WSUS概述
為了讓使用者的windows系統與其他microsoft産品能夠更安全,更穩定,是以microsoft會不定期在網站上推出最新的更新程式供使用者下載下傳與安裝,而使用者可以通過以下方式來取得這些程式:
手動連接配接microsoft update網站
通過windows系統的自動更新功能
然而以上兩種方式對企業内部來說,都可能會有以下缺點。
影響網絡效率:如果企業内部每台計算機都自行上網更新,将會增加對外網絡的負擔。
與現有軟體互相幹擾:如果企業内部使用的軟體與更新程式發生沖突,則使用者自行下載下傳與安裝更新程式可能會影響該軟體或更新程式的正常運作。
WSUS是一個可以解決上述問題的産品,企業内部可以通過WSUS伺服器集中從Microsoft update網站下載下傳更新程式,并且在完成這些更新程式的測試工作,确定對企業内部計算機沒有不良影響後,在通過網管審批程式,将程式部署到客戶機上。
WSUS的系統需求
對于基本WSUS架構來說,WSUS伺服器與用戶端計算機都必須滿足适當的條件才能享受WSUS的好處。
可以在windows server 2012内通過新增角色的方式來安裝WSUS。安裝WSUS之前,需要安裝以下元件。
Microsoft Report Viewer Redistributable 2008:WSUS伺服器需要通過他制作各種不同的報告,例如更新程式狀态報告,用戶端計算機狀态報告與同步處理結果報告等。需要到microsoft 官網下載下傳。
Net framework 2.0: report viewer需要net framework。
注:WSUS伺服器的系統分區與安裝WSUS的磁盤分區的檔案系統都必須是NTFS。
WSUS用戶端計算機必須支援自動更新功能,Windows 2000 sp4以後的用戶端都支援。
可以利用WSUS伺服器内置的WSUS管理控制台執行WSUS伺服器的管理工作,還可以在其他計算機上管理WSUS伺服器。不過,需要在這些計算機上安裝WSUS控制台,但是這些計算機必須已安裝下列元件:
Microsoft .NET Framework 2.0或更新版本
Microsoft Management Console 3.0或更新版本
Micrsoft Report Viewer Redistributable 2008或更新版本
WSUS的特性與工作方式
如果能夠将企業内部用戶端計算機适當分組,就可以更容易與明确地将更新程式部署到指定計算機上。系統預設内置2個計算機組,即所有計算機與未配置設定的計算機,用戶端計算機在第一次與WSUS伺服器接觸時,系統預設會見該計算機加入者2個組内。可以在添加更多的組。可以建立測試計算機組,新的更新檔部署到測試計算機組,沒有問題在應用到業務計算機組内。
也可以建立更複雜的WSUS伺服器架構,也就是建立多台WSUS伺服器,并設定讓其中一台WSUS伺服器從microsoft 網站擷取更新程式,但是其他伺服器并不直接連接配接Microsoft網站,而是從上遊的組伺服器來擷取程式,而下遊伺服器從上遊伺服器獲得更新程式。
這種将WSUS伺服器通過上下遊方式串接在一起的模式有兩種"
自治模式:上遊WSUS伺服器會與下遊伺服器共享更新程式,也就是下遊伺服器會從上遊伺服器擷取更新程式,但是并不包含更新程式的審批狀态,計算機組資訊。是以下遊伺服器必須自行決定是否要審批這些更新程式與自行建立所需的計算機組。
副本模式:上遊伺服器會與下遊伺服器共享更新程式,更新審批與計算機組資訊。下遊伺服器可以擷取上遊伺服器的資料,所有可以在上遊伺服器管理的項目都無法在下遊伺服器自行管理,例如不能自行更改新程式的審批狀态等。
注意,上述計算機組資訊隻有計算機組本身而已,并且不包含計算機組的成員,必須自行在下遊伺服器來管理組成員,而用戶端計算機在第一次與下遊WSUS伺服器接觸時,這些計算機會預設被同時加入到所有計算機和未配置設定計算機組内。
可以根據公司網絡環境的需求采用上下遊WSUS伺服器的串接方式。
采用上下遊WSUS伺服器串接架構,還需要考慮到不同語言的更新,例如,如果上遊伺服器在總部,總部需要簡體中文的程式,而下遊架設在分公司,分公司需要的語言是英文,雖然總公司需要的語言是簡體中文,當必須在中公司的上遊伺服器選擇同僚下載下傳中文和英文版的更新程式。連接配接Microsoft網站的上遊伺服器必須下載下傳所有下遊伺服器需要的所有語言的更新程式,否則下遊伺服器将無法擷取所需語言的更新程式。
注:這種上下遊串聯的方式,建議最好不要超過3層(雖然理論上沒有層數限制),因為每增加一層,就會增加延遲時間,因而拉長将更新程式傳遞到每台計算機的時間。
可以利用Windows Server 2012的内置資料庫或Microsoft SQL Server 2005 sp2來建構資料庫。每台WSUS伺服器都有自己獨立的資料庫,這些資料庫用來存儲以下資訊:
WSUS伺服器的設定資訊。
描述每一個更新程式的metadata。Metada内包含以下資料:
更新程式的屬性:例如更新程式的名稱,描述,相關的knowledge base文章編号等。
适用規則:用來判斷更新程式是否适用于某台計算機。
安裝資訊:例如安裝時所需的指令行參數。
用戶端計算機與更新程式之間的關系。
然而上述資料庫并不會存儲更新程式檔案本身,必須另外選擇更新程式檔案的存儲地點,有以下兩種選擇。
存儲在WSUS伺服器的本地硬碟内:此時WSUS伺服器會從Microsoft網站下載下傳更新程式,并将其存儲到本地硬碟内。此種方式讓用戶端直接從WSUS伺服器擷取更新程式,不用到Microsoft網站下載下傳,這樣可以節省網絡帶寬。
WSUS伺服器的硬碟必須有足夠空間來存儲更新程式檔案,最少要有20g的可用空間。實際需要更多的空間。
存儲在Microsoft網站上:此時WSUS伺服器并不會從Microsoft網站下載下傳更新程式,換句話說,當執行WSUS伺服器與Microsoft網站之間的同步工作時,WSUS伺服器隻會從網站下載下傳更新程度的metadata資料,并不會下載下傳更新程式本身。
是以,當你審批用戶端可以安裝某個更新程式後,用戶端是自己連接配接到網站下載下傳。如果用戶端計算機數量不多,或用戶端與WSUS伺服器之間的連接配接速度比較慢,但是與網絡之間的連接配接速度較快時,可以選擇此選項。
WSUS允許你延期下載下傳更新程式檔案,也就是WSUS伺服器會先下載下傳更新程式的metadata,之後再下載下傳更新程式檔案。更新程式檔案隻有在你審批該程式後才會被下載下傳,這種方式可以節省帶寬與WSUS伺服器的硬碟空間使用量。Microsoft建議你采用延遲下載下傳更新的方式,也就是預設值。
用戶端計算機要安裝更新程式時,此計算機内可能已經有該更新檔案的舊版本,這個舊檔案和新更新之間的差異可能不大。如果用戶端能夠隻下載下傳新版與舊版之間的差異,然後利用将差異合并到舊檔案的方式來更新,可以減少從wsus伺服器下載下傳的資料量,降低企業内部網絡的負擔。
不過采用這種方式,WSUS伺服器從Microsoft網站下載下傳的檔案會比較大,因為此檔案内必須包含新更新程式和各舊版自己的差異,是以WSUS伺服器在下載下傳檔案時會占用對外的網絡帶寬。
例如,假如更新程式原始大小100mb,未使用快速安裝的情況,此伺服器會從microsoft網站下載下傳100mb的檔案,用戶端也是從伺服器下載下傳100mb的資料量。使用快速安裝的情況下,此檔案變為比較大的200mb(假設)。雖然WSUS伺服器必須從microsoft下載下傳的檔案大小為200mb,但是用戶端從WSUS伺服器僅下載下傳30mb的資料量,系統預設未使用快速安裝檔案。
安裝WSUS伺服器
建構WSUS并不需要AD域環境,然而為了利用組政策來充分管理用戶端的自動更新設定,建議采用AD域環境。
我們将利用下圖所示的環境進行說明。安裝一台域控DC,WSUS伺服器為成員伺服器,計算機名為WSUS;另外,圖中多台用戶端可以為win7,win8等,我們假設他們也都加入域。
設定用戶端的自動更新
我們要讓用戶端計算機能夠通過WSUS伺服器下載下傳更新程式,而這個設定可以通過以下兩種方法來完成。
組政策:在AD域環境下,可以通過組政策進行設定。
本地計算機政策:如果沒有AD域環境,或用戶端計算機未加入域,則可以通過本地計算機政策進行設定。
我們利用組政策來進行說明。在域中建立一個GPO,WSUS政策,然後通過這個GPO來設定域内的所有用戶端計算機的自動更新配置。
WSUS更新:可以用來設定是否要讓WSUS産品本身的更新程式自動被審批。
更新修訂
自動審批已審批的更新的修訂:如果已審批的更新程式未來有修訂版,則自動審批此修訂版本的更新程式。
當新修訂導緻更新過去時自動拒絕更新:當未來有新修訂版本出現,而使得舊版本過期時,則自動拒絕這個過期的舊更新程式。