领益智造:利用WSUS部署更新程序
WSUS概述
为了让用户的windows系统与其他microsoft产品能够更安全,更稳定,因此microsoft会不定期在网站上推出最新的更新程序供用户下载与安装,而用户可以通过以下方式来取得这些程序:
- 手动连接microsoft update网站
- 通过windows系统的自动更新功能
然而以上两种方式对企业内部来说,都可能会有以下缺点。
- 影响网络效率:如果企业内部每台计算机都自行上网更新,将会增加对外网络的负担。
- 与现有软件相互干扰:如果企业内部使用的软件与更新程序发生冲突,则用户自行下载与安装更新程序可能会影响该软件或更新程序的正常运行。
WSUS是一个可以解决上述问题的产品,企业内部可以通过WSUS服务器集中从Microsoft update网站下载更新程序,并且在完成这些更新程序的测试工作,确定对企业内部计算机没有不良影响后,在通过网管审批程序,将程序部署到客户机上。
WSUS的系统需求
对于基本WSUS架构来说,WSUS服务器与客户端计算机都必须满足适当的条件才能享受WSUS的好处。
可以在windows server 2012内通过新增角色的方式来安装WSUS。安装WSUS之前,需要安装以下组件。
- Microsoft Report Viewer Redistributable 2008:WSUS服务器需要通过他制作各种不同的报告,例如更新程序状态报告,客户端计算机状态报告与同步处理结果报告等。需要到microsoft 官网下载。
- Net framework 2.0: report viewer需要net framework。
注:WSUS服务器的系统分区与安装WSUS的磁盘分区的文件系统都必须是NTFS。
WSUS客户端计算机必须支持自动更新功能,Windows 2000 sp4以后的客户端都支持。
可以利用WSUS服务器内置的WSUS管理控制台执行WSUS服务器的管理工作,还可以在其他计算机上管理WSUS服务器。不过,需要在这些计算机上安装WSUS控制台,但是这些计算机必须已安装下列组件:
- Microsoft .NET Framework 2.0或更新版本
- Microsoft Management Console 3.0或更新版本
- Micrsoft Report Viewer Redistributable 2008或更新版本
WSUS的特性与工作方式
利用计算机组部署更新程序
如果能够将企业内部客户端计算机适当分组,就可以更容易与明确地将更新程序部署到指定计算机上。系统默认内置2个计算机组,即所有计算机与未分配的计算机,客户端计算机在第一次与WSUS服务器接触时,系统默认会见该计算机加入者2个组内。可以在添加更多的组。可以创建测试计算机组,新的补丁部署到测试计算机组,没有问题在应用到业务计算机组内。
WSUS服务器的架构
也可以创建更复杂的WSUS服务器架构,也就是创建多台WSUS服务器,并设置让其中一台WSUS服务器从microsoft 网站获取更新程序,但是其他服务器并不直接连接Microsoft网站,而是从上游的组服务器来获取程序,而下游服务器从上游服务器获得更新程序。
这种将WSUS服务器通过上下游方式串接在一起的模式有两种"
- 自治模式:上游WSUS服务器会与下游服务器共享更新程序,也就是下游服务器会从上游服务器获取更新程序,但是并不包含更新程序的审批状态,计算机组信息。因此下游服务器必须自行决定是否要审批这些更新程序与自行创建所需的计算机组。
- 副本模式:上游服务器会与下游服务器共享更新程序,更新审批与计算机组信息。下游服务器可以获取上游服务器的数据,所有可以在上游服务器管理的项目都无法在下游服务器自行管理,例如不能自行更改新程序的审批状态等。
注意,上述计算机组信息只有计算机组本身而已,并且不包含计算机组的成员,必须自行在下游服务器来管理组成员,而客户端计算机在第一次与下游WSUS服务器接触时,这些计算机会默认被同时加入到所有计算机和未分配计算机组内。
可以根据公司网络环境的需求采用上下游WSUS服务器的串接方式。
采用上下游WSUS服务器串接架构,还需要考虑到不同语言的更新,例如,如果上游服务器在总部,总部需要简体中文的程序,而下游架设在分公司,分公司需要的语言是英文,虽然总公司需要的语言是简体中文,当必须在中公司的上游服务器选择同事下载中文和英文版的更新程序。连接Microsoft网站的上游服务器必须下载所有下游服务器需要的所有语言的更新程序,否则下游服务器将无法获取所需语言的更新程序。
注:这种上下游串联的方式,建议最好不要超过3层(虽然理论上没有层数限制),因为每增加一层,就会增加延迟时间,因而拉长将更新程序传递到每台计算机的时间。
选择数据库与存储更新程序的地点
可以利用Windows Server 2012的内置数据库或Microsoft SQL Server 2005 sp2来构建数据库。每台WSUS服务器都有自己独立的数据库,这些数据库用来存储以下信息:
- WSUS服务器的设置信息。
-
描述每一个更新程序的metadata。Metada内包含以下数据:
更新程序的属性:例如更新程序的名称,描述,相关的knowledge base文章编号等。
适用规则:用来判断更新程序是否适用于某台计算机。
安装信息:例如安装时所需的命令行参数。
- 客户端计算机与更新程序之间的关系。
然而上述数据库并不会存储更新程序文件本身,必须另外选择更新程序文件的存储地点,有以下两种选择。
存储在WSUS服务器的本地硬盘内:此时WSUS服务器会从Microsoft网站下载更新程序,并将其存储到本地硬盘内。此种方式让客户端直接从WSUS服务器获取更新程序,不用到Microsoft网站下载,这样可以节省网络带宽。
WSUS服务器的硬盘必须有足够空间来存储更新程序文件,最少要有20g的可用空间。实际需要更多的空间。
存储在Microsoft网站上:此时WSUS服务器并不会从Microsoft网站下载更新程序,换句话说,当执行WSUS服务器与Microsoft网站之间的同步工作时,WSUS服务器只会从网站下载更新程度的metadata数据,并不会下载更新程序本身。
因此,当你审批客户端可以安装某个更新程序后,客户端是自己连接到网站下载。如果客户端计算机数量不多,或客户端与WSUS服务器之间的连接速度比较慢,但是与网络之间的连接速度较快时,可以选择此选项。
延期下载更新程序
WSUS允许你延期下载更新程序文件,也就是WSUS服务器会先下载更新程序的metadata,之后再下载更新程序文件。更新程序文件只有在你审批该程序后才会被下载,这种方式可以节省带宽与WSUS服务器的硬盘空间使用量。Microsoft建议你采用延迟下载更新的方式,也就是默认值。
使用快速安装文件
客户端计算机要安装更新程序时,此计算机内可能已经有该更新文件的旧版本,这个旧文件和新更新之间的差异可能不大。如果客户端能够只下载新版与旧版之间的差异,然后利用将差异合并到旧文件的方式来更新,可以减少从wsus服务器下载的数据量,降低企业内部网络的负担。
不过采用这种方式,WSUS服务器从Microsoft网站下载的文件会比较大,因为此文件内必须包含新更新程序和各旧版自己的差异,因此WSUS服务器在下载文件时会占用对外的网络带宽。
例如,假如更新程序原始大小100mb,未使用快速安装的情况,此服务器会从microsoft网站下载100mb的文件,客户端也是从服务器下载100mb的数据量。使用快速安装的情况下,此文件变为比较大的200mb(假设)。虽然WSUS服务器必须从microsoft下载的文件大小为200mb,但是客户端从WSUS服务器仅下载30mb的数据量,系统默认未使用快速安装文件。
安装WSUS服务器
构建WSUS并不需要AD域环境,然而为了利用组策略来充分管理客户端的自动更新设置,建议采用AD域环境。
我们将利用下图所示的环境进行说明。安装一台域控DC,WSUS服务器为成员服务器,计算机名为WSUS;另外,图中多台客户端可以为win7,win8等,我们假设他们也都加入域。
设置客户端的自动更新
我们要让客户端计算机能够通过WSUS服务器下载更新程序,而这个设置可以通过以下两种方法来完成。
组策略:在AD域环境下,可以通过组策略进行设置。
本地计算机策略:如果没有AD域环境,或客户端计算机未加入域,则可以通过本地计算机策略进行设置。
我们利用组策略来进行说明。在域中创建一个GPO,WSUS策略,然后通过这个GPO来设置域内的所有客户端计算机的自动更新配置。
- WSUS更新:可以用来设置是否要让WSUS产品本身的更新程序自动被审批。
-
更新修订
自动审批已审批的更新的修订:如果已审批的更新程序未来有修订版,则自动审批此修订版本的更新程序。
当新修订导致更新过去时自动拒绝更新:当未来有新修订版本出现,而使得旧版本过期时,则自动拒绝这个过期的旧更新程序。