WSUS指南01.doc

WSUS全攻略之一 ：部署与规划 WSUS（Microsoft Windows Server Update Services）是微软推出的免费的Windows更新管理服务，目前最新版本为472，除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。 提及更新，可能许多朋友都比较反感。其实我认为更新代表着厂商对其产品的责任心，只有对自己的产品负责任的厂商才会提供更新。随着技术的发展，没有绝对安全的系统，也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求，此时，厂商推出的更新就极为重要。通过更新你的系统，可以让你的系统更为安全、高效的运行，何乐而不为呢？ 首先我给大家介绍一下微软的更新服务体系。在提供WSUS服务以及SUS服务（被WSUS服务取代的软件更新服务）之前，微软的更新服务体系总共包括两个组件： 1、Microsoft Update 提供更新服务的微软网站，由一系列的微软站点组成，常见的有： 等等，提供了更新程序、驱动程序以及Service Pack等的下载。 2、自动更新 内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件，默认情况下，它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序，从而实现客户端计算机的系统更新。 在小规模的企业网络中，客户端计算机通过自动更新连接Microsoft Update来进行系统更新并不会对企业的外部网络带宽造成太大的影响，例如有5台客户端计算机每台下载20M的更新程序，那么总占用的企业外部网络流量只是100M；但是在中大规模的企业网络中，如果每台客户端计算机都通过连接到Microsoft Update来实现更新，则会极大的影响企业的外部网络带宽，例如有500台客户端计算机每台下载20M的更新程序，就会占用10G的流量。 正是因为考虑到这一点，微软推出了WSUS服务器，它是免费向大家提供的。WSUS服务器和Microsoft Update实现客户端计算机自动更新的方式完全相同，通过WSUS，你可以实现更新程序的集中管理和分发，它的主要优点有： 通过选择的方式将更新程序（包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等，可选择）从Microsoft Update下载至本地安装源，节省企业外部网络带宽； 对更新程序进行管理，控制更新程序的分发；你可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，你也可以拒绝此更新程序； 对网络中的客户端计算机进行分组，控制更新程序在不同客户端计算机上的分发。 因此，现在的微软更新服务体系为三级结构：Microsoft Update-本地企业网络中的WSUS服务器-客户端计算机的自动更新。在部署WSUS之后，你只需要配置客户端计算机使用WSUS服务器上的更新服务，就可以轻松的享受WSUS服务器所带来的好处。例如上面所举的大中型企业网络，当部署WSUS服务器以后，只有WSUS服务器才从Microsoft Update下载更新，所占用的外部网络流量就只为20M，而内部客户端计算机则自动访问WSUS服务器来获取更新，就不再需要访问外部的Windows Update，从而节省了大量的外部网络带宽。 部署场景 WSUS服务器的部署场景有以下三种： 1、单WSUS服务器环境 这是最常见的WSUS服务部署场景，如下图所示： 企业网络中部署了一台WSUS服务器，WSUS服务器连接到Microsoft Update来获取更新程序（称之为同步），并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时，WSUS会检查Microsoft Update是否具有新的更新程序并进行下载；当第一次进行同步时，WSUS会下载本地设置要求下载的所有更新程序。 WSUS服务器使用HTTP（TCP 80）和HTTPS（TCP 443）来从Microsoft Update获取更新程序，如果企业在内部和外部网络之间部署有防火墙，你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问，需要的具体访问规则为： 允许WSUS服务器到以下Web站点的HTTP/HTTPS访问 http:/*. https:/*. http:/*. https:/*. http:/*. http:/*. WSUS与IIS服务器结合创建Web站点来实现更新程序的分发，你可以配置WSUS Web站点共享使用默认Web站点（服务端口为TCP 80）或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时，如果你不选择使用默认的Web站点，那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求，建议你使用默认的Web站点。 WSUS服务器要求客户端计算机上运行WSUS客户端，WSUS客户端可以在打过SP3及以上补丁的Windows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行，换言之，WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端；而其他的操作系统中除了没有安装过任何SP的Windows XP外，内建的自动更新组件均具有自我更新特性，可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端；对于没有安装过任何SP的Windows XP，你必须安装SUS客户端，从而通过SUS客户端来实现自我更新至WSUS客户端。 由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新，因此，如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点，你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包，否则非WSUS客户端计算机不能正常的进行自我更新，从而不能从WSUS服务器获取更新程序。 WSUS中可以对客户端计算机进行分组，在WSUS中内建有两个计算机组：所有计算机和未指定的计算机。默认情况下，任何一个客户端计算机访问WSUS服务器时，都将被加入到这两个组中。你可以创建计算机组，并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中，但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机，而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。 使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序，你可以创建一个包含少量客户端计算机的计算机组Test Group，然后将更新程序应用到此计算机组，当更新程序运行成功后，你再将此更新程序应用到其他计算机组或者所有计算机组。 注意：不要使用WSUS分发未授权的更新程序到客户端计算机，WSUS授权协议禁止这一点。 2、链式WSUS服务器环境 WSUS服务器不仅仅可以从Windows Update中获取更新程序，也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时，一台WSUS服务器可能不能满足你的需求，此时你就可以使用多台WSUS服务器组成链式结构，如下图所示，一台WSUS服务器作为上游服务器，一台WSUS服务器作为下游服务器。 你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的，但是由于每一级WSUS服务器增加了更新程序的延迟，所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步，否则WSUS就不能正常提供服务。 在链式WSUS服务器部署中，下游WSUS服务器继承上游WSUS服务器的高级同步选项，你不能在下游服务器上修改高级同步选项。默认情况下，上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中，而不包含其他的信息，例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息，则下游WSUS服务器必须配置为集中管理模式中的复制服务器，详细信息请参见文章的后续章节选择管理模式。3、和Internet断开的WSUS服务器环境 部署WSUS服务时，并不要求你必须连接到Internet。对于没有连接到Internet的网络环境，你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据，再通过其他媒体复制到此WSUS服务器上，最后导入更新程序数据，一样可以实现WSUS服务器更新程序的同步，此过程如下图所示。 选择管理模式 WSUS支持集中管理和分布管理两种管理模式，你可以根据自己的实际情况进行选择。不过，你并不是只能在你的企业网络中采用一种管理模式，你可以同时采用这两种管理模式，但是一台WSUS服务器只能同时工作于一种模式下。 注意：你不能将更新程序数据导入到被集中管理的WSUS服务器（复制服务器）上。和Internet断开的WSUS服务器总是工作在分布管理模式。 1、集中管理 集中管理模式的WSUS服务器采用独立管理服务器和复制服务器这两种角色，它的含义是单个服务器（主服务器）作为独立管理服务器，而一个或多个从属服务器（复制服务器）只是复制主服务器上的数据，组织结构如下图所示。你在主服务器上创建的计算机组和更新的批准信息将复制到所有的复制服务器中。注意，计算机组的成员关系不会复制，仅仅是复制计算机组对象本身，你必须在复制服务器上添加客户端计算机对象到计算机组中。你只能在安装WSUS服务器的过程中将WSUS服务器配置为复制服务器，如果您的组织需要集中管理更新批准和计算机组，便可以实施此方案。 如果WSUS服务器在复制模式下运行，则只能在该服务器上执行有限的管理功能，这些功能主要包括： 向计算机组添加计算机或从中删除计算机； 设置同步计划； 指定代理服务器设置； 指定更新源，更新源可以是管理服务器之外的服务器，但是不能选择为Windows Update； 查看可用更新； 监视更新、同步和计算机的状态，并监视服务器上的 WSUS 设置； 提供所有的标准的WSUS报告功能。 注意：当你修改同步选项中的语言选项时，微软建议你立即手动同步主服务器和复制服务器。这避免了当在主服务器上修改了语言选项时，主服务器上批准的更新程序数和复制服务器上批准的更新程序数不匹配。 2、分布管理 分布管理模式只允许你配置每台WSUS服务器为独立管理服务器，组织结构如下图所示，如果你需要将WSUS委派给其他站点的管理员进行控制，则可以采用此模式。 分布管理模式是所有WSUS服务器的默认安装选项，你不需要任何修改就将服务器配置为此模式。你可以配置WSUS服务器从Windows Update或者从其他WSUS服务器中获取更新程序，但是如果配置为从其他WSUS服务器中获取更新程序时，上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中，而不包含其他的信息，例如计算机组和更新批准信息。 选择使用的数据库 WSUS数据库存储以下信息： WSUS服务器配置信息； 用于描述更新程序作用的元数据； 客户端计算机、更新程序信息以及客户端计算机所进行的更新情况。 你不能通过直接访问数据库来管理WSUS，你必须通过WSUS管理控制台来进行管理。每个WSUS服务器需要自己的数据库，如果具有多个WSUS服务器，必须具有多个WSUS数据库。WSUS不支持将多个WSUS数据库存放在单个运行SQL Server的计算机上，这是因为WSUS只能使用名为SUSDB的数据库名。 你可以使用和Microsoft SQL完全兼容的数据库来作为WSUS数据库，但是推荐你使用以下三种之一： WSUS附带的Microsoft Windows SQL Server 2000桌面引擎（WMSDE），只存在于安装在Windows server 2003上的WSUS服务器中，并且在Windows server 2003上安装WSUS时默认会安装WMSDE。它和下面的MSDE的区别是没有数