1、WSUS架構(gòu)與部署,概述,安全管理需求 Windows Server Update Services（WSUS）功能概覽 WSUS演示 WSUS部署場景及技術(shù)討論,漏洞更新的時間大大縮短,151,180,331,Blaster,Welchia/ Nachi,Nimda,25,SQL Slammer,Days between patch and exploit,Windows Update,選擇一個最適合你的補丁管理解決方案,IT Resources* & Administration Skill Level,Breadth of Functionality,WSUS,SMS,低,高,高,*Pe

2、ople and budget,你應(yīng)該已經(jīng)了解,一些兒關(guān)于AD的知識 一些組策略的知識 一些關(guān)于補丁更新的知識 不需要了解SUS,主要的組成,Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy and Active Directory,其它,BITS 2.0 Background Intelligent Transfer MSI 3.1 Windows Installer 3.1 Microsoft SQL Server WMSDE/MSDE Scripting

3、via SDK,Administrator subscribes to update categories,Server downloads updates from Microsoft Update,Clients register themselves with the server,Administrator puts clients in different target groups,Administrator approves updates,Agents install administrator approved updates,Microsoft Update,WSUS Se

4、rver,Desktop Clients Target Group 1,Server Clients Target Group 2,WSUS 管理員,WSUS 解決方案概覽,支持的產(chǎn)品和內(nèi)容,支持產(chǎn)品 Windows, Office, SQL, Exchange at RTM. Additional products added over time 操作系統(tǒng) 客戶端 Win2k SP3 and later, WinXP RTM and later (incl. XP embedded and XP x64) Win2k3 RTM (32-bit only), Win2k3 SP1 (x64 a

5、nd ia64) 服務(wù)器 Win2k SP4 and later Win2k3 RTM and later (32-bit only) 中文支持,功能特點 (1),管理員定義分發(fā)組 AD環(huán)境下組策略定義分發(fā)組 對非AD環(huán)境可在WSUS中定義組成員關(guān)系 管理員控制補丁分發(fā)的批準 “Detect only” 評估客戶端的補丁更新需求 批準更新 設(shè)置Deadline 分組批準: 不同的更新給不同的組,功能特點 (2),靈活的客戶端配置 檢測頻率 提醒與安裝方式 重啟系統(tǒng) 端口配置 客戶透明 BITS優(yōu)化網(wǎng)絡(luò)性能 更新下載在后臺完成，無需人工干預(yù) 最小化數(shù)據(jù)下載 定制更新 只下載你需要的補丁更新 支持

6、壓縮技術(shù) 選擇下載批準的補丁更新,功能特點 (3),報表 一目了然的狀態(tài)與警告信息 瀏覽每臺機器/每個更新的信息 下拉式的選擇風格 補丁信息同步報告 Whats new, what changed 服務(wù)器部署選擇 標準單機安裝 層次化部署 Independent servers no replication of approvals Replica servers - approvals and target groups replicated 隔離網(wǎng)絡(luò)部署,WSUS優(yōu)點,使用WEB管理界面簡化管理工作 同步引擎從Windows Update站點自動下載更新 基于SQL的數(shù)據(jù)庫信息存儲 可配置

7、樹形架構(gòu)滿足企業(yè)級管理需求 軟件更新報表 使用BITS有效優(yōu)化網(wǎng)絡(luò)帶寬 客戶端自動定時更新 安全 可靠,服務(wù)器架構(gòu),Server API,File Store (NTFS),Metadata Store MSDE/SQL,Client/Server Web service,Server/Server Web service,Reporting Web service,Admin UI,Content sync,Catalog sync,Clients,WSUS Servers/MU,Admin workstation,客戶端架構(gòu),WSUS服務(wù)器部署場景,部署考慮 中小型業(yè)務(wù) 單服務(wù)器部署 企業(yè)

8、級部署 高帶寬/單一節(jié)點 復(fù)制服務(wù)器部署 企業(yè)級部署 低帶寬/分支機構(gòu) 分支機構(gòu)部署 遠程連接用戶 隔離網(wǎng)絡(luò)部署,部署考慮,硬件要求 客戶端數(shù)量，客戶端更新時間 數(shù)據(jù)庫與存儲 本地或遠程的 SQL vs WMSDE 網(wǎng)絡(luò)帶寬 單一站點, 多站點, 分支機構(gòu), 低帶寬 安全性 可客戶化的網(wǎng)絡(luò)端口和SSL支持 管理 自動化腳本管理與WEB管理,中小型業(yè)務(wù),標準安裝在一臺服務(wù)器 WMSDE/MSDE數(shù)據(jù)庫 計算機分組 測試/生產(chǎn) 組策略或手工調(diào)整 以周為周期同步的時間表 在測試后批準更新 如果需要更改通信端口,單服務(wù)器部署,企業(yè)級部署 高帶寬/單一節(jié)點,部署單服務(wù)器 WMSDE或遠程的SQL Ser

9、ver 計算機分組 OU架構(gòu) 基于角色 Child server for non-AD members 按天的同步周期 分級部署復(fù)制服務(wù)器 SSL通信,復(fù)制服務(wù)器部署,企業(yè)級部署 低帶寬/分支機構(gòu),父子或復(fù)制部署 在主站點獨占服務(wù)器安裝 在分支機構(gòu)共享服務(wù)器 計算機分組 OU架構(gòu) 基于地點 同步 總部以天同步 分支機構(gòu)視網(wǎng)絡(luò)帶寬考慮以周同步 分級部署 在層間采用SSL通信,分支機構(gòu)部署,遠程連接用戶,VPN用戶或WEB用戶 使用ISA 2004發(fā)布WSUS服務(wù)器 可使用腳本配置客戶端 遠程客戶端可以從WSUS下載更新批準，但從本地INTERNET連接直接下載更新包,隔離網(wǎng)絡(luò)部署,兩個WSUS服

10、務(wù)器: 一個有Internet連接 一個在私有網(wǎng)絡(luò) 在外部服務(wù)器同步所有相關(guān)的更新 Export data and content to media Import data and content on disconnected network WSUSUTIL.EXE,Desktop Clients,隔離網(wǎng)絡(luò)服務(wù)器,Microsoft Update,WSUS Server,WSUS Server,考慮內(nèi)容 通過AD部署 在非AD環(huán)境部署 用戶透明 用戶控制,客戶端部署場景,基本部署步驟,指定一臺服務(wù)器運行WSUS服務(wù) 安裝預(yù)要求軟件及WSUS(建議Win2003+SP1) 使用注冊表或組策略

11、配置客戶端連接WSUS服務(wù)器 等待客戶端更新和注冊 為客戶端下載和批準更新 瀏覽檢查補丁安裝報告,決策點: SQL Server,兩個選擇: Local installation of WMSDE (MSDE if 2K) Existing SQL implementation (local or remote) 關(guān)鍵因素是利用已有架構(gòu) 大多數(shù)情況利用WMSDE/MSDE 不要直接修改SQL數(shù)據(jù) 使用WSUSUtil備份數(shù)據(jù),決策點: 層次架構(gòu),可以部署多層WSUS服務(wù)器 通常2層最有效 考慮配置多層，如果: 更新管理是分散管理方式 具有分支機構(gòu)/網(wǎng)絡(luò)帶寬小 客戶端數(shù)量多 注意: 批準是自上而

12、下的 有效優(yōu)化網(wǎng)絡(luò)帶寬,決策點: 復(fù)制與自治,自治 = 父/子 Only shared element is bandwidth Parent stores the sum of all child approvals 復(fù)制 = 相同的配置 Only group memberships are unique 分散網(wǎng)絡(luò)壓力 部分的分擔管理員負擔,決策點:標準與快速安裝,標準安裝下載和替代整個文件 Harder on client and distribution network 快速安裝下載和替代更新文件 Harder on WSUS server and WAN links,決策點: 更新存放

13、,兩個選擇: 本地文件系統(tǒng) Microsoft Update 根據(jù)客戶端的位置進行選擇 客戶端在同一站點網(wǎng)絡(luò)內(nèi) Local file system 客戶端離線 Microsoft Update,決策點:本地化支持,缺省支持所有語言 網(wǎng)絡(luò)壓力大 WSUS 只報告選擇下載語言的客戶端更新 最佳實踐: 如果存在多語言，批準下載相應(yīng)語言更新信息,決策點:組策略,基于WUAU.ADM 增加的策略選擇 Target Group Non-administrator settings Polling frequency Install on shutdown 僅僅對安裝有更新客戶端的系統(tǒng)生效 設(shè)計是關(guān)鍵 Ma

14、tch computer groups Use Site-based policy to assign location based WSUS servers,集成AD部署,保證有最新的.ADM文件 基于Computer Group建立OU架構(gòu) 預(yù)建立的計算機組 已有的OU架構(gòu)整合的考慮,在非AD環(huán)境部署,更多的困難 必須配置本地注冊表 參照部署手冊查找相關(guān)鍵值 Tip 使用組策略控制臺GPEdit.msc 使用regedit導出配置為一個.reg文件 導入注冊表配置,故障診斷,最常見的故障 常用方法,最常見的故障,客戶端錯誤配置,常用方法,1. WSUS Admin pages Status

15、 of server and updates 2. WUAUCLT.EXE /DETECTNOW Force immediate sync with server 3. Event Viewer Log update installations under event ID 17 and 19 4. Windowsupdate.log and Tail Historical activity Tail /f to view live entries 5. RSOP.MSC/GPEdit.MSC Verify that the AU agent is configured correctly,常用方法,GPEdit/RSOP to verify WSUS server name Restart AU to force legac