WSUS服務器的工作原理
WSUS提供由以下內容組成的管理基礎結構:
MicrosoftUpdate
分發Microsoft產品更新的Microsoft網站。
WindowsServerUpdateServices服務器
此組件安裝在位于公司防火墻內部的WindowsServer2003SP1或nextref_longhorn服務器上。WSUS服務器允許管理員通過WSUS3.0管理控制臺(可安裝在域中的任意Windows計算機上)管理和分發更新。此外,WSUS服務器還可作為組織內其他WSUS服務器的更新源。網絡中必須至少要有一個WSUS服務器連接到MicrosoftUpdate才能獲取可用的更新信息。管理員可根據網絡安全性和配置來決定是否允許其他服務器直接連接到MicrosoftUpdate。
自動更新
此組件內置于nextref_longhorn、nextref_vista、WindowsServer2003、WindowsXP以及Windows2000SP4操作系統中。利用自動更新,服務器和客戶端計算機可從MicrosoftUpdate或WSUS服務器接收更新。
WSUS后續步驟轉到WindowsServerUpdateServices網站(http://go.microsoft.com/fwlink/?LinkId=71198),在這里您可以:•下載WSUS。•下載本WSUS文檔:•MicrosoftWindowsServerUpdateServices入門分步指南(http://go.microsoft.com/fwlink/?LinkID=71190)•WindowsServerUpdateServices3.0自述文件(http://go.microsoft.com/fwlink/?LinkId=71220)WSUS3.0部署方案WSUS非常靈活,可滿足各種規模的組織(從使用撥號連接的小型企業到擁有成千上萬分布在各地的用戶的大型企業)的更新管理需求。根據組織的規模、位置及其連接基礎結構,管理員可確定擴大其WSUS服務器規模的最有效的方法—此決策可能涉及一個或多個WSUS服務器。在本部分中,您可以進一步了解在小型、中型以及受限網絡中部署WSUS組件的常見方案。
單個WSUS服務器(小型或簡單網絡)
在單個WSUS服務器方案中,管理員可在公司防火墻內部建立一個運行WSUS的服務器,它直接將內容與MicrosoftUpdate同步,然后再將更新分發到客戶端計算機。
多個WSUS服務器(中型或更為復雜的網絡)
以下是在中型或更為復雜的網絡中部署WSUS組件的常見方案。
多個獨立的WSUS服務器
管理員可部署多個經過配置的服務器,使服務器均接受獨立管理,且均從MicrosoftUpdate同步內容,如下圖所示。
附件:您所在的用戶組無法下載或查看附件
此方案中的部署方法適用于將不同局域網(LAN)或廣域網(WAN)段作為單獨實體(例如,一個分支機構)進行管理的情況。另外,對于將一臺運行WSUS的服務器配置為僅將更新部署到運行特定操作系統(如Windows2000)的客戶端計算機,而將另一臺服務器配置為僅將更新部署到運行其他操作系統(如WindowsXP)的客戶端計算機的情況,此方案仍然適用。
多個內部同步的WSUS服務器
管理員可部署多臺運行WSUS的服務器,這些服務器會同步其組織的Intranet內的所有內容。在下圖中,只有一臺服務器對Internet是公開的。在這種配置中,它是唯一一臺從MicrosoftUpdate下載更新的服務器。此服務器被設置為上游服務器—即與下游服務器同步的源。可根據實際情況將服務器置于在地理上分散的網絡中的各個位置,以向所有客戶端計算機提供***的連接。
斷開連接的WSUS服務器(有限的或受限制的Internet連接)
如果公司策略或其他條件限制了計算機對Internet的訪問,則管理員可建立一個運行WSUS的內部服務器,如下圖所示。在本例中,創建了一個與Internet相連但與Intranet隔離的服務器。在此服務器上下載、測試和批準更新后,管理員隨后可將更新元數據和內容導出到適當的媒體中,然后再從該媒體中將更新元數據和內容導入到Intranet內運行WSUS的服務器中。
WindowsServerUpdateServices3.0的功能服務器端功能
WSUS解決方案的服務器端組件包括以下功能。更多更新MicrosoftUpdate發布了以下產品的更新:
•Windows 2000
•Windows XP(32位、IA-64和x64版本)
•Windows Vista•Windows Server 2003
•WindowsSmallBusinessServer2003
•ExchangeServer 2000
•Exchange Server 2003
•Exchange Server 2007
•SQL Server
•SQL Server 2005
•Office XP
•Office 2003
•Microsoft ISA Server 2004
•Microsoft Data Protection Manager
•MicrosoftForeFront
•Windows Live
•Windows Defender
至少要有一個上游WSUS服務器連接到MicrosoftUpdate才能獲取可用更新和更新信息,其他下游服務器則可從該上游服務器獲取更新。
可設置為自動下載的特定更新
當WSUS服務器從MicrosoftUpdate或上游WSUS服務器下載可用更新時,會同時進行同步。管理員可根據以下條件選擇在同步期間要下載到WSUS服務器的更新:
•產品或產品系列(例如MicrosoftWindowsServer2003或MicrosoftOffice)•更新分類(例如關鍵更新和驅動程序)
•語言(例如,僅英語和日語)此外,管理員還可以指定同步時間表以自動進行同步。
由管理員批準決定的針對更新的自動操作
管理員必須批準要對更新執行的所有自動操作。批準操作包括:
•批準
•刪除(僅當更新支持卸載時才可使用此操作)
•拒絕此外,管理員還可確立最終期限,即確立安裝或刪除(卸載)更新的特定日期和時間。管理員可通過將最終期限設置為過去的某個時間來強制立即下載。
針對***更新和狀態報告發送的電子郵件通知
可對WSUS3.0進行配置,使其在有新的更新和狀態報告時發送電子郵件通知。更新通知一到達WSUS服務器,指定的收件人即可收到。狀態報告可在指定時間或以指定間隔發送出去。
能夠在安裝更新之前確定其適用性
現在,WSUS3.0可自動掃描更新以確定應該在哪些計算機中安裝它們。在實際規劃和部署要安裝的更新之前,管理員可利用狀態報告來分析更新將產生的影響,狀態報告可直接從單個更新、更新子集或所有更新的更新視圖生成。
#P#導向目標
管理員可利用導向目標將更新部署到特定的計算機和計算機組。導向目標可以直接在WSUS服務器上配置或使用ActiveDirectory網絡環境中的“組策略”在WSUS服務器上配置,還可以通過編輯注冊表設置在客戶端計算機上配置。以下為管理員可以執行的導向目標任務示例:
•在將新的更新分發到生產環境之前,先將其部署到測試計算機組并進行評估。
•保護運行特定應用程序的計算機。例如,如果某個關鍵更新與僅在某些特定計算機中使用的應用程序不兼容,管理員可確保避免將更新分發到這些計算機。
•指定必須完成更新安裝的最終期限,然后為不同的計算機或計算機組設置不同的最終期限。
•將同一計算機作為多個組的成員。例如,某臺計算機可以是“測試”組的成員,同時也可以是“特殊應用程序”組的成員。
數據庫選項
WSUS數據庫存儲著更新信息、客戶端計算機上有關更新操作的事件信息以及WSUS服務器設置。對于WSUS3.0數據庫,管理員可選擇以下選項:
•firstref_wyukon數據庫(WSUS可在WindowsServer2003安裝期間安裝該數據庫)。
•現有的MicrosoftSQLServer™2005ServicePack1數據庫。
副本同步和報告
利用WSUS,管理員可創建一個由WSUS服務器層次結構組成的更新管理基礎結構。WSUS服務器可進行擴容以處理任意數量的客戶端。中心WSUS服務器的管理員可通過副本同步來創建更新、目標組以及批準,創建的這些內容可自動傳播到被指定為副本服務器的WSUS服務器。這意味著分支機構客戶端無需本地WSUS管理員即可從本地服務器獲取集中批準的更新。此外,通過低帶寬鏈接到中心服務器的分支機構所造成的問題會減少,因為分支WSUS服務器僅連接到中心WSUS服務器。系統會為副本服務器的所有客戶端生成更新狀態報告。
從單個控制臺管理多個WSUS服務器
現在,WSUS3.0允許管理員從單個WSUS控制臺來管理WSUS服務器層次結構。Microsoft管理控制臺的WSUS管理單元可安裝到網絡中的任意計算機中。
報告
利用WSUS報告,管理員可監視以下活動(所有報告均為可打印格式,可以導出為Excel電子表格或Adobe的.pdf文件):
•更新狀態:管理員可通過“更新狀態”報告來實時監視客戶端計算機的更新符合性程度,這些報告可根據客戶端計算機所發送的各種事件來提供每個更新、每個計算機以及每個計算機組的更新批準狀態和部署狀態。
•計算機狀態:管理員可評估客戶端計算機上的更新狀態。例如,他們可要求提供已安裝的更新或特定計算機所需更新的摘要。
•計算機符合狀態:管理員可查看或打印特定計算機的符合信息摘要,包括基本軟件和硬件信息、WSUS活動以及更新狀態等。
•更新符合狀態:管理員可查看或打印特定更新的符合信息摘要,包括各個計算機組的更新屬性和累積狀態。
•同步(或下載)狀態:管理員可監視給定時期內的同步活動和狀態,并可查看已下載的***更新。
•WSUS配置設置:管理員可查看已為其WSUS實施指定的選項的摘要。
故障排除
利用WSUSManagementPack,管理員可排除與WSUS基礎結構(包括網絡連接、權限、SQL連接以及與WSUS相關的服務)有關的一些故障。WSUSManagementPack將此信息顯示在MicrosoftOperationsManager的狀態視圖中。管理員可獲取有關該問題的成因及相關解決方案的詳細信息。
擴展性為使管理員和開發人員能夠使用基于.NET的API,我們提供了一個軟件開發工具包(SDK)。管理員可創建自定義代碼來管理AutomaticUpdates和WSUS服務器。利用新的API,管理員可從管理的設備收集硬件和軟件清單、通過“添加或刪除程序”對話框創建安裝批準以及將WSUS管理與其他管理工具(如SystemCenterEssentials)的WSUS管理相集成。開發人員可使用WSUS基礎結構創建一些管理應用程序以與WSUS相集成或發布第三方更新。
可配置的通信選項管理員可靈活配置計算機,以便直接從MicrosoftUpdate或從在內部分發更新的IntranetWSUS服務器獲取更新,也可從這二者的組合中獲取更新,具體情況取決于網絡配置。管理員可根據實際情況對WSUS服務器進行配置,以使用自定義端口來連接Intranet或Internet。(WSUS服務器使用的默認端口為端口80。)也可以通過SSL進行連接,在這種情況下默認端口為443。如果WSUS服務器通過代理服務器連接到Internet,管理員可配置代理服務器設置。
通過命令行實現導入和導出以及數據遷移管理員可在WSUS服務器之間導入和導出更新元數據以及內容。在具有有限的或受限制的Internet連接的網絡中,這是一項必要任務。管理員可將其原來的管理設置、內容批準以及具體內容從WSUS2.0服務器無縫地遷移到WSUS3.0服務器。在合并WSUS服務器時,遷移也非常有用。例如,管理員可將特定目標組的批準從一個WSUS服務器遷移到另一個WSUS服務器。
備份和恢復WSUS支持更新內容文件和SQLServer元數據的ntbackup。ClientseitigeFeatures以下功能組成了WSUS解決方案的客戶端組件。
功能強大且可擴展的AutomaticUpdates服務管理在ActiveDirectory服務環境中,管理員可使用“組策略”來配置AutomaticUpdates的行為。在其他情況下,管理員可使用登錄腳本或類似機制,利用注冊表項遠程配置AutomaticUpdates。配置客戶端計算機的管理員功能包括:
•通過“組策略”為用戶配置通知和安排選項。
•配置客戶端計算機為獲取新更新而檢查更新源(MicrosoftUpdate或其他WSUS服務器)的頻率。
•對AutomaticUpdates進行配置,使其在發現有不需要重啟計算機或中斷服務的更新時立即進行安裝,而不必等到計劃的自動安裝時間再安裝。
•通過基于組件對象模型(COM)的API來管理客戶端計算機。有SDK供使用。
客戶端計算機的自我更新WSUS客戶端計算機可從WSUS服務器檢測是否存在較新版本的AutomaticUpdates程序,然后自動升級其AutomaticUpdates服務。
自動檢測適用的更新AutomaticUpdates可下載并安裝真正適用于計算機的特定更新。AutomaticUpdates與WSUS服務器協同工作,以判斷應將哪些更新應用到特定的客戶端計算機。
效率揭密AutomaticUpdates服務在后臺運行,因此對員工效率和網絡功能產生的影響微乎其微。AutomaticUpdates將需要重新啟動計算機的所有更新合并為僅重啟一次。AutomaticUpdates使受管環境下的用戶不必與Microsoft軟件許可條款進行交互。管理員已在WSUS服務器上代表客戶端計算機接受了許可條款。BITS2.0采用差值壓縮來加快下載(這些下載對用戶而言是不可見的)。例如,在AutomaticUpdates將某個更新下載到客戶端計算機后,它會繼續監視上游WSUS服務器或MicrosoftUpdate,然后僅將更新文件中更改的文件下載到客戶端計算機。利用此技術還可通過AutomaticUpdates有效分發ServicePack。
