windows系统局域网内补丁自动分发解决方案.doc

Window操作系统局域网内补丁自动分发解决方案武汉超特网络技术有限公司2012年4月目录1WINDOWS补丁问题现状补丁问题现状.32解决思路解决思路.33WSUS安装安装.43.1安装前的准备工作.53.1.1IIS.2BITS.NetFramework1.1SP磁盘空间.83.1.5数据库.83.2安装WSUS2.0+SP1.93.3配置WSUS同步WSUS2.0.184利用利用WSUS进行补丁分发进行补丁分发.214.1WSUS分组管理.224.2组策略或注册表设置.254.2.1用组策略设置.254.2.2用注册表设置.294.3WSUS更新审批.314.3.1手工批准更新.324.3.2自动批准安装.355链式链式WSUS部署部署.435.1启用WSUS服务器间的身份验证.455.2创建允许的下游WSUS服务器列表.465.3配置IIS.476物理隔离内网物理隔离内网WSUS部署方法部署方法.496.1内部网络WSUS部署方案.496.1.1WSUS服务的一般部署方案.496.1.2内部网络中WSUS的安装部署.506.2内网WSUS服务器的首次更新.506.2.1WSUS服务器中更新的数据构成.506.2.2内部网络中WSUS更新的基本方法.506.3内部网络中WSUS持续更新方案的实现与优化.516.3.1改进内部网络中WSUS更新方案的原因.516.3.2实现内部网络中WSUS更新优化的具体方法.516.3.3持续更新的关键新增更新补丁的自动提取.526.4总结.531windows补丁问题现状补丁问题现状目前在企业内网中，90%以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品。微软产品素以界面友好，功能强大而著称，但同时也以补丁泛滥而令管理员头疼。微软为弥补产品安全，提供了各种各样的ServicePack，Hotfix.这些补丁解决的问题五花八门，种类繁多，管理员都有应接不暇的感觉，更别提普通用户了。但补丁又确实很重要，补丁对应着严重的安全隐患和性能缺陷，我们决不能掩耳盗铃，置之不理。那该怎么处理这个问题呢？其实微软从Win98之后就在操作系统中内置了WindowsUpdate组件，这个组件可以使用Http或Https自动连接到微软的更新网站去下载所需要的补丁并自动安装。但对企业用户来说就存在以下问题：其一，带宽问题。假设某企业500名用户，每人需下载20M补丁，全公司可就至少需要10G的带宽！这可不是个小数目。如果公司员工同时都去微软下载WindowsXPSP3（349M），一定会引发的网络大塞车！其二，安全问题。并非所有的补丁都适合在当前环境使用。就以当年的WindowsXPServicePack2为例，此补丁打上之后，与当时的很多应用程序都会产生冲突，解决办法是只能换用新版本的应用程序。如果管理员综合权衡安全和灵活因素，就未必会在生产环境第一时间部署这个补丁。因此，综合来看，用WindowsUpdate组件连接到微软的更新网站更适合家庭用户或小型公司，对中大型企业来看并不适合。2解决思路解决思路基于上述原因，微软为企业用户提供了WSUS（WindowsServerUpdateServices）作为解决方案。WSUS解决问题的思路很简单，管理员利用WSUS服务器从微软的更新网站下载补丁，然后再发布给内网用户。这样既能降低网络带宽流量，将补丁下载的数据量降为最低；又能让补丁置于管理员的控制之下，管理员经过审核后，同意发放补丁，用户才可以安装补丁。WSUS常用的部署拓扑有以下三种，现简介如下：A单服务器拓扑。如下图所示，单服务器拓扑是使用最广泛的WSUS拓扑。单服务器拓扑利用一个WSUS服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。（图1）B链式拓扑。如下图所示，链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。（图2）C分离式拓扑。如下图所示，分离式拓扑指的是在一个与互联网隔离的网络内，WSUS服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队，公安等专用网络。（图3）WSUS目前常用的是WSUS2.0和WSUS3.0这两个版本。这两个版本的前身SUS1.0由于只能支持有限的操作系统补丁管理，已经基本被淘汰了。下面我们从WSUS2.0SP1开始介绍。3WSUS安装安装介绍一下实验拓扑，如下图所示，Florence是域的域控制器，Berlin是wsus服务器，perth是测试用的工作站。三台计算机都安装了Win2003中文企业版。（图4）3.1安装前的准备工作安装前的准备工作要在Berlin上安装WSUS2.0SP1，需满足下列条件。3.1.1IIS6.0由于WSUS客户机和服务器之间通过Http或Https传递数据，因此WSUS服务器必然需要IIS的支持。我们在Berlin上依次点击控制面板添加或删除程序添加删除Windows组件应用程序服务器，在应用程序服务器中选择安装Internet信息服务（IIS），如下图所示.（图5）3.1.2BITS20BITS可以支持后台传输，数据压缩，断点续传等高级功能。WSUS2.0SP1需要BITS2.0的支持，从注：Win2003SP1不需要安装此补丁。（图6）3.1.3.NetFramework1.1SP1WSUS2.0SP1还需要.NetFramework1.1SP1的支持。从注：Win2003SP1不需要安装此补丁。（图7）3.1.4磁盘空间磁盘空间WSUS2.0SP1要求系统分区至少应有1G的剩余空间，WSUS的更新文件需要至少6G空间，WSUS的元文件至少需要2G空间。解释一下，更新文件是我们安装补丁时所需要的二进制文件，元文件则负责提供更新文件的信息，例如这个补丁修补了哪些漏洞，适用于哪些版本，需要哪些安装条件等等。更新文件存储在目录中，元文件存储在数据库中。建议将WSUS数据安装在非系统分区，并且至少准备8G剩余空间，用虚拟机作实验的朋友尤其作注意这点！3.1.5数据库数据库WSUS的后台数据库可以是SQL2000，MSDE或WMSDE。WSUS安装时自带了WMSDE，MSDE是大家很熟悉的数据库桌面引擎，MSDE和WMSDE的区别在于MSDE有最大不能超过2G的限制，而WMSDE没有。MSDE和WMSDE都没有提供管理工具，如果你需要管理工具，可以考虑安装SQL2000+SP3作为WSUS的后台数据库，也可以在WMSDE或MSDE的基础上加装一个SQL2000管理工具。建议如无特殊需求，使用WSUS自带的WMSDE数据库即可。3.2安装安装WSUS2.0+SP1作好安装前的准备工作后，我们就可以进行WSUS2.0的安装了。如下图所示，启动WSUS2.0SP1的安装程序后出现了安装向导。（图8）接受软件许可协议，下一步。（图9）设置存储WSUS更新文件的目录为E:WSUS，更新文件至少需要6G磁盘空间。（图10）WSUS后台数据库选用自带的WMSDE，设置数据库的存储目录为E:WSUS。（图11）选择WSUS是利用IIS的默认网站发布补丁还是新建一个网站进行补丁发放。建议如果有可能，尽量选择80端口的默认网站。因为考虑到以后的应用，默认网站兼容性还是要好一些。（图12）安装向导询问WSUS是否从镜像服务器继承设置，我们准备把Berlin作为一个独立的WSUS服务器进行管理，不从任何WSUS服务器继承设置。（图13）安装向导收集数据完毕，点击下一步开始安装.（图14）经过一段时间的等待，安装终于完成。（图15）3.3配置配置WSUS2.0WSUS2.0安装完成后，我们需要先对WSUS进行一些基本的设置，例如WSUS可以下载哪些微软产品的补丁？哪种语言的补丁等等。我们在浏览器中输入Http:berlinwsusadmin启动WSUS的管理界面，如下图所示，我们点击右上角的选项（图16）如下图所示，选择同步选项（图17）如下图所示，我们可以设置补丁所涉及的微软产品以及补丁分类。在产品和分类中，点击红圈处的更改，准备对补丁所涉及的微软产品进行设置。（图18）如下图所示，由于我们实验环境中所有的操作系统都是Win2003，因此我们只选择了Windowsserver2003，DatacenterEdition，这样WSUS就只会下载Win2003操作系统的相关补丁。值得注意的是，现在WSUS20.只能支持操作系统相关补丁，但WSUS2.0开始工作后，就会连接到微软更新网站对自身组件进行更新，更新完毕后WSUS就可以支持微软的全系列产品了。（图19）接下来设置WSUS的补丁分类，如下图所示，WSUS默认只下载安全更新和关键更新程序类的补丁，这两类补丁这是在工作中使用最多的。（图20）设置完补丁的产品和分类后，我们来设置一下更新文件存储的位置以及更新的语言版本，如下图所示，点击红圈处的高级进行设置。（图21）如下图所示，我们选择将更新文件存储到WSUS服务器。如果企业访问互联网的带宽很充足，也可以选择不在本地存储更新，只在WSUS保留元文件，用户需要更新文件时仍然去微软网站下载。我们在语言设置中选择仅下载简体中文版本的补丁。（图22）3.4同步同步WSUS2.0对WSUS进行简单的设置后，我们就可以让WSUS服务器去微软网站同步了，同步可以让WSUS服务器获知到底有多少补丁可以下载。WSUS默认设置是手工同步的方式，如下图所示，点击立即同步，WSUS服务器就开始工作了。第一次同步微软更新网站的时间比较长，从几十分钟到几个小时不等，之后的同步采用增量方式，所需要的时间就会少很多。（图23）如下图所示，WSUS正在同步中（图24）同步完成，点击WSUS管理页面中的更新。如下图所示，我们可以看到WSUS已经统计出了补丁的数量以及每个补丁的详细信息。（图25）WSUS同步成功后，如何将补丁分发给内网的客户机？如何对补丁进行审核管理？如何对客户机进行分组管理？这些问题我们都将在后续文章中一一介绍。4利用利用WSUS进行补丁分发进行补丁分发我们完成了WSUS2.0SP1的部署，现在来介绍如何利用WSUS进行补丁分发。WSUS的实验拓扑如下图所示，Florence是域控制器，Berlin是WSUS服务器，Perth是工作站。WSUS服务器已经在同步选项中对产品及类别进行了设置，也已完成了同步。我们接下来就要利用这个环境进行补丁分发。（图1）完成补丁分发，需要注意以下三点：一WSUS分组管理二组策略或注册表设置三WSUS更新批准下面分别介绍具体内容4.1WSUS分组管理分组管理分组管理可以把WSUS客户机放入不同的组中进行管理，每个组可以有不同的补丁管理策略，这些对于管理工作的细化很有好处。举个简单的例子，微软已经发布了WindowxXPSP3，但这个补丁安装后的效果如何管理员却没有把握。这时管理员可以创建一个测试组，仅允许测试组的计算机安装WindowsXPSP3，如果效果不错就向全体用户推广，如果效果不佳就停止部署。因此我们有必要先进行计算机组的设置。在浏览器中输入http:berlinwsusadmin，打开WSUS服务器的管理页面，在管理页面中点击计算机，如下图所示，WSUS安装时默认创建了两个组，一个是所有计算机组，一个是未指定的计算机组。默认情况下每个WSUS的客户机都会属于这两个组。（图2）我们准备创建两个组，一个名为ITET，一个名为TEST。ITET组用于普通的客户机，TEST组用于测试补丁的客户机。点击上图中的创建计算机组，弹出对话框要求我们输入组名，如下图所示，我们为计算机组命名为ITET。这样我们就创建出了一个计算机组，然后用同样的方法再创建一个名为TEST的计算机组。（图3）计算机组创建完成后，如何将客户机加入到指定的组中？WSUS提供了两种方法供管理员选择，我们可以在WSUS的管理页面中点击选项，如下图所示，点击计算机选项（图4）在计算机选项中我们看到有两种选择，一种是用组策略或注册表决定客户机加入哪个计算机组，一种是在WSUS服务器的管理页面中用移动计算机的方法将客户机加入计算机组。如果客户机数量较少，移动计算机的操作是比较简单的；但如果客户机数量较多，显然还是组策略更有效率。在此我们选择利用组策略或注册表进行设置，点击保存设置让更改生效。（图5）4.2组策略或注册表设置组策略或注册表设置到目前为止，我们部署了WSUS服务器，创建了计算机组。但客户机如何知道哪台计算机是自己需要的WSUS服务器，客户机应该加入哪个计算机组呢？这些设置可以通过组策略或注册表来完成（其实两者是一样的，组策略不过是提供了一个友好的修改注册表的界面）。4.2.1用组策略设置用组策略设置如果在域环境下，用组策略是效率最高的方法。我们只要部署一个域级别的组策略，就可以轻松完成WSUS设置。在域控制器Florence上依次点击开始程序管理工具ActiveDirectory用户和计算机，右键点击域，选择属性。在属性中切换到组策略标签，如下图所示，选择默认组策略DefaultDomainPolicy，点击编辑按钮。（图6）在组策略编辑器中展开计算机配置管理模板Windows组件WindowsUpdate，如下图所示，在此我们可以进行WSUS相关策略的设置（图7）编辑配置自动更新策略，如下图所示，在此策略中我们选择启用自动更新，并且将自动更新模式配置为自动下载并通知安装，在此模式下客户机会自动下载补丁但在安装补丁前会通知用户。（图8）编辑指定IntranetMicrosoft更新服务位置策略，如下图所示，在此策略中可以设定WSUS更新服务器和统计服务器。Intranet更新服务器提供补丁下载，Intranet统计服务器提供报表统计，在此例中我们用一台服务器同时提供这两种服务。我们描述服务器可以使用Netbios名称，完全合格域名或IP。（图9）编辑允许客户端目标设置策略，如下图所示，在此策略中我们可以设置客户机加入的WSUS计算机组，我们将计算机的目标组设置为刚创建的ITET（图10）完成上述设置后，基本已经可以满足WSUS实验需求，其他策略我们就不一一列举了。4.2.2用注册表设置用注册表设置如果部署环境是在工作组中，那么就没有域环境这么方便了。虽然我们可以编辑每台计算机的本地安全策略，但这么做对一名管理员的耐心是一个极大的考验。在这种情况下，管理员一般会采用导入导入注册表的方法来进行设置。具体是这样的，先在一台模板计算机上编辑好本机的组策略，设置方法如前文介绍。然后用regedit打开模板计算机的注册表，定位到HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdate，如下图所示，我们看到注册表中已经设好了WSUS服务器的名称，计算机加入的目标组等参数。我们现在要做的就是把这些注册表设置导出成文件，然后在其他的计算机上进行导入操作。我们在WindowsUpdate上点击右键，选择导出（图11）如下图所示，我们选择将Windowsupdate分支导出成文件，文件名为C:WSUS.REG。（图12）然后我们只需将WSUS.REG文件利用电子邮件或文件服务器分发给其他用户，每个用户双击此注册表文件进行导入操作即可。4.3WSUS更新审批更新审批完成了前面的设置，接下来就该进行实质性的操作，我们要在WSUS服务器上分发补丁了！上篇博文中我们对WSUS服务器进行的同步设置中规定了WSUS只能涉足Win2003平台下的安全更新和关键更新，这些更新必须经过WSUS服务器批准安装才能分发到客户机上。下面我们来看看到目前为止哪些更新被批准安装了，打开WSUS服务器的管理页面，点击页面上方的更新，如下图所示，在左侧视图中对产品和分类选择关键和安全更新，对批准选择安装，在已同步处选择任何时间，这时右侧面板中显示被批准安装的更新只有两个。一个是Windowsinstall3.1，一个是Bits2.0和Http5.1，这两个更新是WSUS客户端所必须的，肯定会被批准安装。问题是那其他的更新为什么没被批准呢？原来WSUS服务器对安全更新和关键更新默认只批准检测，不批准安装。现在我们来批准安装一些更新。（图13）4.3.1手工批准更新手工批准更新在WSUS服务器的管理页面中选择更新中，在左侧视图中对批准选择仅检测，如下图所示，这时右侧面板中显示共有301个更新，每个更新前的图标是灰色的，代表此更新没有被批准安装。我们选择所有更新，点击左上角的更改批准（图14）如下图所示，我们对所有更新都批准安装。其实有些补丁并不适合当前环境，例如有一些64位的补丁，但实验环境下我们就不仔细筛选了。从下图中还可以看到，对每个组可以采取不同的管理策略，例如有的组批准安装，有的组只批准检测，管理起来非常灵活。这也是我们设置计算机组的意义所在。（图15）将更新的状态从批准检测更改为批准安装后，WSUS开始对补丁状态进行更改，如下图所示。（图16）如下图所示，状态更改完成，每个更新前的图标变成了绿色箭头，这代表此更新被批准安装，现正在下载中，但还没有下载完毕。如果下载完成，图标会变为蓝色桶状。（图17）4.3.2自动批准安装自动批准安装如果觉得手工批准安装太麻烦，我们可以让WSUS自动批准。打开WSUS的管理页面，在选项中点击自动批准选项，如下图所示（图18）如下图所示，我们选择对安全更新程序和关键更新程序批准安装，这样以后只要WSUS服务器发现微软的更新网站有了新的安全更新或关键更新，WSUS就会自动批准进行检测，进行安装！（图19）好了，WSUS服务器端的设置已经基本完成，让我们去客户机上看一下吧。首先在客户机上可以运行gpupdateforce来加速组策略的生效，否则域成员服务器或工作站等候组策略生效可能最多需要90分钟。然后可以运行wuaucltdetectnow，这样客户机可以立即连接到WSUS服务器而不需要等待20分钟的延时，过程如下图所示。（图20）等待一段时间后，客户机的右下角出现提示，告诉我们有一些更新需要安装，如下图所示，WSUS开始工作了。（图21）如下图所示，客户机从WSUS服务器上下载了四个更新，我们点击安装（图22）安装过程如下图所示（图23）客户机如果想知道到底安装了哪些更新，可以输入命令systeminfo，如下图所示，客户机安装补丁的数量和名称都已经列出来了。（图24）管理员如果想了解补丁的部署情况，就可以使用WSUS强大的报表功能。管理员可以打开WSUS的管理页面，选择报告，如下图所示，点击计算机的状态（图25）如下图所示，在左侧的视图中我们选择查看ITET计算机组已安装补丁的报表，点击应用。（图26）如下图所示，WSUS显示了ITET组内每台计算机所安装补丁的统计信息。（图27）如果想查看详情，可以点击计算机名左侧的号，如下图所示，WSUS显示了perth所安装的6个更新的详细信息。WSUS的报告功能还有很多用法，在此我们就不一一列举了。（图28）有一点大家要注意，在上面我们看到WSUS2.0刚安装完时只能支持操作系统的更新，功能是比较简陋的。好在WSUS服务器工作后，首先对自身组件进行更新，现在它已经可以支持微软的全系列产品了，我们再次查看同步选项中的更新产品，如下图所示。如果你有一些微软的其他产品也需要更新，赶紧去更改WSUS的同步选项吧！（图29）至此，我们完成了WSUS服务器的补丁分发，在下一篇文章中，我们会介绍如何部署WSUS的下游服务器。5链式链式WSUS部署部署WSUS服务器不仅仅可以从WindowsUpdate中获取更新程序，也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时，一台WSUS服务器可能不能满足你的需求，此时你就可以使用多台WSUS服务器组成链式结构，如下图所示，一台WSUS服务器作为上游服务器，一台WSUS服务器作为下游服务器。你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的，但是由于每一级WSUS服务器增加了更新程序的延迟，所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步，否则WSUS就不能正常提供服务。在链式WSUS服务器部署中，下游WSUS服务器继承上游WSUS服务器的高级同步选项，你不能修改下游服务器的高级同步选项。默认情况下，上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中，而不包含其他的信息，例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息，则下游WSUS服务器必须配置为集中管理模式中的复制服务器。根据管理模式的不同，WSUS服务器担当的角色也不同，不同WSUS服务器角色之间的区别如下表所示，表中未提及的其他功能均一致：分布管理模式下的独立管理服务器集中管理模式下的独立管理服务器（主服务器）集中管理模式下的复制服务器同步源位置MicrosoftUpdate或者其他WSUS服务器MicrosoftUpdate或者其他WSUS服务器只能是其他WSUS服务器同步高级选项（同步更新的语言和下载更新程序的方式）配置为从其他WSUS服务器获取更新时不能修改配置为从其他WSUS服务器获取更新时不能修改无此选项同步更新程序的产品和分类配置为从其他WSUS服务器获取更新时不能修改配置为从其他WSUS服务器获取更新时不能修改无此选项管理计算机组可以可以不能，只能从主服务器继承计算机组设置将计算机添加到计算机组中或者从计算机组中进行删除可以可以可以批准更新可以可以不能，从主服务器继承更新批准设置自动批准可以可以无此选项其实分布管理模式下的独立管理服务器和集中管理模式下的主服务器是没有区别的，简单一点来说，WSUS服务器就只有独立管理服务器和复制服务器这两种角色。决定WSUS服务器的服务器角色是根据在安装WSUS服务器时在镜像更新设置页的配置进行，如果你没有配置该服务器继承其他服务器的设置，则该WSUS服务器为独立管理服务器角色；如果你配置该服务器继承其他服务器的设置，则该WSUS服务器为复制服务器角色。如下图所示，我配置此服务器继承另外一台WSUS服务器的设置，则此WSUS服务器则配置为复制服务器。安装好WSUS服务器后，你不能修改WSUS服务器的工作模式，但是可以修改获取更新的主服务器的地址。修改主服务器地址后，WSUS服务器从新的主服务器获取更新和配置信息，而丢弃从原主服务器上获取的配置信息。WSUS服务器之间的同步也是通过WSUSWeb站点进行的，只是和客户端计算机进行同步时访问的目录不同。你可以配置上游WSUS服务器要求下游WSUS服务器同步时进行身份验证，但是由于是对计算机账户进行身份验证，所以必须要求所有WSUS服务器均属于域环境；可以位于不同的森林，但是所在的森林间必须具有信任关系。5.1启用启用WSUS服务器间的身份验证服务器间的身份验证你需要通过两个步骤来启用WSUS服务器间的身份验证：首先，你需要在上游WSUS服务器上创建一个允许通过此WSUS服务器进行同步的下游WSUS服务器列表；其次，在上游WSUS服务器的IIS中禁止匿名访问WSUS服务器同步目录，配置使用集成身份验证。这样，就只有在所定义的服务器列表中的下游WSUS服务器才可以访问此WSUS服务器来进行同步。5.2创建允许的下游创建允许的下游WSUS服务器列表服务器列表在WSUS服务器安装时，创建了一个可以让你显式添加允许访问此WSUS服务器的下游WSUS服务器列表的文件，此文件名为Web.Config，位于%ProgramFiles%UpdateServicesWebServicesServersyncwebservice目录下（此目录就是下游WSUS服务器同步时所访问的目录）。你可以在此文件中使用元素来定义一个认证列表，只有此认证列表中的WSUS服务器才能和此WSUS服务器进行同步。你必须将元素添加在元素和元素下，如下图所示：在此列表中，你可以使用和来定义允许访问和拒绝访问的计算机账户，定义的计算机账户必须采用domaincomputer_name的形式，多个计算机账户之间使用英文逗号“”隔开。此列表是从上到下依次执行，所以顺序非常重要。如下图所示，我修改此文件只允许WINSVRMunich$计算机账号的访问。5.3配置配置IIS接下来我们需要配置IIS服务器拒绝对WSUSWeb站点的ServerSyncWebService虚拟目录的匿名访问，此虚拟目录用于WSUS服务器之间的同步。在Internet信息服务管理控制台中，展开本地计算机下的WSUSWeb站点，然后右击SeverSyncWebService虚拟目录，选择属性，在目录安全性标签，点击身份验证和访问控制下的编辑按钮，在弹出的身份验证方法对话框上，取消启用匿名访问，然后勾选集成Windows身份验证，如下图所示，然后点击两次确定关闭对话框。此时，其他WSUS服务器就不能访问此WSUS服务器进行更新了，在这些WSUS服务器的报告的同步结果中你可以看到同步失败的信息，详细错误信息如下图所示：401未授权。此时，其他WSUS服务器就不能访问此WSUS服务器进行更新了，在这些WSUS服务器的报告报告的同步结果同步结果中你可以看到同步失败的信息，详细错误信息如下图所示：401未授权未授权。6物理隔离内网物理隔离内网wsus部署方法部署方法很多安全保密级别较高的内部网络不但与因特网物理隔离，而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据，只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。在这种内部网络环境中，WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级，而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新，3因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统，并建立及时高效的WSUS服务器持续更新方案。6.1内部网络内部网络WSUS部署方案部署方案6.1.1WSUS服务的一般部署方案服务的一般部署方案如果能够访问因特网，则WSUS部署较为简单，WSUS服务器安装后即可自动连接微软公司网站下载更新程序，以后也基本不需进行维护，内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。236.1.2内部网络中内部网络中WSUS的安装部署的安装部署在隔离的内部网络中部署WSUS方法相同，但隔离的内部网络中的WSUS服务器无法自动获取新发布的更新补丁。如果手工下载补丁对WSUS服务器进行更新，非常困难，未见有成功方案。很多单位在建立了隔离的内部网网络的同时，也有与因特网连接的网络，解决信息查询等问题。因此，我们采用在与因特网连接的外部网络（以下简称外网）和与因特网隔离的内部网络（以下简称内网）中各部署一套WSUS系统，外网WSUS服务器自动获取更新程序，供外网计算机进行更新，并定期导出更新数据，通过刻录光盘等方法，对内网WSUS服务器进行更新，实现内网计算机的持续更新。方法如图1所示。6.2内网内网WSUS服务器的首次更新服务器的首次更新6.2.1WSUS服务器中更新的数据构成服务器中更新的数据构成WSUS服务器中的更新数据包含两部分：WSUS元数据，包含更新补丁的作用、容量、发布时间等属性，由外网WSUS服务器通过因特网从微软WSUS更新源获取，存储在数据库中。元数据是WSUS更新数据的关键内容，没有元数据描述则更新程序也无法使用。使用WSUS自带的wsusutil.可以讲元数据完全导出，导出内容包括一个数据文件和一个日志文件，两个文件共约（2030）MB，其中包含了WSUS服务器中所有更新补丁文件的元数据。随着元数据的更新，导出文件体积可能会有增长，但增量通常非常小。更新程序安装文件，是更新补丁安装的实体，由WSUS服务器自动下载，位于服务器中WSUS安装目录下的WsusContent文件夹下分类存放，其结构较为复杂，视更新产品和语言不同，容量可达80GB以上，超过200个子文件夹。6.2.2内部网络中内部网络中WSUS更新的基本方法更新的基本方法将因特网中部署的WSUS与微软WSUS更新源定期同步，同步后将外网中WSUS服务器的元数据使用wsusutil.导出，连同WsusContent文件夹下所有子文件夹及更新补丁文件全部刻录到光盘，然后再使用wsusutil.将光盘中的元数据导入到内网中的WSUS，最后复制WsusContent文件夹覆盖内网中WSUS的同名文件夹。这样，就完成了一次内部网络WSUS更新补丁数据的更新。6.3内部网络中内部网络中WSUS持续更新方案的实现与优化持续更新方案的实现与优化6.3.1改进内部网络中改进内部网络中WSUS更新方案的原因更新方案的原因由于内部网络中对存储设备的严格限制，只能使用刻录光盘作为存储介质将WSUS元数据和更新补丁安装文件复制到内部网络。按照仅提供Windows系列操作系统关键更新和安全更新计算，WsusContent文件夹的大小约为16GB，数据量超过三张D5标准的DVD刻录光盘容量。而且随着新的更新补丁的不断发放，WsusContent文件夹的体积还将越来越大。因此，我们还需要对内部网络中WSUS更新的基本方法进行完善和改进，寻求一种高效、便捷的内部网络WSUS持续更新方案。6.3.2实现内部网络中实现内部网络中WSUS更新优化的具体方法更新优化的具体方法上述的基本方法是复制了全部的更新补丁文件，显然仅适合第一次做完全导入时使用。在后续的WSUS更新中，新增的更新补丁数量通常在一个到上百个不等，容量在几MB到几百MB之间。如果能只对新增的更新补丁文件进行复制，可以大大减少复制的数据量。这样，每次只需要耗费少量的时间与刻录光盘即可将新增的更新导入到内部网络WSUS中，从而实现内部网络WSUS高效的持续更新。我们假设接入因特网的WSUS已经进行了第n次更新补丁的同步，而在内部网络中的WSUS则还处于上一次的更新补丁同步后的状态，即第（n-1）次更新补丁同步后的状态。准备一个用于参照的更新补丁文件夹，在其中存放着因特网中WSUS进行第n次更新补丁同步之前整个WsusContent文件夹的备份，也就是说该文件夹里的所有子文件夹和更新补丁文件与内部网络中WSUS相应的文件夹的内容是完全一致的。现在需要将因特网中WSUS第n次同步获取的新增更新补丁单独提取并复制，再添加到内部网络中的WSUS。具体方法示意图如第一步：首先使用wsusutil.工具导出因特网中WSUS的元数据，然后比较其WsusContent文件夹和参照的更新补丁文件夹中的WsusContent文件夹，通过整个文件夹的对比提取出第n次同步新增的更新补丁文件（包含文