WSUS服务器的工作原理

WSUS提供由以下内容组成的管理基础结构:

MicrosoftUpdate

分发Microsoft产品更新的Microsoft网站。

WindowsServerUpdateServices服务器

此组件安装在位于公司防火墙内部的WindowsServer2003SP1或nextref_longhorn服务器上。WSUS服务器允许管理员通过WSUS3.0管理控制台(可安装在域中的任意Windows计算机上)管理和分发更新。此外,WSUS服务器还可作为组织内其他WSUS服务器的更新源。网络中必须至少要有一个WSUS服务器连接到MicrosoftUpdate才能获取可用的更新信息。管理员可根据网络安全性和配置来决定是否允许其他服务器直接连接到MicrosoftUpdate。

自动更新

此组件内置于nextref_longhorn、nextref_vista、WindowsServer2003、WindowsXP以及Windows2000SP4操作系统中。利用自动更新,服务器和客户端计算机可从MicrosoftUpdate或WSUS服务器接收更新。

WSUS后续步骤转到WindowsServerUpdateServices网站(http://go.microsoft.com/fwlink/?LinkId=71198),在这里您可以:?下载WSUS。?下载本WSUS文档:?MicrosoftWindowsServerUpdateServices入门分步指南(http://go.microsoft.com/fwlink/?LinkID=71190)?WindowsServerUpdateServices3.0自述文件(http://go.microsoft.com/fwlink/?LinkId=71220)WSUS3.0部署方案WSUS非常灵活,可满足各种规模的组织(从使用拨号连接的小型企业到拥有成千上万分布在各地的用户的大型企业)的更新管理需求。根据组织的规模、位置及其连接基础结构,管理员可确定扩大其WSUS服务器规模的最有效的方法—此决策可能涉及一个或多个WSUS服务器。在本部分中,您可以进一步了解在小型、中型以及受限网络中部署WSUS组件的常见方案。

单个WSUS服务器(小型或简单网络)

在单个WSUS服务器方案中,管理员可在公司防火墙内部建立一个运行WSUS的服务器,它直接将内容与MicrosoftUpdate同步,然后再将更新分发到客户端计算机。

多个WSUS服务器(中型或更为复杂的网络)

以下是在中型或更为复杂的网络中部署WSUS组件的常见方案。

多个独立的WSUS服务器

管理员可部署多个经过配置的服务器,使服务器均接受独立管理,且均从MicrosoftUpdate同步内容,如下图所示。

附件:您所在的用户组无法下载或查看附件

此方案中的部署方法适用于将不同局域网(LAN)或广域网(WAN)段作为单独实体(例如,一个分支机构)进行管理的情况。另外,对于将一台运行WSUS的服务器配置为仅将更新部署到运行特定操作系统(如Windows2000)的客户端计算机,而将另一台服务器配置为仅将更新部署到运行其他操作系统(如WindowsXP)的客户端计算机的情况,此方案仍然适用。

多个内部同步的WSUS服务器

管理员可部署多台运行WSUS的服务器,这些服务器会同步其组织的Intranet内的所有内容。在下图中,只有一台服务器对Internet是公开的。在这种配置中,它是唯一一台从MicrosoftUpdate下载更新的服务器。此服务器被设置为上游服务器—即与下游服务器同步的源。可根据实际情况将服务器置于在地理上分散的网络中的各个位置,以向所有客户端计算机提供最佳的连接。

断开连接的WSUS服务器(有限的或受限制的Internet连接)

如果公司策略或其他条件限制了计算机对Internet的访问,则管理员可建立一个运行WSUS的内部服务器,如下图所示。在本例中,创建了一个与Internet相连但与Intranet隔离的服务器。在此服务器上下载、测试和批准更新后,管理员随后可将更新元数据和内容导出到适当的媒体中,然后再从该媒体中将更新元数据和内容导入到Intranet内运行WSUS的服务器中。

WindowsServerUpdateServices3.0的功能服务器端功能

WSUS解决方案的服务器端组件包括以下功能。更多更新MicrosoftUpdate发布了以下产品的更新:

?Windows 2000

?Windows XP(32位、IA-64和x64版本)

?Windows Vista?Windows Server 2003

?WindowsSmallBusinessServer2003

?ExchangeServer 2000

?Exchange Server 2003

?Exchange Server 2007

?SQL Server

?SQL Server 2005

?Office XP

?Office 2003

?Microsoft ISA Server 2004

?Microsoft Data Protection Manager

?MicrosoftForeFront

?Windows Live

?Windows Defender

至少要有一个上游WSUS服务器连接到MicrosoftUpdate才能获取可用更新和更新信息,其他下游服务器则可从该上游服务器获取更新。

可设置为自动下载的特定更新

当WSUS服务器从MicrosoftUpdate或上游WSUS服务器下载可用更新时,会同时进行同步。管理员可根据以下条件选择在同步期间要下载到WSUS服务器的更新:

?产品或产品系列(例如MicrosoftWindowsServer2003或MicrosoftOffice)?更新分类(例如关键更新和驱动程序)

?语言(例如,仅英语和日语)此外,管理员还可以指定同步时间表以自动进行同步。

由管理员批准决定的针对更新的自动操作

管理员必须批准要对更新执行的所有自动操作。批准操作包括:

?批准

?删除(仅当更新支持卸载时才可使用此操作)

?拒绝此外,管理员还可确立最终期限,即确立安装或删除(卸载)更新的特定日期和时间。管理员可通过将最终期限设置为过去的某个时间来强制立即下载。

针对最新更新和状态报告发送的电子邮件通知

可对WSUS3.0进行配置,使其在有新的更新和状态报告时发送电子邮件通知。更新通知一到达WSUS服务器,指定的收件人即可收到。状态报告可在指定时间或以指定间隔发送出去。

能够在安装更新之前确定其适用性

现在,WSUS3.0可自动扫描更新以确定应该在哪些计算机中安装它们。在实际规划和部署要安装的更新之前,管理员可利用状态报告来分析更新将产生的影响,状态报告可直接从单个更新、更新子集或所有更新的更新视图生成。

#P#

导向目标

管理员可利用导向目标将更新部署到特定的计算机和计算机组。导向目标可以直接在WSUS服务器上配置或使用ActiveDirectory网络环境中的“组策略”在WSUS服务器上配置,还可以通过编辑注册表设置在客户端计算机上配置。以下为管理员可以执行的导向目标任务示例:

?在将新的更新分发到生产环境之前,先将其部署到测试计算机组并进行评估。

?保护运行特定应用程序的计算机。例如,如果某个关键更新与仅在某些特定计算机中使用的应用程序不兼容,管理员可确保避免将更新分发到这些计算机。

?指定必须完成更新安装的最终期限,然后为不同的计算机或计算机组设置不同的最终期限。

?将同一计算机作为多个组的成员。例如,某台计算机可以是“测试”组的成员,同时也可以是“特殊应用程序”组的成员。

数据库选项

WSUS数据库存储着更新信息、客户端计算机上有关更新操作的事件信息以及WSUS服务器设置。对于WSUS3.0数据库,管理员可选择以下选项:

?firstref_wyukon数据库(WSUS可在WindowsServer2003安装期间安装该数据库)。

?现有的MicrosoftSQLServer?2005ServicePack1数据库。

副本同步和报告

利用WSUS,管理员可创建一个由WSUS服务器层次结构组成的更新管理基础结构。WSUS服务器可进行扩容以处理任意数量的客户端。中心WSUS服务器的管理员可通过副本同步来创建更新、目标组以及批准,创建的这些内容可自动传播到被指定为副本服务器的WSUS服务器。这意味着分支机构客户端无需本地WSUS管理员即可从本地服务器获取集中批准的更新。此外,通过低带宽链接到中心服务器的分支机构所造成的问题会减少,因为分支WSUS服务器仅连接到中心WSUS服务器。系统会为副本服务器的所有客户端生成更新状态报告。

从单个控制台管理多个WSUS服务器

现在,WSUS3.0允许管理员从单个WSUS控制台来管理WSUS服务器层次结构。Microsoft管理控制台的WSUS管理单元可安装到网络中的任意计算机中。

报告

利用WSUS报告,管理员可监视以下活动(所有报告均为可打印格式,可以导出为Excel电子表格或Adobe的.pdf文件):

?更新状态:管理员可通过“更新状态”报告来实时监视客户端计算机的更新符合性程度,这些报告可根据客户端计算机所发送的各种事件来提供每个更新、每个计算机以及每个计算机组的更新批准状态和部署状态。

?计算机状态:管理员可评估客户端计算机上的更新状态。例如,他们可要求提供已安装的更新或特定计算机所需更新的摘要。

?计算机符合状态:管理员可查看或打印特定计算机的符合信息摘要,包括基本软件和硬件信息、WSUS活动以及更新状态等。

?更新符合状态:管理员可查看或打印特定更新的符合信息摘要,包括各个计算机组的更新属性和累积状态。

?同步(或下载)状态:管理员可监视给定时期内的同步活动和状态,并可查看已下载的最新更新。

?WSUS配置设置:管理员可查看已为其WSUS实施指定的选项的摘要。

故障排除

利用WSUSManagementPack,管理员可排除与WSUS基础结构(包括网络连接、权限、SQL连接以及与WSUS相关的服务)有关的一些故障。WSUSManagementPack将此信息显示在MicrosoftOperationsManager的状态视图中。管理员可获取有关该问题的成因及相关解决方案的详细信息。

扩展性为使管理员和开发人员能够使用基于.NET的API,我们提供了一个软件开发工具包(SDK)。管理员可创建自定义代码来管理AutomaticUpdates和WSUS服务器。利用新的API,管理员可从管理的设备收集硬件和软件清单、通过“添加或删除程序”对话框创建安装批准以及将WSUS管理与其他管理工具(如SystemCenterEssentials)的WSUS管理相集成。开发人员可使用WSUS基础结构创建一些管理应用程序以与WSUS相集成或发布第三方更新。

可配置的通信选项管理员可灵活配置计算机,以便直接从MicrosoftUpdate或从在内部分发更新的IntranetWSUS服务器获取更新,也可从这二者的组合中获取更新,具体情况取决于网络配置。管理员可根据实际情况对WSUS服务器进行配置,以使用自定义端口来连接Intranet或Internet。(WSUS服务器使用的默认端口为端口80。)也可以通过SSL进行连接,在这种情况下默认端口为443。如果WSUS服务器通过代理服务器连接到Internet,管理员可配置代理服务器设置。

通过命令行实现导入和导出以及数据迁移管理员可在WSUS服务器之间导入和导出更新元数据以及内容。在具有有限的或受限制的Internet连接的网络中,这是一项必要任务。管理员可将其原来的管理设置、内容批准以及具体内容从WSUS2.0服务器无缝地迁移到WSUS3.0服务器。在合并WSUS服务器时,迁移也非常有用。例如,管理员可将特定目标组的批准从一个WSUS服务器迁移到另一个WSUS服务器。

备份和恢复WSUS支持更新内容文件和SQLServer元数据的ntbackup。ClientseitigeFeatures以下功能组成了WSUS解决方案的客户端组件。

功能强大且可扩展的AutomaticUpdates服务管理在ActiveDirectory服务环境中,管理员可使用“组策略”来配置AutomaticUpdates的行为。在其他情况下,管理员可使用登录脚本或类似机制,利用注册表项远程配置AutomaticUpdates。配置客户端计算机的管理员功能包括:

?通过“组策略”为用户配置通知和安排选项。

?配置客户端计算机为获取新更新而检查更新源(MicrosoftUpdate或其他WSUS服务器)的频率。

?对AutomaticUpdates进行配置,使其在发现有不需要重启计算机或中断服务的更新时立即进行安装,而不必等到计划的自动安装时间再安装。

?通过基于组件对象模型(COM)的API来管理客户端计算机。有SDK供使用。

客户端计算机的自我更新WSUS客户端计算机可从WSUS服务器检测是否存在较新版本的AutomaticUpdates程序,然后自动升级其AutomaticUpdates服务。

自动检测适用的更新AutomaticUpdates可下载并安装真正适用于计算机的特定更新。AutomaticUpdates与WSUS服务器协同工作,以判断应将哪些更新应用到特定的客户端计算机。

效率揭密AutomaticUpdates服务在后台运行,因此对员工效率和网络功能产生的影响微乎其微。AutomaticUpdates将需要重新启动计算机的所有更新合并为仅重启一次。AutomaticUpdates使受管环境下的用户不必与Microsoft软件许可条款进行交互。管理员已在WSUS服务器上代表客户端计算机接受了许可条款。BITS2.0采用差值压缩来加快下载(这些下载对用户而言是不可见的)。例如,在AutomaticUpdates将某个更新下载到客户端计算机后,它会继续监视上游WSUS服务器或MicrosoftUpdate,然后仅将更新文件中更改的文件下载到客户端计算机。利用此技术还可通过AutomaticUpdates有效分发ServicePack。

你可能感兴趣的:(服务器,职场,原理,休闲,WSUS)