WSUS服务器的工作原理,WSUS服务器和更新管理流程

Microsoft推荐的这一更新管理流程方法由四个连续的阶段组成,如下图所示。持续地重复更新管理流程非常必要,因为可增强和保护生产环境的新更新会不断推出。

WSUS提供由以下内容组成的管理基础结构:

下图是每个阶段的目标,以及管理员如何使用WSUS功能在此四阶段流程的每个阶段中确保成功的示例。许多功能可在多个阶段中使用,这一点请特别注意。

MicrosoftUpdate

1.评估

分发Microsoft产品更新的Microsoft网站。

在“评估”阶段,管理员的目标是:

WindowsServerUpdateServices服务器

•设置支持常规和紧急情况下更新管理的生产环境。

此组件安装在位于公司防火墙内部的WindowsServer2003SP1或nextref_longhorn服务器上。WSUS服务器允许管理员通过WSUS3.0管理控制台可安装在域中的任意Windows计算机上)管理和分发更新。此外,WSUS服务器还可作为组织内其他WSUS服务器的更新源。网络中必须至少要有一个WSUS服务器连接到MicrosoftUpdate才能获取可用的更新信息。管理员可根据网络安全性和配置来决定是否允许其他服务器直接连接到MicrosoftUpdate。

虽然这是第一个步骤,但是“评估”阶段实质上是一个持续过程。例如,管理员必须评估有多少服务器和客户端计算机需要更新,存储和网络带宽要求是多少,以及哪个时间段可部署普通更新。管理员还必须确定他们要更新哪些平台、产品以及语言。根据这些因素,管理员可确定用于扩容其WSUS组件的最有效拓扑。

自动更新

WSUS提供大量用于设置WSUS组件的选项,包括能将更新内容本地存储到WSUS服务器或根据需要从Microsoft
Update下载内容。管理员还可以配置“自动更新”以在计算机上自动下载和安装缺少的更新。WSUS提供了用于管理Active
Directory和非Active Directory环境中的客户端计算机的选项。

此组件内置于nextref_longhorn、nextref_vista、WindowsServer2003、WindowsXP以及Windows2000SP4操作系统中。利用自动更新,服务器和客户端计算机可从MicrosoftUpdate或WSUS服务器接收更新。

WSUS提供管理员可持续运行的标准化聚合报告。这些报告提供有关WSUS实施过程中所有活动的全面信息,包括已与WSUS服务器同步的更新的信息以及每台计算机已安装或还缺少哪些更新的信息。

WSUS后续步骤转到WindowsServerUpdateServices网站(

2.确定

单个WSUS服务器小型或简单网络)

在“确定”阶段,管理员的目标是:

在单个WSUS服务器方案中,管理员可在公司防火墙内部建立一个运行WSUS的服务器,它直接将内容与MicrosoftUpdate同步,然后再将更新分发到客户端计算机。

•以一种方便的方式发现新的更新。

多个WSUS服务器中型或更为复杂的网络)

•确定更新是否与生产环境相关。

以下是在中型或更为复杂的网络中部署WSUS组件的常见方案。

WSUS使管理员可确定要从MicrosoftUpdate同步哪些类型的更新以及何时进行同步。由于WSUS自动收集有关WSUS服务器已知的所有计算机的数据以确定更新是否相关,因此,在生产环境中安装更新前,管理员可直接了解到有多少台计算机需要更新以及更新部署将如何影响网络。

多个独立的WSUS服务器

3.评估和规划

管理员可部署多个经过配置的服务器,使服务器均接受独立管理,且均从MicrosoftUpdate同步内容,如下图所示。

在与生产环境隔离但又与其类似的环境中测试更新。

附件:您所在的用户组无法下载或查看附件

•在与生产环境隔离但又与其类似的环境中测试更新。

此方案中的部署方法适用于将不同局域网(LAN)或广域网(WAN)段作为单独实体例如,一个分支机构)进行管理的情况。另外,对于将一台运行WSUS的服务器配置为仅将更新部署到运行特定操作系统如Windows2000)的客户端计算机,而将另一台服务器配置为仅将更新部署到运行其他操作系统如WindowsXP)的客户端计算机的情况,此方案仍然适用。

•确定将更新部署到生产中所需执行的任务,规划更新版本,构建版本,然后执行版本的验收测试。

多个内部同步的WSUS服务器

在测试环境中评估更新时,管理员可运行多个会在实际部署中使用的WSUS功能。他们可设置与其WSUS服务器自动同步的条件和时间表,创建计算机组,然后通过批准安装更新来确定这些组的更新目标。测试期间以及测试之后,管理员可使用WSUS提供的标准化报告来监视其测试更新安装成功与否。

管理员可部署多台运行WSUS的服务器,这些服务器会同步其组织的Intranet内的所有内容。在下图中,只有一台服务器对Internet是公开的。在这种配置中,它是唯一一台从MicrosoftUpdate下载更新的服务器。此服务器被设置为上游服务器—即与下游服务器同步的源。可根据实际情况将服务器置于在地理上分散的网络中的各个位置,以向所有客户端计算机提供最佳的连接。

WSUS使管理员可在将更新部署到生产环境中之前评估安装更新的结果。通过创建一组测试计算机并按产品、语言和其他分类自动批准不同的更新集,管理员可自动测试不同类型的更新。测试期间以及测试之后,管理员可将WSUS更新报告与其测试结果相关联,以验证已安装的更新并确定如何以及何时为生产环境计划下载并安装批准。

断开连接的WSUS服务器有限的或受限制的Internet连接)

4.部署

如果公司策略或其他条件限制了计算机对Internet的访问,则管理员可建立一个运行WSUS的内部服务器,如下图所示。在本例中,创建了一个与Internet相连但与Intranet隔离的服务器。在此服务器上下载、测试和批准更新后,管理员随后可将更新元数据和内容导出到适当的媒体中,然后再从该媒体中将更新元数据和内容导入到Intranet内运行WSUS的服务器中。

在“部署”阶段,管理员的目标是:

WindowsServerUpdateServices3.0的功能服务器端功能

•批准和计划更新安装。

WSUS解决方案的服务器端组件包括以下功能。更多更新MicrosoftUpdate发布了以下产品的更新:

•在部署完成后审查流程。

•Windows 2000

WSUS允许管理员指定目标计算机组并批准将更新部署到这些组。为建立部署更新的顺序,管理员可使用WSUS来为其网络和人力资源创建最有效的上游和下游WSUS服务器配置。此外,管理员可使用“组策略”或使用WSUSAPI编写脚本来配置客户端计算机与WSUS服务器或MicrosoftUpdate相互通信的方式。然后,管理员可使用报告来确定计算机或目标组的更新部署成功与否。

•Windows XP32位、IA-64和x64版本)

服务器和客户端要求

•Windows Vista•Windows Server 2003

WSUS3.0软件要求

•WindowsSmallBusinessServer2003

以下是针对WSUS服务器和客户端计算机的软件要求。

•ExchangeServer 2000

WSUS服务器的先决条件

•Exchange Server 2003

•Windows Server 2003 SP1或更高版本,或firstref_longhorn

•Exchange Server 2007

•Microsoft Internet信息服务(IIS)6.0或更高版本

•SQL Server

•Windows Installer3.1或更高版本

•SQL Server 2005

•Microsoft .NET Framework2.0

•Office XP

使用WSUS3.0管理控制台的先决条件

•Office 2003

•Windows XP SP2,Windows Vista,Windows Server 2003 Windows Server 2008

•Microsoft ISA Server 2004

•Microsoft管理控制台3.0

•Microsoft Data Protection Manager

•Microsoft Report Viewer Redistributable2005

•MicrosoftForeFront

注意:

•Windows Live

WSUS3.0现在允许在与WSUS服务器分离的远程系统上安装WSUS管理控制台。

•Windows Defender

Optionale Software

至少要有一个上游WSUS服务器连接到MicrosoftUpdate才能获取可用更新和更新信息,其他下游服务器则可从该上游服务器获取更新。

•SQLServer2005SP1或更高版本WindowsServer2003上)或SP2nextref_longhorn上)

可设置为自动下载的特定更新

WSUS客户端计算机的先决条件

当WSUS服务器从MicrosoftUpdate或上游WSUS服务器下载可用更新时,会同时进行同步。管理员可根据以下条件选择在同步期间要下载到WSUS服务器的更新:

firstref_vista、Windows
Server2003任何版本)、nextref_longhorn、WindowsXP或Windows 2000S P4。

•产品或产品系列例如MicrosoftWindowsServer2003或MicrosoftOffice)•更新分类例如关键更新和驱动程序)

WSUS3.0容量要求

•语言例如,仅英语和日语)此外,管理员还可以指定同步时间表以自动进行同步。

对于WSUS3.0可伸缩性和容量要求的完整讨论,请参阅WSUS部署指南的“确定WSUS容量要求”一节,网址为

由管理员批准决定的针对更新的自动操作

服务器和客户端要求

管理员必须批准要对更新执行的所有自动操作。批准操作包括:

WSUS3.0软件要求

•批准

以下是针对WSUS服务器和客户端计算机的软件要求。

•删除仅当更新支持卸载时才可使用此操作)

WSUS服务器的先决条件

•拒绝此外,管理员还可确立最终期限,即确立安装或删除卸载)更新的特定日期和时间。管理员可通过将最终期限设置为过去的某个时间来强制立即下载。

•Windows Server 2003SP1或更高版本,或firstref_longhorn

针对最新更新和状态报告发送的电子邮件通知

•Microsoft Internet信息服务(IIS)6.0或更高版本

可对WSUS3.0进行配置,使其在有新的更新和状态报告时发送电子邮件通知。更新通知一到达WSUS服务器,指定的收件人即可收到。状态报告可在指定时间或以指定间隔发送出去。

•Windows Installer3.1或更高版本

能够在安装更新之前确定其适用性

•Microsoft NET Framework2.0

现在,WSUS3.0可自动扫描更新以确定应该在哪些计算机中安装它们。在实际规划和部署要安装的更新之前,管理员可利用状态报告来分析更新将产生的影响,状态报告可直接从单个更新、更新子集或所有更新的更新视图生成。

使用WSUS3.0管理控制台的先决条件

#P#

•WindowsXPSP2,WindowsVista,Windows Server 2003oder Windows Server 2008

导向目标

•Microsoft管理控制台3.0

管理员可利用导向目标将更新部署到特定的计算机和计算机组。导向目标可以直接在WSUS服务器上配置或使用ActiveDirectory网络环境中的“组策略”在WSUS服务器上配置,还可以通过编辑注册表设置在客户端计算机上配置。以下为管理员可以执行的导向目标任务示例:

•Microsoft Report Viewer Redistributable2005

•在将新的更新分发到生产环境之前,先将其部署到测试计算机组并进行评估。

注意:

•保护运行特定应用程序的计算机。例如,如果某个关键更新与仅在某些特定计算机中使用的应用程序不兼容,管理员可确保避免将更新分发到这些计算机。

WSUS3.0现在允许在与WSUS服务器分离的远程系统上安装WSUS管理控制台。

•指定必须完成更新安装的最终期限,然后为不同的计算机或计算机组设置不同的最终期限。

Optionale Software

•将同一计算机作为多个组的成员。例如,某台计算机可以是“测试”组的成员,同时也可以是“特殊应用程序”组的成员。

•SQL Server 2005
SP1或更高版本WindowsServer2003上)或SP2nextref_longhorn上)

数据库选项

WSUS客户端计算机的先决条件

WSUS数据库存储着更新信息、客户端计算机上有关更新操作的事件信息以及WSUS服务器设置。对于WSUS3.0数据库,管理员可选择以下选项:

firstref_vista、WindowsServer2003任何版本)、nextref_longhorn、WindowsXP或Windows2000SP4。

•firstref_wyukon数据库WSUS可在WindowsServer2003安装期间安装该数据库)。

WSUS3.0容量要求

•现有的MicrosoftSQLServer™2005ServicePack1数据库。

对于WSUS3.0可伸缩性和容量要求的完整讨论,请参阅WSUS部署指南的“确定WSUS容量要求”一节,网址为

副本同步和报告

Windows Server Update Services3.0的新增内容

利用WSUS,管理员可创建一个由WSUS服务器层次结构组成的更新管理基础结构。WSUS服务器可进行扩容以处理任意数量的客户端。中心WSUS服务器的管理员可通过副本同步来创建更新、目标组以及批准,创建的这些内容可自动传播到被指定为副本服务器的WSUS服务器。这意味着分支机构客户端无需本地WSUS管理员即可从本地服务器获取集中批准的更新。此外,通过低带宽链接到中心服务器的分支机构所造成的问题会减少,因为分支WSUS服务器仅连接到中心WSUS服务器。系统会为副本服务器的所有客户端生成更新状态报告。

Windows Server Update
Services(WSUS)3.0提供了许多新的功能,使WSUS更易于使用、部署和支持。具体来说,WSUS3.0在下列领域进行了改进:

从单个控制台管理多个WSUS服务器

从管理控制台管理WSUS

现在,WSUS3.0允许管理员从单个WSUS控制台来管理WSUS服务器层次结构。Microsoft管理控制台的WSUS管理单元可安装到网络中的任意计算机中。

WSUS3.0管理控制台已从基于Web的控制台变为Microsoft管理控制台3.0版的一个插件。新的用户界面提供以下功能:

报告

•每个节点的主页都包含与节点相关联的任务的概述

利用WSUS报告,管理员可监视以下活动所有报告均为可打印格式,可以导出为Excel电子表格或Adobe的.pdf文件):

•高级过滤

•更新状态:管理员可通过“更新状态”报告来实时监视客户端计算机的更新符合性程度,这些报告可根据客户端计算机所发送的各种事件来提供每个更新、每个计算机以及每个计算机组的更新批准状态和部署状态。

•新列允许根据MSRC编号、MSRC严重性、KB文章和安装状态对更新进行分类

•计算机状态:管理员可评估客户端计算机上的更新状态。例如,他们可要求提供已安装的更新或特定计算机所需更新的摘要。

•对列进行选择、排序和重新排序

•计算机符合状态:管理员可查看或打印特定计算机的符合信息摘要,包括基本软件和硬件信息、WSUS活动以及更新状态等。

•快捷菜单允许右键单击并选择一个操作

•更新符合状态:管理员可查看或打印特定更新的符合信息摘要,包括各个计算机组的更新属性和累积状态。

•与更新视图集成的报告

•同步或下载)状态:管理员可监视给定时期内的同步活动和状态,并可查看已下载的最新更新。

•自定义视图

•WSUS配置设置:管理员可查看已为其WSUS实施指定的选项的摘要。

远程管理WSUS

故障排除

可以将WSUS3.0管理控制台安装在网络中的其他计算机上,以便远程管理WSUS3.0服务器。

利用WSUSManagementPack,管理员可排除与WSUS基础结构包括网络连接、权限、SQL连接以及与WSUS相关的服务)有关的一些故障。WSUSManagementPack将此信息显示在MicrosoftOperationsManager的状态视图中。管理员可获取有关该问题的成因及相关解决方案的详细信息。

使用向导配置安装后的任务

扩展性为使管理员和开发人员能够使用基于.NET的API,我们提供了一个软件开发工具包(SDK)。管理员可创建自定义代码来管理AutomaticUpdates和WSUS服务器。利用新的API,管理员可从管理的设备收集硬件和软件清单、通过“添加或删除程序”对话框创建安装批准以及将WSUS管理与其他管理工具如SystemCenterEssentials)的WSUS管理相集成。开发人员可使用WSUS基础结构创建一些管理应用程序以与WSUS相集成或发布第三方更新。

配置向导指导新用户进行安装后的服务器配置过程。

可配置的通信选项管理员可灵活配置计算机,以便直接从MicrosoftUpdate或从在内部分发更新的IntranetWSUS服务器获取更新,也可从这二者的组合中获取更新,具体情况取决于网络配置。管理员可根据实际情况对WSUS服务器进行配置,以使用自定义端口来连接Intranet或Internet。WSUS服务器使用的默认端口为端口80。)也可以通过SSL进行连接,在这种情况下默认端口为443。如果WSUS服务器通过代理服务器连接到Internet,管理员可配置代理服务器设置。

生成准确性更高的多个报告

通过命令行实现导入和导出以及数据迁移管理员可在WSUS服务器之间导入和导出更新元数据以及内容。在具有有限的或受限制的Internet连接的网络中,这是一项必要任务。管理员可将其原来的管理设置、内容批准以及具体内容从WSUS2.0服务器无缝地迁移到WSUS3.0服务器。在合并WSUS服务器时,迁移也非常有用。例如,管理员可将特定目标组的批准从一个WSUS服务器迁移到另一个WSUS服务器。

现在可以直接从更新视图生成报告。可以报告更新的子集,如计算机需要但还未批准安装的安全更新。可以在副本层次结构管理的所有计算机上创建报告,还可以将这些报告以Excel或PDF格式保存。

备份和恢复WSUS支持更新内容文件和SQLServer元数据的ntbackup。ClientseitigeFeatures以下功能组成了WSUS解决方案的客户端组件。

更容易地维护服务器运行状况

功能强大且可扩展的AutomaticUpdates服务管理在ActiveDirectory服务环境中,管理员可使用“组策略”来配置AutomaticUpdates的行为。在其他情况下,管理员可使用登录脚本或类似机制,利用注册表项远程配置AutomaticUpdates。配置客户端计算机的管理员功能包括:

WSUS3.0现在将详细的服务器运行状况信息记录在事件日志中。现在可用一个MicrosoftOperationsManager(MOM)包来监视WSUS服务器生成的事件。

•通过“组策略”为用户配置通知和安排选项。

获得有关新更新的电子邮件消息

•配置客户端计算机为获取新更新而检查更新源MicrosoftUpdate或其他WSUS服务器)的频率。

服务器对新更新和更新符合性摘要的电子邮件通知具有内置支持。

•对AutomaticUpdates进行配置,使其在发现有不需要重启计算机或中断服务的更新时立即进行安装,而不必等到计划的自动安装时间再安装。

可轻松删除旧信息

•通过基于组件对象模型(COM)的API来管理客户端计算机。有SDK供使用。

可使用清除向导从服务器中删除旧的计算机、旧的更新和旧的更新文件。

客户端计算机的自我更新WSUS客户端计算机可从WSUS服务器检测是否存在较新版本的AutomaticUpdates程序,然后自动升级其AutomaticUpdates服务。

从WSUS2.0无缝升级到WSUS3.0

自动检测适用的更新AutomaticUpdates可下载并安装真正适用于计算机的特定更新。AutomaticUpdates与WSUS服务器协同工作,以判断应将哪些更新应用到特定的客户端计算机。

WSUS3.0可以安装在已安装WSUS2.0的服务器上。安装过程将执行可保留所有先前设置和批准的原位升级。升级服务器层次结构时应从中心服务器开始,然后向下延续至各个层次结构。WSUS2.0服务器可从WSUS3.0服务器同步,但是WSUS3.0服务器不能从WSUS2.0服务器同步。从WSUS2.0升级到WSUS3.0是一个单向过程,返回到WSUS2.0要求首先删除WSUS3.0,然后安装WSUS2.0。

效率揭密AutomaticUpdates服务在后台运行,因此对员工效率和网络功能产生的影响微乎其微。AutomaticUpdates将需要重新启动计算机的所有更新合并为仅重启一次。AutomaticUpdates使受管环境下的用户不必与Microsoft软件许可条款进行交互。管理员已在WSUS服务器上代表客户端计算机接受了许可条款。BITS2.0采用差值压缩来加快下载这些下载对用户而言是不可见的)。例如,在AutomaticUpdates将某个更新下载到客户端计算机后,它会继续监视上游WSUS服务器或MicrosoftUpdate,然后仅将更新文件中更改的文件下载到客户端计算机。利用此技术还可通过AutomaticUpdates有效分发ServicePack。

更快获得更新

MicrosoftUpdate 分发Microsoft产品更新的Microsoft网站。
WindowsServerUpdateServices服务器 此组件安装在位于…

使用WSUS3.0,可以将服务器配置为最快每隔一小时自动同步更新一次而WSUS2.0则是每天一次)。此改进使新的更新可在整个公司内更快地复制。

设置更多自动审批

WSUS3.0自动审批规则允许指定不同的产品和更新分类,如自动审批MicrosoftWord的定义更新。此外,WSUS3.0还支持创建多个自动审批规则,而不是单个规则。自动审批规则现在将应用于WSUS服务器上当前所有的更新。

限制对只读报告的访问权限

“WSUSReporters”安全组的成员将只具有服务器的只读访问权限。成员可生成报告,但是不能批准更新或配置服务器。

从单个控制台管理多个服务器

WSUS3.0管理控制台允许检查和管理层次结构中的所有WSUS服务器。

为所有计算机创建报告

现在可以为副本层次结构管理的所有计算机创建更新报告。

在群集中配置服务器

现在可在群集中配置WSUS3.0服务器来实现容错。此类服务器必须全部指向同一SQL服务器数据库实例,该实例也可使用群集技术。

切换副本模式

现在可在副本模式和自主模式之间移动子服务器,而无需重新安装WSUS3.0。

将客户端分配给多个目标组

在WSUS3.0中,一台计算机可属于多个目标组例如,“桌面”组和“测试”组)。此外,还可以创建层次结构组例如,具有“关键服务器”和“非关键服务器”子组的“服务器”目标组)。可以指定批准父目标组,这些批准将自动被子组中的计算机继承。

采用更快的性能

WSUS3.0可获得比WSUS2.0高大约50%的可伸缩性。此外,WSUS3.0附带本机x64支持以进一步改善64位硬件的性能和可伸缩性。

在分支机构中指定语言

为了节省磁盘空间和网络负载,现在可将分支机构配置为下载较少语种与中心服务器相比)的更新。例如,可以配置中心服务器下载所有语言的更新,而分支机构只下载英语更新。

配置单独的内容和元数据通道

以前分支机构使用窄带连接中心服务器,但使用宽带连接Internet,现在可配置为从中心服务器获取元数据,而从MicrosoftUpdate获取更新内容。

上移到.NETFramework2.0支持

新的API以.NETFramework2.0为基础。

用于高级管理工具的API优于WSUS控制台

已创建的新API供高级管理工具如SystemCenterEssentials)使用,而WSUS管理控制台中没有提供这些功能。

将可选安装批准添加到管理员选项

新的API支持为“可选安装”创建批准,它使WindowsUpdateAgent在“添加或删除程序”对话框中显示可供使用的安装更新,而不是通过“自动更新”来执行更新。

收集硬件和软件清单

新的API支持从管理的设备收集硬件和软件清单。

发表评论

电子邮件地址不会被公开。 必填项已用*标注