修补程序管理解决方案 - 选择标准-->采用最符合组织需要的解决方案-->见下图:
SUS是什么? Software Update Services(SUS)是一个免费的服务,它可以让管理员在Windows工作站和服务器上快速的,可靠的部署重大更新和安全更新,它在防火墙后面提供了一个内部的Windows Update站点用于客户端安装更新-->见下图:
SUS的限制: 需要下载完所有补丁文件才可以下载Catalog,不然无法批准安装
没有提供方法去确定计算机是不是真正的被更新过-->Windowsupdate.log MBSA
不能为微软的应用程序提供更新服务-->Office 97, 2000, XP
SQL 7 or 2000
Visio
FrontPage
Exchange 2000 or later
Drivers
WSUS是什么? Windows Software Update Services(WSUS)是微软新的系统补丁发放服务器,它是Software Update Services(SUS 1.0)的升级版本-->见下图:
特点: 免费使用
多种语言界面
支持绝大部分微软的产品和更新类型
Client Targeting
Update Installation and Scheduling Flexibility
Force Update Rollbacks
Update Installation Status Reporting
Centralized Deployment Planning
Inventory Management
Centralized Compliance Checking
WUS数据库: WMSDE=MSDE(windows)
MSDE(sql)
Sql server 2000(sp3a)
WUS数据库: wmsde只能装在Windows Server 2003上,并且不可以单独安装,msde可以装在windows 2000上,也可以安装在Windows Server 2003上,但是如果需要更好的控制数据,可以使用sql server,但是这样就需要购买许可证,除非是per cpu
msde(sql)有2G的限制,连接有五个的限制,而msde(sql)有2G的限制,连接有五个的限制,而msde(windows)在数据库大小和支持连接的数目上没有限制
wmsde和msde都可以升级到sql server stand或者ent
WUS只支持windows身份验证,而不管后台是什么数据库
WUS数据库: WUS数据库存放了以下信息:
WUS服务器配置信息
每个更新的metadata
客户端的信息以及客户端对更新的需求信息
更新存储: 更新分为两部分: 一是metadata,二是安装更新所需要的文件
客户端下载更新的两种方法: 客户端从WUS服务器下载被批准的更新-->节约了internet带宽,但是需要较大的磁盘空间,最小6G,建议30G
客户端直接从微软的更新站点下载批准的更新-->服务器在同步时下载更新的metadata,在服务器批准更新以后,客户端从微软的更新服务器下载安装更新需要的文件,这样做得好处是分布式的客户端不需要跨广域网连接找WUS服务器下载更新,但是客户端下载什么更新却依然由WUS服务器决定-->见下图:
带宽优化: 批准检测(approved for detection)和批准安装(approved for install)
延时下载更新-->好处: 因为只有批准安装的更新才会被下载到WUS服务器,这样节约了带宽和磁盘空间-->见下图:
设置最后期限
更新过滤-->WUS让我们在同步时可以选择自己需要的更新,可以根据语言,产品,更新的类型来限制同步
注: 如果发现office的更新在客户端无法安装,那首先需要在客户端安装Windows Installer 3.0
Express installation files-->客户端在检测可用更新时,把自己文件的版本告诉服务器,然后服务器去自己的express installation file里面找到对应的版本,并且和最新的版本比较,比较后把差异内容delivery给客户端,客户端按照一定规则将差异合并到原有版本文件(注: 因此也叫差异更新,delta delivery)-->见下图:
注: 下载的Express installation files要大于实际需要分发的更新文件
WUS使用BITS来做所有的文件传输工作,包括服务器同步和客户端下载
BITS(后台智能传输服务)-->BITS传输文件使用剰余带宽。例如,如果你目前使用60%的带宽,BITS将仅使用剰余的40%。当网络断开或计算机需要被重启时,BITS还可以维持文件传输: 当网络重新连接成功后,BITS会从断开的地方继续开始传输。
BITS 1.0被包含在Windows XP中,且仅支持下载。BITS 1.5被包含在Windows Server 2003中,且支持下载和上传。1.5版本在Windows Server 2003发行时可获得。上传要求安装了Internet信息服务(IIS)服务器及BITS服务器扩展。
使用报告功能: WUS的report非常强大,我们除了可以查看同步结果,设置汇总,也可以通过查看report来确认客户端需要哪些更新,然后批准安装。同时也可以监视客户端更新的安装情况,例如安装失败还是成功了,并且它允许使用过滤,这样让我们可以按照自定义的条件查看报告并打印
部署WUS服务器组件: 部署前考虑
配置WUS服务器
部署前考虑: 硬件考虑-->500客户端以下-->见下列表:
Requirement Minimum Recommended
CPU 300 MHz 1 GHz or faster
RAM 256 MB 1 GB
Database WMSDE/MSDE WMSDE/MSDE
500客户以上-->见下列表:
Requirement Minimum Recommended
CPU 1 GHz or faster 2 GHz or faster
RAM 1 GB 1 GB
Database SQL Server 2000 SP3a SQL Server 2000 SP3a
磁盘考虑-->存放更新文件的分区最少6GB;建议30GB
如果在安装WUS时指定安装WMSDE,至少需要2GB空间
软件要求: 任何操作系统安装WUS前必须安装的软件-->Microsoft Internet Information Services(IIS)5.0 or later Background Intelligent Transfer Service(BITS) 2.0
对Windows Server 2003而言-->Microsoft.NET Framework 1.1 Service Pack 1 for Windows Server 2003
对Windows Server 2000而言-->Microsoft Internet Explorer 6.0 Service Pack 1 Microsoft.NET Framework Version 1.1 Redistributable Package Microsoft.NET Framework 1.1 Service Pack 1.1 Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)
ASP.NET version 1.1和WMSDE是安装时WUS会自动配置的
数据库考虑-->见下列表:
操作系统 建议
Windows Server 2003 如果不希望使用Sql Server,建议WMSDE
Windows Server 2000 如果不希望使用Sql Server,建议MSDE
IIS考虑: 在Windows 2000 Server上安装IIS,建议安装IIS Lockdown tools来加固IIS的安全性,Windows Server 2003内置
客户端自我更新-->WUS会使用IIS去更新大部分的计算机使用和WUS兼容的automatic update,为了完成自我更新,WUS setup在web站点下创建一个虚拟目录,名为"selfupdate"
如果已经有一个Web站点,您可以通过WUS安装向导创建一个自定义的web站点,端口8530,不可配置,但是此时selfupdate的特征是关闭的,这是需要创建一个在80端口的虚拟目录来启用自我更新
如果Windows XP没有安装过SP,则该版本的automatic update是不可以自我更新的,因此需要去下载SUS Client
访问自定义端口的WUS-->http://WUS server name:8530/WusAdmin/
更新自动更新客户端: 最新版本的automatic update在Windows XP(SP2)已安装,如果不是最新版本,可以通过selfupdate更新
Selfupdate client在下列系统可用:
Windows 2000 with Service Pack 3 or later
Windows XP with Service Pack 1 or later
Windows Server 2003
使用组策略配置自动更新: 最新的管理模板(%windir%\inf\wuau.adm)可以在windows xp(sp2)中获得,或从已经selfupdate为最新的客户端获得,然后复制到域控制器
设置组策略: 配置自动更新(五种方法) 指定WUS服务器位置 启用客户端分类 对自动更新调度安装重新调度 对调度的自动安装选项设置不自动重启时间 自动更新检测间隔 允许自动更新立即安装 对调度安装设置延时重启时间 对调度安装自动重启设置重新提示时间 允许非管理员接受更新通知 删除对Windows Update链接访问
在没有活动目录的环境下配置自动更新: 编辑本地组策略对象(wuau.adm) 直接编辑注册表配置(请看部署指南中的"Configuring Automatic Updates in a Non Active Directory Environment"部分)
使用命令行工具操纵自动更新行为: 立即检测-->wuauclt.exe /detectnow
使用客户端cookie过期-->WUS使用cookie在客户端存储各种类型的信息,其中包含客户计算机属于的组成员信息(client side),默认在WUS创建它以后的一个小时过期,使用以下命令可以立即更新组成员
wuauclt.exe /resetauthorization /detectnow
使用远程的SQL Server 实现前后端: 远程的SQL Server限制-->前端或后端的服务器都不可以为Windows 2000 Server (for wus beta) 前端或后端的服务器都不可以为域控制器 后端的数据库不可以为WMSDE或者MSDE
实现步骤: 在前端服务器安装WUS-->WUSSetup.exe /F
在后端服务器安装WUS-->WUSSetup.exe /B
在后端服务器设置权限
配置前端服务器使用后端\
本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/161331