WSUS全攻略1.docVIP

WSUS全攻略之一 ：部署与规划 WSUS（Microsoft? Windows? Server Update Services）是微软推出的免费的Windows更新管理服务，目前最新版本为472，除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。 提及更新，可能许多朋友都比较反感。其实我认为更新代表着厂商对其产品的责任心，只有对自己的产品负责任的厂商才会提供更新。随着技术的发展，没有绝对安全的系统，也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求，此时，厂商推出的更新就极为重要。通过更新你的系统，可以让你的系统更为安全、高效的运行，何乐而不为呢？ 首先我给大家介绍一下微软的更新服务体系。在提供WSUS服务以及SUS服务（被WSUS服务取代的软件更新服务）之前，微软的更新服务体系总共包括两个组件： 1、Microsoft Update 2、自动更新 部署场景 WSUS服务器的部署场景有以下三种： 1、单WSUS服务器环境 这是最常见的WSUS服务部署场景，如下图所示： 企业网络中部署了一台WSUS服务器，WSUS服务器连接到Microsoft Update来获取更新程序（称之为同步），并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时，WSUS会检查Microsoft Update是否具有新的更新程序并进行下载；当第一次进行同步时，WSUS会下载本地设置要求下载的所有更新程序。 WSUS服务器使用HTTP（TCP 80）和HTTPS（TCP 443）来从Microsoft Update获取更新程序，如果企业在内部和外部网络之间部署有防火墙，你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问，需要的具体访问规则为： 允许WSUS服务器到以下Web站点的HTTP/HTTPS访问 ? ? http://*. ? https://*. ? http://*. ? https://*. ? http://*. ? ? ? http://*. ? ? 　 WSUS与IIS服务器结合创建Web站点来实现更新程序的分发，你可以配置WSUS Web站点共享使用默认Web站点（服务端口为TCP 80）或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时，如果你不选择使用默认的Web站点，那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求，建议你使用默认的Web站点。 WSUS服务器要求客户端计算机上运行WSUS客户端，WSUS客户端可以在打过SP3及以上补丁的Windows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行，换言之，WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端；而其他的操作系统中除了没有安装过任何SP的Windows XP外，内建的自动更新组件均具有自我更新特性，可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端；对于没有安装过任何SP的Windows XP，你必须安装SUS客户端，从而通过SUS客户端来实现自我更新至WSUS客户端。 由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新，因此，如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点，你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包，否则非WSUS客户端计算机不能正常的进行自我更新，从而不能从WSUS服务器获取更新程序。 　 WSUS中可以对客户端计算机进行分组，在WSUS中内建有两个计算机组：所有计算机和未指定的计算机。默认情况下，任何一个客户端计算机访问WSUS服务器时，都将被加入到这两个组中。你可以创建计算机组，并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中，但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机，而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。 使用计算机组的好处之一是便于你测试更新程序。例