WIN355WSUS架构与部署

1、WIN355 WSUS架构与部署 王卫技术顾问/专业解决方案部微软（中国）有限公司WSUS架构与部署Agenda安全管理需求Windows Server Update Services（WSUS）功能概览WSUS演示WSUS部署场景及技术讨论Q&A6735Days After Product Release85Released11/29/2000Released09/28/2003200384Released05/31/2001Released11/17/2003Bulletins 614 Days After Product ReleaseBulletins 564 Days After P

2、roduct ReleaseAs of June 2, 2005安全是微软的重中之重漏洞更新的时间大大缩短151180331BlasterWelchia/ NachiNimda25SQL SlammerDays between patch and exploitWindowsUpdate选择一个最适合你的补丁管理解决方案IT Resources* & Administration Skill LevelBreadth of FunctionalityWSUSSMSLowHighHigh*People and budget你应该已经了解一些儿关于AD的知识一些组策略的知识一些关于补丁更新的知识不

3、需要了解SUS主要的组成 Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy and Active Directory 其它 BITS 2.0MSI 3.1Microsoft SQL ServerWMSDE/MSDEScripting via SDKAdministrator subscribes to update categoriesServer downloads updates from Microsoft UpdateClients register t

4、hemselves with the serverAdministrator puts clients in different target groupsAdministrator approves updatesAgents install administrator approved updatesMicrosoft UpdateWSUS ServerDesktop ClientsTarget Group 1Server ClientsTarget Group 2WSUS AdministratorWSUS 解决方案概览支持的产品和内容支持产品Windows, Office, SQL,

5、Exchange at RTM.Additional products added over time 操作系统客户端Win2k SP3 and later, WinXP RTM and later (incl. XP embedded and XP x64)Win2k3 RTM (32-bit only), Win2k3 SP1 (x64 and ia64)服务器Win2k SP4 and laterWin2k3 RTM and later (32-bit only)中文支持功能特点 (1)管理员定义分发组AD环境下组策略定义分发组对非AD环境可在WSUS中定义组成员关系管理员控制补丁分发的

6、批准“Detect only” 评估客户端的补丁更新需求批准更新设置Deadline 分组批准:不同的更新给不同的组功能特点 (2)灵活的客户端配置检测频率提醒与安装方式重启系统端口配置 客户透明BITS优化网络性能更新下载在后台完成，无需人工干预最小化数据下载定制更新 只下载你需要的补丁更新支持压缩技术选择下载批准的补丁更新功能特点 (3)报表一目了然的状态与警告信息浏览每台机器/每个更新的信息下拉式的选择风格 补丁信息同步报告Whats new, what changed服务器部署选择标准单机安装层次化部署Independent servers no replication of appr

7、ovalsReplica servers - approvals and target groups replicated隔离网络部署 WSUS优点 使用WEB管理界面简化管理工作同步引擎从Windows Update站点自动下载更新基于SQL的数据库信息存储可配置树形架构满足企业级管理需求软件更新报表使用BITS有效优化网络带宽客户端自动定时更新安全可靠服务器架构Server APIFile Store(NTFS)Metadata StoreMSDE/SQLClient/ServerWeb serviceServer/ServerWeb serviceReportingWeb service

8、Admin UIContentsyncCatalogsyncClientsWSUS Servers/MUAdmin workstation客户端架构WU Client APIWU Service or WSUSIE (WU Site)Update HandlersBITSContent StoreMetadata StoreWU ClientCustom ScriptsCustom ScriptsCustom ScriptsAutomatic UpdatesUpdate ManagerWSUS服务器部署场景部署考虑硬件要求客户端数量，客户端更新时间数据库与存储本地或远程的 SQL vs WMS

9、DE网络带宽单一站点, 多站点, 分支机构, 低带宽安全性可客户化的网络端口和SSL支持管理自动化脚本管理与WEB管理中小型业务标准安装在一台服务器WMSDE/MSDE数据库计算机分组 测试/生产组策略或手工调整 以周为周期同步的时间表在测试后批准更新如果需要更改通信端口单服务器部署企业级部署 高带宽/单一节点 部署单服务器WMSDE或远程的SQL Server计算机分组OU架构 基于角色Child server for non-AD members按天的同步周期分级部署复制服务器 SSL通信复制服务器部署企业级部署低带宽/分支机构父子或复制部署在主站点独占服务器安装在分支机构共享服务器 计算

10、机分组OU架构基于地点同步总部以天同步分支机构视网络带宽考虑以周同步分级部署 在层间采用SSL通信分支机构部署远程连接用户VPN用户或WEB用户 使用ISA 2004发布WSUS服务器可使用脚本配置客户端远程客户端可以从WSUS下载更新批准，但从本地INTERNET连接直接下载更新包隔离网络部署两个WSUS服务器:一个有Internet连接一个在私有网络在外部服务器同步所有相关的更新Export data and content to mediaImport data and content on disconnected networkWSUSUTIL.EXEDesktop Clients隔

11、离网络服务器Microsoft UpdateWSUS ServerWSUS Server客户端部署场景 考虑内容通过AD部署 在非AD环境部署 用户透明 用户控制基本部署步骤 指定一台服务器运行WSUS服务 安装预要求软件及WSUS(建议Win2003+SP1) 使用注册表或组策略配置客户端连接WSUS服务器 等待客户端更新和注册为客户端下载和批准更新浏览检查补丁安装报告决策点: SQL Server两个选择:Local installation of WMSDE (MSDE if 2K)Existing SQL implementation (local or remote)关键因素是利用已

12、有架构大多数情况利用WMSDE/MSDE不要直接修改SQL数据使用WSUSUtil备份数据决策点: 层次架构可以部署多层WSUS服务器通常2层最有效 考虑配置多层，如果:更新管理是分散管理方式具有分支机构/网络带宽小客户端数量多注意: 批准是自上而下的有效优化网络带宽决策点: 复制与自治自治 = 父/子Only shared element is bandwidthParent stores the sum of all child approvals复制 = 相同的配置Only group memberships are unique分散网络压力部分的分担管理员负担决策点:标准与快速安装 标

13、准安装下载和替代整个文件Harder on client and distribution network快速安装下载和替代更新文件Harder on WSUS server and WAN links决策点: 更新存放两个选择:本地文件系统Microsoft Update根据客户端的位置进行选择客户端在同一站点网络内 Local file system客户端离线 Microsoft Update缺省支持所有语言网络压力大WSUS 只报告选择下载语言的客户端更新最佳实践: 如果存在多语言，批准下载相应语言更新信息决策点:本地化支持 决策点:组策略基于WUAU.ADM增加的策略选择Target

14、GroupNon-administrator settingsPolling frequencyInstall on shutdown仅仅对安装有更新客户端的系统生效设计是关键Match computer groupsUse Site-based policy to assign location based WSUS servers集成AD部署保证有最新的.ADM文件基于Computer Group建立OU架构预建立的计算机组已有的OU架构整合的考虑在非AD环境部署更多的困难必须配置本地注册表参照部署手册查找相关键值Tip使用组策略控制台GPEdit.msc使用regedit导出配置为一个.

15、reg文件导入注册表配置故障诊断最常见的故障客户端错误配置常用方法1. WSUS Admin pagesStatus of server and updates2. WUAUCLT.EXE /DETECTNOWForce immediate sync with server3. Event ViewerLog update installations under event ID 17 and 194. Windowsupdate.log and TailHistorical activityTail /f to view live entries5. RSOP.MSC/GPEdit.MSCV

16、erify that the AU agent is configured correctly常用方法1. GPEdit/RSOP to verify WSUS server name2. Restart AU to force legacy client detection cycle 5 min post startup3. Tail Windowupdate.log4. Review Event logs for ID 195. Review WSUS Admin for computer nameSummaryWSUS是基于Windows服务器管理架构的补丁管理解决方案 对于已购买Windows Server/CAL的客户没有额外费用提供比SUS 1.0更有效和灵活的补丁管理实施更简单支持更多的产品支持报表能力Windows UpdateMSSecure.XMLOffice UpdateDownload CenterHFNetChkODTEUSTAutomaticUpdatesSMSSUSAutomatic UpdatesMBSA 1.2.1Microsoft Up