大家好，又见面了，我是你们的朋友全栈君。

建立内网Windows补丁服务器

众所周知，Windows系统有着种种安全漏洞和不足，这些都要依靠微软发布的一个个补丁来弥补，但公司内网无法访问Internet,，不能及时地下载更新。补丁的分发是微软应尽的责任，所以他们开发了Windows Server Update Services（简称WSUS）这一软件，可以实现通过一台服务器下载更新后，通过内部网络分发补丁。

实施方案

WSUS是一个C/S架构的软件，公司大部分机器的操作系统版本是Windows XP SP2,这个版本已经内置了WSUS的客户端。我们首先要做的是完成服务器的设置。
一般来说，WSUS服务器是需要访问互联网来下载更新的，但是由于公司内网与外网完全物理隔离，所以只能采用以下略显繁琐的方案。
架设两台WSUS服务器，一台连接Internet下载更新数据，然后导出更新程序数据，通过其他存储介质复制到连接内网的WSUS服务器上（此服务器使用192.168.0.190即可），最后导入更新程序数据，一样可以实现WSUS服务器更新程序的同步，此过程如下图所示。
客户端方面，虽然不需要安装，但是需要进行一定的设置，将更新服务器由默认的Windows Update服务器改为内网的WSUS服务器。这个可以通过生成一个注册表文件，然后放在文件服务器上请大家下载后运行导入，就可以完成设置。
关于更新的周期，由于微软是在每月第二周的周二发布新的补丁，所以手动拷贝的周期暂时定为一个月，如果有临时发布重要补丁随时更新。
具体操作流程及相关设置：

一、完成内网WSUS服务器的架设。

1．在192.168.0.190这台服务器上安装WSUS软件及相关服务。WSUS支持集中管理和分布管理两种管理模式。集中管理模式主要用于链式的WSUS服务器，我们使用分布管理模式。数据库选择默认选项即可，为Windows Server 2003下自带的WMSDE。
2．WSUS服务器的默认端口为TCP 80，由于192.168.0.190这台服务器上已有公司OA站点，80端口已被占用，所以采用自定义的8530端口。但是客户端的自我更新必须通过TCP 80端口，所以需要在默认站点下建立虚拟目录Selfupdate，使没有安装客户端的机器可以自我更新安装客户端。
3．通过服务器端定位，可以在管理控制台创建计算机组，然后对客户端计算机进行分组。（需要注意的是，安装在域环境下的WSUS服务器也可能不能正常识别非域成员的客户端计算机，就算这些客户端计算机可以正常通过此WSUS服务器进行更新。）
4．设置“自动审批”选项，拷贝到内网服务器的更新文件都是无需审批的。

二、对客户端计算机进行设置。

由于公司内网机器没有处于域环境下，我们可以通过本地组策略的方式或者修改注册表来完成。两者的性质是一样的。用gpedit.msc命令打开本地组策略，在弹出的编辑器中，依次展开计算机配置、管理模板、Windows组件、Windows Update，为了让客户端计算机正常的从WSUS服务器获取更新，必须配置以下两个选项：
1．配置自动更新。必须设置为已启用，在此选择自动下载并通知安装，然后点击确定；
2．指定Intranet Microsoft更新服务位置。在此指定内网的WSUS服务器地址，由于我们使用自定义的站点，所以必须指明端口，即192.168.0.190:8530
在注册表中导出项HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
生成注册表文件，放到文件服务器上请各客户端计算机下载后运行导入即可。

最后使用命令wuauclt.exe /detectnow检测客户端计算机与服务器之间的通讯状况。

三、进行外网WSUS服务器的架设。

1． 完成WSUS软件及相关服务的安装，由于我们要将更新元数据及更新文件手动拷贝到内网WSUS服务器上，所以存储方式选择本地存储，将更新文件全部下载到本地(不勾选延迟下载的选项)，需要注意的是留有足够的硬盘空间（至少6G以上）。其他设置与内网服务器基本相同。
2. WSUS服务器将与Windows Update服务器进行同步，同步方式设定为手动同步即可。根据具体需要来选择更新的产品及程序。对公司现在的状况来说，一些影响性能的关键更新是最为重要的。很多针对远程控制的漏洞补丁相对并不是那么重要。更新语言选择中文简体即可。
3. 下面是整个方案中较为重要的一个部分，完成从外网WSUS服务器与内网WSUS服务器之间的数据转移。首先我们需要确保外网服务器和内网服务器的快速安装文件特性和语言设置完全匹配。
然后实现更新文件的导出导入，这比较简单，只要将外网服务器的C:\WSUS\WsusContent目录复制到内网服务器的C:\WSUS\WsusContent目录即可。最后完成元数据的导出导入，使用工具wsusutil,在命令行下输入wsusutil export c:\wsus.cab c:\wsus.log，其中export是wsusutil的一个导出参数，c:\wsus.cab是导出的数据文件，c:\wsus.log是导出的日志文件。将导出的元数据复制到内网服务器器上，放在C盘根目录下，运行命令提示符，执行导入操作，命令是：wsusutil import c:\wsus.cab c:\wsus.log。导入便成功了。此时在内网服务器上执行安装更新的操作即可完成内网客户端计算机的更新。