WSUS服务器部署场景【彩民之家论坛9066777】

2019-09-19 01:03 来源:未知

一个客户端计算机只能设置为同时访问一个WSUS服务器。如果你修改了客户端计算机更新的WSUS服务器,那么此客户端计算机将终止和原有WSUS服务器的通讯,但是此客户端计算机对象还会存在于原WSUS服务器的计算机列表中,只是同时会列出此计算机最后一次和WSUS服务器进行通讯的时间,你可以手动删除此客户端计算机对象。

WSUS服务器的部署场景有以下三种:

在域中通过组策略进行部署时,微软建议添加一个针对WSUS更新的组策略对象,而不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的,具体的位置在计算机配置->管理模板->Windows组件->Windows Update,如果你没有找到此模板,可以右击管理模板选择添加/删除模板再选择添加%systemroot%infwuau.adm模板。

在你可以在WSUS服务器上管理某个客户端计算机之前,你必须先让此客户端计算机和WSUS服务器进行通讯。在客户端计算机没有和WSUS服务器进行通讯之前,WSUS服务器无法识别此客户端计算机,也不会在计算机列表中列出此对象。安装在域环境下的WSUS服务器也可能不能正常识别非域成员的客户端计算机,就算这些客户端计算机可以正常通过此WSUS服务器进行更新。

使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序,你可以创建一个包含少量客户端计算机的计算机组Test Group,然后将更新程序应用到此计算机组,当更新程序运行成功后,你再将此更新程序应用到其他计算机组或者所有计算机组。

为了让客户端计算机从WSUS服务器获取更新,你必须在组策略中部署以下选项:

当使用服务器端定位时,你必须在WSUS管理控制台中手动将客户端计算机对象移动到不同的计算机组中;而使用客户端定位时,你必须通过组策略来告知客户端计算机所加入的计算机组。无论采用哪种方式,你都必须先在WSUS服务器中创建相应的计算机组。

你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。

除此之外,你还可以配置其他选项,例如自动更新检测频率、允许自动更新立即安装等等。另外有一个较为重要的配置选项是允许客户端目标设置。通过此选项,当你在WSUS服务器上配置计算机分组使用客户端定位时,你可以配置应用此组策略的客户端计算机自动加入到此选项所配置的计算机组中。

...

彩民之家论坛9066777 1

...

决定如何将计算机分配到计算机组具有三个步骤:首先,你必须选择计算机组分配的选项,你可以选择服务器端定位或客户端定位;其次,在WSUS服务器中创建对应的计算机组;最后,根据你选择的分配选项,使用不同的方式来将计算机进行分组。

由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新,因此,如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点,你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包,否则非WSUS客户端计算机不能正常的进行自我更新,从而不能从WSUS服务器获取更新程序。

前面所涉及的都是WSUS服务器的配置,你还需要配置客户端计算机通过WSUS服务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境:在域环境中,可以使用基于域的组策略对象 (GPO);在非域环境中,可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后,客户端计算机上控制面板中的自动更新就会失效。

2、链式WSUS服务器环境

指定Intranet Microsoft更新服务位置。必须设置为已启用,然后配置为企业内部网络中的WSUS服务器地址。

WSUS服务器要求客户端计算机上运行WSUS客户端,WSUS客户端可以在打过SP3及以上补丁的Windows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行,换言之,WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端;而其他的操作系统中除了没有安装过任何SP的Windows XP外,内建的自动更新组件均具有自我更新特性,可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端;对于没有安装过任何SP的Windows XP,你必须安装SUS客户端,从而通过SUS客户端来实现自我更新至WSUS客户端。

配置自动更新。必须设置为已启用,然后选择以下方式之一:
• 通知下载并通知安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。
• 自动下载并通知安装。该选项会自动开始下载更新,然后在安装更新之前对已登录的管理用户进行提醒。
• 自动下载并计划安装。如果将自动更新配置为执行计划安装,那么还必须设置后面的执行计划安装的日期和时间。
• 允许本地管理员选择设置。如果选择该选项,则允许本地管理员使用“控制面板”中的“自动更新”来自行选择配置选项。例如,他们可以选择自己的计划安装时间 ,但是不允许本地管理员禁用自动更新。此选项只有当客户端计算机的自动更新组件已自我更新到与WSUS兼容的版本之后,才会显示。

WSUS中可以对客户端计算机进行分组,在WSUS中内建有两个计算机组:所有计算机和未指定的计算机。默认情况下,任何一个客户端计算机访问WSUS服务器时,都将被加入到这两个组中。你可以创建计算机组,并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中,但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机,而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。

彩民之家论坛9066777 2











•  

WSUS服务器使用HTTPTCP 80)和HTTPSTCP 443)来从Microsoft Update获取更新程序,如果企业在内部和外部网络之间部署有防火墙,你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问,需要的具体访问规则为:

1、单WSUS服务器环境

WSUS与IIS服务器结合创建Web站点来实现更新程序的分发,你可以配置WSUS Web站点共享使用默认Web站点服务端口为TCP 80)或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时,如果你不选择使用默认的Web站点,那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求,建议你使用默认的Web站点。

在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能在下游服务器上修改高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器,详细信息请参见文章的后续章节选择管理模式。

这是最常见的WSUS服务部署场景,如下图所示:

3、和Internet断开的WSUS服务器环境

企业网络中部署了一台WSUS服务器,WSUS服务器连接到Microsoft Update来获取更新程序称之为同步),并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时,WSUS会检查Microsoft Update是否具有新的更新程序并进行下载;当第一次进行同步时,WSUS会下载本地设置要求下载的所有更新程序。

允许WSUS服务器到以下Web站点的HTTP/HTTPS访问

WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。

注意:不要使用WSUS分发未授权的更新程序到客户端计算机,WSUS授权协议禁止这一点。

彩民之家论坛9066777 3 

1、单WSUS服务器环境 这是最常见的WSUS服务部署场景,如下图所示: 企业网络中部署了一台WSUS服务器,...

部署WSUS服务时,并不要求你必须连接到Internet。对于没有连接到Internet的网络环境,你一样可以部署WSUS服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据,再通过其他媒体复制到此WSUS服务器上,最后导入更新程序数据,一样可以实现WSUS服务器更新程序的同步,此过程如下图所示。

彩民之家论坛9066777 4 

TAG标签:
版权声明:本文由彩民之家高手论坛发布于彩民之家论坛9066777,转载请注明出处:WSUS服务器部署场景【彩民之家论坛9066777】