WSUS全攻略之一:部署与规划
精选
转载
WSUS全攻略之一 :部署与规划
WSUS(Microsoft® Windows™ Server Update Services)是微软推出的免费的Windows更新管理服务,目前最新版本为2.0.0.2472,除了支持Windows系统(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理,并且在以后,WSUS将实现微软全系列产品的更新管理。
提及更新,可能许多朋友都比较反感。其实我认为更新代表着厂商对其产品的责任心,只有对自己的产品负责任的厂商才会提供更新。随着技术的发展,没有绝对安全的系统,也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求,此时,厂商推出的更新就极为重要。通过更新你的系统,可以让你的系统更为安全、高效的运行,何乐而不为呢?
首先我给大家介绍一下微软的更新服务体系。在提供WSUS服务以及SUS服务(被WSUS服务取代的软件更新服务)之前,微软的更新服务体系总共包括两个组件:
1、Microsoft Update
提供更新服务的微软网站,由一系列的微软站点组成,常见的有:
• windowsupdate.microsoft.com
• update.microsoft.com
• download.windowsupdate.com
• download.microsoft.com
等等,提供了更新程序、驱动程序以及Service Pack等的下载。
2、自动更新
内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件,默认情况下,它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序,从而实现客户端计算机的系统更新。
在小规模的企业网络中,客户端计算机通过自动更新连接Microsoft Update来进行系统更新并不会对企业的外部网络带宽造成太大的影响,例如有5台客户端计算机每台下载20M的更新程序,那么总占用的企业外部网络流量只是100M;但是在中大规模的企业网络中,如果每台客户端计算机都通过连接到Microsoft Update来实现更新,则会极大的影响企业的外部网络带宽,例如有500台客户端计算机每台下载20M的更新程序,就会占用10G的流量。
正是因为考虑到这一点,微软推出了WSUS服务器,它是免费向大家提供的。WSUS服务器和Microsoft Update实现客户端计算机自动更新的方式完全相同,通过WSUS,你可以实现更新程序的集中管理和分发,它的主要优点有:
-
通过选择的方式将更新程序(包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等,可选择)从Microsoft Update下载至本地安装源,节省企业外部网络带宽;
-
对更新程序进行管理,控制更新程序的分发;你可以批准更新在客户端计算机上进行安装,或者仅仅是检测客户端计算机是否需要此更新,你也可以拒绝此更新程序;
-
对网络中的客户端计算机进行分组,控制更新程序在不同客户端计算机上的分发。
因此,现在的微软更新服务体系为三级结构:Microsoft Update->本地企业网络中的WSUS服务器->客户端计算机的自动更新。在部署WSUS之后,你只需要配置客户端计算机使用WSUS服务器上的更新服务,就可以轻松的享受WSUS服务器所带来的好处。例如上面所举的大中型企业网络,当部署WSUS服务器以后,只有WSUS服务器才从Microsoft Update下载更新,所占用的外部网络流量就只为20M,而内部客户端计算机则自动访问WSUS服务器来获取更新,就不再需要访问外部的Windows Update,从而节省了大量的外部网络带宽。
部署场景
WSUS服务器的部署场景有以下三种:
1、单WSUS服务器环境
这是最常见的WSUS服务部署场景,如下图所示:
企业网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序(称之为同步),并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。
WSUS服务器使用HTTP(TCP 80)和HTTPS(TCP 443)来从Microsoft Update获取更新程序,如果企业在内部和外部网络之间部署有防火墙,你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问,需要的具体访问规则为:
允许WSUS服务器到以下Web站点的HTTP/HTTPS访问
• [url]http://windowsupdate.microsoft.com[/url]
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• [url]http://download.windowsupdate.com[/url]
• [url]http://download.microsoft.com[/url]
• http://*.download.windowsupdate.com
• [url]http://wustat.windows.com[/url]
• [url]http://ntservicepack.microsoft.com[/url]
WSUS与IIS服务器结合创建Web站点来实现更新程序的分发,你可以配置WSUS Web站点共享使用默认Web站点(服务端口为TCP 80)或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时,如果你不选择使用默认的Web站点,那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求,建议你使用默认的Web站点。
WSUS服务器要求客户端计算机上运行WSUS客户端,WSUS客户端可以在打过SP3及以上补丁的Windows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行,换言之,WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端;而其他的操作系统中除了没有安装过任何SP的Windows XP外,内建的自动更新组件均具有自我更新特性,可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端;对于没有安装过任何SP的Windows XP,你必须安装SUS客户端,从而通过SUS客户端来实现自我更新至WSUS客户端。
由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新,因此,如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点,你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包,否则非WSUS客户端计算机不能正常的进行自我更新,从而不能从WSUS服务器获取更新程序。
WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。
使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。
注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。
2、链式WSUS服务器环境
WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。
在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。
3、和Internet断开的WSUS服务器环境
部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图所示。
选择管理模式
WSUS支持集中管理和分布管理两种管理模式,你可以根据自己的实际情况进行选择。不过,你并不是只能在你的企业网络中采用一种管理模式,你可以同时采用这两种管理模式,但是一台WSUS服务器只能同时工作于一种模式下。
注意:你不能将更新程序数据导入到被集中管理的WSUS服务器(复制服务器)上。和Internet断开的WSUS服务器总是工作在分布管理模式。
1、集中管理
集中管理模式的WSUS服务器采用独立管理服务器和复制服务器这两种角色,它的含义是单个服务器(主服务器)作为独立管理服务器,而一个或多个从属服务器(复制服务器)只是复制主服务器上的数据,组织结构如下图所示。你在主服务器上创建的计算机组和更新的批准信息将复制到所有的复制服务器中。注意,计算机组的成员关系不会复制,仅仅是复制计算机组对象本身,你必须在复制服务器上添加客户端计算机对象到计算机组中。你只能在安装WSUS服务器的过程中将WSUS服务器配置为复制服务器,如果您的组织需要集中管理更新批准和计算机组,便可以实施此方案。
如果WSUS服务器在复制模式下运行,则只能在该服务器上执行有限的管理功能,这些功能主要包括:
注意:当你修改同步选项中的语言选项时,微软建议你立即手动同步主服务器和复制服务器。这避免了当在主服务器上修改了语言选项时,主服务器上批准的更新程序数和复制服务器上批准的更新程序数不匹配。
2、分布管理
分布管理模式只允许你配置每台WSUS服务器为独立管理服务器,组织结构如下图所示,如果你需要将WSUS委派给其他站点的管理员进行控制,则可以采用此模式。
分布管理模式是所有WSUS服务器的默认安装选项,你不需要任何修改就将服务器配置为此模式。你可以配置WSUS服务器从Windows Update或者从其他WSUS服务器中获取更新程序,但是如果配置为从其他WSUS服务器中获取更新程序时,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。
选择使用的数据库
WSUS数据库存储以下信息:
你不能通过直接访问数据库来管理WSUS,你必须通过WSUS管理控制台来进行管理。每个WSUS服务器需要自己的数据库,如果具有多个WSUS服务器,必须具有多个WSUS数据库。WSUS不支持将多个WSUS数据库存放在单个运行SQL Server的计算机上,这是因为WSUS只能使用名为SUSDB的数据库名。
你可以使用和Microsoft SQL完全兼容的数据库来作为WSUS数据库,但是推荐你使用以下三种之一:
-
WSUS附带的Microsoft Windows SQL Server 2000桌面引擎(WMSDE),只存在于安装在Windows server 2003上的WSUS服务器中,并且在Windows server 2003上安装WSUS时默认会安装WMSDE。它和下面的MSDE的区别是没有数据库大小限制,WMSDE和MSDE均不附带管理工具或用户界面。当在Windows server 2003上安装时,如果你不愿意使用Microsoft SQL Server,推荐使用WMSDE。建议你总是在Windows server 2003上部署WSUS服务,并且总是使用WMSDE数据库。
-
Microsoft SQL Server 2000桌面引擎(MSDE),可以从微软免费下载。它基于SQL Server 2000,但是数据库大小不能超过2GB。当你在运行Windows 2000的计算机上安装WSUS时,可以使用MSDE。当在Windows 2000上安装时,如果你不愿意使用Microsoft SQL Server,推荐使用MSDE。
-
具有SP3a补丁的Microsoft SQL Server 2000,在安装WSUS之前必须启用了SQL Server的嵌套触发器选项。WSUS安装时启用了数据库的递归触发器选项,但是不会修改服务器全局的嵌套触发器选项。
WSUS支持使用其他计算机上的SQL数据库,但是具有以下限制:
-
不能将Windows 2000服务器作为远程SQL对的前端服务器;
-
不能将配置为域控制器的服务器作为远程SQL对的前端或后端服务器;
-
不能将WMSDE或MSDE作为后端服务器上的数据库软件。
无论使用任何数据库类型,WSUS只支持Windows认证。安装WSUS时,要求存储WSUS数据库的驱动器具有至少2GB的剩余空间。
决定存储位置
更新程序是计算机上所安装软件的修补程序或整个文件的替代,Microsoft Update上的每个可用更新都由以下两个部分构成:
将更新同步到WSUS服务器时,元数据和更新文件将存储在两个不同的位置。元数据存储在WSUS数据库中;而根据配置同步选项的方式,更新文件可存储在WSUS服务器上,也可存储在Microsoft Update服务器上。
1、本地存储
你可以将更新文件存储在WSUS服务器上,这节省了企业外部网络连接的带宽,因为客户端计算机直接从WSUS服务器获取更新,这也是默认选项。为了进行本地存储,安装时WSUS服务器至少需要6G的剩余空间来存储更新文件,推荐30G,但是根据不同的产品及分类同步选项,更新文件可能会超过30G。
2、远程存储
如果你需要,你可以不进行本地存储。此时,更新文件远程存储在Microsoft Update上。当WSUS服务器和Microsoft Update进行同步时,将只下载元数据;你可以通过WSUS控制台批准更新,安装时客户端计算机直接从Microsoft Update获取更新文件。更新过程如下图所示,这对于客户端计算机访问Microsoft Update速度比访问WSUS速度快时,有较好的效果。
决定性能选项
不用担心你所拥有的带宽,WSUS提供了一些节省带宽的特性,你可以根据你的部署来进行选择。这些节省带宽的特性有:
1、延迟更新下载
WSUS允许你分开下载更新程序的元数据和更新文件。在这种配置下,只有批准更新程序安装时,才会触发此更新文件的下载,如下图所示。这种方案同时节省了带宽和WSUS服务器空间,因为只有需要安装的更新程序才会完全下载到WSUS服务器。微软推荐你总是使用这个配置,因为它实现了最优化的带宽使用,当对更新文件进行本地存储时,这是默认选项。
对于链式WSUS服务,不推荐你部署超过三级的链式WSUS服务,这是因为:
-
在链式WSUS服务中,WSUS自动设置所有下游服务器使用连接到Microsoft Update的WSUS服务器的延迟更新下载选项,你不能修改这一配置。因此,完整的WSUS服务器链在同步时要么延迟更新文件下载,要么同时下载元数据和更新文件;
-
如果你设置为延迟更新文件下载,当下游服务器请求一个上游服务器没有批准的更新程序时,触发了上游服务器进行下载,然后下游服务器在下次同步时下载此更新程序,如下图所示。如果你链式WSUS服务级数过多,那么从请求此更新程序到完成下载之间,会经历较长的时延。
延迟更新下载和批准更新进行检测时一起工作非常有用,一方面节省了大量的外部网络带宽,另外一方面,通过更新程序元数据的下载以及批准进行检测,就可以知道客户端计算机是否需要此更新程序。只有当客户端计算机需要时,你再批准此更新程序进行安装,此时WSUS服务器才会进行更新文件的下载。
2、更新过滤
WSUS让你可以选择只和Windows Update同步你的企业中所需要的更新,你可以通过更新的语言、产品和分类来对同步进行限制。
在链式WSUS服务器环境中,WSUS自动设置所有下游服务器使用直接连接到Windows Update的WSUS服务器的更新过滤选项,从另一方面来说,你不能在任何下游服务器上设置过滤选项。这个配置是无法修改的,完整的WSUS链必须使用相同的更新过滤设置。虽然你不能在下游服务器上修改更新过滤设置,但是你可以通过延迟更新下载来实现下游服务器只是下载上游WSUS服务器的更新程序中的子集。
默认情况下,WSUS为任何语言的所有Windows产品下载关键更新和安全更新,为了节省外部网络带宽和服务器空间,微软推荐你限制更新程序为只是你需要的语言。
3、使用快速安装文件
快速安装文件是一种更新分发机制,你可以通过使用快速安装文件来节省你内部网络中的带宽,但是却是以增加你的外部网络带宽消耗为前提。
更新程序通常是由客户端计算机上已经安装的文件的更新版本组成,在文件的二进制级别上来说,它们的区别并不大。快速安装文件特性就是精确的识别不同版本文件的不同的字节,然后创建和分发仅仅是包含这些不同字节的更新程序,然后这些更新程序和客户端计算机上的原始文件进行整合,从而完成系统更新。这种特性也称之为增量分发,因为它只是下载两个版本文件的不同或者增加之处。
因为快速安装文件必须考虑每个文件的任何可能性,所以WSUS服务器从Microsoft Update下载的快速安装文件通常比正常的更新文件大,当使用快速安装文件特性时,它所消耗的外部网络带宽要比正常的更新文件多。只是当内部网络的客户端计算机下载更新文件时,所下载的更新文件要比正常的更新文件小,如下图所示。
这只适合内部网络带宽更为紧张的网络环境,默认情况下,WSUS不使用快速安装文件特性。
决定容量需求
WSUS服务器的硬件和数据库软件要求是根据你企业网络中所需要进行更新的客户端计算机数量来决定的。下图是根据WSUS服务器可以服务的客户端计算机数量所提供的指导,单个使用推荐的硬件和数据库软件的WSUS服务器可以支持最大数目为15,000的客户端计算机。
对于具有500个或者更低数目的客户端计算机的WSUS服务器的硬件需求
对于具有500个~15000个客户端计算机的WSUS服务器的硬件需求
决定计算机组分配选项
决定如何将计算机分配到计算机组具有三个步骤:首先,你必须选择计算机组分配的选项,你可以选择服务器端定位或客户端定位;其次,在WSUS服务器中创建对应的计算机组;最后,根据你选择的分配选项,使用不同的方式来将计算机进行分组。
当使用服务器端定位时,你必须在WSUS管理控制台中手动将客户端计算机对象移动到不同的计算机组中;而使用客户端定位时,你必须通过组策略来告知客户端计算机所加入的计算机组。无论采用哪种方式,你都必须先在WSUS服务器中创建相应的计算机组。
在你可以在WSUS服务器上管理某个客户端计算机之前,你必须先让此客户端计算机和WSUS服务器进行通讯。在客户端计算机没有和WSUS服务器进行通讯之前,WSUS服务器无法识别此客户端计算机,也不会在计算机列表中列出此对象。安装在域环境下的WSUS服务器也可能不能正常识别非域成员的客户端计算机,就算这些客户端计算机可以正常通过此WSUS服务器进行更新。
一个客户端计算机只能设置为同时访问一个WSUS服务器。如果你修改了客户端计算机更新的WSUS服务器,那么此客户端计算机将终止和原有WSUS服务器的通讯,但是此客户端计算机对象还会存在于原WSUS服务器的计算机列表中,只是同时会列出此计算机最后一次和WSUS服务器进行通讯的时间,你可以手动删除此客户端计算机对象。
批准更新
当WSUS服务器同步后,将根据配置情况获得相应的更新列表。你需要对更新进行批准,以便进行安装或检测;你可以选择一个或多个更新进行批准,如果选择多个更新,那么客户端计算机会一次性进行安装。批准更新的方式有以下五种:
1、仅检测
当你批准更新只是进行检测时,更新并不会在客户端计算机上进行安装。但是,WSUS会在批准更新对话框上所应用到的计算机组上进行检测,以确定此更新是否适合客户端计算机或者客户端计算机是否需要。此检测动作计划在当客户端计算机下次和WSUS服务器进行通讯时发生,你可以通过更新报告状态或者在更新页面点击更新程序的状态标签来查看结果。如果显示为需要,则表明客户端计算机需要此更新。默认情况下,关键更新和安全更新将自动批准进行检测。
2、安装
批准更新在批准更新对话框所指定的计算机组中进行安装。在批准更新时,你可以选择客户端计算机安装更新的不同方式:
-
使用客户端计算机的设置来决定如何安装更新。当你使用此方式时,批准更新所应用到的计算机组中的客户端计算机将根据自己的设置来决定如何安装更新程序,可能会提示当前的用户进行安装,也可以根据组策略的设置自动进行安装。
-
定义自动安装的最后期限。当你使用此方式,你可以指定更新程序在客户端计算机上安装的日期和时间,此设置会覆盖客户端计算机上的任何设置。你可以指定一个过去的时间,这样会导致客户端计算机在下次访问WSUS服务器时立刻进行安装操作。注意,你不能为需要用户输入的更新程序进行最后期限定义的自动安装,否则安装会失败。你可以在更新程序的详细信息中查看可能要求用户输入字段来确定更新程序是否需要用户输入,并且在批准更新时在批准更新对话框上也会有相应的提示。
3、拒绝更新
此选项只是存在于更新页面的更新任务列表中。如果你选择此选项,此更新将从可用更新列表中删除,而不再进行任何其他操作。只有在查看视图中选择查看已拒绝或者所有更新时才可见。
4、删除
你可以批准某个更新进行删除,即从相应的客户端计算机上进行卸载。此选项只有更新支持删除时才会出现。针对删除更新操作,你也同样可以定义最后期限,当你想让客户端计算机立即执行时,你可以指定一个过去时间为最后期限。
5、未许可
这是默认的批准选项。WSUS服务器同步更新程序后,更新程序的默认状态即为未许可。在此状态下,WSUS服务器不会对更新程序进行任何操作,客户端计算机也不能对此更新进行检测或安装,你必须手动批准更新进行安装或检测。
自动批准更新
在自动批准选项中,你可以配置WSUS服务器在同步时下载更新程序后自动批准进行检测或者安装。你可以通过更新程序的分类和计算机组来决定自动批准检测或自动批准安装,当两者规则出现冲突时,以自动批准安装的规则为准。默认情况下,自动批准安全更新和关键更新在所有计算机组上进行检测。
另外,你可以选择自动批准更新的最新修订,这也是默认选项。修订是在原有更新基础上的修改,例如,原有更新可能已经过期或者EULA已经不适用。如果你取消此选项,你必须手动对新的更新程序进行批准。另外一个和修订类似的概念是取代。某个更新可能会取代另外一个更新,也可能被另外一个更新所取代。你可以从更新程序的详细信息中看到这些信息。对于取代以前某个更新的更新程序,WSUS并不是自动批准。这是因为以前这个更新可能适合旧的版本或者使用的对象不一样。对于这种情况,你应该批准此取代更新进行检测,然后观察此取代更新检测后的状态,看客户端计算机是否需要此取代更新,然后再根据情况进行批准安装操作。
另外还有一个默认启用的选项是自动批准WSUS更新,它是针对WSUS服务所使用的更新程序进行自动批准安装操作,你应该总是使用此选项。
配置客户端计算机进行自动更新
前面所涉及的都是WSUS服务器的配置,你还需要配置客户端计算机通过WSUS服务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境:在域环境中,可以使用基于域的组策略对象 (GPO);在非域环境中,可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后,客户端计算机上控制面板中的自动更新就会失效。
在域中通过组策略进行部署时,微软建议添加一个针对WSUS更新的组策略对象,而不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的,具体的位置在计算机配置->管理模板->Windows组件->Windows Update,如果你没有找到此模板,可以右击管理模板选择添加/删除模板再选择添加%systemroot%infwuau.adm模板。
为了让客户端计算机从WSUS服务器获取更新,你必须在组策略中部署以下选项:
除此之外,你还可以配置其他选项,例如自动更新检测频率、允许自动更新立即安装等等。另外有一个较为重要的配置选项是允许客户端目标设置。通过此选项,当你在WSUS服务器上配置计算机分组使用客户端定位时,你可以配置应用此组策略的客户端计算机自动加入到此选项所配置的计算机组中。