Windows Server 2012 R2 WSUS-2：部署前的規劃工作

標籤：windows server 2012 r2   wsus   部署維護   

其實在technet library裡面對部署要做的準備工作已經說明的很詳細了，但是實際部署過程中還是存在一些需要考量的規劃問題、需要注意的細節問題。

那麼，在本文的情境下，我要部署的是一個包含一級WSUS和二級WSUS的環境，下面就以這個環境為例來看看我們都要做哪些準備工作。

（一）系統要求

其實WSUS對系統的硬體要求不是特別高，就目前來說，如果企業的WSUS用戶端的數量在4000台以下，8G記憶體足夠了。對於作業系統，則可以選擇windows server 2008 R2 SP1（WSUS 3.0 SP2），也可以選擇windows server 2012系統。同時，對於WSUS的部署來說，可以選擇刀片伺服器、機架伺服器，也可以選擇部署在虛擬化平台上面。本文的demo環境是在vmware的虛擬化平台上部署的WSUS。對於系統要求來說，有一些注意事項如下。

1、必須在將安裝 WSUS 伺服器角色的伺服器上安裝 Microsoft .NET Framework 4.0。這個條件已經具備了，對於windows server 2012 R2作業系統來說，預設是安裝的。

2、NT Authority\Network Service 帳戶必須擁有以下檔案夾的完全控制許可權，以便 WSUS 管理嵌入式管理單元正確顯示：%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files。這個條件需要在部署完成WSUS後，去手動調整，在未部署WSUS之前，由於沒有安裝IIS，所以是沒有這個檔案夾的。

650) this.width=650;" title="106" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="106" src="http://img1.51cto.com/attachment/201405/4/639838_1399171533lgSB.png" height="484" />

添加相應的許可權。

650) this.width=650;" title="107" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="107" src="http://img1.51cto.com/attachment/201405/4/639838_1399171534xo3G.png" height="484" />

（二）資料庫要求

對於資料庫來說，可以選擇內部資料庫，本文的部署情境選擇的就是內部資料庫。也可以選擇SQL server資料庫，對於SQL server的版本來說，只要是SQL server 2008 R2 SP1以上版本都可以支援。如果選擇SQL server，則會多一個選擇資料庫執行個體的步驟，。

650) this.width=650;" title="38" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="38" src="http://img1.51cto.com/attachment/201405/4/639838_1399171535uKGA.png" height="457" />

WSUS 資料庫儲存以下資訊：

• WSUS 伺服器配置資訊

• 描述各個更新的中繼資料

• 有關用戶端電腦、更新和互動的資訊

（三）防病毒排除要求

某些廠商的防毒軟體，可能會對WSUS產生一定的影響，所以在部署WSUS之前，最好能對WSUS的防病毒排除做一個規劃；在部署之後，立馬進行防病毒的排除操作。微軟建議的防病毒排除項目如。

650) this.width=650;" title="150" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="150" src="http://img1.51cto.com/attachment/201405/4/639838_1399171535ZvWK.png" height="225" />

（四）部署架構準備工作

在部署WSUS之前，我們最好針對整個公司的實際情況，進行架構的規劃工作，不能盲目的去部署，導致一些後期的維護難題。

WSUS的部署分為簡單部署和多台部署兩種方式，如果企業的用戶端不是特別多，那麼就放一台WSUS就夠了，如果總部用戶端比較多，而且存在用戶端數量比較多的分公司或者辦事處，可以考慮多台部署的方式，來提高補丁分發的效率。是微軟的多台WSUS伺服器部署架構圖。

650) this.width=650;" title="IC661071[5]" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="IC661071[5]" src="http://img1.51cto.com/attachment/201405/4/639838_1399171536KLY5.gif" height="361" />

（五）WSUS伺服器階層規劃

WSUS 伺服器階層部署具有以下幾個優點：

• 你可以一次從 Internet 下載更新，然後使用下遊伺服器將更新分配給用戶端電腦。該方法將節約企業 網際網路連線上的頻寬。

• 你可將更新下載到接近實際的用戶端電腦（例如在分公司）的 WSUS 伺服器。

• 你可設定獨立的 WSUS 伺服器以服務使用 Microsoft 產品不同語言的用戶端電腦。

• 對於用戶端電腦數量超出一台 WSUS 伺服器有效管理範圍的大型組織而言，你可以擴充 WSUS。

我們建議你不要建立三個層級以上的 WSUS 伺服器階層。每個層級將增加向整個已連線的服務器傳播更新的時間。雖然在理論上階層沒有受到限制，但 Microsoft Corporation 只對五個層級的階層部署進行了測試。

你可在“自治”模式（旨在實現分布式管理）或“副本”模式（旨在實現集中管理）下串連 WSUS 伺服器。

本例中，我們選擇的是自治模式，在“自治”模式中，上遊 WSUS 伺服器與下遊伺服器在同步期間分享更新。獨立管理下遊 WSUS 伺服器，它們不接收來自上遊伺服器的更新批准狀態或電腦群組資訊。使用分布式管理員模式，每個 WSUS 伺服器管理員選擇更新語言、建立電腦群組、將電腦分配給各組、測試和批准更新，並確保將正確的更新安裝到適當的電腦群組。以像顯示你可能在分公司環境中部署自治 WSUS 伺服器的方式：

650) this.width=650;" title="IC594401" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="IC594401" src="http://img1.51cto.com/attachment/201405/4/639838_1399171536VEMI.gif" height="392" />

（六）防火牆配置

如果公司在WSUS與internet之間存在防火牆，那麼要確保防火牆已經開啟了WSUS到如下microsoft網站的通訊。而且如果WSUS放置在專用的伺服器DMZ區的話，要開啟相應的更新連接埠，在windows server  2012中，WSUS 4.0使用連接埠8530和8531。

650) this.width=650;" title="151" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="151" src="http://img1.51cto.com/attachment/201405/4/639838_13991715377HJl.png" height="425" />

以上簡單介紹了部署WSUS前需要考慮的一些主要的準備工作，如果想瞭解更多關於準備工作的資訊，可以訪問WSUS的library文檔，其他的一些需要考慮的事項例如：分公司頻寬的最佳化、補丁下載模式等等。

本文出自 “曾垂鑫的技術專欄” 部落格，謝絕轉載！