本文共 4873 字,大约阅读时间需要 16 分钟。
修补程序管理解决方案 - 选择标准-->采用最符合组织需要的解决方案-->见下图: SUS是什么? Software Update Services(SUS)是一个免费的服务,它可以让管理员在Windows工作站和服务器上快速的,可靠的部署重大更新和安全更新,它在防火墙后面提供了一个内部的Windows Update站点用于客户端安装更新-->见下图: SUS的限制: 需要下载完所有补丁文件才可以下载Catalog,不然无法批准安装 没有提供方法去确定计算机是不是真正的被更新过-->Windowsupdate.log MBSA 不能为微软的应用程序提供更新服务-->Office 97, 2000, XP WSUS是什么? Windows Software Update Services(WSUS)是微软新的系统补丁发放服务器,它是Software Update Services(SUS 1.0)的升级版本-->见下图: Update Installation and Scheduling Flexibility Update Installation Status Reporting Centralized Deployment Planning Centralized Compliance Checking WUS数据库: WMSDE=MSDE(windows) WUS数据库: wmsde只能装在Windows Server 2003上,并且不可以单独安装,msde可以装在windows 2000上,也可以安装在Windows Server 2003上,但是如果需要更好的控制数据,可以使用sql server,但是这样就需要购买许可证,除非是per cpu msde(sql)有2G的限制,连接有五个的限制,而msde(sql)有2G的限制,连接有五个的限制,而msde(windows)在数据库大小和支持连接的数目上没有限制 wmsde和msde都可以升级到sql server stand或者ent WUS只支持windows身份验证,而不管后台是什么数据库 更新存储: 更新分为两部分: 一是metadata,二是安装更新所需要的文件 客户端下载更新的两种方法: 客户端从WUS服务器下载被批准的更新-->节约了internet带宽,但是需要较大的磁盘空间,最小6G,建议30G 客户端直接从微软的更新站点下载批准的更新-->服务器在同步时下载更新的metadata,在服务器批准更新以后,客户端从微软的更新服务器下载安装更新需要的文件,这样做得好处是分布式的客户端不需要跨广域网连接找WUS服务器下载更新,但是客户端下载什么更新却依然由WUS服务器决定-->见下图: 带宽优化: 批准检测(approved for detection)和批准安装(approved for install) 延时下载更新-->好处: 因为只有批准安装的更新才会被下载到WUS服务器,这样节约了带宽和磁盘空间-->见下图: 更新过滤-->WUS让我们在同步时可以选择自己需要的更新,可以根据语言,产品,更新的类型来限制同步 注: 如果发现office的更新在客户端无法安装,那首先需要在客户端安装Windows Installer 3.0 Express installation files-->客户端在检测可用更新时,把自己文件的版本告诉服务器,然后服务器去自己的express installation file里面找到对应的版本,并且和最新的版本比较,比较后把差异内容delivery给客户端,客户端按照一定规则将差异合并到原有版本文件(注: 因此也叫差异更新,delta delivery)-->见下图: 注: 下载的Express installation files要大于实际需要分发的更新文件 WUS使用BITS来做所有的文件传输工作,包括服务器同步和客户端下载 BITS(后台智能传输服务)-->BITS传输文件使用剰余带宽。例如,如果你目前使用60%的带宽,BITS将仅使用剰余的40%。当网络断开或计算机需要被重启时,BITS还可以维持文件传输: 当网络重新连接成功后,BITS会从断开的地方继续开始传输。 BITS 1.0被包含在Windows XP中,且仅支持下载。BITS 1.5被包含在Windows Server 2003中,且支持下载和上传。1.5版本在Windows Server 2003发行时可获得。上传要求安装了Internet信息服务(IIS)服务器及BITS服务器扩展。 使用报告功能: WUS的report非常强大,我们除了可以查看同步结果,设置汇总,也可以通过查看report来确认客户端需要哪些更新,然后批准安装。同时也可以监视客户端更新的安装情况,例如安装失败还是成功了,并且它允许使用过滤,这样让我们可以按照自定义的条件查看报告并打印 部署前考虑: 硬件考虑-->500客户端以下-->见下列表: Requirement Minimum Recommended CPU 300 MHz 1 GHz or faster Database WMSDE/MSDE WMSDE/MSDE Requirement Minimum Recommended CPU 1 GHz or faster 2 GHz or faster Database SQL Server 2000 SP3a SQL Server 2000 SP3a 磁盘考虑-->存放更新文件的分区最少6GB;建议30GB 如果在安装WUS时指定安装WMSDE,至少需要2GB空间 软件要求: 任何操作系统安装WUS前必须安装的软件-->Microsoft Internet Information Services(IIS)5.0 or later Background Intelligent Transfer Service(BITS) 2.0 对Windows Server 2003而言-->Microsoft.NET Framework 1.1 Service Pack 1 for Windows Server 2003 对Windows Server 2000而言-->Microsoft Internet Explorer 6.0 Service Pack 1 Microsoft.NET Framework Version 1.1 Redistributable Package Microsoft.NET Framework 1.1 Service Pack 1.1 Microsoft SQL Server 2000 Desktop Engine(MSDE 2000) ASP.NET version 1.1和WMSDE是安装时WUS会自动配置的 Windows Server 2003 如果不希望使用Sql Server,建议WMSDE Windows Server 2000 如果不希望使用Sql Server,建议MSDE IIS考虑: 在Windows 2000 Server上安装IIS,建议安装IIS Lockdown tools来加固IIS的安全性,Windows Server 2003内置 客户端自我更新-->WUS会使用IIS去更新大部分的计算机使用和WUS兼容的automatic update,为了完成自我更新,WUS setup在web站点下创建一个虚拟目录,名为"selfupdate" 如果已经有一个Web站点,您可以通过WUS安装向导创建一个自定义的web站点,端口8530,不可配置,但是此时selfupdate的特征是关闭的,这是需要创建一个在80端口的虚拟目录来启用自我更新 如果Windows XP没有安装过SP,则该版本的automatic update是不可以自我更新的,因此需要去下载SUS Client 访问自定义端口的WUS-->http://WUS server name:8530/WusAdmin/ 更新自动更新客户端: 最新版本的automatic update在Windows XP(SP2)已安装,如果不是最新版本,可以通过selfupdate更新 Selfupdate client在下列系统可用: Windows 2000 with Service Pack 3 or later Windows XP with Service Pack 1 or later 使用组策略配置自动更新: 最新的管理模板(%windir%\inf\wuau.adm)可以在windows xp(sp2)中获得,或从已经selfupdate为最新的客户端获得,然后复制到域控制器 设置组策略: 配置自动更新(五种方法) 指定WUS服务器位置 启用客户端分类 对自动更新调度安装重新调度 对调度的自动安装选项设置不自动重启时间 自动更新检测间隔 允许自动更新立即安装 对调度安装设置延时重启时间 对调度安装自动重启设置重新提示时间 允许非管理员接受更新通知 删除对Windows Update链接访问 在没有活动目录的环境下配置自动更新: 编辑本地组策略对象(wuau.adm) 直接编辑注册表配置(请看部署指南中的"Configuring Automatic Updates in a Non Active Directory Environment"部分) 使用命令行工具操纵自动更新行为: 立即检测-->wuauclt.exe /detectnow 使用客户端cookie过期-->WUS使用cookie在客户端存储各种类型的信息,其中包含客户计算机属于的组成员信息(client side),默认在WUS创建它以后的一个小时过期,使用以下命令可以立即更新组成员 wuauclt.exe /resetauthorization /detectnow 使用远程的SQL Server 实现前后端: 远程的SQL Server限制-->前端或后端的服务器都不可以为Windows 2000 Server (for wus beta) 前端或后端的服务器都不可以为域控制器 后端的数据库不可以为WMSDE或者MSDE 实现步骤: 在前端服务器安装WUS-->WUSSetup.exe /F 在后端服务器安装WUS-->WUSSetup.exe /B 本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/161331 转载地址:http://bwato.baihongyu.com/