WSUS
WSUS是Windows Server Update Services的簡稱,它在以前Windows Update Services的基礎上有了很大的改善。目前的版本可以更新更多的Windows補丁,同時具有報告功能和導向性能,管理員還可以控制更新過程。
Windows Server 更新服務 (WSUS) 使信息技術管理員能夠將最新的 Microsoft 產品更新部署至運行了 Microsoft Windows Server 2003、Windows 2000 Server 和 Windows XP 操作系統的網絡中的計算機上。
WSUS是個微軟推出的網絡化的補丁分發方案,是免費的,可以在微軟網站上去下載。
WSUS支持微軟公司全部產品的更新,包括Office、SQL Server、MSDE和Exchange Server等內容。通過WSUS這個內部網絡中的Windows升級服務,所有Windows更新都集中下載到內部網的WSUS服務器中,而網絡中的客戶機通過WSUS服務器來得到更新。這在很大程度上節省了網絡資源,避免了外部網絡流量的浪費並且提高了內部網絡中計算機更新的效率。
WSUS採用C/S模式,客戶端已被包含在各個WINDOWS操作系統上。從微軟網站上下載的是WSUS服務器端。
通過配置,將客戶端和服務器端關聯起來,就可以自動下載補丁了。這個配置幾乎就是使用WSUS的全部工作了。
WSUS的三種拓撲結構:
1. 單服務器拓撲。如下圖所示,單服務器拓撲是使用最廣泛的WSUS拓撲。單服務器拓撲利用一個WSUS服務器從微軟的更新網站下載補丁,然後負責將補丁發給內網用戶。單服務器拓撲是大多數中小公司的最佳選擇。
2、 鏈式拓撲。如下圖所示,鏈式拓撲定義了上游服務器和下游服務器,上游服務器可以直接連接到微軟的更新網站,下游服務器則只能從上游服務器下載更新。這種拓撲在總公司/分公司的管理模型中比較常見。考慮到性能因素,鏈式拓撲很少超過三層。
3、分離式拓撲。如下圖所示,分離式拓撲指的是在一個與互聯網隔離的網絡內,WSUS服務器無法從微軟網站進行補丁更新,因此只能先用一個能連接互聯網的WSUS服務器下載所需要的補丁,然後將下載的補丁導出成數據。隔離網絡內的WSUS服務器通過導入數據來間接完成補丁的下載。這種拓撲常用於部隊,公安等專用網絡
下面來做下WSUS的部署工作,首先介紹下拓撲結構,Florence
做WSUS的域控制器,berlin做WSUS服務器,perth做網關,Instanbul爲測試用
,三臺計算機操作系統爲win2003
一、部署前的準備工作
1、首先把Florence升爲域itat.com,這個域大家輕車熟路了,幾乎每個實驗都要做,就不多說了。
2、WSUS2.0SP1要求系統分區至少應有1G 的剩餘空間,WSUS的更新文件需要至少6G 空間,WSUS的元文件至少需要2G 空間,更新文件是我們安裝補丁時所需要的二進制文件,元文件則負責提供更新文件的信息,例如這個補丁修補了哪些漏洞,適用於哪些版本,需要哪些安裝條件等等。更新文件存儲在目錄中,元文件存儲在數據庫中,建議將WSUS數據安裝在非系統分區,並且至少準備8G 剩餘空間。
3、由於WSUS客戶機和服務器之間通過Http或Https傳遞數據,所以IIS必不可少,在Berlin上面安裝iis服務,控制面板-添加刪除程序-應用程序服務器,如下圖:
4、安裝BITS20
BITS文件很小,文件已經上傳,這個文件安裝很簡單,同意學科協議直接安裝 ,如圖
5、Net Framework 1.1 SP1
這個文件不能上傳,下載地址爲[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=AE7EDEF7-2CB7-4864-8623-A1038563DF23[/url]
注意注意:如果WIN2003安裝了sp1補丁,不需要安裝以上兩個補丁,安裝完要重啓計算機
6、數據庫
WSUS的後臺數據庫可以是SQL2000,MSDE或WMSDE。WSUS安裝時自帶了WMSDE,MSDE是大家很熟悉的數據庫桌面引擎,MSDE和WMSDE的區別在於MSDE有最大不能超過2G 的限制,而WMSDE沒有。MSDE和WMSDE都沒有提供管理工具,如果你需要管理工具,可以考慮安裝SQL2000+SP3作爲WSUS的後臺數據庫,也可以在WMSDE或MSDE的基礎上加裝一個SQL2000管理工具。建議如無特殊需求,使用WSUS自帶的WMSDE數據庫即可。
二、安裝WSUS2.0+sp1
準備工作就緒後開始安裝WSUS,啓動安裝程序後,彈出安裝嚮導,如圖:
同意許可協議
設置存儲WSUS更新文件的目錄爲E:\WSUS,更新文件至少需要6G磁盤空間
WSUS後臺數據庫選用自帶的WMSDE,設置數據庫的存儲目錄爲E:\WSUS
下面這個站點如果IIS的默認網站沒有佔用的話建議用IIS的默認網站
Berlin作爲一個獨立的WSUS服務器進行管理,不需要其他WSUS服務器繼承設置
所有數據設置完畢 看看有沒有錯誤
點擊下一步後開始安裝
安裝完成
三、配置perth
perth作爲網關,要有兩塊網卡,一個連接外網,一個連接內網
內網IP設置
外網IP設置
配置NAT
測試perth可以訪問外網
四、配置WSUS
按下圖方法打開WSUS
圖爲wsus的控制界面
點擊右上角的選項選擇同步選項
點擊下圖Windows產品下面的更改,如圖
選擇要更新的產品,注意WSUS2.0只能支持操作系統相關補丁,但WSUS2.0開始工作後,就會連接到微軟更新網站對自身組件進行更新,更新完畢後WSUS就可以支持微軟的全系列產品了
設置補丁分類點擊下圖更新分類下面的更改
選擇要下載的更新分類![]()
設置完補丁的產品和分類後,我們來設置一下更新文件存儲的位置以及更新的語言版本,鼠標拖到最下面,點擊途中的高級來選擇
我們選擇將更新文件存儲到WSUS服務器,在語言設置中選擇僅下載簡體中文版本的補丁
五、同步WSUS2.0
同步可以讓WSUS服務器獲知到底有多少補丁可以下載。WSUS默認設置是手工同步的方式,如下圖所示,點擊“立即同步”,WSUS服務器就開始工作了。第一次同步微軟更新網站的時間比較長,從幾十分鐘到幾個小時不等,之後的同步採用增量方式,所需要的時間就會少很多
點擊立即同步後,服務器馬上開始同步工作,如下圖
