WSUS2.0SP1部署实战(图).doc

目前在企业内网中，90%以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品。微软产品素以界面友好，功能强大而著称，但同时也以补丁泛滥而令管理员头疼。微软为弥补产品安全，提供了各种各样的Service Pack，Hotfix…..这些补丁解决的问题五花八门，种类繁多，管理员都有应接不暇的感觉，更别提普通用户了。但补丁又确实很重要，补丁对应着严重的安全隐患和性能缺陷，我们决不能掩耳盗铃，置之不理。那该怎么处理这个问题呢？其实微软从Win98之后就在操作系统中内置了Windows Update组件，这个组件可以使用Http或Https自动连接到微软的更新网站去下载所需要的补丁并自动安装。哦，那如此说来，补丁管理问题已经解决，只要大家打开系统中的Windows Update岂不就OK了？好，本次课程到此结束！回家洗洗睡了。且慢，且慢，且听我细细道来，那Windows Update对家庭用户来说甚好，没啥问题，但对企业用户来说就未必合适了。 　　其一，带宽问题。假设某企业500名用户，每人需下载20M补丁，全公司可就至少需要10G的带宽！这可不是个小数目。想像一下公司员工都去微软下载Windows XP SP3（349M）所引发的网络大塞车的壮观场景吧！ 　　其二，安全问题。并非所有的补丁都适合在当前环境使用。就以当年的Windows XP Service Pack 2为例，此补丁打上之后，与当时的很多应用程序都会产生冲突，解决办法是只能换用新版本的应用程序。如果管理员综合权衡安全和灵活因素，就未必会在生产环境第一时间部署这个补丁。而用户就不管那么多了，跟着感觉走，直接装上再说！后果可就想而知了，很有可能会因为这个补丁的安装影响工作效率。因此，综合来看，用Windows Update组件连接到微软的更新网站更适合家庭用户或小型公司，对中大型企业来看并不适合。 　　基于上述原因，微软为企业用户提供了WSUS（Windows Server Update Services）作为解决方案。WSUS解决问题的思路很简单，管理员利用WSUS服务器从微软的更新网站下载补丁，然后再发布给内网用户。这样既能降低网络带宽流量，将补丁下载的数据量降为最低；又能让补丁置于管理员的控制之下，管理员经过审核后，同意发放补丁，用户才可以安装补丁。那有人要问了，万一用户使用原先操作系统中自带的Windows Update组件直接连到微软去更新是不是就可以绕过管理员的审核了呢？答案是否定的，因为一旦WSUS服务器启动了，系统中自带的Windwos Update就被禁用了！哇，好厉害的釜底抽薪哦！还有一个好消息，WSUS不但有这些优点，还是一个完全免费的产品！听到这里，你是不是已经有些按捺不住内心的冲动，准备好好地体验一把了。Come on，Follow me！让我们一起体验一下WSUS管理补丁的独特魅力。 　　WSUS常用的部署拓扑有以下三种，现简介如下： 　　A? 单服务器拓扑。如下图所示，单服务器拓扑是使用最广泛的WSUS拓扑。单服务器拓扑利用一个WSUS服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。（图1） 　　B 链式拓扑。如下图所示，链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司/分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。（图2） 　　C 分离式拓扑。如下图所示，分离式拓扑指的是在一个与互联网隔离的网络内，WSUS服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队，公安等专用网络。（图3） 　　WSUS目前常用的是WSUS2.0 和WSUS3.0这两个版本。这两个版本的前身SUS1.0由于只能支持有限的操作系统补丁管理，已经基本被淘汰了。WSUS2.0和3.0都可以支持微软的全系列产品，我们在后续文章中将陆续介绍WSUS2.0和3.0的部署，管理以及排错技巧。今天我们从WSUS2.0＋SP1开始介绍。 　　介绍一下今天的实验拓扑，如下图所示，Florence是域的域控制器，Berlin是wsus服务器，perth是测试用的工作站。三台计算机都安装了Win2003中文企业版。（图4） 　　一 安装前的准备工作 　　要在Berlin上安装WSUS2.0SP1，需满足下列条件。 　　1）IIS6.0 　　由于WSUS客户机和服务器之间通过Http或Https传递数据，因此WSUS服务器必然需要IIS的支持。我们在Berlin上依次点击控制面板－添