背景：
因为最近勒索病毒的原因，打补丁比较困难，于是要求研究下内网补丁服务器，本文是我在安装过程一个记录。

一、服务器端搭建

1. 准备工作：

环境：windows2088r2（64位）
　　需要的软件：
　　1）WSUS30-KB972455-x64 （wsus sp2）
　　2）WSUS-KB2720211-x64 (补丁)
　　3）ReportViewer（表格报告）

2. 安装服务器端

在这里我选择使用的是自带的数据库，没有在另外安装数据库，这样会方便很多。
安装服务器端很简单，就是一路默认下一步的安装下去就可以了，点击第一个安装包就会发现第一个报错了。如下图：就是需要安装ISS才可以。

iss没有安装的报错

　　先安装ISS：

安装ISS

选择角色界面

　　有时候会出现明明已经安装ISS可是还是会提示没有安装的报错，原因是有些角色没有安装，你可以点击wsus查看那些是需要的选择上去：

wsus需要用到的角色服务

　　你可以添加所需要的角色，然后在wsus取消，只安装ISS就可以了，等待ISS安装完成。
在点击第一个安装包，就可以了直接下一步，同意协议什么的就可以了，过程中可能会提示：

提示没有安装report viewer

　　就是第三个安装包，可以在后期安装。

可以选择更新存储在什么位置

默认数据库安装在什么位置

使用默认的网页，也可以创建新的

提示上面的配置和需要安装的组件

　　默认下一步就可以了，在下一步就是安装了等待安装完成。
　　安装第三个安装包report非常简单，就是下一步安装完成。
　　在wsus安装完成之后会弹出如下的界面：

配置向导

这个内网可以把勾去掉，也可以不管他。

选择补丁来源

　　外网机器默认去微软的更新服务器，当然如果你知道公网中补丁服务器也可以选择使用。如果是内网第一台补丁服务器默认即可，如果是内网下游服务器选择上游服务器的IP地址设置

代理服务器根据情况设置

是否连接

　　如果是外网服务器开始连接，根据你的网速关系需要的时间有长有短。如果是内网机器到此就可以叉掉了。然后进入

打开应用wsus

　　选择进入在里面选项，有几个地方一定要设置的，语言和是否自动审批。设置一定要和外网设置的一样，比如我有次没有设置语言，在将外网服务器下载好补丁拷贝过来，然后导入数据库之后发现出现很多更新，是其他语言，都报错没有办法下载此更新。产品和分类内网机器可以不设置。语言一定要设置。自动审批是否设置看你自己，设置完成之后会和外网一样自动对应已审批就是已审批拒绝就是拒绝。建议设置自动审批。

选项设置

可以在调出来设置向导

产品

分类

　　这里是没有和微软补丁连接的时候的产品和分类，如果连接之后会出现windows各个系统版本而不是家族的显示。自此设置就已经结束了，但是还没有和微软补丁同步下载。

更新文件

选择语言

3.同步下载补丁和拷贝到内网补丁服务器

同步

审批好的需要下载

　　这个地方会显示下载的大小，下载完成就表示你审批的补丁下载好了。外网下载好以后，就可以开始拷贝到内网的操作了。
　　首先需要拷贝下载的补丁文件,然后还需要数据库的导出和导入操作。

补丁文件

数据库导出

　　导出数据库：wsusutil export c:\wsus.cab c:\wsus.log 将wsus.cab和wsus.log和补丁文件拷贝到内网相应的位置，不一定非要是C盘。
　　然后cd到对应的位置C:\Program Files\Update Services\Tools
　　运行wsusutil import c:\wsus.cab c:\wsus.log导入数据库。这样就已经完成服务器端的同步下载和内网拷贝。

数据库导入

二、客户端安装

1.在组策略设置

Win+R运行gpedit 弹出组策略，找到计算机配置——管理模版——windows组件——windows update 在右半边找到配置自动更新，指定Intranet Microsoft更新服务位置，自动更新检测频率，允许客户端目标位置

组策略设置

配置自动更新

指定Intranet Microsoft更新服务位置

自动更新检测频率

允许客户端目标位置

配置完成一定要点击应用，确定按钮。这个完成需要在cmd中输入wuauclt.exe /detectno 意思是立刻生效，和服务器报告。

立即生效

查看设置是否成功

　　进入update的更改设置中看到以上信息说明已经生效了。

看是否改成如图所示

　　如果此处没有显示这个信息有两种情况：1.需要重启2.此电脑设置了域 需要在域管理中下发策略。这个方法比较麻烦，需要一台一台手动添加。如果所有电脑都加入了域可以在域管理主机直接下发策略。手动慢的话也可以使用注册表修改，写注册表修改的脚本就可以了。如果使用是windows家庭普通版的没有组策略也可以使用注册表的办法修改。

2.注册表修改

注册表

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"WUServer"="http://198.17.188.8"

"WUStatusServer"="http://198.17.188.8"

"TargetGroupEnabled"=dword:00000001

"TargetGroup"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000004

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000014

"UseWUServer"=dword:00000001

"AutoInstallMinorUpdates"=dword:00000001

"RebootRelaunchTimeoutEnabled"=dword:00000001

"RebootRelaunchTimeout"=dword:0000001e

"RescheduleWaitTime"=dword:00000005

"RescheduleWaitTimeEnabled"=dword:00000001

"NoAUShutdownOption"=dword:00000001

"NoAUAsDefaultShutdownOption"=dword:00000001

"DetectionFrequencyEnabled"=dword:00000001

"DetectionFrequency"=dword:00000022

"NoAutoRebootWithLoggedOnUser"=dword:00000001

"RebootWarningTimeout"=dword:00000010

"RebootWarningTimeoutEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WSUS Update"="wuauclt.exe /detectnow"

以上就是注册表修改需要用的，新建文本，最后把txt给出reg就可以了。

3.域添加补丁服务器

由于我对于域策略不是太了解，我的内网大部分机器都没域，如果有域需要在域服务器端，在组策略中和上面相同的设置就可以了。2003做的域需要做GPO.

域服务器中信息

4.在设置过程遇到客户端报错

第一个报错是84000021反正就是类似的报错
　　这是因为客户端版本的问题需要安装前面下载的第二个包。就不会在报错了
　　第二个报错8400000CB类似的报错
　　这个是连接过程中问题，多点几次重试就可以了。也有可能需要重启机器更新wsus的客户端程序。
我这里遇到报错只有这两个，其他还没有遇到.....还有就是我这里默认安装设置的端口都是默认80，如果补丁服务器的端口80已经被占用可以设置其他端口，但是在设置客户端设置补丁服务器时候需要加上，不然是没有办法获取到更新的。
　　在拷贝程序时候也遇到过问题，选择的windows产品过多，导致数据库过大，wsusutil导出时候发现wsus.cab文件大小为0，数据库的文件不能超过两个G否则无法导出的。

以上安装都很简单报错也可以到网上查询，但是有个地方下载补丁和向内网手动拷补丁非常浪费时间，有时候还会出现下载不动等等情况。再就是数据库文件过大无法导出，文件没有审批补丁没有下载，内网没有设置语言，导入时候发现多出来很多现在正在下载更新，内外网补丁服务器设置的不一致等等。