
到这里 WSUS 就安装完成了。
二、在 WSUS 上为 FCS 配置更新
请注意:以下操作在 FCSServer 的 WSUS 控制台上完成
1. 为 FCS 创建更新视图
我们比较关心 FCS 相关的更新。为了能更方便地在 WSUS 上查看 FCS 相关更新,我们可以创建新的视图:
a. 右键点击“更新”,选择“新建更新视图”;
b. 选择产品“ Forefront Client Security ”,将视图取名为 FCS 。
c. 选中新建的 FCS 更新视图,显示所有 FCS 更新。
其中包括 FCS 的客户端安装程序“ Microsoft Forefront Client Security 的客户端更新 (1.0.1725.0) ”,以及定义更新“ Definition Update for Microsoft Forefront Client Security - KB915597 ”等。
2. 审批 FCS 更新
WSUS 上的更新需要审批之后才能部署到客户端。为了让客户端能获得 FCS 的客户端更新和定义更新,我们需要批准所有的 FCS 更新。
a. 选择所有的 FCS 更新,右键选择“审批”。
b. 审批安装到“所有计算机”。单击“确定”,接受弹出的 Microsoft 软件许可条款。
c. WSUS 会为这些审批安装的更新从 Microsoft Update 网站下载对应的更新文件。更新文件下载完毕后,客户端就可以从 WSUS 获取更新了。
您可以在 WSUS 控制台上选择“ FCSSERVER ”查看下载进度。
d. 每次都手工批准 FCS 定义更新可能不是一个好主意。 WSUS 提供了自动批准更新的功能。我们可以配置 WSUS 自动批准 FCS 定义更新。这样以后每次 WSUS 和 Microsoft Update 站点同步时,都会自动批准最新的 FCS 定义更新,不需要每次都手工批准了。
WSUS 控制台 -> 选项 -> 自动审批;
点击“新建规则”
创建规则
更新属于“定义更新”;
更新属于“ Forefront Client Security ” ;
审批对象“所有计算机”。
规则名字: FCS
三、让客户端联系到 WSUS
请注意:以下操作在 FCSDC 上完成。
前面都是 WSUS 服务器的安装和设置。 WSUS 部署的最后一个步骤是让客户端知道 WSUS 服务器的位置。最方便的办法是通过组策略 Group Policy :
1. 在域控制器 FCSDC 上,单击“开始” -> 管理工具 -> 组策略管理;
2. 展开组策略对象,右键单击“ FCSDomain.com ”选择“创建并链接 GPO ”;新建一个名为“ WSUS ”的组策略;
3. 右键选择“ WSUS ”,选择“编辑”
4. 在打开的组策略编辑器中,展开“计算机配置” -> 管理模板 ->Windows 组件 ->Windows Update
5. 启用下面三条组策略:
a. “指定 Intranet Microsoft 更新位置”:设置为http://fcsserver
b. “配置自动更新” : 设置为“ 3 - 自动下载并通知安装”;
c. “运行自动更新立即安装”:这个策略会帮助客户端自动安装不需要重启的更新,如 FCS 定义更新。对于需要重启的更新,它仍然会提示并等待用户安装。
6. 生成的 WSUS 组策略如下:
7. 检查 FCSServer 和 FCSDC 上已经生成了下面的注册表键值。如果注册表键值存在,说明已经获得了组策略:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate
如果键值还没生成,请执行 gpupdate /force 来刷新组策略。
您也可以通过本地策略或编辑注册表来生成上面的键值。
至此, WSUS 的安装和配置就完成了。凤已现身,龙在何方?预知后事如何,请听下回分解。