为 SCCM 安装 WSUS 并配置防火墙例外

在这篇文章中，我们将看到为 SCCM 安装 WSUS、配置防火墙例外、打开 SQL 复制端口的步骤。

到目前为止，在 SCCM 2012 SP1 的部署系列中，我们在第一篇文章中看到了安装和配置 Active Directory 域服务的步骤。

在第二篇文章中，我们看到了安装 SCCM 2012 SP1 先决条件的步骤，在第三篇文章中，我们看到了为 SCCM 2012 SP1 安装 SQL Server 的步骤。

WSUS 是 Microsoft 独立的基于服务器的产品，用于向 Windows 系统分发更新。它还使用 WUA 扫描补丁的适用性，然后安装 WSUS 提供的更新。

System Center 2012 Configuration Manager 需要 WSUS 3.0 Service Pack 2。 SCCM 2012 SP1 仅支持 64 位站点系统，您必须在受支持的 64 位版本的 Windows Server 之一上使用 64 位版本的 WSUS。

您可以通过打开服务器管理器、角色并添加 WSUS 角色来安装 WSUS。我更喜欢通过从 Microsoft 下载安装文件来安装 WSUS。

我们将使用用户帐户 sccmadmin 在 SCCM.PRAJWAL.LOCAL 计算机上安装 WSUS 角色。

安装适用于 SCCM 的 WSUS 3.0 SP2

使用以下步骤，您可以安装适用于 SCCM 的 WSUS。双击安装文件开始安装。在欢迎页面上单击下一步。

在安装模式选择中，选择包括管理员控制台的完整服务器安装。点击下一步。

接受许可协议并单击下一步。

建议将更新存储在不同的驱动器上，而不是存储在 C: 驱动器上。在我们的示例中，我们将在本地 E:WSUS 路径上存储更新。单击下一步。

对于数据库选项，我们将不使用内部数据库，而是使用 SQL 数据库实例。选择使用此计算机上的现有数据库服务器，然后点击下一步。

SQL Server 安装在同一台服务器上，因此可以快速连接到 SQL Server 实例。如果您有在其他服务器上运行的 SQL 服务器，请选择使用远程计算机上的现有数据库服务器。您必须提供计算机名称实例才能连接。

如果您计划创建专用 IIS 站点，请选择创建 Windows Server Update Services 3.0 SP2 网站，专用站点的端口号为 8530 和 8531，用于安全套接字层 (SSL) 连接。如果您计划使用 IIS 默认网站，请选择“使用现有 IIS 默认网站”，然后单击下一步。

单击下一步。

我们已成功完成 SCCM 的 WSUS 安装。单击完成。

单击“完成安装 WSUS 3.0 SP2”后，将出现 WSUS 配置向导。不要配置它，因为我们将使用 SCCM 来部署更新。这是一个重要的步骤，因为大多数人都会配置此步骤。单击取消关闭向导。

取消 WSUS 配置向导后，作为先决条件，您必须安装 WSUS 3.0 SP2 的 2 个更新。下载适用于 32 位和 64 位系统。

Windows Server 更新服务 3.0 SP2 更新 (KB2720211)

Windows Server 更新服务 3.0 SP2 更新 (KB2734608)

为 SCCM 配置防火墙

要了解 Configuration Manager 2012 SP1 中使用的端口，请访问此链接：- http://technet.microsoft.com/en-us/library/hh427328.aspx。为了成功使用客户端推送来安装 Configuration Manager 2012 SP1 客户端，您必须将以下内容添加为 Windows 防火墙的例外。

• 打印机共享
• Windows 管理规范 (WMI)

我们将创建入站和出站规则，添加文件和打印机共享服务作为防火墙的例外以及入站规则 > 允许 WMI。我们将在域控制器上执行此活动。

点击所有程序、管理工具，打开组策略管理控制台。右键单击该域并创建一个GPO。为 GPO 提供名称，然后单击确定。

右键单击您创建的策略，然后单击编辑。

展开计算机配置、Windows 设置、安全设置、具有高级安全性的 Windows 防火墙。右键单击入站规则，然后单击新建规则。

单击“预定义”并选择文件和打印机共享。单击下一步。

单击下一步。

单击允许连接。单击完成。

我们创建了一个入站规则以允许文件和打印机共享，同样右键单击出站规则，然后单击新建规则。选择文件和打印机共享。单击下一步。

单击下一步。

单击允许连接，然后单击完成。

我们需要创建一个入站规则以允许防火墙上的 WMI 服务。因此，右键单击入站规则，然后单击新建规则。点击“预定义”并选择Windows Management Instrumentation (WMI)。点击下一步。

单击下一步。

单击允许连接。单击完成。

为 SQL 复制打开端口

为什么要开放端口 1433 和 4022 ？

端口 1433 - SQL Server 侦听特定端口上的传入连接。 SQL Server 的默认端口是 1433。它适用于与数据库引擎默认安装或计算机上运行的唯一实例的命名实例的例行连接。

端口 4022 - 这是 SQL Service Broker，虽然 SQL Server Service Broker 没有默认端口，但这是我们防火墙允许入站的端口。

打开 SQL 复制端口的脚本

如果您正在寻找打开 SQL 复制端口的脚本，这里就是。将此脚本复制到记事本中并将其另存为 opensqlports.bat。右键单击批处理文件并以管理员身份运行。

@echo off
echo =========  SQL Server Ports for SCCM  ===================
echo.
echo.
echo         **Right click on the batch file and Run As Administrator**
echo.
echo.
echo Adding SQL Firewall Exceptions for SCCM
echo.
echo Adding TCP 1433
netsh advfirewall firewall add rule name = "SCCM SQL (TCP 1433)" dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
echo.
echo Adding TCP 4022
netsh advfirewall firewall add rule name = "SCCM SQL (TCP 4022)" dir = in protocol = tcp action = allow localport = 4022 remoteip = localsubnet profile = DOMAIN
echo.
echo Done adding firewall exceptions
echo..

默认情况下，Microsoft Windows 启用 Windows 防火墙，该防火墙会关闭端口 1433 以防止 Internet 计算机连接到您计算机上的 SQL Server 默认实例。

除非重新打开端口 1433，否则无法使用 TCP/IP 连接到默认实例。因此，我们现在将创建一个组策略来打开 TCP 端口 1433 和 4022。

创建 GPO 以打开 TCP 端口 1433 和 4022。

如果您选择在防火墙中手动创建规则，请打开组策略管理控制台。创建一个新策略并将其命名为SQL 端口。右键单击策略SQL 端口并对其进行编辑。在 Windows GP 管理控制台中，展开计算机配置、Windows 设置、安全设置、具有高级安全性的 Windows 防火墙 。

右键单击入站规则并创建入站规则，然后选择端口。点击下一步。

选择 TCP，并在特定本地端口中指定端口1433。

在“操作”页面上，单击允许连接，然后单击下一步。

防火墙规则将应用于所有 3 个配置文件。点击下一步。

将规则命名为 TCP Inbound 1433。最后点击完成。

同样，创建允许端口 4022 的入站规则，选择 TCP 并将端口号指定为 4022。单击下一步。

点击允许连接，然后点击下一步。

选择域名、私有和公共，然后点击下一步。

提供名称 TCP Inbound 4022 以标识该规则。完成后，点击完成。

我们已在防火墙上允许 TCP 入站端口 1433 和 4022。

在客户端计算机上，启动命令提示符并键入命令 gpupdate /force，然后按 Enter 键。在同一命令提示符中，键入命令 rsop.msc。

这将显示应用到该客户端的策略结果集、组策略。展开管理模板，然后单击额外注册表设置。

在右侧窗格中，您会发现防火墙允许的两个端口 1433 和 4022。此步骤只是检查策略是否已推送到客户端计算机。