WSUS指南01.doc

WSUS全攻略之一 ：部署与规划 WSUS（Microsoft? Windows? Server Update Services）是微软推出的免费的Windows更新管理服务，目前最新版本为472，除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。 提及更新，可能许多朋友都比较反感。其实我认为更新代表着厂商对其产品的责任心，只有对自己的产品负责任的厂商才会提供更新。随着技术的发展，没有绝对安全的系统，也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求，此时，厂商推出的更新就极为重要。通过更新你的系统，可以让你的系统更为安全、高效的运行，何乐而不为呢？ 首先我给大家介绍一下微软的更新服务体系。在提供WSUS服务以及SUS服务（被WSUS服务取代的软件更新服务）之前，微软的更新服务体系总共包括两个组件： 1、Microsoft Update 提供更新服务的微软网站，由一系列的微软站点组成，常见的有： ? ? ? ? 等等，提供了更新程序、驱动程序以及Service Pack等的下载。 2、自动更新 内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件，默认情况下，它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序，从而实现客户端计算机的系统更新。 在小规模的企业网络中，客户端计算机通过自动更新连接Microsoft Update来进行系统更新并不会对企业的外部网络带宽造成太大的影响，例如有5台客户端计算机每台下载20M的更新程序，那么总占用的企业外部网络流量只是100M；但是在中大规模的企业网络中，如果每台客户端计算机都通过连接到Microsoft Update来实现更新，则会极大的影响企业的外部网络带宽，例如有500台客户端计算机每台下载20M的更新程序，就会占用10G的流量。 正是因为考虑到这一点，微软推出了WSUS服务器，它是免费向大家提供的。WSUS服务器和Microsoft Update实现客户端计算机自动更新的方式完全相同，通过WSUS，你可以实现更新程序的集中管理和分发，它的主要优点有： 通过选择的方式将更新程序（包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等，可选择）从Microsoft Update下载至本地安装源，节省企业外部网络带宽； 对更新程序进行管理，控制更新程序的分发；你可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，你也可以拒绝此更新程序； 对网络中的客户端计算机进行分组，控制更新程序在不同客户端计算机上的分发。 因此，现在的微软更新服务体系为三级结构：Microsoft Update-本地企业网络中的WSUS服务器-客户端计算机的自动更新。在部署WSUS之后，你只需要配置客户端计算机使用WSUS服务器上的更新服务，就可以轻松的享受WSUS服务器所带来的好处。例如上面所举的大中型企业网络，当部署WSUS服务器以后，只有WSUS服务器才从Microsoft Update下载更新，所占用的外部网络流量就只为20M，而内部客户端计算机则自动访问WSUS服务器来获取更新，就不再需要访问外部的Windows Update，从而节省了大量的外部网络带宽。 部署场景 WSUS服务器的部署场景有以下三种： 1、单WSUS服务器环境 这是最常见的WSUS服务部署场景，如下图所示： 企业网络中部署了一台WSUS服务器，WSUS服务器连接到Microsoft Update来获取更新程序（称之为同步），并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时，WSUS会检查Microsoft Update是否具有新的更新程序并进行下载；当第一次进行同步时，WSUS会下载本地设置要求下载的所有更新程序。 WSUS服务器使用HTTP（TCP 80）和HTTPS（TCP 443）来从Microsoft Update获取更新程序，如果企业在内部和外部网络之间部署有防火墙，你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问，需要的具体访问规则为： 允许WSUS服务器到以下Web站点的HTTP/HTTPS访问 ? ? h