標籤:windows server 2012 r2 wsus 部署維護
其實在technet library裡面對部署要做的準備工作已經說明的很詳細了,但是實際部署過程中還是存在一些需要考量的規劃問題、需要注意的細節問題。
那麼,在本文的情境下,我要部署的是一個包含一級WSUS和二級WSUS的環境,下面就以這個環境為例來看看我們都要做哪些準備工作。
(一)系統要求
其實WSUS對系統的硬體要求不是特別高,就目前來說,如果企業的WSUS用戶端的數量在4000台以下,8G記憶體足夠了。對於作業系統,則可以選擇windows server 2008 R2 SP1(WSUS 3.0 SP2),也可以選擇windows server 2012系統。同時,對於WSUS的部署來說,可以選擇刀片伺服器、機架伺服器,也可以選擇部署在虛擬化平台上面。本文的demo環境是在vmware的虛擬化平台上部署的WSUS。對於系統要求來說,有一些注意事項如下。
1、必須在將安裝 WSUS 伺服器角色的伺服器上安裝 Microsoft .NET Framework 4.0。這個條件已經具備了,對於windows server 2012 R2作業系統來說,預設是安裝的。
2、NT Authority\Network Service 帳戶必須擁有以下檔案夾的完全控制許可權,以便 WSUS 管理嵌入式管理單元正確顯示:%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files。這個條件需要在部署完成WSUS後,去手動調整,在未部署WSUS之前,由於沒有安裝IIS,所以是沒有這個檔案夾的。
650) this.width=650;" title="106" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="106" src="http://img1.51cto.com/attachment/201405/4/639838_1399171533lgSB.png" height="484" />
添加相應的許可權。
650) this.width=650;" title="107" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="107" src="http://img1.51cto.com/attachment/201405/4/639838_1399171534xo3G.png" height="484" />
(二)資料庫要求
對於資料庫來說,可以選擇內部資料庫,本文的部署情境選擇的就是內部資料庫。也可以選擇SQL server資料庫,對於SQL server的版本來說,只要是SQL server 2008 R2 SP1以上版本都可以支援。如果選擇SQL server,則會多一個選擇資料庫執行個體的步驟,。
650) this.width=650;" title="38" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="38" src="http://img1.51cto.com/attachment/201405/4/639838_1399171535uKGA.png" height="457" />
WSUS 資料庫儲存以下資訊:
WSUS 伺服器配置資訊
描述各個更新的中繼資料
有關用戶端電腦、更新和互動的資訊
(三)防病毒排除要求
某些廠商的防毒軟體,可能會對WSUS產生一定的影響,所以在部署WSUS之前,最好能對WSUS的防病毒排除做一個規劃;在部署之後,立馬進行防病毒的排除操作。微軟建議的防病毒排除項目如。
650) this.width=650;" title="150" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="150" src="http://img1.51cto.com/attachment/201405/4/639838_1399171535ZvWK.png" height="225" />
(四)部署架構準備工作
在部署WSUS之前,我們最好針對整個公司的實際情況,進行架構的規劃工作,不能盲目的去部署,導致一些後期的維護難題。
WSUS的部署分為簡單部署和多台部署兩種方式,如果企業的用戶端不是特別多,那麼就放一台WSUS就夠了,如果總部用戶端比較多,而且存在用戶端數量比較多的分公司或者辦事處,可以考慮多台部署的方式,來提高補丁分發的效率。是微軟的多台WSUS伺服器部署架構圖。
650) this.width=650;" title="IC661071[5]" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="IC661071[5]" src="http://img1.51cto.com/attachment/201405/4/639838_1399171536KLY5.gif" height="361" />
(五)WSUS伺服器階層規劃
WSUS 伺服器階層部署具有以下幾個優點:
你可以一次從 Internet 下載更新,然後使用下遊伺服器將更新分配給用戶端電腦。該方法將節約企業 網際網路連線上的頻寬。
你可將更新下載到接近實際的用戶端電腦(例如在分公司)的 WSUS 伺服器。
你可設定獨立的 WSUS 伺服器以服務使用 Microsoft 產品不同語言的用戶端電腦。
對於用戶端電腦數量超出一台 WSUS 伺服器有效管理範圍的大型組織而言,你可以擴充 WSUS。
我們建議你不要建立三個層級以上的 WSUS 伺服器階層。每個層級將增加向整個已連線的服務器傳播更新的時間。雖然在理論上階層沒有受到限制,但 Microsoft Corporation 只對五個層級的階層部署進行了測試。
你可在“自治”模式(旨在實現分布式管理)或“副本”模式(旨在實現集中管理)下串連 WSUS 伺服器。
本例中,我們選擇的是自治模式,在“自治”模式中,上遊 WSUS 伺服器與下遊伺服器在同步期間分享更新。獨立管理下遊 WSUS 伺服器,它們不接收來自上遊伺服器的更新批准狀態或電腦群組資訊。使用分布式管理員模式,每個 WSUS 伺服器管理員選擇更新語言、建立電腦群組、將電腦分配給各組、測試和批准更新,並確保將正確的更新安裝到適當的電腦群組。以像顯示你可能在分公司環境中部署自治 WSUS 伺服器的方式:
650) this.width=650;" title="IC594401" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="IC594401" src="http://img1.51cto.com/attachment/201405/4/639838_1399171536VEMI.gif" height="392" />
(六)防火牆配置
如果公司在WSUS與internet之間存在防火牆,那麼要確保防火牆已經開啟了WSUS到如下microsoft網站的通訊。而且如果WSUS放置在專用的伺服器DMZ區的話,要開啟相應的更新連接埠,在windows server 2012中,WSUS 4.0使用連接埠8530和8531。
650) this.width=650;" title="151" style="border-top:0px;border-right:0px;background-image:none;border-bottom:0px;border-left:0px;padding-top:0px;padding-left:0px;padding-right:0px;" border="0" alt="151" src="http://img1.51cto.com/attachment/201405/4/639838_13991715377HJl.png" height="425" />
以上簡單介紹了部署WSUS前需要考慮的一些主要的準備工作,如果想瞭解更多關於準備工作的資訊,可以訪問WSUS的library文檔,其他的一些需要考慮的事項例如:分公司頻寬的最佳化、補丁下載模式等等。
本文出自 “曾垂鑫的技術專欄” 部落格,謝絕轉載!