windows系统局域网内补丁自动分发解决方案.doc

1 Window 操作系统 局域网内补丁自动分发解决方案 武汉超特网络技术有限公司 2012 年 4 月 2 目录 1WINDOWS 补丁问题现状补丁问题现状 3 2解决思路解决思路 3 3WSUS 安装安装 4 3 1安装前的准备工作 5 3 1 1IIS6 0 5 3 1 2BITS20 6 3 1 3 Net Framework 1 1 SP1 7 3 1 4磁盘空间 8 3 1 5数据库 8 3 2安装 WSUS2 0 SP1 9 3 3配置 WSUS2 0 14 3 4同步 WSUS2 0 18 4利用利用 WSUS 进行补丁分发进行补丁分发 21 4 1WSUS 分组管理 22 4 2组策略或注册表设置 25 4 2 1用组策略设置 25 4 2 2用注册表设置 29 4 3WSUS 更新审批 31 4 3 1手工批准更新 32 4 3 2自动批准安装 35 5链式链式 WSUS 部署部署 43 5 1启用 WSUS 服务器间的身份验证 45 5 2创建允许的下游 WSUS 服务器列表 46 5 3配置 IIS 47 6物理隔离内网物理隔离内网 WSUS 部署方法部署方法 49 6 1内部网络 WSUS 部署方案 49 6 1 1WSUS服务的一般部署方案 49 6 1 2内部网络中WSUS的安装部署 50 6 2内网 WSUS 服务器的首次更新 50 6 2 1WSUS服务器中更新的数据构成 50 6 2 2内部网络中WSUS更新的基本方法 50 6 3内部网络中 WSUS 持续更新方案的实现与优化 51 6 3 1改进内部网络中WSUS更新方案的原因 51 6 3 2实现内部网络中WSUS更新优化的具体方法 51 6 3 3持续更新的关键 新增更新补丁的自动提取 52 6 4总结 53 3 1 windows 补丁问题现状补丁问题现状 目前在企业内网中 90 以上的桌面操作系统以及大部分的服务器都使用了微软公司 的产品 微软产品素以界面友好 功能强大而著称 但同时也以补丁泛滥而令管理员头疼 微软为弥补产品安全 提供了各种各样的 Service Pack Hotfix 这些补丁解决的问题五 花八门 种类繁多 管理员都有应接不暇的感觉 更别提普通用户了 但补丁又确实很重 要 补丁对应着严重的安全隐患和性能缺陷 我们决不能掩耳盗铃 置之不理 那该怎么 处理这个问题呢 其实微软从 Win98 之后就在操作系统中内置了 Windows Update 组件 这个组件可以使用 Http 或 Https 自动连接到微软的更新网站去下载所需要的补丁并自动安 装 但对企业用户来说就存在以下问题 其一 带宽问题 假设某企业 500 名用户 每人需下载 20M 补丁 全公司可就至少需 要 10G 的带宽 这可不是个小数目 如果公司员工同时都去微软下载 Windows XP SP3 349M 一定会引发的网络大塞车 其二 安全问题 并非所有的补丁都适合在当前环境使用 就以当年的 Windows XP Service Pack 2 为例 此补丁打上之后 与当时的很多应用程序都会产生冲突 解决办法是 只能换用新版本的应用程序 如果管理员综合权衡安全和灵活因素 就未必会在生产环境 第一时间部署这个补丁 因此 综合来看 用 Windows Update 组件连接到微软的更新网站更适合家庭用户或小 型公司 对中大型企业来看并不适合 2 解决思路解决思路 基于上述原因 微软为企业用户提供了 WSUS Windows Server Update Services 作为 解决方案 WSUS 解决问题的思路很简单 管理员利用 WSUS 服务器从微软的更新网站下 载补丁 然后再发布给内网用户 这样既能降低网络带宽流量 将补丁下载的数据量降为 最低 又能让补丁置于管理员的控制之下 管理员经过审核后 同意发放补丁 用户才可 以安装补丁 WSUS 常用的部署拓扑有以下三种 现简介如下 4 A 单服务器拓扑 如下图所示 单服务器拓扑是使用最广泛的 WSUS 拓扑 单服务 器拓扑利用一个 WSUS 服务器从微软的更新网站下载补丁 然后负责将补丁发给内网用户 单服务器拓扑是大多数中小公司的最佳选择 图 1 B 链式拓扑 如下图所示 链式拓扑定义了上游服务器和下游服务器 上游服务器可 以直接连接到微软的更新网站 下游服务器则只能从上游服务器下载更新 这种拓扑在总 公司 分公司的管理模型中比较常见 考虑到性能因素 链式拓扑很少超过三层 图 2 C 分离式拓扑 如下图所示 分离式拓扑指的是在一个与互联网隔离的网络内 WSUS 服务器无法从微软网站进行补丁更新 因此只能先用一个能连接互联网的 WSUS 服 务器下载所需要的补丁 然后将下载的补丁导出成数据 隔离网络内的 WSUS 服务器通过 导入数据来间接完成补丁的下载 这种拓扑常用于部队 公安等专用网络 图 3 WSUS 目前常用的是 WSUS2 0 和 WSUS3 0 这两个版本 这两个版本的前身 SUS1 0 由于只能支持有限的操作系统补丁管理 已经基本被淘汰了 下面我们从 WSUS2 0 SP1 开始介绍 3 WSUS 安装安装 介绍一下实验拓扑 如下图所示 Florence 是 域的域控制器 Berlin 是 wsus 服务器 perth 是测试用的工作站 三台计算机都安装了 Win2003 中文企业版 图 5 4 3 1安装前的准备工作安装前的准备工作 要在 Berlin 上安装 WSUS2 0SP1 需满足下列条件 3 1 1 IIS6 0 由于 WSUS 客户机和服务器之间通过 Http 或 Https 传递数据 因此 WSUS 服务器必然 需要 IIS 的支持 我们在 Berlin 上依次点击控制面板 添加或删除程序 添加 删除 Windows 组件 应用程序服务器 在应用程序服务器中选择安装 Internet 信息服务 IIS 如下图所示 图 5 6 3 1 2 BITS20 BITS 可以支持后台传输 数据压缩 断点续传等高级功能 WSUS2 0SP1 需要 BITS2 0 的支持 从 d091 49b3 8a80 bf9b83261372 DisplayLang zh cn 下载 BITS2 0 然后启动安装程序 安装 过程非常简单 如下图所示 安装完 BITS2 0 后重启 Berlin 即可 注 Win2003SP1 不需要安装此补丁 图 6 7 3 1 3 Net Framework 1 1 SP1 WSUS2 0SP1 还需要 Net Framework 1 1 SP1 的支持 从 2CB7 4864 8623 A1038563DF23 下载 Net Framework 1 1 SP1 for Win2003 启动安装程序 安装过程非常简单 如下图所示 在此不再赘述 注 Win2003SP1 不需要安装此补丁 图 7 8 3 1 4 磁盘空间磁盘空间 WSUS2 0SP1 要求系统分区至少应有 1G 的剩余空间 WSUS 的更新文件需要至少 6G 空间 WSUS 的元文件至少需要 2G 空间 解释一下 更新文件是我们安装补丁时所需要 的二进制文件 元文件则负责提供更新文件的信息 例如这个补丁修补了哪些漏洞 适用 于哪些版本 需要哪些安装条件等等 更新文件存储在目录中 元文件存储在数据库中 建议将 WSUS 数据安装在非系统分区 并且至少准备 8G 剩余空间 用虚拟机作实验的朋 友尤其作注意这点 3 1 5 数据库数据库 WSUS 的后台数据库可以是 SQL2000 MSDE 或 WMSDE WSUS 安装时自带了 WMSDE MSDE 是大家很熟悉的数据库桌面引擎 MSDE 和 WMSDE 的区别在于 MSDE 有最大不能超过 2G 的限制 而 WMSDE 没有 MSDE 和 WMSDE 都没有提供管理工具 如果你需要管理工具 可以考虑安装 SQL2000 SP3 作为 WSUS 的后台数据库 也可以在 WMSDE 或 MSDE 的基础上加装一个 SQL2000 管理工具 建议如无特殊需求 使用 WSUS 自带的 WMSDE 数据库即可 9 3 2安装安装 WSUS2 0 SP1 作好安装前的准备工作后 我们就可以进行 WSUS2 0 的安装了 如下图所示 启动 WSUS2 0SP1 的安装程序后出现了安装向导 图 8 接受软件许可协议 下一步 图 9 10 设置存储 WSUS 更新文件的目录为 E WSUS 更新文件至少需要 6G 磁盘空间 图 10 11 WSUS 后台数据库选用自带的 WMSDE 设置数据库的存储目录为 E WSUS 图 11 选择 WSUS 是利用 IIS 的默认网站发布补丁还是新建一个网站进行补丁发放 建议如 果有可能 尽量选择 80 端口的默认网站 因为考虑到以后的应用 默认网站兼容性还是要 好一些 图 12 12 安装向导询问 WSUS 是否从镜像服务器继承设置 我们准备把 Berlin 作为一个独立的 WSUS 服务器进行管理 不从任何 WSUS 服务器继承设置 图 13 安装向导收集数据完毕 点击 下一步 开始安装 图 14 13 经过一段时间的等待 安装终于完成 图 15 14 3 3配置配置 WSUS2 0 WSUS2 0 安装完成后 我们需要先对 WSUS 进行一些基本的设置 例如 WSUS 可以 下载哪些微软产品的补丁 哪种语言的补丁等等 我们在浏览器中输入 Http berlin wsusadmin 启动 WSUS 的管理界面 如下图所示 我们点击右上角的 选项 图 16 如下图所示 选择 同步选项 图 17 15 如下图所示 我们可以设置补丁所涉及的微软产品以及补丁分类 在产品和分类中 点击红圈处的 更改 准备对补丁所涉及的微软产品进行设置 图 18 如下图所示 由于我们实验环境中所有的操作系统都是 Win2003 因此我们只选择了 Windows server 2003 Datacenter Edition 这样 WSUS 就只会下载 Win2003 操作系统的 16 相关补丁 值得注意的是 现在 WSUS20 只能支持操作系统相关补丁 但 WSUS2 0 开始 工作后 就会连接到微软更新网站对自身组件进行更新 更新完毕后 WSUS 就可以支持微 软的全系列产品了 图 19 接下来设置 WSUS 的补丁分类 如下图所示 WSUS 默认只下载 安全更新 和 关键更 新程序 类的补丁 这两类补丁这是在工作中使用最多的 图 20 设置完补丁的产品和分类后 我们来设置一下更新文件存储的位置以及更新的语言版 17 本 如下图所示 点击红圈处的 高级 进行设置 图 21 如下图所示 我们选择将更新文件存储到 WSUS 服务器 如果企业访问互联网的带宽 很充足 也可以选择不在本地存储更新 只在 WSUS 保留元文件 用户需要更新文件时仍 然去微软网站下载 我们在语言设置中选择仅下载简体中文版本的补丁 图 22 18 3 4同步同步 WSUS2 0 对 WSUS 进行简单的设置后 我们就可以让 WSUS 服务器去微软网站同步了 同步 可以让 WSUS 服务器获知到底有多少补丁可以下载 WSUS 默认设置是手工同步的方式 如下图所示 点击 立即同步 WSUS 服务器就开始工作了 第一次同步微软更新网站的 时间比较长 从几十分钟到几个小时不等 之后的同步采用增量方式 所需要的时间就会 少很多 图 23 19 如下图所示 WSUS 正在同步中 图 24 20 同步完成 点击 WSUS 管理页面中的更新 如下图所示 我们可以看到 WSUS 已经 统计出了补丁的数量以及每个补丁的详细信息 图 25 21 WSUS 同步成功后 如何将补丁分发给内网的客户机 如何对补丁进行审核管理 如 何对客户机进行分组管理 这些问题我们都将在后续文章中一一介绍 4 利用利用 WSUS 进行补丁分发进行补丁分发 我们完成了 WSUS2 0SP1 的部署 现在来介绍如何利用 WSUS 进行补丁分发 WSUS 的实验拓扑如下图所示 Florence 是域控制器 Berlin 是 WSUS 服务器 Perth 是工作站 WSUS 服务器已经在同步选项中对产品及类别进行了设置 也已完成了同步 我们接下来 就要利用这个环境进行补丁分发 图 1 22 完成补丁分发 需要注意以下三点 一 WSUS 分组管理 二 组策略或注册表设置 三 WSUS 更新批准 下面分别介绍具体内容 4 1WSUS 分组管理分组管理 分组管理可以把 WSUS 客户机放入不同的组中进行管理 每个组可以有不同的补丁管 理策略 这些对于管理工作的细化很有好处 举个简单的例子 微软已经发布了 Windowx XP SP3 但这个补丁安装后的效果如何管理员却没有把握 这时管理员可以创建一个测试 组 仅允许测试组的计算机安装 Windows XP SP3 如果效果不错就向全体用户推广 如果 效果不佳就停止部署 因此我们有必要先进行计算机组的设置 在浏览器中输入 http berlin wsusadmin 打开 WSUS 服务器的管理页面 在管理页面 中点击 计算机 如下图所示 WSUS 安装时默认创建了两个组 一个是 所有计算机 组 一个是 未指定的计算机 组 默认情况下每个 WSUS 的客户机都会属于这两个组 图 2 23 我们准备创建两个组 一个名为 ITET 一个名为 TEST ITET 组用于普通的客户机 TEST 组用于测试补丁的客户机 点击上图中的 创建计算机组 弹出对话框要求我们输入 组名 如下图所示 我们为计算机组命名为 ITET 这样我们就创建出了一个计算机组 然 后用同样的方法再创建一个名为 TEST 的计算机组 图 3 计算机组创建完成后 如何将客户机加入到指定的组中 WSUS 提供了两种方法供管 理员选择 我们可以在 WSUS 的管理页面中点击 选项 如下图所示 点击 计算机选项 24 图 4 在计算机选项中我们看到有两种选择 一种是用组策略或注册表决定客户机加入哪个 计算机组 一种是在 WSUS 服务器的管理页面中用移动计算机的方法将客户机加入计算机 组 如果客户机数量较少 移动计算机的操作是比较简单的 但如果客户机数量较多 显 然还是组策略更有效率 在此我们选择利用组策略或注册表进行设置 点击 保存设置 让 更改生效 图 5 25 4 2组策略或注册表设置组策略或注册表设置 到目前为止 我们部署了 WSUS 服务器 创建了计算机组 但客户机如何知道哪台计 算机是自己需要的 WSUS 服务器 客户机应该加入哪个计算机组呢 这些设置可以通过组 策略或注册表来完成 其实两者是一样的 组策略不过是提供了一个友好的修改注册表的 界面 4 2 1 用组策略设置用组策略设置 如果在域环境下 用组策略是效率最高的方法 我们只要部署一个域级别的组策略 就可以轻松完成 WSUS 设置 在域控制器 Florence 上依次点击 开始 程序 管理工具 Active Directory 用户和计算机 右键点击 域 选择属性 在属性中切换到 组策略标签 如下图所示 选择默认组策略 Default Domain Policy 点击编辑按钮 图 6 在组策略编辑器中展开 计算机配置 管理模板 Windows 组件 Windows Update 如下图所示 在此我们可以进行 WSUS 相关策略的设置 图 7 26 编辑 配置自动更新 策略 如下图所示 在此策略中我们选择启用自动更新 并且将 自动更新模式配置为自动下载并通知安装 在此模式下客户机会自动下载补丁但在安装补 丁前会通知用户 图 8 27 编辑 指定 Intranet Microsoft 更新服务位置 策略 如下图所示 在此策略中可以设定 WSUS 更新服务器和统计服务器 Intranet 更新服务器提供补丁下载 Intranet 统计服务器 提供报表统计 在此例中我们用一台服务器同时提供这两种服务 我们描述服务器可以使 用 Netbios 名称 完全合格域名或 IP 图 9 28 编辑 允许客户端目标设置 策略 如下图所示 在此策略中我们可以设置客户机加入 的 WSUS 计算机组 我们将计算机的目标组设置为刚创建的 ITET 图 10 29 完成上述设置后 基本已经可以满足 WSUS 实验需求 其他策略我们就不一一列举了 4 2 2 用注册表设置用注册表设置 如果部署环境是在工作组中 那么就没有域环境这么方便了 虽然我们可以编辑每台 计算机的本地安全策略 但这么做对一名管理员的耐心是一个极大的考验 在这种情况下 管理员一般会采用导入 导入注册表的方法来进行设置 具体是这样的 先在一台模板计算 机上编辑好本机的组策略 设置方法如前文介绍 然后用 regedit 打开模板计算机的注册表 定位到 HKEY LOCAL MACHINE SOFTWARE Policies Microsoft windows WindowsUpdate 如下 图所示 我们看到注册表中已经设好了 WSUS 服务器的名称 计算机加入的目标组等参数 我们现在要做的就是把这些注册表设置导出成文件 然后在其他的计算机上进行导入操作 我们在 WindowsUpdate 上点击右键 选择 导出 图 11 30 如下图所示 我们选择将 Windowsupdate 分支导出成文件 文件名为 C WSUS REG 图 12 31 然后我们只需将 WSUS REG 文件利用电子邮件或文件服务器分发给其他用户 每个用 户双击此注册表文件进行导入操作即可 4 3WSUS 更新审批更新审批 完成了前面的设置 接下来就该进行实质性的操作 我们要在 WSUS 服务器上分发补 丁了 上篇博文中我们对 WSUS 服务器进行的同步设置中规定了 WSUS 只能涉足 Win2003 平台下的安全更新和关键更新 这些更新必须经过 WSUS 服务器批准安装才能分发到客户 机上 下面我们来看看到目前为止哪些更新被批准安装了 打开 WSUS 服务器的管理页面 点击页面上方的 更新 如下图所示 在左侧视图中对 产品和分类 选择 关键和安全更新 对 批准 选择 安装 在 已同步 处选择 任何时间 这时右侧面板中显示被批准安装 的更新只有两个 一个是 Windows install 3 1 一个是 Bits2 0 和 Http5 1 这两个更新是 WSUS 客户端所必须的 肯定会被批准安装 问题是那其他的更新为什么没被批准呢 原 来 WSUS 服务器对安全更新和关键更新默认只批准检测 不批准安装 现在我们来批准安 32 装一些更新 图 13 4 3 1 手工批准更新手工批准更新 在 WSUS 服务器的管理页面中选择更新中 在左侧视图中对 批准 选择 仅检测 如 下图所示 这时右侧面板中显示共有 301 个更新 每个更新前的图标是灰色的 代表此更 新没有被批准安装 我们选择所有更新 点击左上角的 更改批准 图 14 33 如下图所示 我们对所有更新都批准安装 其实有些补丁并不适合当前环境 例如有 一些 64 位的补丁 但实验环境下我们就不仔细筛选了 从下图中还可以看到 对每个组可 以采取不同的管理策略 例如有的组批准安装 有的组只批准检测 管理起来非常灵活 这也是我们设置计算机组的意义所在 图 15 34 将更新的状态从批准检测更改为批准安装后 WSUS 开始对补丁状态进行更改 如下 图所示 图 16 35 如下图所示 状态更改完成 每个更新前的图标变成了绿色箭头 这代表此更新被批 准安装 现正在下载中 但还没有下载完毕 如果下载完成 图标会变为蓝色桶状 图 17 4 3 2 自动批准安装自动批准安装 如果觉得手工批准安装太麻烦 我们可以让 WSUS 自动批准 打开 WSUS 的管理页 面 在选项中点击 自动批准选项 如下图所示 图 18 36 如下图所示 我们选择对安全更新程序和关键更新程序批准安装 这样以后只要 WSUS 服务器发现微软的更新网站有了新的安全更新或关键更新 WSUS 就会自动批准进 行检测 进行安装 图 19 37 好了 WSUS 服务器端的设置已经基本完成 让我们去客户机上看一下吧 首先在客 户机上可以运行 gpupdate force 来加速组策略的生效 否则域成员服务器或工作站等候组 策略生效可能最多需要 90 分钟 然后可以运行 wuauclt detectnow 这样客户机可以立即 连接到 WSUS 服务器而不需要等待 20 分钟的延时 过程如下图所示 图 20 等待一段时间后 客户机的右下角出现提示 告诉我们有一些更新需要安装 如下图 所示 WSUS 开始工作了 图 21 如下图所示 客户机从 WSUS 服务器上下载了四个更新 我们点击安装 图 22 38 安装过程如下图所示 图 23 客户机如果想知道到底安装了哪些更新 可以输入命令 systeminfo 如下图所示 客 户机安装补丁的数量和名称都已经列出来了 图 24 39 管理员如果想了解补丁的部署情况 就可以使用 WSUS 强大的报表功能 管理员可 以打开 WSUS 的管理页面 选择报告 如下图所示 点击 计算机的状态 图 25 40 如下图所示 在左侧的视图中我们选择查看 ITET 计算机组已安装补丁的报表 点击 应用 图 26 如下图所示 WSUS 显示了 ITET 组内每台计算机所安装补丁的统计信息 图 27 41 如果想查看详情 可以点击计算机名左侧的 号 如下图所示 WSUS 显示了 perth 所安装的 6 个更新的详细信息 WSUS 的报告功能还有很多用法 在此我们就不一一列举 了 图 28 42 有一点大家要注意 在上面我们看到 WSUS2 0 刚安装完时只能支持操作系统的更新 功能是比较简陋的 好在 WSUS 服务器工作后 首先对自身组件进行更新 现在它已经可 以支持微软的全系列产品了 我们再次查看同步选项中的更新产品 如下图所示 如果你 有一些微软的其他产品也需要更新 赶紧去更改 WSUS 的同步选项吧 图 29 43 至此 我们完成了 WSUS 服务器的补丁分发 在下一篇文章中 我们会介绍如何部署 WSUS 的下游服务器 5 链式链式 WSUS 部署部署 WSUS 服务器不仅仅可以从 Windows Update 中获取更新程序 也可以从其他 WSUS 服务器中获取更新程序 当企业网络具有很大的规模时 一台 WSUS 服务器可能不能满足 你的需求 此时你就可以使用多台 WSUS 服务器组成链式结构 如下图所示 一台 WSUS 服务器作为上游服务器 一台 WSUS 服务器作为下游服务器 你可以使用链式的 WSUS 结构满足企业网络中不同地域的需求或者企业网络规模扩大 后的更新服务需求 链式 WSUS 服务器的级数是没有限制的 但是由于每一级 WSUS 服 务器增加了更新程序的延迟 所以推荐部署不超过三级的链式 WSUS 服务结构 上游服务 器不能和下游服务器进行同步 否则 WSUS 就不能正常提供服务 在链式 WSUS 服务器部署中 下游 WSUS 服务器继承上游 WSUS 服务器的高级同步 选项 你不能修改下游服务器的高级同步选项 默认情况下 上游 WSUS 服务器只把更新 44 元数据和更新文件同步到下游 WSUS 服务器中 而不包含其他的信息 例如计算机组和更 新批准信息 如果你想让上游 WSUS 服务器向下游 WSUS 服务器同步计算机组和更新批 准信息 则下游 WSUS 服务器必须配置为集中管理模式中的复制服务器 根据管理模式的不同 WSUS 服务器担当的角色也不同 不同 WSUS 服务器角色之间 的区别如下表所示 表中未提及的其他功能均一致 分布管理模式下的 独立管理服务器 集中管理模式下的 独立管理服务器 主服 务器 集中管理模 式下的复制服务 器 同步源位置 Microsoft Update 或 者其他 WSUS 服务器 Microsoft Update 或 者其他 WSUS 服务器 只能是其他 WSUS 服务器 同步高级选项 同步更新的语言和 下载更新程序的方式 配置为从其他 WSUS 服务器获取更新 时不能修改 配置为从其他 WSUS 服务器获取更新 时不能修改 无此选项 同步更新程序的 产品和分类 配置为从其他 WSUS 服务器获取更新 时不能修改 配置为从其他 WSUS 服务器获取更新 时不能修改 无此选项 管理计算机组可以可以 不能 只能 从主服务器继承 计算机组设置 将计算机添加到 计算机组中或者从计 算机组中进行删除 可以可以可以 批准更新可以可以 不能 从主 服务器继承更新 批准设置 自动批准可以可以无此选项 其实分布管理模式下的独立管理服务器和集中管理模式下的主服务器是没有区别的 45 简单一点来说 WSUS 服务器就只有独立管理服务器和复制服务器这两种角色 决定 WSUS 服务器的服务器角色是根据在安装 WSUS 服务器时在镜像更新设置页的配置进行 如果你没有配置该服务器继承其他服务器的设置 则该 WSUS 服务器为独立管理服务器角 色 如果你配置该服务器继承其他服务器的设置 则该 WSUS 服务器为复制服务器角色 如下图所示 我配置此服务器继承另外一台 WSUS 服务器的设置 则此 WSUS 服务器则 配置为复制服务器 安装好 WSUS 服务器后 你不能修改 WSUS 服务器的工作模式 但 是可以修改获取更新的主服务器的地址 修改主服务器地址后 WSUS 服务器从新的主服 务器获取更新和配置信息 而丢弃从原主服务器上获取的配置信息 WSUS 服务器之间的同步也是通过 WSUS Web 站点进行的 只是和客户端计算机进行 同步时访问的目录不同 你可以配置上游 WSUS 服务器要求下游 WSUS 服务器同步时进 行身份验证 但是由于是对计算机账户进行身份验证 所以必须要求所有 WSUS 服务器均 属于域环境 可以位于不同的森林 但是所在的森林间必须具有信任关系 5 1启用启用 WSUS 服务器间的身份验证服务器间的身份验证 你需要通过两个步骤来启用 WSUS 服务器间的身份验证 首先 你需要在上游 WSUS 服务器上创建一个允许通过此 WSUS 服务器进行同步的下游 WSUS 服务器列表 其次 46 在上游 WSUS 服务器的 IIS 中禁止匿名访问 WSUS 服务器同步目录 配置使用集成身份验 证 这样 就只有在所定义的服务器列表中的下游 WSUS 服务器才可以访问此 WSUS 服 务器来进行同步 5 2创建允许的下游创建允许的下游 WSUS 服务器列表服务器列表 在 WSUS 服务器安装时 创建了一个可以让你显式添加允许访问此 WSUS 服务器的 下游 WSUS 服务器列表的文件 此文件名为 Web Config 位于 ProgramFiles Update Services WebServices Serversyncwebservice 目录下 此目录就是下游 WSUS 服务器同步时所访问的目录 你可以在此文件中使 用元素来定义一个认证列表 只有此认证列表中的 WSUS 服务器才能和此 WSUS 服务器进行同步 你必须将元素添加在元素和 元素下 如下图所示 在此列表中 你可以使用和来定义允许访问和拒绝访问的计 算机账户 定义的计算机账户必须采用 domain computer name 的形式 多个计算机账户之 间使用英文逗号 隔开 此列表是从上到下依次执行 所以顺序非常重要 如下图所示 我修改此文件只允许 WINSVR Munich 计算机账号的访问 47 5 3配置配置 IIS 接下来我们需要配置 IIS 服务器拒绝对 WSUS Web 站点的 ServerSyncWebService 虚拟 目录的匿名访问 此虚拟目录用于 WSUS 服务器之间的同步 在 Internet 信息服务管理控制台中 展开本地计算机下的 WSUS Web 站点 然后右击 SeverSyncWebService 虚拟目录 选择属性 在目录安全性标签 点击身份验证和访问控制 下的编辑按钮 在弹出的身份验证方法对话框上 取消启用匿名访问 然后勾选集成 Windows 身份验证 如下图所示 然后点击两次确定关闭对话框 48 此时 其他 WSUS 服务器就不能访问此 WSUS 服务器进行更新了 在这些 WSUS 服 务器的报告的同步结果中你可以看到同步失败的信息 详细错误信息如下图所示 401 未 授权 此时 其他 WSUS 服务器就不能访问此 WSUS 服务器进行更新了 在这些 WSUS 服务器的报告报告的 同步结果同步结果中你可以看到同步失败的信息 详细错误信息如下图所示 401 未授权未授权 49 6 物理隔离内网物理隔离内网 wsus 部署方法部署方法 很多安全保密级别较高的内部网络不但与因特网物理隔离 而且为了防止摆渡攻击不 能使用移动硬盘等存储设备进行交换数据 只允许使用刻录光盘在内部网络与因特网之间 进行单向数据复制 在这种内部网络环境中 WSUS 服务器或安装 Windows 操作系统的计 算机都无法及时连接因特网进行在线升级 而手工下载并安装所有补丁在实践中难以保证 完整 及时地进行更新 3 因此在内网中建立 WSUS 更新服务系统的关键在于合理的部署 WSUS 服务系统 并建立及时高效的 WSUS 服务器持续更新方案 6 1内部网络内部网络 WSUS 部署方案部署方案 6 1 1 WSUS 服务的一般部署方案服务的一般部署方案 如果能够访问因特网 则 WSUS 部署较为简单 WSUS 服务器安装后即可自动连接微软 公司网站下载更新程序 以后也基本不需进行维护 内部网络中的计算机只需将更新源指 定为该 WSUS 服务器即可进行更新升级 2 3 50 6 1 2 内部网络中内部网络中 WSUS 的安装部署的安装部署 在隔离的内部网络中部署 WSUS 方法相同 但隔离的内部网络中的 WSUS 服务器无法自 动获取新发布的更新补丁 如果手工下载补丁对 WSUS 服务器进行更新 非常困难 未见有 成功方案 很多单位在建立了隔离的内部网网络的同时 也有与因特网连接的网络 解决 信息查询等问题 因此 我们采用在与因特网连接的外部网络 以下简称外网 和与因特 网隔离的内部网络 以下简称内网 中各部署一套 WSUS 系统 外网 WSUS 服务器自动获取 更新程序 供外网计算机进行更新 并定期导出更新数据 通过刻录光盘等方法 对内网 WSUS 服务器进行更新 实现内网计算机的持续更新 方法如图 1 所示 6 2内网内网 WSUS 服务器的首次更新服务器的首次更新 6 2 1 WSUS 服务器中更新的数据构成服务器中更新的数据构成 WSUS 服务器中的更新数据包含两部分 WSUS 元数据 包含更新补丁的作用 容量 发布时间等属性 由外网 WSUS 服务器通 过因特网从微软 WSUS 更新源获取 存储在数据库中 元数据是 WSUS 更新数据的关键内容 没有元数据描述则更新程序也无法使用 使用 WSUS 自带的 wsusutil exe 可以讲元数据完 全导出 导出内容包括一个数据文件和一个日志文件 两个文件共约 20 30 MB 其中 包含了 WSUS 服务器中所有更新补丁文件的元数据 随着元数据的更新 导出文件体积可能 会有增长 但增量通常非常小 更新程序安装文件 是更新补丁安装的实体 由 WSUS 服务器自动下载 位于服务器中 WSUS 安装目录下的 WsusContent 文件夹下分类存放 其结构较为复杂 视更新产品和语言 不同 容量可达 80 GB 以上 超过 200 个子文件夹 6 2 2 内部网络中内部网络中 WSUS 更新的基本方法更新的基本方法 将因特网中部署的 WSUS 与微软 WSUS 更新源定期同步 同步后将外网中 WSUS 服务器的 元数据使用 wsusutil exe 导出 连同 WsusContent 文件夹下所有子文件夹及更新补丁文件 全部刻录到光盘 然后再使用 wsusutil exe 将光盘中的元数据导入到内网中的 WSUS 最 51 后复制 WsusContent 文件夹覆盖内网中 WSUS 的同名文件夹 这样 就完成了一次内部网络 WSUS 更新补丁数据的更新 6 3内部网络中内部网络中 WSUS 持续更新方案的实现与优化持续更新方案的实现与优化 6 3 1 改进内部网络中改进内部网络中 WSUS 更新方案的原因更新方案的原因 由于内部网络中对存储设备的严格限制 只能使用刻录光盘作为存储介质将 WSUS 元数 据和更新补丁安装文件复制到内部网络 按照仅提供 Windows 系列操作系统关键更新和安 全更新计算 WsusContent 文件夹的大小约为 16GB 数据量超过三张 D5 标准的 DVD 刻录光 盘容量 而且随着新的更新补丁的不断发放 WsusContent 文件夹的体积还将越来越大 因此 我们还需要对内部网络中 WSUS 更新的基本方法进行完善和改进 寻求一种高效 便 捷的内部网络 WSUS 持续更新方案 6 3 2 实现内部网络中实现内部网络中 WSUS 更新优化的具体方法更新优化的具体方法 上述的基本方法是复制了全部的更新补丁文件 显然仅适合第一次做完全导入时使用 在后续的 WSUS 更新中 新增的更新补丁数量通常在一个到上百个不等 容量在几 MB 到几 百 MB 之间 如果能只对新增的更新补丁文件进行复制 可以大大减少复制的数据量 这样 每次只需要耗费少量的时间与刻录光盘即可将新增的更新导入到内部网络 WSUS 中 从而实 现内部网络 WSUS 高效的持续更新 我们假设接入因特网的 WSUS 已经进行了第 n 次更新补丁的同步 而在内部网络中的 WSUS 则还处于上一次的更新补丁同步后的状态 即第 n 1 次更新补丁同步后的状态 准备一个用于参照的更新补丁文件夹 在其中存放着因特网中 WSUS 进行第 n 次更新补丁同 步之前整个 WsusContent 文件夹的备份 也就是说该文件夹里的所有子文件夹和更新补丁 文件与内部网络中 WSUS 相应的文件夹的内容是完全一致的 现在需要将因特网中 WSUS 第 n 次同步获取的新增更新补丁单独提取并复制 再添加到内部网络中的 WSUS 具体方法示 意图如 第一步 首先使用 wsusutil exe 工具导出因特网中 WSUS 的元数据 然后比较其 WsusContent 文件夹和参照的更新补丁文件夹