WSUS 部署前 传(简介) <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
WSUS(windows server update services) 是微软的补丁更新服务器,是微软为了方便 WINDOWS 系统(包括 windows 2000 全系列、 windows xp 全系列和 windows server 2003 全系列)和 SQL server 、 exchange2000/2003 、 office xp/2003 的更新补丁管理而推出的 , 并且在以后还会实现微软全系列产品的更新管理。
随着各种系统漏洞和安全隐患的发现,为计算机和服务器打补丁已经成为一项日常工作,但是由于补丁的增多使这项工作变得日益繁琐和麻烦,这就是 WSUS 的诞生成了必然;同时,还可以为小公司节省本来就不富裕的带宽和磁盘空间(一台机器下载补丁更新和一群机器下载补丁更新当然是一台占带宽少了,而且还减少了磁盘空间的使用),便于实现更新程序的集中管理和分发。
同时 WSUS 还有一些优点:
· 通过选择的方式将更新程序(包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等,可选择)从Microsoft Update下载至本地安装源(wsus服务器),节省企业外部网络带宽;
· 对更新程序进行管理,控制更新程序的分发;可以批准更新在客户端计算机上进行安装,或仅仅是检测客户端计算机是否需要此更新,也可以拒绝此更新程序;
· 对网络中的客户端计算机进行分组,控制更新程序在不同客户端计算机上的分发。
首先提一下微软的更新服务体系:
1、microsoft update
也就是各种提供更新服务的微软网站,常见的有:
• windowsupdate.microsoft.com
• update.microsoft.com
• download.windowsupdate.com
• download.microsoft.com
• update.microsoft.com
• download.windowsupdate.com
• download.microsoft.com
等,用于提供更新程序、驱动程序以及SERVICE PACE等的下载。
2、自动更新
主要是绑定在windows 2000 sp3以上版本、windows xp、windows server 2003操作系统中的客户端更新组件,默认情况下,会自动通过HTTP/HTTPS协议直接连到microsoft update下载更新,从而实现客户端计算机系统的更新。
所以,现在微软更新服务体系为三级结构:Microsoft Update--本地企业网络中的WSUS服务器--客户端计算机的自动更新。所以在部署完WSUS后,你只需配置客户端计算机使用WSUS服务器上的更新服务,就可拥有WSUS服务器所带来的好处了。
WSUS 部署要分三种情况: 单 WSUS 服务器、链式 WSUS 服务器以及和 INTERNET 断开的 WSUS 服务器环境。
1 单 WSUS 服务器:
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
企业网络中部署了一台 WSUS 服务器, WSUS 服务器连到 Microsoft Update 来获取更新程序(称为同步),并分发给企业网络中的客户端计算机。当 WSUS 服务器和 Microsoft Update 进行同步时, WSUS 会检查 Microsoft Update 是否具有新的更新程序并进行下载;当第一次进行同步时, WSUS 会下载本地设置要求下载的所有更新程序。
WSUS服务器使用HTTP(TCP 80)和HTTPS(TCP 443)来从Microsoft Update获取更新程序,如果企业在内部和外部网络之间部署有防火墙,你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问,需要的具体访问规则为:
允许WSUS服务器到以下Web站点的HTTP/HTTPS访问
• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com
WSUS 服务器客户端需在打过 SP3 及以上补丁的 windows 2000 全系列、 windows xp 全系列和 windows server 2003 全系列上运行。其中 windows xp sp2 以及 windows server 2003 sp1 系统中以内建了 WSUS 客户端;而其他的操作系统中除了没安装过任何 sp 的 windows xp 外,内建的自动更新组建都有自我更新特性,可通过 wsus 提供的自我更新程序包自动更新到 WSUS 客户端;对于没安装过任何 SP 的 windows XP ,就需要安装 SUS 客户端,从而通过它的客户端实现自我更新到 WSUS 客户端。
由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新,因此,如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点,你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包,否则非WSUS客户端计算机不能正常的进行自我更新,从而不能从WSUS服务器获取更新程序。
WSUS 中可以对客户端计算机进行分组,在 WSUS 中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何客户端访问 WSUS 服务器时,都将被加入到这两个组中。你也可以创建计算机组,并将从未指定的计算机中将要添加的计算机加入到要加入的组中,但不能将 未指定的计算机 组中的计算机 移除到别的组。因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。(使用计算机分组有助于新软件和补丁的更新测试;由于WSUS授权协议禁止未授权的更新程序分发给客户端,所以不要分发未授权的程序)
2 链式 WSUS服务器
所谓链式 WSUS 服务器就是指, WSUS 服务器不从微软官方网站下载补丁更新,而是从其他 WSUS 服务器获得(这适用于规模较大的企业,为了满足需求,使用多台 WSUS服务器)。
这种链式结构可以满足同一企业不同地域的需求或是企业扩建后的需要。(由于链式 WSUS 服务器随着级数的增加,更新程序延迟也在增加,所以部署时最好不大于三级结构 ;而且上下游服务器不能进行同步,不然服务器将无法提供服务)
在 链式 WSUS 服务器部署中,下游 WSUS 服务器继承上游 WSUS 服务器的高级同步选项,但不能在下游服务器上修改高级同步选项。默认情况下,上游 WSUS 服务器只把更新元数据和更新文件同步到下游 WSUS服务器中,而不包含其他的信息。
3和 INTERNET 断开的 WSUS 服务器环境
部 署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更 新程序的同步
转载于:https://blog.51cto.com/liangguangchao/179090