在前面我们学习了WSUS3.0的部署以及补丁分发,但光是懂得这些东西还不够,今天我们再来学习一下WSUS3.0的链式部署。这种部署方案经常会应用到大型企业内,每个新手都梦想着找一份好工作以后能进一个大企业工作,所以我们有必要了解一下这种部署方案。
所谓链式,我们可以通过下图很好的理解:
对照我们的实验拓扑图,我们就会知道,上游服务器从微软下载更新,下游服务器则从上游服务器下载更新。一般我们可以把总公司的WSUS服务器配置为上游服务器,把分支机构的WSUS服务器配置为下游服务器。
实验拓扑如下图所示,Beijing是父域的域控制器,Shanghai是父域的WSUS服务器,Shanghai承担上游服务器的角色;Tianjin是子域的域控制器,Guangzhou是子域的WSUS服务器,Guangzhou承担下游服务器的角色。
域的部署及WSUS3.0的安装配置这里就不做讲解了,有兴趣的朋友可以去越老师的博客去学习或是继续关注小弟的博客,这里重点讲解WSUS3.0链式部署,我们通过实验来看一下游服务器如何从上游服务器获取更新数据。
如果上游WSUS服务器是以匿名开放的话,我们只需要将下游的WSUS服务器的更新地址指向上游服务器地址即可完成部署,需要注意的是在下游的WSUS安装完成,随后出现的WSUS配置向导中,要求选择同步内容的上游服务器,这里我们应该选择从其他WSUS服务器上进行同步,在服务器名中填写我们自己的上游服务器地址,执行下一步
需要注意的是,下游服务器的语言设置请与上游服务器的语言设置保持一致
配置向导完成以后,我们打开WSUS服务端控制界面,我们可以看到下游服务器已经开始同步了,并且已经开始从上游服务器下载更新补丁了。
如果我们希望对下游服务器的人选进行限制,只允许指定的计算机成为下游服务器,那么上下游服务器必须是在同一域内或在有信任关系的两个域内,而且我们还需要在上游服务器上进行下列操作:
- 修改web.config
- 修改虚拟目录ServerSyncWebService的身份验证方法
1.修改web.config文件
如果上游服务器只允许Guangzhou成为下游服务器,那么上游服务器应该修改C:\Program Files\Update Services\WebServices\serversyncwebservice\web.config,如下图所示,我们可以在此文件中使用< authorization>元素来定义一个认证列表,只有此认证列表中的WSUS服务器才能和上游服务器进行同步。注意,我们必须把< authorization>元素添加在<system.web>元素内!allow users=”tianjin\guangzhou$”意思是允许tianjin.wsustest.com域中的guangzhou与上游服务器同步,域内的计算机账号都是以$结尾的。Deny users=”*”意思是拒绝其他所有的计算机同步上游服务器。这两行语句的顺序决定了执行的优先级,如果我们一不小心弄错了顺序,把deny users=”*”放到了前面,那所有的计算机都会被上游服务器所拒绝,这点和ISA的防火墙策略执行顺序完全一样,切记!
2.修改虚拟目录ServerSyncWebService的身份验证方法
我们既然已经修改了web.config,只允许tianjin子域内的guangzhou成为下游服务器,那么访问ServerSyncWebService虚拟目录的计算机必须证明自己是guangzhou才能成为下游服务器。匿名访问无法证明访问者的身份,因此我们需要更改虚拟目录的身份验证方式。由于下游服务器的同步选项中没有办法输入用户名和口令来向上游服务器证明自己的身份,因此下游服务器只能利用集成验证来验明正身了,这也是为什么要求上下游服务器在用一域内或在有信任关系的两个域内。在上游服务器依次点击 开始-程序-管理工具-Internet信息服务(IIS)管理器,右键点击虚拟目录ServerSyncWebService,如下图所示,选择“属性”。
在虚拟目录属性中切换到“目录安全性”标签,如下图所示,选择“编辑”。
如下图所示,我们取消“启用匿名访问”,勾选“集成Windows身份验证”。
这样我们就完成了上游服务器对下游服务器的身份验证需求,以后Firenze可以同步上游服务器,其他WSUS服务器试图同步上游服务器时则会出现 401号错误(未经授权)。
本文转自 cyr520 51CTO博客,原文链接:http://blog.51cto.com/cyr520/162570
