www.hj8828.comWSUS服务器的管理模式

WSUS支持集中管理和分布管理两种管理模式,你可以根据自己的实际情况进行选择。不过,你并不是只能在你的企业网络中采用一种管理模式,你可以同时采用这两种管理模式,但是一台WSUS服务器只能同时工作于一种模式下。

WSUS服务器的部署场景有以下三种:

硬件安装需求

注意:你不能将更新程序数据导入到被集中管理的WSUS服务器复制服务器)上。和Internet断开的WSUS服务器总是工作在分布管理模式。

1、单WSUS服务器环境

对于安装WSUS服务的计算机硬件配置具有以下要求,关于它们的详细描述,请参见部署与规划一文:

1、集中管理

这是最常见的WSUS服务部署场景,如下图所示:

系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式;

集中管理模式的WSUS服务器采用独立管理服务器和复制服务器这两种角色,它的含义是单个服务器主服务器)作为独立管理服务器,而一个或多个从属服务器复制服务器)只是复制主服务器上的数据,组织结构如下图所示。你在主服务器上创建的计算机组和更新的批准信息将复制到所有的复制服务器中。注意,计算机组的成员关系不会复制,仅仅是复制计算机组对象本身,你必须在复制服务器上添加客户端计算机对象到计算机组中。你只能在安装WSUS服务器的过程中将WSUS服务器配置为复制服务器,如果您的组织需要集中管理更新批准和计算机组,便可以实施此方案。

www.hj8828.com 1

系统分区至少有1G的剩余空间;

www.hj8828.com 2 

企业网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft
Update来获取更新程序称之为同步),并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft
Update进行同步时,WSUS会检查Microsoft
Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。

进行本地存储时,存储WSUS更新文件内容的分区至少需要6G剩余空间,推荐30G,详见部署与规划一文;

如果WSUS服务器在复制模式下运行,则只能在该服务器上执行有限的管理功能,这些功能主要包括:

WSUS服务器使用HTTPTCP 80)和HTTPSTCP 443)来从Microsoft
Update获取更新程序,如果企业在内部和外部网络之间部署有防火墙,你必须在防火墙上允许WSUS服务器到Microsoft
Update站点的访问,需要的具体访问规则为:

安装WMSDE的分区至少要求有2GB的剩余空间。

向计算机组添加计算机或从中删除计算机;

允许WSUS服务器到以下Web站点的HTTP/HTTPS访问

应根据服务的客户端数量来决定服务器的硬件配置,对于服务500个客户计算机的WSUS服务器,推荐采用至少为CPU
1G/内存 1G的硬件配置。

设置同步计划;












 

软件安装需求

指定代理服务器设置;

WSUS与IIS服务器结合创建Web站点来实现更新程序的分发,你可以配置WSUS
Web站点共享使用默认Web站点服务端口为TCP
80)或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时,如果你不选择使用默认的Web站点,那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求,建议你使用默认的Web站点。

WSUS服务器只能在Windows 2000服务器或者Windows server
2003上进行安装。在不同的操作系统上进行安装时,WSUS所要求的已安装软件略为不同,具体为:

指定更新源,更新源可以是管理服务器之外的服务器,但是不能选择为Windows
Update;

WSUS服务器要求客户端计算机上运行WSUS客户端,WSUS客户端可以在打过SP3及以上补丁的Windows
2000全系列产品、Windows XP全系列产品、Windows server
2003全系列产品上运行,换言之,WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows
XP SP2以及Windows server 2003
SP1已经内建了WSUS客户端;而其他的操作系统中除了没有安装过任何SP的Windows
XP外,内建的自动更新组件均具有自我更新特性,可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端;对于没有安装过任何SP的Windows
XP,你必须安装SUS客户端,从而通过SUS客户端来实现自我更新至WSUS客户端。

在Windows server 2003上进行安装时,要求已安装以下软件:

查看可用更新;

由于客户端计算机的自动更新组件只能通过服务端口TCP
80来实现自我更新,因此,如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点,你也必须在侦听TCP
80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包,否则非WSUS客户端计算机不能正常的进行自我更新,从而不能从WSUS服务器获取更新程序。

Internet信息服务IIS)6.0;

监视更新、同步和计算机的状态,并监视服务器上的 WSUS 设置;

WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。

后台智能传输服务BITS)2.0;可以从

提供所有的标准的WSUS报告功能。

使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test
Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。

Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server
2003,可以从

注意:当你修改同步选项中的语言选项时,微软建议你立即手动同步主服务器和复制服务器。这避免了当在主服务器上修改了语言选项时,主服务器上批准的更新程序数和复制服务器上批准的更新程序数不匹配。

www.hj8828.com 3 

安装WSUS需要安装数据库软件,但是此处并没有将其列出,原因是在Windows
Server 2003安装WSUS时默认会包括Windows SQL Server™ 2000 Desktop Engine
(WMSDE)
数据库软件,关于WMSDE的详细描述,请参见部署与规划一文。对于最新的Windows
server 2003
SP1,已经满足上述要求,你只需要添加应用程序服务器中的启用网络COM+访问和IIS组件中的万维网服务即可,其他组件在安装WSUS时会自动进行配置。

2、分布管理

注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。

在Windows 2000服务器上进行安装时,要求已安装以下软件:

分布管理模式只允许你配置每台WSUS服务器为独立管理服务器,组织结构如下图所示,如果你需要将WSUS委派给其他站点的管理员进行控制,则可以采用此模式。

2、链式WSUS服务器环境

Windows 2000 Server Service Pack
4,可以从

www.hj8828.com 4 

WSUS服务器不仅仅可以从Windows
Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。

Internet信息服务IIS)5.0;

分布管理模式是所有WSUS服务器的默认安装选项,你不需要任何修改就将服务器配置为此模式。你可以配置WSUS服务器从Windows
Update或者从其他WSUS服务器中获取更新程序,但是如果配置为从其他WSUS服务器中获取更新程序时,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。

www.hj8828.com 5

后台智能传输服务BITS)2.0;可以从

你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。

和Microsoft
SQL完全兼容的数据库软件,推荐使用MSDE,可以从

在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。

Microsoft Internet Explorer 6.0 Service Pack
1;可以从

3、和Internet断开的WSUS服务器环境

Microsoft .NET Framework Version 1.1
可再发行组件包;可以从

部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图所示。

Microsoft .NET Framework 1.1 Service Pack
1;可以从

www.hj8828.com 6 

在Windows
2000上进行安装时,要求IIS中必须具有Web站点,否则WSUS会安装失败。

1、单WSUS服务器环境 这是最常见的WSUS服务部署场景,如下图所示:
企业网络中部署了一台WSUS服务器,…

强烈推荐大家在Windows server
2003上安装WSUS服务器。在安装WSUS服务器之前,你应该做好服务器的安全配置,关于WSUS服务器的安全配置,我将另文阐述。