首先,推荐大家去阅读《Microsoft Windows Server Update Services 入门循序渐进指南》
(http://www.microsoft.com/downloads/details.aspx?FamilyID=3BA03939-A5A9-407B-A4B0-1290BA5182F8&displaylang=zh-cn)
和《Windows Server Update Services 自述文件》
(http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/library/wsus/WSUSReleaseNotes.mspx)。
下载地址1
下载地址2
WSUS应用简介
令网管员们翘首以待的、SUS的换代产品Microsoft Windows Server Update Service(WSUS),终于在2005年6月正式推出了。虽然微软在《WSUS白皮书》中罗列了众多新功能,但从网管员实际应用的角度看,与SUS相比较,笔者认为WSUS的优势主要体现在个性化和透明度两方面。
WSUS的新特性
个性化
所谓个性化,又分为推送内容和推送对象两个层面。
WSUS在推送内容中增加了Office、SQL、Exchange产品的补丁,又将所有补丁细分为Feature Pack、Service Pack、安全更新程序、更新程序、更新程序集、工具、关键更新程序、驱动程序共8个门类,方便了网管员在实际操作中的个性化选择。
WSUS在其控制台中增加了“组”的概念。我们可以将客户端按操作系统分组,进行针对性推送;可以将客户端按行政归属分组,加强组织管理;甚至可以创建一个“高危组”,将对安全补丁有迫切需求的客户端纳入,对它们给予特别关注。
透明度
无法便捷地检验补丁推送的实效性一直是SUS的重大缺陷,WSUS的报告功能弥补了这一缺陷。打开WSUS控制台,曾经使用过SMS的用户一定会感到很亲切,即使未接触过SMS的用户,也可通过WSUS对SMS略知一二。由于有SQL数据库的后台支持,即使客户端不在线,网管员也可通过WSUS控制台查阅所有客户端最近一次连接服务器时的状态报告。
打开WSUS控制台,点击“计算机”,屏幕上栏显示所有客户端最近一次报告的时间,屏幕下栏分别显示当前客户端已安装和待安装的补丁细目,以及该客户端的软硬件摘要。
WSUS的部署与配置
至于WSUS的部署与配置,笔者将从“全新安装”与“SUS迁移”两方面谈谈个人体验。
WSUS全新安装
WSUS的硬件要求与SUS类似,考虑到要运行SQL,内存最好大一些。软件方面举Windows 2000 Server 为例,需要打全所有补丁,至少要包含以下内容:SP4、IE 6.0 SP1、Background Intelligent Transfer Service (BITS) 2.0、Microsoft.NET Framework Service Pack 1.1以及SQL Server 2000 SP 3a。
WSUS的安装相对容易,控制台又提供纯中文界面,无需额外赘述。
笔者先前曾写过关于SUS的《搭建局域网内部SUS服务》一文,并因此文而结交了众多SUS用户朋友。在共同切磋中,笔者感觉易出现问题的部分还是在客户端,这类问题同样存在于WSUS中。
下面,笔者尽可能详细地介绍一下WSUS客户端的部署与配置。
Windows 2000 Professional SP3、Windows XP Professional SP1本身以及之后的版本已包含了SUS客户端,通过WSUS服务器可直接升级为WSUS客户端。
低于上述版本的操作系统,需事先安装SUS客户端。方法有二:一是打更高的SP补丁;二是去微软http://go.microsoft.com/fwlink/?LinkId=6930网站下载SUS客户端安装程序WUAU22CHS.msi,实施安装。
WSUS客户端的配置方法分为“域用户”和“非域用户”两种。
◆ 域用户:
在域控制器(DC)上点击“开始→程序→管理工具→Active Directory用户与计算机”,右击所在域名,选择“属性→组策略”,点击“添加”,选择“WSUS”组策略模板,点击“确定”。接下来选择刚刚添加的“WSUS”组策略进行编辑,展开“计算机配置→管理模板→Windows组件→Windows Update”,双击右栏中的“配置自动更新”。
WSUS组策略模板共有8个配置页面,对于新手来说只需完成前两个页面的配置工作,后6个页面均可采用默认值。“说明”栏中有详尽的配置方法供参考。至此,域用户客户端的配置工作已完成。如果急于查看配置效果,可在客户端命令提示符下运行gpupdate /force命令,然后查看该机注册表的[HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsWindows Update]键值,验证一下配置是否成功。
◆ 非域用户:
非域用户客户端的配置方法很多,笔者这里仅简介一种相对简便的注册表修改法。
从WSUS服务器本机注册表中导出HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows WindowsUpdate字段,另存为WSUS.reg注册表文本,范例如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows WindowsUpdate]
“WUServer”=“http://192.168.0.1”
“WUStatusServer”=“http://192.168.0.1”
[HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows WindowsUpdateAU]
“AutoInstallMinorUpdates”=dword:00000001
“NoAutoUpdate”=dword:00000000
“AUOptions”=dword:00000004
“ScheduledInstallDay”=dword:00000000
“ScheduledInstallTime”=dword:0000000a
“UseWUServer”=dword:00000001
将WSUS.reg文件通过内部Web或E-mail方式发布,所有非域用户在本地直接运行该文件即可完成客户端的配置。
从SUS迁移到WSUS
微软称WSUS为SUS的换代(iteration)产品,而非升级(upgrade)产品,这就意味着WSUS与SUS可同时运行在同一台服务器上。
迁移安装与全新安装基本一致,只是当安装到Web Site Selection界面时,改选8530端口。WSUS服务器安装成功后,选择几个有代表性的客户端进行测试。方法是从活动目录(AD)中针对这几个客户端创建新的WSUS组策略,将它们与WSUS服务器的Web通讯端口也改为8530。待测试成功后,停掉SUS服务,将WSUS的Web端口改回80,这时,所有旧SUS客户端都将自动升级为新WSUS客户端,并从新服务器获得补丁更新,新服务器上至少应有Office的补丁在等着它们。
迁移工作的另一项重要任务是迁移多达数G乃至数十G的安全补丁,否则WSUS将重新下载它们。SUS的补丁存放在driver:SUScontentcabs目录下,WSUS的补丁存放在driver:WSUSWsusContent目录下,二者存放格式不同,迁移工作必须用WSUSutil.exe工具来完成。WSUSutil.exe工具在Program FilesUpdate ServicesTools目录下,迁移补丁的命令格式为WSUSutil.exe movecontent c:SUScontentcabs。补丁迁移完成后,还可运行WSUSutil reset命令,检验一下补丁内容与SQL库中相关信息的一致性,缺失部分WSUS将从微软服务器补足。
我部署时出现的一些问题和解决方法:
1 安装完成后SQL服务管理器显示“Not Connected”,不影响使用。
2 手动设置组策略可以找到WSUS服务器,而用域组策略却无法找到。这是因为域组策略的应用对象错了。应对存放计算机对象的OU应用组策略,而不是对用户OU应用。
3 客户机的计算机名是中文名的也可通过自动检测连接到服务器。
4 客户机发现服务器的速度有快有慢,有时客户机连接上后却无法发送状态报告, 一般在重新启动客户机后就可以了。
5 同步功能是和internet上的update服务器同步补丁列表,而不是在同步后就已经下载了补丁。
6 同步后得到的补丁列表,需要手工将其状态从“仅检测”改为“安装”才会开始下载。
7 下载前,如果是通过ISA等代理服务器上网的,一定要设置WSUS的代理服务器才会下载。如果不设置,WSUS不会下载,并且不会报错。
8 下载速度有快有慢,我想应该和ISP有关。
9 下载后补丁存放在\WSUS\WsusContent文件夹中。
10 “更新”功能中的搜索功能我认为不太好,只有通过关键字搜索,而没有按补丁类别搜索。
11 对客户计算机应分组管理。操作系统相同的为一组,或者硬件配置相同的为一组。
12 在生产环境中应用补丁前,应对补丁做测试。
13 在WSUS控制台看到的客户机需要补丁数量和客户机实际安装的补丁数量不相同是正常的。
14 启用SSL我觉得没什么必要,除非是在安全性要求很高的企业中。 (DVOL本文转自:中国DV传媒 http://www.dvol.cn)
