基本信息WSUS是Windows Server Update Services的簡稱,它在以前Windows Update Services的基礎上有了很大的改善。目前的版本可以更新更多的Windows補丁,同時具有報告功能和導向性能,管理員還可以控制更新過程。
功能介紹
Windows Server 更新服務(WSUS)使信息技術管理員能夠將最新的微軟產品更新部署至運行了Microsoft Windows Server2003、Windows 2000 Server和Windows XP操作系統的網絡中的計算機上。
WSUS是個微軟推出的網絡化的補丁分發方案,是免費的,可以在微軟網站上去下載。
WSUS支持微軟全部產品的更新,包括Office、SQL Server、M SDE和Exchange Server等內容。通過WSUS這個內部網絡中的Windows升級服務,所有Windows更新都集中下載到內部網的WSUS服務器中,而網絡中的客戶機通過WSUS服務器來得到更新。這在很大程度上節省了網絡資源,避免了外部網絡流量的浪費并且提高了內部網絡中計算機更新的效率。
WSUS采用C/S模式,客戶端已被包含在各個WINDOWS操作系統上。從微軟網站上下載的是WSUS服務器端。
通過配置,將客戶端和服務器端關聯起來,就可以自動下載補丁了。這個配置幾乎就是使用WSUS的全部工作了。
配置工作是區分域與工作組環境的,在域的前提下,可以通過設置域的組策略來實現,比較簡單。
在工作組的環境里,因為配置是需要用到管理員權限,于是就變成了逐臺配置。
對單機的配置也可以用單機的組策略配置來實現,也可以采用修改注冊表的方式來實現。因為單機的組策略配置反而麻煩,所以還不如修改注冊表來的方便。(通過使用也發現,配置組策略實際也是修改注冊表。所以這2種方案實際是一樣的。)
注冊表的修改項包括:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\微軟\Windows\WindowsUpdate\AU]
RescheduleWait時間重新計劃自動更新計劃后的等待時間
NoAutoRebootWithLoggedOnUsers 計劃的自動更新安裝后是否重新啟動
NoAutoUpdate啟停自動更新
AUOptions 配置自動更新
ScheduledInstallDay 計劃安裝日期
ScheduledInstallTime計劃安裝時間
UseWUServer是否起用WSUS服務器
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\微軟\Windows\WindowsUpdate]
WUServer WSUS服務器
WUStatusServer統計服務器
ElevateNonAdmins是否允許普通用戶審批更新
TargetGroupEnabled是否設置目標組
TargetGroup 目標組名稱
這上面簡單的列舉了些重要的注冊表項。可能有些名稱有些拗口。不過,這基本是從組策略里摘出來的,主要是為了引起一些簡單的聯想。實際上一看WSUS文檔也就差不多了解了。
修改注冊表的工作方式,完全可以采用形成一個注冊表文件,然后放在單位內部網站上要求大家下載即可。在WSUS推出后的這么長的時間里,很多單位都采用了WSUS(隨便搜一下網絡,我們發現云南大學、清華大學和北京大學等很多學校都采用了這樣的方案,并且在學校的有關網站上有很詳細的說明。)但是仍然有很多單位不清楚怎么來解決補丁的管理難題,并且也很為之困惑。這是個有趣的現象,足以說明咱們國家是個非常遼闊的國家,所以信息并不是那么流暢。
對工作組的環境,考慮到希望更簡單和可靠的使用的用戶,也可以使用清揚內網管理系統,里面有輔助的全網配置工具,也可以防止各終端用戶的無意中破壞。
WSUS還有非常清晰的對從微軟網站上的下載補丁的狀態的描述,你可以看到哪些補丁沒有下載完畢,并且 容易的恢復下載。
WSUS也有非常清晰的對各終端的下載補丁情況的描述,這也可以用來查看有關補丁分發的情況。微軟也提供了SMS等更加高級的企業網絡使用工具,不過,說實在的,為了打補丁去考慮這樣的軟件,實在是浪費。因為WSUS已經足夠好用,并且是免費的。
像補丁管理這樣的工作,其實完全是微軟的應盡的義務,畢竟是Windows需要打補丁。作為目前的軟件巨無霸,它應該承擔這樣的職責,才能更長久的建立軟件廠商的信譽。從WSUS上,我們看到它現在是這樣做的。
安裝要求
硬件要求
對于多達500個客戶端的服務器,建議使用以下硬件:
*1GHz的處理器
*1GB的RAM
軟件要求
要使用默認選項安裝WSUS,必須在計算機上安裝以下軟件。
*微軟 Internet信息服務(IIS)6.0。
*用于Windows Server2003的Microsoft .NET Framework1.1Service Pack1。
*Background Intelligent Transfer Service(BITS)2.0。
磁盤要求
要安裝WSUS,服務器上的文件系統必須滿足以下要求:
*系統分區和安裝WSUS的分區都必須使用NTFS文件系統進行格式化。
*系統分區至少需要1GB的可用空間。
*WSUS用于存儲內容的卷至少需要6GB的可用空間,建議預留空間為30GB。
*WSUS安裝程序用于安裝Windows SQL Server2000Desktop Engine(WMSDE)的卷至少需要2GB的可用空間。
自動更新要求
自動更新是WSUS的客戶端組件。除了需要連接到網絡外,自動更新沒有其他的硬件要求。您可以針對運行以下任一操作系統的計算機上的 WSUS 使用自動更新:
*帶有Service Pack3(SP3)或Service Pack4(SP4)的Microsoft Windows2000Professional、帶有SP3或SP4的Windows 2000 Server或帶有SP3或SP4的Windows2000Advanced Server。
*帶有或不帶 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。
*Microsoft Windows Server 2003 Standard Edition、Windows Server2003Enterprise Edition、Windows Server2003Datacenter Edition或Windows Server2003Web Edition。
安裝服務器
以在Windows Server 2003系統中安裝WSUS服務器為例介紹方法:
第1步,運行WSUS安裝程序,自動解壓縮后進入安裝向導。在歡迎對話框中單擊“下一步”按鈕。
第2步,打開“許可協議”對話框,選中“我接受許可協議中的條款”單選框,并單擊“下一步”按鈕。
第3步,在打開的“選擇更新源”對話框中需要指定用于保存補丁程序的目錄,該目錄所在分區必須為NTFS文件系統,并且至少擁有6GB的剩余空間。選中“本地存儲更新”復選框,單擊“瀏覽”按鈕選擇目標位置,并單擊“下一步”按鈕。
第4步,打開“數據庫選項”對話框,如果當前系統中沒有安裝SQL Server,則安裝向導會提示用戶將安裝SQL Server桌面引擎。單擊“瀏覽”按鈕選擇SQL Server桌面引擎的安裝目錄,并單擊“下一步”按鈕。
第5步,在打開的“網站選擇”對話框中,選中“使用現有Internet信息服務默認網站(推薦)”單選框,并單擊“下一步”按鈕。
如果當前服務器中部署了其他Web站點,則必須選中“創建Microsoft Windows Server Update Services網站”單選框。否則將由于80端口被占用使WSUS站點無法啟用。
第6步,打開“鏡像更新設置”對話框,一般情況下,用戶部署的是獨立的更新服務器,并非其他服務器的鏡像站點。因此無需選中“該服務器應繼承來自以下服務器的設置”復選框,直接單擊“下一步”按鈕。
第7步,在打開的“準備安裝Microsoft Windows Server Update Services”對話框中,顯示出WSUS的安裝設置。確認設置正確無誤,并單擊“下一步”按鈕。
第8步,安裝向導開始安裝WSUS,完成安裝后直接單擊“完成”按鈕即可。
了解
我們在之前文章中介紹過WSUS,服務器管理員最常使用的一項功能。總地來說,Windows Server Update Services(WSUS)可以幫助管理員對Windows計算機的關鍵和重要的更新進行管理和分配。
WSUS服務器推送更新的方式有兩種,一種是由微軟更新服務器推送,另外一種是由企業網絡中配置的根WSUS服務器進行推送。企業網絡中配置的WSUS服務器作為更新源,通常叫做上游WSUS服務器。其他與上游服務器進行會話的所有WSUS服務器叫做下游WSUS服務器。下游WSUS服務器一般位于組織分支,作為向Windows客戶端計算機分發更新的權威來源。
Nirmal Sharma是一名微軟技術人員,獲得微軟目錄服務領域MCSEx3、MCITP和微軟MVP證書。他從1994年進入微軟技術領域,一直關注微軟操作系統和軟件的發展。近日他在serverWatch網站上分享了最新Windows服務器操作系統版本中有關WSUS的六個常見問題。一起來看看:
需要從微軟網站上下載WSUS嗎
在早期Windows版本中,你需要直接從微軟網站上下載WSUS軟件,但是在Windows Server2012及之后版本中,WSUS作為一個服務器角色可以從服務器管理器中進行安裝。
Windows Server2012 R2上的WSUS包含了Windows PowerShell cmdlets,可以用來管理WSUS執行,或從命令提示符完成重復任務。
準備在Windows Server2012或更高版本的操作系統上安裝WSUS服務器之前,首先要安裝.NET Framework4.0。另外還要注意到安裝WSUS服務器時使用的賬戶必須是本地管理員組中的成員,同時本地服務器也必須是安裝了WSUS服務器角色。
更新時要將WSUS連接到網絡嗎
WSUS服務器可以配置成離線模式,通常叫做離線WSUS服務器。如果因為企業網絡政策原因,WSUS無法連接網絡直接從微軟更新服務器上獲得更新,這時候可以安裝離線WSUS服務器。
在聯網的WSUS服務器上下載和測試更新之后,管理員可以將內容導出到一個外部硬盤,然后導入到離線模式下的WSUS服務器上。
WSUS使用的網絡端口是什么
WSUS通信有兩種類型:上游和下游WSUS服務器之間的通信以及上游WSUS服務器與微軟更新服務器之間的通信。Windows Server2012WSUS6.2中,微軟改變了WSUS服務器之間相互溝通的方式。
在早期WSUS版本,如WSUS3.2中,下游WSUS服務器通過端口80(HTTP)和443(HTTPS)與上游WSUS服務器進行通信。在WSUS6.2中,這一情況發生了改變。
上游和下游WSUS服務器現在通過端口8530(HTTP)和端口8531(HTTPS)進行通信。如果你在WSUS服務器上配置了防火墻,一定要確保上述端口的流量流通。
至于上游WSUS服務器和微軟更新服務器之間的通信發生在80(HTTP)和443(HTTPS)端口。如果有代理服務器的話,你可能需要改變WSUS來使用代理服務器。
WSUS支持哪些數據庫
WSUS需要一個數據庫來存儲更新元數據和配置信息。WSUS可以使用以下數據庫:Windows內部數據庫(Windows Internal Database,WID)或Microsoft SQL Server數據庫。
Windows操作系統附帶WID,沒有額外的許可證費用。大多數組織選擇使用WID的目的是降低許可成本,但重要的是要注意,在負載均衡和高可用的環境下安裝WSUS后,WID無法正常工作。這種情況下,你必須選擇SQL Server數據庫選項。
如果你打算在獨立于數據庫機的計算機上安裝WSUS角色,請注意以下事項:
該WSUS數據庫服務器必須避免配置在域控制器上。
遠程桌面服務角色不能安裝在已經安裝了WSUS服務器角色的計算機上。
如果數據庫和WSUS服務器位于不同的活動目錄域中,確保這兩個活動目錄域之間存在信任關系。
WSUS服務器流量可以實現負載平衡嗎
在大型生產環境中,你總是要在網絡負載均和集群中設置WSUS來增加WSUS服務器的可靠性和性能。如果你想在NLB集群中設置WSUS,首先必須安裝WSUS服務器,并使用微軟SQL數據庫選項。
重要的是要注意,在WSUS服務器上存儲的更新必須可用于共享同一SQL數據庫的所有WSUS服務器。
參考資料 >