WSUS全攻略之一 :部署与规划
WSUS服务器的详细配置和部署
WSUS服务器的详细配置和部署一、WSUS 安装要求1、硬件要求:对于多达500 个客户端的服务器,建议使用以下硬件:* 1 GHz 的处理器* 1 GB 的RAM2、软件要求:要使用默认选项安装WSUS,必须在计算机上安装以下软件。
* Microsoft Internet 信息服务(IIS) 6.0。
* 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。
* Background Intelligent Transfer Service (BITS) 2.0。
3、磁盘要求:要安装WSUS,服务器上的文件系统必须满足以下要求:* 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。
* 系统分区至少需要1 GB 的可用空间。
* WSUS 用于存储内容的卷至少需要6 GB 的可用空间,建议预留空间为30 GB。
* WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要2 GB 的可用空间。
4、自动更新要求:自动更新是WSUS 的客户端组件。
除了需要连接到网络外,自动更新没有其他的硬件要求。
您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新:* 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。
* 带有或不带Service Pack 1 或Service Pack 2 的Microsoft Windows XP Professional。
* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或Windows Server 2003 Web Edition。
WSUS服务器搭建与配置
WSUS3.0安装配置第一部分部署前准备工作1).服务器基础要求:Windows Server 2003 E Service Pack 2Microsoft Management Console 3.0 for Windows Server 2003Internet信息服务(IIS)6.0Microsoft .NET Framework 3.5Update for Background Intelligent Transfer Service (BITS) 2.0 and WinHTTP 5.1 Windows Server 2003Microsoft Report Viewer 2008sp12).安装顺序:MMC3.0-> IIS -> .NET 3.5 -> ReportViewer -> WSUS3.03).客户端基础要求:1.Windows XP SP1 或SP2、Windows Vista、Windows Server 2003 或Windows Server“Longhorn”2.后台智能传送服务(BITS) 2.04).本次测试环境服务器版本:Windows server 2003 SP2客户端版本:Windows 7 SP1和Windows server 2003 SP2第二部分WSUS安装1).MMC版本检查:开始执行输入“MMC”在打开的控制台上查看“帮助”,查看“关于Mircosoft Managment Console”即可2). Internet信息服务(IIS)6.0安装控制面板-->添加或删除程序-->添加/删除Windows组件-->应用程序服务器-->在应用程序服务器选择安装Internet 信息服务(IIS),如图所示功能必须勾选:备注:BITS可以支持后台传输,数据压缩,断点续传等高级功能。
3).NET 3.5安装双击“dotnetfx35.exe”,逐步点击下一步要完成安装即可4).ReportViewer安装双击“ReportViewer.exe”, 逐步点击下一步要完成安装即可5).WSUS3.0安装双击“WSUSSetup_30SP2_x86.exe”,开始安装选择包括管理控制台的完整服务器安装,然后接受安装许可。
WSUS架构与部署
决策点: 复制与自治
自治 = 父/子
Only shared element is bandwidth Parent stores the sum of all child approvals
复制 = 相同的配置 Only group memberships are unique
分散网络压力 部分的分担管理员负担
主要的组成
Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy and Active Directory
其它
BITS 2.0 Background Intelligent Transfer
Blaster
选择一个最适合你的补丁管理解决方案
高
Breadth of Functionality
SMS
Windows Update
WSUS
低
IT Resources* & Administration Skill Level 高
*People and budget
你应该已经了解…
一些儿关于AD的知识 一些组策略的知识 一些关于补丁更新的知识 不需要了解SUS
远程连接用户
VPN用户或WEB用户 使用ISA 2004发布WSUS服务器 可使用脚本配置客户端 远程客户端可以从WSUS下载更新批准,但从本地 INTERNET连接直接下载更新包
隔离网络部署
两个WSUS服务器: 一个有Internet连接 一个在私有网络
在外部服务器同步所有相关的更新 Export data and content to media Import data and content on disconnected network
WSUS规划部署WSUS服务器及客户端配置
WSUS规划部署(三)WSUS服务器与客户端配置熟悉控制台之后,便开始配置服务器。
打开控制台,首先需要先与微软官网进行同步,查看当前有哪些补丁需要。
但是这里先打个预防针,并不是所有补丁都安全,所以建议多多综合了解,多多查阅资料,看看某些补丁打了之后是不是会出现问题,也希望看过该博文的能够提供建议,说说自己经验。
在成功同步之后,建立分组,我是按照操作系统来区分的,Windows 7,Windows xp,Windows 2003,Windows 2008,这里为了做演示,同时也是测试环境没有那么高的带宽,所以仅仅在选择产品的时候选择了Windows xp。
Windows xp的更新很多,很多啊!这里开始的时候建议进行打补丁的时候,选择需要的,可以看到有0%标志?什么意思?这个是说,当前的补丁在客户端中没有安装。
而这些都是100%,可以看出,要么是客户端不需要这些更新,这些更新已经过时,或者就是已经安装过,所以不必操心。
下面,我们先审批一个补丁。
审批结束的情况。
服务器的审批已经结束,下面来到客户端进行配置。
我的客户端是属于计算机组,并不是域环境,如果是域环境,那么可以直接使用组策略。
Windows xp,打开策略组计算机配置→管理模板→Windows组件→Windows update这里我首先保证可以更新,所以开启自动更新,选择配置自动更新勾选已启用,点击确定。
然后配置服务器位置双击打开输入服务器的地址,这里要注意,如果在安装过程中,更改过端口号,那么需要在后面配置端口号,我安装时候默认的,所以使用的是80,双击确定。
这样,配置了这两处之后,客户端就可以进行获取到更新了,可是如果等待,太漫长了,可以通过使用如下命令gpupdate /force -------------刷新组策略wuauclt /detectnow --------------强制与WSUS服务器通讯这样,等待一分钟就可以看到右下角出现的安装更新的选项打开,看看是不是自己发布的更新呢?注:可能有人执行了命令之后没有看到,那么首先查看一下,是不是在服务器上面审批的补丁还没有下载结束?我碰到过几次这种情况,没有下载结束,我就开始刷新,等了很久也没有。
WSUS服务器的详细配置和部署
WSUS服务器的详细配置和部署一、WSUS 安装要求1、硬件要求:对于多达500 个客户端的服务器,建议使用以下硬件:* 1 GHz 的处理器* 1 GB 的RAM2、软件要求:要使用默认选项安装WSUS,必须在计算机上安装以下软件。
* Microsoft Internet 信息服务(IIS) 6.0。
* 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。
* Background Intelligent Transfer Service (BITS) 2.0。
3、磁盘要求:要安装WSUS,服务器上的文件系统必须满足以下要求:* 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。
* 系统分区至少需要1 GB 的可用空间。
* WSUS 用于存储内容的卷至少需要6 GB 的可用空间,建议预留空间为30 GB。
* WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要2 GB 的可用空间。
4、自动更新要求:自动更新是WSUS 的客户端组件。
除了需要连接到网络外,自动更新没有其他的硬件要求。
您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新:* 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。
* 带有或不带Service Pack 1 或Service Pack 2 的Microsoft Windows XP Professional。
* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或Windows Server 2003 Web Edition。
WSUS补丁服务器部署详细
WSUS补丁服务器部署详细来源于⽹络转载WSUS概述为了让⽤户的windows系统与其他microsoft产品能够更安全,更稳定,因此microsoft会不定期在⽹站上推出最新的更新程序供⽤户下载与安装,⽽⽤户可以通过以下⽅式来取得这些程序:⼿动连接microsoft update⽹站通过windows系统的⾃动更新功能然⽽以上两种⽅式对企业内部来说,都可能会有以下缺点。
影响⽹络效率:如果企业内部每台计算机都⾃⾏上⽹更新,将会增加对外⽹络的负担。
与现有软件相互⼲扰:如果企业内部使⽤的软件与更新程序发⽣冲突,则⽤户⾃⾏下载与安装更新程序可能会影响该软件或更新程序的正常运⾏。
WSUS是⼀个可以解决上述问题的产品,企业内部可以通过WSUS服务器集中从Microsoft update⽹站下载更新程序,并且在完成这些更新程序的测试⼯作,确定对企业内部计算机没有不良影响后,在通过⽹管审批程序,将程序部署到客户机上。
WSUS的系统需求对于基本WSUS架构来说,WSUS服务器与客户端计算机都必须满⾜适当的条件才能享受WSUS的好处。
可以在windows server 2012内通过新增⾓⾊的⽅式来安装WSUS。
安装WSUS之前,需要安装以下组件。
Microsoft Report Viewer Redistributable 2008:WSUS服务器需要通过他制作各种不同的报告,例如更新程序状态报告,客户端计算机状态报告与同步处理结果报告等。
需要到microsoft 官⽹下载。
Net framework 2.0: report viewer需要net framework。
注:WSUS服务器的系统分区与安装WSUS的磁盘分区的⽂件系统都必须是NTFS。
WSUS客户端计算机必须⽀持⾃动更新功能,Windows 2000 sp4以后的客户端都⽀持。
可以利⽤WSUS服务器内置的WSUS管理控制台执⾏WSUS服务器的管理⼯作,还可以在其他计算机上管理WSUS服务器。
wsus服务搭建
Windows(wsus服务器架设)WSUS简介:windows server update servers,是微软提供的一种免费软件,主要提供windows部分操作系统的关键更新的分发。
此服务可以快速进行部分windows操作系统关键补丁更新以减少病毒发作时,从微软更新系统的时间,同时通过运行其设置程序,将会自动更新用户计算机。
此服务包括了windows 2000家族、XP、2003、SQL server等;提供更新的类别有:Feature Pack 、service Pack、安全更新程序、更新程序、更新程序集、工具、关键更新程序、驱动程序。
当适用与用户计算机的重要更新发布时,它会及时提醒用户下载并安装。
同时可使用自动更新可第一时间更新操作系统及其它微软产品,也可以修复系统及程序漏洞,保护计算机的安全。
WSUS服务器和Micrsoft Update实现客户端计算机自动更新的方式是完全相同,通过WSUS更新可以实现更新程序的集中管理和分发。
部署好WSUS服务器后,只需要配置客户机使用WSUS服务器上的更新服务,就可以使内部计算机自动访问WSUS服务器更新计算机,避免了单机自动/手动更新而带来的大量的外部网络宽带的占用。
要实现自动更新需做如下配置:1、安装WSUS服务器3.0服务器端软件;2、配置WSUS服务器;3、管理WSUS服务器;4、配置WSUS客户端,使其从WSUS服务器获取Windows系统更新。
安装WSUS服务器软件,主机、系统软硬件要求:1、系统分区和安装WSUS3.0的分区必须使用NTFS文件系统进行格式化;2、系统分区至少有1GB以上的空余空间;3、用于WSUS存储文件的分区至少有20GB以上空间。
安装WSUS3.0需准备以下文件:1、windows server 2003 service pack 2 文件名:windowsserver2003-KB914961-SP2-X86-CHS.exe2、后台智能传送服务(BITS)2.0 文件名:windowsserver2003-KB842773-X86-CHS.exe3、 Framework 2.0版本可重分发软件包(X86)文件名:dotnetfx.exeA、安装IIS、、启用网络COM+访问B、安装Windows Server 2003 Service Pack 2C、安装后台智能传送服务(BITS)2.0、 Framework 2.0版可重分发软件包和Microsoft Report Viewer Redistributable 2005 等WSUS3.0安装必备组件。
物理隔离内网wsus部署方法
WSUS(Windows Server Update Services 3.0)是微软公司面向其软件产品提供的软件升级更新解决方案,它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。
[1][2]目前很多高校通过在内部网络中部署WSUS系统,较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。
[2]很多安全保密级别较高的内部网络不但与因特网物理隔离,而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据,只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。
在这种内部网络环境中,WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级,而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新,[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统,并建立及时高效的WSUS服务器持续更新方案。
1 内部网络WSUS部署方案1.1 WSUS服务的一般部署方案如果能够访问因特网,则WSUS部署较为简单,WSUS服务器安装后即可自动连接微软公司网站下载更新程序,以后也基本不需进行维护,内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。
[2][3]1.2 内部网络中WSUS的安装部署在隔离的内部网络中部署WSUS方法相同,但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。
如果手工下载补丁对WSUS服务器进行更新,非常困难,未见有成功方案。
很多单位在建立了隔离的内部网网络的同时,也有与因特网连接的网络,解决信息查询等问题。
因此,我们采用在与因特网连接的外部网络(以下简称外网)和与因特网隔离的内部网络(以下简称内网)中各部署一套WSUS系统,外网WSUS服务器自动获取更新程序,供外网计算机进行更新,并定期导出更新数据,通过刻录光盘等方法,对内网WSUS服务器进行更新,实现内网计算机的持续更新。
内网WSUS服务器部署
内网WSUS服务器部署1)在内网的WSUS Server上,使用和外网WSUS安装时相同的选项安装,并配置WSUS(保证高级同步选项要一致)2)在外网WSUS Server上通过命令行工具wsusutil.exe,将原有的WSUS更新元数据导出( wsusutil.exe,缺省位于“C:\Program Files\Update Services\Tools”目录中):wsusutil export例:C:\Program Files\Update Services\Tools>wsusutil exportd:\wsus080120.cab d:\wsus080120.log3)将外网WSUS的存放更新源文件(wsuscontent)的目录备份下来。
复制wsuscontent文件夹即可。
4)将从外网WSUS的备份出来的WSUScontent文件夹的内容,复制到内网WSUSContent文件夹内。
5)在内网WSUS Server通过命令行工具wsusutil.exe,将已经导出的WSUS更新元数据导入:wsusutil import例:C:\Program Files\Update Services\Tools>wsusutil Importd:\wsus080120.cab d:\wsus080120.log6)运行WSUSutil Reset此命令用于检查WSUS数据库中每一个元数据是否具有本地存储对应的更新文件,如果更新文件丢失或者被损坏,WSUS将再次下载更新文件。
此命令在你刚恢复WSUS备份数据或者排除更新批准故障时非常有用。
维护操作1)移动更新文件当WSUS服务器用于本地存储更新文件的硬盘空间不足或者出现故障时,你可能需要将更新文件移动到另外的磁盘上进行存储。
而Movecontent命令正是用于实现这一需求。
运行此命令时,WSUSUtil.exe执行以下操作:将更新文件从源位置复制到目的存储位置;更新WSUS数据库中的本地存储位置以及IIS中的虚拟目录映射。
wsus使用指南
wsus使用指南WSUS (Windows Server Update Services) 是一种微软提供的软件管理工具,可以帮助系统管理员集中管理和分发Windows 操作系统和其他 Microsoft 产品的更新补丁。
通过 WSUS,管理员可以更好地控制网络中的计算机更新,提高系统安全性和稳定性。
本文将为您介绍如何使用 WSUS。
一、安装 WSUS要使用WSUS,首先需要在服务器上安装WSUS 服务。
可以从微软官方网站下载安装程序,并按照步骤进行安装。
安装过程中需要选择数据库类型、更新语言和存储位置等参数。
安装完成后,会自动打开 WSUS 控制台。
二、配置 WSUS1. 配置更新源在 WSUS 控制台中,可以选择从哪个源获取更新。
微软官方提供了一个公共更新源,也可以选择自动批准更新。
通过配置更新源,可以确保服务器能够获取到最新的更新补丁。
2. 配置自动批准规则可以根据需要配置自动批准规则,以便在某些条件下自动批准更新。
例如,可以设置自动批准所有安全更新,以确保计算机的安全性。
3. 配置计划任务可以设置计划任务,定期检查更新并将其分发到客户端计算机。
可以按照实际情况设置计划任务的频率和时间。
4. 配置客户端计算机在客户端计算机上,需要将其配置为使用 WSUS 服务器进行更新。
可以通过组策略或注册表编辑器进行配置。
将客户端计算机连接到WSUS 服务器后,管理员就可以更好地控制更新的分发。
三、使用 WSUS1. 检查更新状态在 WSUS 控制台中,可以查看每个客户端计算机的更新状态。
可以查看哪些计算机需要更新,哪些已经安装了更新,以及更新失败的原因。
2. 分发更新补丁管理员可以选择将特定的更新补丁分发到指定的客户端计算机。
可以根据需要选择分发范围,以确保更新被正确地安装。
3. 监控更新进度管理员可以监控更新的分发进度,以确保更新补丁能够成功安装。
可以查看每个客户端计算机的更新日志,了解更新过程中是否出现错误或警告。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WSUS全攻略之一:部署与规划WSUS(Microsoft® Windows™Server Update Services)是微软推出的免费的Windows更新管理服务,目前最新版本为2.0.0.2472,除了支持Windows系统(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,还可以支持SQL Server、Exchange 2 000/2003、Office XP/2003等系统的更新管理,并且在以后,WSUS将实现微软全系列产品的更新管理。
提及更新,可能许多朋友都比较反感。
其实我认为更新代表着厂商对其产品的责任心,只有对自己的产品负责任的厂商才会提供更新。
随着技术的发展,没有绝对安全的系统,也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求,此时,厂商推出的更新就极为重要。
通过更新你的系统,可以让你的系统更为安全、高效的运行,何乐而不为呢?首先我给大家介绍一下微软的更新服务体系。
在提供WSUS服务以及SUS服务(被WSUS服务取代的软件更新服务)之前,微软的更新服务体系总共包括两个组件:1、Microsoft Update提供更新服务的微软网站,由一系列的微软站点组成,常见的有:••••等等,提供了更新程序、驱动程序以及Service Pack等的下载。
2、自动更新内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件,默认情况下,它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序,从而实现客户端计算机的系统更新。
在小规模的企业网络中,客户端计算机通过自动更新连接Microsoft Update来进行系统更新并不会对企业的外部网络带宽造成太大的影响,例如有5台客户端计算机每台下载20M的更新程序,那么总占用的企业外部网络流量只是100M;但是在中大规模的企业网络中,如果每台客户端计算机都通过连接到Micr osoft Update来实现更新,则会极大的影响企业的外部网络带宽,例如有500台客户端计算机每台下载20M的更新程序,就会占用10G的流量。
正是因为考虑到这一点,微软推出了WSUS服务器,它是免费向大家提供的。
WSUS服务器和Microso ft Update实现客户端计算机自动更新的方式完全相同,通过WSUS,你可以实现更新程序的集中管理和分发,它的主要优点有:∙通过选择的方式将更新程序(包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等,可选择)从Microsoft Update下载至本地安装源,节省企业外部网络带宽;∙对更新程序进行管理,控制更新程序的分发;你可以批准更新在客户端计算机上进行安装,或者仅仅是检测客户端计算机是否需要此更新,你也可以拒绝此更新程序;∙对网络中的客户端计算机进行分组,控制更新程序在不同客户端计算机上的分发。
因此,现在的微软更新服务体系为三级结构:Microsoft Update->本地企业网络中的WSUS服务器->客户端计算机的自动更新。
在部署WSUS之后,你只需要配置客户端计算机使用WSUS服务器上的更新服务,就可以轻松的享受WSUS服务器所带来的好处。
例如上面所举的大中型企业网络,当部署WSUS 服务器以后,只有WSUS服务器才从Microsoft Update下载更新,所占用的外部网络流量就只为20M,而内部客户端计算机则自动访问WSUS服务器来获取更新,就不再需要访问外部的Windows Update,从而节省了大量的外部网络带宽。
1、单WSUS服务器环境这是最常见的WSUS服务部署场景,如下图所示:企业网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序(称之为同步),并分发给企业网络中的客户端计算机。
当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。
WSUS服务器使用HTTP(TCP 80)和HTTPS(TCP 443)来从Microsoft Update获取更新程序,如果企业在内部和外部网络之间部署有防火墙,你必须在防火墙上允许WSUS服务器到Microsoft Upd ate站点的访问,需要的具体访问规则为:允许WSUS服务器到以下Web站点的HTTP/HTTPS访问••http://*•https://*•http://*•https://*•http://*•••http://*••WSUS与IIS服务器结合创建Web站点来实现更新程序的分发,你可以配置WSUS Web站点共享使用默认Web站点(服务端口为TCP 80)或者使用其他的端口为客户端计算机提供服务。
在安装WSUS服务器时,如果你不选择使用默认的Web站点,那么WSUS将创建自定义的Web站点并在TCP端口85 30侦听HTTP连接请求,建议你使用默认的Web站点。
WSUS服务器要求客户端计算机上运行WSUS客户端,WSUS客户端可以在打过SP3及以上补丁的W indows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行,换言之,WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。
其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端;而其他的操作系统中除了没有安装过任何SP的Windows XP外,内建的自动更新组件均具有自我更新特性,可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端;对于没有安装过任何SP的Windows XP,你必须安装SUS客户端,从而通过SUS客户端来实现自我更新至WSUS客户端。
由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新,因此,如果你在安装WS US时不使用默认的Web站点而自定义一个Web站点,你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包,否则非WSUS客户端计算机不能正常的进行自我更新,从而不能从WSUS服务器获取更新程序。
WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。
默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。
你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。
这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。
使用计算机组的好处之一是便于你测试更新程序。
例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。
注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。
2、链式WSUS服务器环境WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。
当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。
链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。
上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。
在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。
默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。
如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。
3、和Internet断开的WSUS服务器环境部署WSUS服务时,并不要求你必须连接到Internet。
对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。
通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图所示。
选择管理模式WSUS支持集中管理和分布管理两种管理模式,你可以根据自己的实际情况进行选择。
不过,你并不是只能在你的企业网络中采用一种管理模式,你可以同时采用这两种管理模式,但是一台WSUS服务器只能同时工作于一种模式下。
注意:你不能将更新程序数据导入到被集中管理的WSUS服务器(复制服务器)上。
和Internet断开的WSUS服务器总是工作在分布管理模式。
1、集中管理集中管理模式的WSUS服务器采用独立管理服务器和复制服务器这两种角色,它的含义是单个服务器(主服务器)作为独立管理服务器,而一个或多个从属服务器(复制服务器)只是复制主服务器上的数据,组织结构如下图所示。
你在主服务器上创建的计算机组和更新的批准信息将复制到所有的复制服务器中。
注意,计算机组的成员关系不会复制,仅仅是复制计算机组对象本身,你必须在复制服务器上添加客户端计算机对象到计算机组中。
你只能在安装WSUS服务器的过程中将WSUS服务器配置为复制服务器,如果您的组织需要集中管理更新批准和计算机组,便可以实施此方案。
如果WSUS服务器在复制模式下运行,则只能在该服务器上执行有限的管理功能,这些功能主要包括:∙向计算机组添加计算机或从中删除计算机;∙设置同步计划;∙指定代理服务器设置;∙指定更新源,更新源可以是管理服务器之外的服务器,但是不能选择为Windows Update;∙查看可用更新;∙监视更新、同步和计算机的状态,并监视服务器上的WSUS 设置;∙提供所有的标准的WSUS报告功能。