详解WSUS2.0＋SP1部署 一

                    

 

目前在企业内网中， 90% 以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品。微软产品素以界面友好，功能强大而著称，但同时也以补丁泛滥而令管理员头疼。微软为弥补产品安全，提供了各种各样的 Service Pack ， Hotfix….. 这些补丁解决的问题五花八门，种类繁多，管理员都有应接不暇的感觉，更别提普通用户了。但补丁又确实很重要，补丁对应着严重的安全隐患和性能缺陷，我们决不能掩耳盗铃，置之不理。那该怎么处理这个问题呢？其实微软从 Win98 之后就在操作系统中内置了 Windows Update 组件，这个组件可以使用 Http 或 Https 自动连接到微软的更新网站去下载所需要的补丁并自动安装。哦，那如此说来，补丁管理问题已经解决，只要大家打开系统中的 Windows Update 岂不就 OK 了？好，本次课程到此结束！回家洗洗睡了。且慢，且慢，且听我细细道来，那 Windows Update 对家庭用户来说甚好，没啥问题，但对企业用户来说就未必合适了。

其一，带宽问题。假设某企业 500 名用户，每人需下载 20M 补丁，全公司可就至少需要 10G 的带宽！这可不是个小数目。想像一下公司员工都去微软下载 Windows XP SP3 （ 349M ）所引发的网络大塞车的壮观场景吧！

其二，安全问题。并非所有的补丁都适合在当前环境使用。就以当年的 Windows XP Service Pack 2 为例，此补丁打上之后，与当时的很多应用程序都会产生冲突，解决办法是只能换用新版本的应用程序。如果管理员综合权衡安全和灵活因素，就未必会在生产环境第一时间部署这个补丁。而用户就不管那么多了，跟着感觉走，直接装上再说！后果可就想而知了，很有可能会因为这个补丁的安装影响工作效率。因此，综合来看，用 Windows Update 组件连接到微软的更新网站更适合家庭用户或小型公司，对中大型企业来看并不适合。

基于上述原因，微软为企业用户提供了 WSUS （ Windows Server Update Services ）作为解决方案。 WSUS 解决问题的思路很简单，管理员利用 WSUS 服务器从微软的更新网站下载补丁，然后再发布给内网用户。这样既能降低网络带宽流量，将补丁下载的数据量降为最低；又能让补丁置于管理员的控制之下，管理员经过审核后，同意发放补丁，用户才可以安装补丁。那有人要问了，万一用户使用原先操作系统中自带的 Windows Update 组件直接连到微软去更新是不是就可以绕过管理员的审核了呢？答案是否定的，因为一旦 WSUS 服务器启动了，系统中自带的 Windwos Update 就被禁用了！哇，好厉害的釜底抽薪哦！还有一个好消息， WSUS 不但有这些优点，还是一个完全免费的产品！听到这里，你是不是已经有些按捺不住内心的冲动，准备好好地体验一把了。 Come on ， Follow me ！让我们一起体验一下 WSUS 管理补丁的独特魅力。

WSUS 常用的部署拓扑有以下三种，现简介如下：

A   单服务器拓扑。如下图所示，单服务器拓扑是使用最广泛的 WSUS 拓扑。单服务器拓扑利用一个 WSUS 服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。

 

B  链式拓扑。如下图所示，链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司 / 分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。

 

 

C  分离式拓扑。如下图所示，分离式拓扑指的是在一个与互联网隔离的网络内， WSUS 服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的 WSUS 服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的 WSUS 服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队，公安等专用网络。

 

 

WSUS 目前常用的是 WSUS2.0  和 WSUS3.0 这两个版本。这两个版本的前身 SUS1.0 由于只能支持有限的操作系统补丁管理，已经基本被淘汰了。 WSUS2.0 和 3.0 都可以支持微软的全系列产品，我们在后续文章中将陆续介绍 WSUS2.0 和 3.0 的部署，管理以及排错技巧。今天我们从 WSUS2.0 ＋ SP1 开始介绍。

 

介绍一下今天的实验拓扑，如下图所示， Florence 是 wsustest.com 域的域控制器， Berlin 是 wsus 服务器， perth 是测试用的工作站。三台计算机都安装了 Win2003 中文企业版。

 

一   安装前的准备工作

要在 Berlin 上安装 WSUS2.0SP1 ，需满足下列条件。

1 ） IIS6.0

由于 WSUS 客户机和服务器之间通过 Http 或 Https 传递数据，因此 WSUS 服务器必然需要 IIS 的支持。我们在 Berlin 上依次点击控制面板－添加或删除程序－添加 / 删除 Windows 组件－应用程序服务器，在应用程序服务器中选择安装 Internet 信息服务（ IIS ），如下图所示

 

 

2 ） BITS20

BITS 可以支持后台传输，数据压缩，断点续传等高级功能。 WSUS2.0SP1 需要 BITS2.0 的支持，从 [url]http://www.microsoft.com/downloads/details.aspx?FamilyID=3fd31f05-d091-49b3-8a80-bf9b83261372&DisplayLang=zh-cn[/url] 下载 BITS2.0 ，然后启动安装程序，安装过程非常简单，如下图所示，安装完 BITS2.0 后重启 Berlin 即可。

 

注： Win2003SP1 不需要安装此补丁。

 

 

3 ） .Net Framework 1.1 SP1

WSUS2.0SP1 还需要 .Net Framework 1.1 SP1 的支持。从 [url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=AE7EDEF7-2CB7-4864-8623-A1038563DF23[/url] 下载 .Net Framework 1.1 SP1 for Win2003 ，启动安装程序，安装过程非常简单，如下图所示，在此不再赘述。

注： Win2003SP1 不需要安装此补丁。

 

 

4 ）磁盘空间

WSUS2.0SP1 要求系统分区至少应有 1G 的剩余空间， WSUS 的更新文件需要至少 6G 空间， WSUS 的元文件至少需要 2G 空间。解释一下，更新文件是我们安装补丁时所需要的二进制文件，元文件则负责提供更新文件的信息，例如这个补丁修补了哪些漏洞，适用于哪些版本，需要哪些安装条件等等。更新文件存储在目录中，元文件存储在数据库中。建议将 WSUS 数据安装在非系统分区，并且至少准备 8G 剩余空间，用虚拟机作实验的朋友尤其作注意这点！

 

5 ）数据库

WSUS 的后台数据库可以是 SQL2000 ， MSDE 或 WMSDE 。 WSUS 安装时自带了 WMSDE ， MSDE 是大家很熟悉的数据库桌面引擎， MSDE 和 WMSDE 的区别在于 MSDE 有最大不能超过 2G 的限制，而 WMSDE 没有。 MSDE 和 WMSDE 都没有提供管理工具，如果你需要管理工具，可以考虑安装 SQL2000+SP3 作为 WSUS 的后台数据库，也可以在 WMSDE 或 MSDE 的基础上加装一个 SQL2000 管理工具。建议如无特殊需求，使用 WSUS 自带的 WMSDE 数据库即可。

 

二   安装 WSUS2.0+SP1

作好安装前的准备工作后，我们就可以进行 WSUS2.0 的安装了。如下图所示，启动 WSUS2.0SP1 的安装程序后出现了安装向导。

 

 

接受软件许可协议，下一步。

 

设置存储 WSUS 更新文件的目录为 E:\WSUS ，更新文件至少需要 6G 磁盘空间。

 

 

WSUS 后台数据库选用自带的 WMSDE ，设置数据库的存储目录为 E:\WSUS 。

 

 

选择 WSUS 是利用 IIS 的默认网站发布补丁还是新建一个网站进行补丁发放。建议如果有可能，尽量选择 80 端口的默认网站。因为考虑到以后的应用，默认网站兼容性还是要好一些。

 

 

安装向导询问 WSUS 是否从镜像服务器继承设置，我们准备把 Berlin 作为一个独立的 WSUS 服务器进行管理，不从任何 WSUS 服务器继承设置。

 

 

安装向导收集数据完毕，点击“下一步”开始安装

 

 

经过一段时间的等待，安装终于完成。

 

 

三   配置 WSUS2.0

WSUS2.0 安装完成后，我们需要先对 WSUS 进行一些基本的设置，例如 WSUS 可以下载哪些微软产品的补丁？哪种语言的补丁等等。我们在浏览器中输入 [url]Http://berlin/wsusadmin[/url] 启动 WSUS 的管理界面，如下图所示，我们点击右上角的“选项”

 

 

如下图所示， 选择“同步选项”


如下图所示，我们可以设置补丁所涉及的微软产品以及补丁分类。在产品和分类中，点击红圈处的“更改”，准备对补丁所涉及的微软产品进行设置。

 

 

如下图所示，由于我们实验环境中所有的操作系统都是 Win2003 ，因此我们只选择了“ Windows server 2003 ， Datacenter Edition ”，这样 WSUS 就只会下载 Win2003 操作系统的相关补丁。值得注意的是，现在 WSUS20. 只能支持操作系统相关补丁，但 WSUS2.0 开始工作后，就会连接到微软更新网站对自身组件进行更新，更新完毕后 WSUS 就可以支持微软的全系列产品了。

 

 

接下来设置 WSUS 的补丁分类，如下图所示， WSUS 默认只下载“安全更新”和“关键更新程序”类的补丁，这两类补丁这是在工作中使用最多的。

 

 

设置完补丁的产品和分类后，我们来设置一下更新文件存储的位置以及更新的语言版本，如下图所示，点击红圈处的“高级”进行设置。

 

 

如下图所示，我们选择将更新文件存储到 WSUS 服务器。如果企业访问互联网的带宽很充足，也可以选择不在本地存储更新，只在 WSUS 保留元文件，用户需要更新文件时仍然去微软网站下载。我们在语言设置中选择仅下载简体中文版本的补丁。

 

 

四   同步 WSUS2.0

对 WSUS 进行简单的设置后，我们就可以让 WSUS 服务器去微软网站同步了，同步可以让 WSUS 服务器获知到底有多少补丁可以下载。 WSUS 默认设置是手工同步的方式，如下图所示，点击“立即同步”， WSUS 服务器就开始工作了。第一次同步微软更新网站的时间比较长，从几十分钟到几个小时不等，之后的同步采用增量方式，所需要的时间就会少很多。

 

 

如下图所示， WSUS 正在同步中

 

 

同步完成，点击 WSUS 管理页面中的更新。如下图所示，我们可以看到 WSUS 已经统计出了补丁的数量以及每个补丁的详细信息。

 

 

WSUS 同步成功后，如何将补丁分发给内网的客户机？如何对补丁进行审核管理？如何对客户机进行分组管理？这些问题我们都将在后续文章中一一介绍。