WIN355WSUS架構與部署

1、WIN355 WSUS架構與部署 王衛(wèi)技術顧問/專業(yè)解決方案部微軟（中國）有限公司WSUS架構與部署Agenda安全管理需求Windows Server Update Services（WSUS）功能概覽WSUS演示WSUS部署場景及技術討論Q&A6735Days After Product Release85Released11/29/2000Released09/28/2003200384Released05/31/2001Released11/17/2003Bulletins 614 Days After Product ReleaseBulletins 564 Days After P

2、roduct ReleaseAs of June 2, 2005安全是微軟的重中之重漏洞更新的時間大大縮短151180331BlasterWelchia/ NachiNimda25SQL SlammerDays between patch and exploitWindowsUpdate選擇一個最適合你的補丁管理解決方案IT Resources* & Administration Skill LevelBreadth of FunctionalityWSUSSMSLowHighHigh*People and budget你應該已經了解一些兒關于AD的知識一些組策略的知識一些關于補丁更新的知識不

3、需要了解SUS主要的組成 Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy and Active Directory 其它 BITS 2.0MSI 3.1Microsoft SQL ServerWMSDE/MSDEScripting via SDKAdministrator subscribes to update categoriesServer downloads updates from Microsoft UpdateClients register t

4、hemselves with the serverAdministrator puts clients in different target groupsAdministrator approves updatesAgents install administrator approved updatesMicrosoft UpdateWSUS ServerDesktop ClientsTarget Group 1Server ClientsTarget Group 2WSUS AdministratorWSUS 解決方案概覽支持的產品和內容支持產品Windows, Office, SQL,

5、Exchange at RTM.Additional products added over time 操作系統(tǒng)客戶端Win2k SP3 and later, WinXP RTM and later (incl. XP embedded and XP x64)Win2k3 RTM (32-bit only), Win2k3 SP1 (x64 and ia64)服務器Win2k SP4 and laterWin2k3 RTM and later (32-bit only)中文支持功能特點 (1)管理員定義分發(fā)組AD環(huán)境下組策略定義分發(fā)組對非AD環(huán)境可在WSUS中定義組成員關系管理員控制補丁分發(fā)的

6、批準“Detect only” 評估客戶端的補丁更新需求批準更新設置Deadline 分組批準:不同的更新給不同的組功能特點 (2)靈活的客戶端配置檢測頻率提醒與安裝方式重啟系統(tǒng)端口配置 客戶透明BITS優(yōu)化網絡性能更新下載在后臺完成，無需人工干預最小化數據下載定制更新 只下載你需要的補丁更新支持壓縮技術選擇下載批準的補丁更新功能特點 (3)報表一目了然的狀態(tài)與警告信息瀏覽每臺機器/每個更新的信息下拉式的選擇風格 補丁信息同步報告Whats new, what changed服務器部署選擇標準單機安裝層次化部署Independent servers no replication of appr

7、ovalsReplica servers - approvals and target groups replicated隔離網絡部署 WSUS優(yōu)點 使用WEB管理界面簡化管理工作同步引擎從Windows Update站點自動下載更新基于SQL的數據庫信息存儲可配置樹形架構滿足企業(yè)級管理需求軟件更新報表使用BITS有效優(yōu)化網絡帶寬客戶端自動定時更新安全可靠服務器架構Server APIFile Store(NTFS)Metadata StoreMSDE/SQLClient/ServerWeb serviceServer/ServerWeb serviceReportingWeb service

8、Admin UIContentsyncCatalogsyncClientsWSUS Servers/MUAdmin workstation客戶端架構WU Client APIWU Service or WSUSIE (WU Site)Update HandlersBITSContent StoreMetadata StoreWU ClientCustom ScriptsCustom ScriptsCustom ScriptsAutomatic UpdatesUpdate ManagerWSUS服務器部署場景部署考慮硬件要求客戶端數量，客戶端更新時間數據庫與存儲本地或遠程的 SQL vs WMS

9、DE網絡帶寬單一站點, 多站點, 分支機構, 低帶寬安全性可客戶化的網絡端口和SSL支持管理自動化腳本管理與WEB管理中小型業(yè)務標準安裝在一臺服務器WMSDE/MSDE數據庫計算機分組 測試/生產組策略或手工調整 以周為周期同步的時間表在測試后批準更新如果需要更改通信端口單服務器部署企業(yè)級部署 高帶寬/單一節(jié)點 部署單服務器WMSDE或遠程的SQL Server計算機分組OU架構 基于角色Child server for non-AD members按天的同步周期分級部署復制服務器 SSL通信復制服務器部署企業(yè)級部署低帶寬/分支機構父子或復制部署在主站點獨占服務器安裝在分支機構共享服務器 計算

10、機分組OU架構基于地點同步總部以天同步分支機構視網絡帶寬考慮以周同步分級部署 在層間采用SSL通信分支機構部署遠程連接用戶VPN用戶或WEB用戶 使用ISA 2004發(fā)布WSUS服務器可使用腳本配置客戶端遠程客戶端可以從WSUS下載更新批準，但從本地INTERNET連接直接下載更新包隔離網絡部署兩個WSUS服務器:一個有Internet連接一個在私有網絡在外部服務器同步所有相關的更新Export data and content to mediaImport data and content on disconnected networkWSUSUTIL.EXEDesktop Clients隔

11、離網絡服務器Microsoft UpdateWSUS ServerWSUS Server客戶端部署場景 考慮內容通過AD部署 在非AD環(huán)境部署 用戶透明 用戶控制基本部署步驟 指定一臺服務器運行WSUS服務 安裝預要求軟件及WSUS(建議Win2003+SP1) 使用注冊表或組策略配置客戶端連接WSUS服務器 等待客戶端更新和注冊為客戶端下載和批準更新瀏覽檢查補丁安裝報告決策點: SQL Server兩個選擇:Local installation of WMSDE (MSDE if 2K)Existing SQL implementation (local or remote)關鍵因素是利用已

12、有架構大多數情況利用WMSDE/MSDE不要直接修改SQL數據使用WSUSUtil備份數據決策點: 層次架構可以部署多層WSUS服務器通常2層最有效 考慮配置多層，如果:更新管理是分散管理方式具有分支機構/網絡帶寬小客戶端數量多注意: 批準是自上而下的有效優(yōu)化網絡帶寬決策點: 復制與自治自治 = 父/子Only shared element is bandwidthParent stores the sum of all child approvals復制 = 相同的配置Only group memberships are unique分散網絡壓力部分的分擔管理員負擔決策點:標準與快速安裝 標

13、準安裝下載和替代整個文件Harder on client and distribution network快速安裝下載和替代更新文件Harder on WSUS server and WAN links決策點: 更新存放兩個選擇:本地文件系統(tǒng)Microsoft Update根據客戶端的位置進行選擇客戶端在同一站點網絡內 Local file system客戶端離線 Microsoft Update缺省支持所有語言網絡壓力大WSUS 只報告選擇下載語言的客戶端更新最佳實踐: 如果存在多語言，批準下載相應語言更新信息決策點:本地化支持 決策點:組策略基于WUAU.ADM增加的策略選擇Target

14、GroupNon-administrator settingsPolling frequencyInstall on shutdown僅僅對安裝有更新客戶端的系統(tǒng)生效設計是關鍵Match computer groupsUse Site-based policy to assign location based WSUS servers集成AD部署保證有最新的.ADM文件基于Computer Group建立OU架構預建立的計算機組已有的OU架構整合的考慮在非AD環(huán)境部署更多的困難必須配置本地注冊表參照部署手冊查找相關鍵值Tip使用組策略控制臺GPEdit.msc使用regedit導出配置為一個.

15、reg文件導入注冊表配置故障診斷最常見的故障客戶端錯誤配置常用方法1. WSUS Admin pagesStatus of server and updates2. WUAUCLT.EXE /DETECTNOWForce immediate sync with server3. Event ViewerLog update installations under event ID 17 and 194. Windowsupdate.log and TailHistorical activityTail /f to view live entries5. RSOP.MSC/GPEdit.MSCV

16、erify that the AU agent is configured correctly常用方法1. GPEdit/RSOP to verify WSUS server name2. Restart AU to force legacy client detection cycle 5 min post startup3. Tail Windowupdate.log4. Review Event logs for ID 195. Review WSUS Admin for computer nameSummaryWSUS是基于Windows服務器管理架構的補丁管理解決方案 對于已購買Windows Server/CAL的客戶沒有額外費用提供比SUS 1.0更有效和靈活的補丁管理實施更簡單支持更多的產品支持報表能力Windows UpdateMSSecure.XMLOffice UpdateDownload CenterHFNetChkODTEUSTAutomaticUpdatesSMSSUSAutomatic UpdatesMBSA 1.2.1Microsoft Up