WSUS3.0的链式部署-阿里云开发者社区

开发者社区> 科技小能手> 正文

WSUS3.0的链式部署

简介:
+关注继续查看
在前面我们学习了WSUS3.0的部署以及补丁分发,但光是懂得这些东西还不够,今天我们再来学习一下WSUS3.0的链式部署。这种部署方案经常会应用到大型企业内,每个新手都梦想着找一份好工作以后能进一个大企业工作,所以我们有必要了解一下这种部署方案。
所谓链式,我们可以通过下图很好的理解:
01
对照我们的实验拓扑图,我们就会知道,上游服务器从微软下载更新,下游服务器则从上游服务器下载更新。一般我们可以把总公司的WSUS服务器配置为上游服务器,把分支机构的WSUS服务器配置为下游服务器。
实验拓扑如下图所示,Beijing是父域的域控制器,Shanghai是父域的WSUS服务器,Shanghai承担上游服务器的角色;Tianjin是子域的域控制器,Guangzhou是子域的WSUS服务器,Guangzhou承担下游服务器的角色。
域的部署及WSUS3.0的安装配置这里就不做讲解了,有兴趣的朋友可以去越老师的博客去学习或是继续关注小弟的博客,这里重点讲解WSUS3.0链式部署,我们通过实验来看一下游服务器如何从上游服务器获取更新数据。
02
如果上游WSUS服务器是以匿名开放的话,我们只需要将下游的WSUS服务器的更新地址指向上游服务器地址即可完成部署,需要注意的是在下游的WSUS安装完成,随后出现的WSUS配置向导中,要求选择同步内容的上游服务器,这里我们应该选择从其他WSUS服务器上进行同步,在服务器名中填写我们自己的上游服务器地址,执行下一步
03
需要注意的是,下游服务器的语言设置请与上游服务器的语言设置保持一致
04
配置向导完成以后,我们打开WSUS服务端控制界面,我们可以看到下游服务器已经开始同步了,并且已经开始从上游服务器下载更新补丁了。
05
如果我们希望对下游服务器的人选进行限制,只允许指定的计算机成为下游服务器,那么上下游服务器必须是在同一域内或在有信任关系的两个域内,而且我们还需要在上游服务器上进行下列操作:
  • 修改web.config
  • 修改虚拟目录ServerSyncWebService的身份验证方法
1.修改web.config文件
如果上游服务器只允许Guangzhou成为下游服务器,那么上游服务器应该修改C:\Program Files\Update Services\WebServices\serversyncwebservice\web.config,如下图所示,我们可以在此文件中使用< authorization>元素来定义一个认证列表,只有此认证列表中的WSUS服务器才能和上游服务器进行同步。注意,我们必须把< authorization>元素添加在<system.web>元素内!allow users=”tianjin\guangzhou$”意思是允许tianjin.wsustest.com域中的guangzhou与上游服务器同步,域内的计算机账号都是以$结尾的。Deny users=”*”意思是拒绝其他所有的计算机同步上游服务器。这两行语句的顺序决定了执行的优先级,如果我们一不小心弄错了顺序,把deny users=”*”放到了前面,那所有的计算机都会被上游服务器所拒绝,这点和ISA的防火墙策略执行顺序完全一样,切记!
06
2.修改虚拟目录ServerSyncWebService的身份验证方法
我们既然已经修改了web.config,只允许tianjin子域内的guangzhou成为下游服务器,那么访问ServerSyncWebService虚拟目录的计算机必须证明自己是guangzhou才能成为下游服务器。匿名访问无法证明访问者的身份,因此我们需要更改虚拟目录的身份验证方式。由于下游服务器的同步选项中没有办法输入用户名和口令来向上游服务器证明自己的身份,因此下游服务器只能利用集成验证来验明正身了,这也是为什么要求上下游服务器在用一域内或在有信任关系的两个域内。在上游服务器依次点击 开始-程序-管理工具-Internet信息服务(IIS)管理器,右键点击虚拟目录ServerSyncWebService,如下图所示,选择“属性”。
07
在虚拟目录属性中切换到“目录安全性”标签,如下图所示,选择“编辑”。
08
如下图所示,我们取消“启用匿名访问”,勾选“集成Windows身份验证”。
09
这样我们就完成了上游服务器对下游服务器的身份验证需求,以后Firenze可以同步上游服务器,其他WSUS服务器试图同步上游服务器时则会出现 401号错误(未经授权)。


本文转自 cyr520 51CTO博客,原文链接:http://blog.51cto.com/cyr520/162570

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11743 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
11734 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
8314 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
11531 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4510 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
6826 0
23706
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载