13 WSUS架构与部署

WSUS架构与部署概述安全管理需求WindowsServerUpdateServices（WSUS）功能概览WSUS演示WSUS部署场景及技术讨论漏洞更新的时间大大缩短151180331BlasterWelchia/NachiNimda25SQLSlammerDaysbetweenpatchandexploitWindowsUpdate选择一个最适合你的补丁管理解决方案ITResources*&AdministrationSkillLevelBreadthofFunctionalityWSUSSMS低高高*Peopleandbudget你应该已经了解…一些儿关于AD的知识一些组策略的知识一些关于补丁更新的知识不需要了解SUS主要的组成WindowsServerUpdateServicesAutomaticUpdatesclientagentMicrosoftUpdateGroupPolicyandActiveDirectory其它BITS2.0BackgroundIntelligentTransferMSI3.1WindowsInstaller3.1MicrosoftSQLServerWMSDE/MSDEScriptingviaSDKAdministratorsubscribestoupdatecategoriesBackFinishCancelWindowsUpdateServicesWindowsUpdateServicesServerdownloadsupdatesfromMicrosoftUpdateClientsregisterthemselveswiththeserverAdministratorputsclientsindifferenttargetgroupsAdministratorapprovesupdatesAgentsinstalladministratorapprovedupdatesBackFinishCancelWindowsUpdateServicesWindowsUpdateServicesMicrosoftUpdateWSUSServerDesktopClientsTargetGroup1ServerClientsTargetGroup2WSUS管理员WSUS解决方案概览支持的产品和内容支持产品Windows,Office,SQL,ExchangeatRTM.Additionalproductsaddedovertime操作系统客户端Win2kSP3andlater,WinXPRTMandlater(incl.XPembeddedandXPx64)Win2k3RTM(32-bitonly),Win2k3SP1(x64andia64)服务器Win2kSP4andlaterWin2k3RTMandlater(32-bitonly)中文支持WSUS优点使用WEB管理界面简化管理工作同步引擎从WindowsUpdate站点自动下载更新基于SQL的数据库信息存储可配置树形架构满足企业级管理需求软件更新报表使用BITS有效优化网络带宽客户端自动定时更新安全可靠服务器架构ServerAPIFileStore(NTFS)MetadataStoreMSDE/SQLClient/ServerWebserviceServer/ServerWebserviceReportingWebserviceAdminUIContentsyncCatalogsyncClientsWSUSServers/MUAdminworkstation客户端架构WUClientAPIWUServiceorWSUSIE(WUSite)UpdateHandlersBITSContentStoreMetadataStoreWUClientCustomScriptsCustomScriptsCustomScriptsAutomaticUpdatesUpdateManagerWSUS服务器部署场景部署考虑中小型业务单服务器部署企业级部署高带宽/单一节点复制服务器部署企业级部署低带宽/分支机构分支机构部署远程连接用户隔离网络部署部署考虑硬件要求客户端数量，客户端更新时间…数据库与存储本地或远程的SQLvsWMSDE网络带宽单一站点,多站点,分支机构,低带宽安全性可客户化的网络端口和SSL支持管理自动化脚本管理与WEB管理中小型业务标准安装在一台服务器WMSDE/MSDE数据库计算机分组测试/生产组策略或手工调整以周为周期同步的时间表在测试后批准更新如果需要更改通信端口单服务器部署企业级部署高带宽/单一节点部署单服务器WMSDE或远程的SQLServer计算机分组OU架构基于角色Childserverfornon-ADmembers按天的同步周期分级部署复制服务器SSL通信复制服务器部署企业级部署低带宽/分支机构父子或复制部署在主站点独占服务器安装在分支机构共享服务器计算机分组OU架构基于地点同步总部以天同步分支机构视网络带宽考虑以周同步分级部署在层间采用SSL通信分支机构部署远程连接用户VPN用户或WEB用户使用ISA2004发布WSUS服务器可使用脚本配置客户端远程客户端可以从WSUS下载更新批准，但从本地INTERNET连接直接下载更新包隔离网络部署两个WSUS服务器:一个有Internet连接一个在私有网络在外部服务器同步所有相关的更新ExportdataandcontenttomediaImportdataandcontentondisconnectednetworkWSUSUTIL.EXEDesktopClients隔离网络服务器MicrosoftUpdateWSUSServerWSUSServer考虑内容…通过AD部署在非AD环境部署用户透明用户控制客户端部署场景基本部署步骤1.指定一台服务器运行WSUS服务2.安装预要求软件及WSUS(建议Win2003+SP1)3.使用注册表或组策略配置客户端连接WSUS服务器4.等待客户端更新和注册5.为客户端下载和批准更新6.浏览检查补丁安装报告决策点:SQLServer两个选择:LocalinstallationofWMSDE(MSDEif2K)ExistingSQLimplementation(localorremote)关键因素是利用已有架构大多数情况利用WMSDE/MSDE不要直接修改SQL数据使用WSUSUtil备份数据决策点:层次架构可以部署多层WSUS服务器通常2层最有效考虑配置多层，如果:更新管理是分散管理方式具有分支机构/网络带宽小客户端数量多注意:批准是自上而下的有效优化网络带宽决策点:复制与自治自治=父/子OnlysharedelementisbandwidthParentstoresthesumofallchildapprovals复制=相同的配置Onlygroupmembershipsareunique分散网络压力部分的分担管理员负担决策点:标准与快速安装标准安装下载和替代整个文件Harderonclientanddistributionnetwork快速安装下载和替代更新文件HarderonWSUSserverandWANlinks决策点:更新存放两个选择:本地文件系统MicrosoftUpdate根据客户端的位置进行选择客户端在同一站点网络内–Localfilesystem客户端离线–MicrosoftUpdate决策点:本地化支持缺省支持所有语言网络压力大WSUS只报告选择下载语言的客户端更新最佳实践:如果存在多语言，批准下载相应语言更新信息决策点:组策略基于WUAU.ADM增加的策略选择TargetGroupNon-administratorsettingsPollingfrequencyInstallonshutdown仅仅对安装有更新客户端的系统生效设计是关键MatchcomputergroupsUseSite-basedpolicytoassignlocationbasedWSUSservers集成AD部署保证有最新的.ADM文件基于ComputerGroup建立OU架构预建立的计算机组已有的OU架构整合的考虑…在非AD环境部署更多的困难必须配置本地注册表参照部署手册查找相关键值Tip使用组策略控制台GPEdit.msc使用regedit导出配置为一个.reg文件导入注册表配置故障诊断最常见的故障…常用方法最常见的故障…客户端错误配置常用方法1.WSUSAdminpagesStatusofserverandupdates2.WUAUCLT.EXE/DETECTNOWForceimmediatesyncwithserver3.EventViewerLogupdateinstallationsundereventID17and194.Windowsupdate.logandTailHistoricalactivityTail/ftoviewliveentries5.RSOP.MSC/GPEdit.MSCVerifythattheAUagentisconfiguredcorrectly常用方法GPEdit/RSOPtoverifyWSUSservernameRestartAUtoforcelegacyclientdetectioncycle~5minpoststartupTailWindowupdate.logReviewEventlogsforID19ReviewWSUSAdminforcomputername总结WSUS是基于Windows服务器管理架构的补丁管理解决方案对于已购买WindowsServer/CAL的客户没有额外费用提供比SUS1.0更有效和灵活的补丁管理实施更简单支持更多的产品支持报表能力