精讲系列13Winodws Server WSUS.docx
- 文档编号:8796245
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:51
- 大小:6.81MB
精讲系列13Winodws Server WSUS.docx
《精讲系列13Winodws Server WSUS.docx》由会员分享,可在线阅读,更多相关《精讲系列13Winodws Server WSUS.docx(51页珍藏版)》请在冰豆网上搜索。
精讲系列13WinodwsServerWSUS
[精讲13]WSUS
目前WSUS的版本是3.0SP2
1-安装需求:
1)IIS,以下功能必须安装
ASP.net
Windows身份验证
IIS6数据库兼容性
动态内容压缩
2)Microsoftreportviewerredistributable2008(或新版本)
3)SQL数据库,或内置数据库
客户端需求:
必须支持自动更新功能
前期准备:
如果公司在WSUS与internet之间存在防火墙,那么要确保防火墙已经打开了WSUS到如下microsoft站点的通信。
而且如果WSUS放置在专用的服务器DMZ区的话,要打开相应的更新端口,在windowsserver 2012中,WSUS4.0使用端口8530和8531。
2-WSUS特性和工作模式
使用工作组更新,系统默认内置2个计算机组,分别是:
所有计算机和未分配的计算机
2.1WSUS服务器的架构
上游WSUS服务器(主服务器)和下游WSUS服务器
服务器工作模式:
1)自治模式
上游和下游服务器共享更新程序,下游服务器会从上游服务器来获得更新程序,但并不包含更新程序的审批装填,计算机组信息.因此下游服务器必须自行决定
2)副本模式
上游和下游共享更新程序,审批状态和计算机组信息
在“自治”模式中,上游WSUS服务器与下游服务器在同步期间分享更新。
独立管理下游WSUS服务器,它们不接收来自上游服务器的更新批准状态或计算机组信息。
使用”分布式管理”模式(副本模式),每个WSUS服务器管理员选择更新语言、创建计算机组、将计算机分配给各组、测试和批准更新,并确保将正确的更新安装到适当的计算机组
2.2WSUS数据库选择和更新存储的位置
可以存储在WSUS服务器本地硬盘内,
可以存储在Microsoftupdate网站,WSUS服务器只download更新包的Metadata(包含:
更新程序的属性,使用规则,安装信息)
默认情况下:
WSUS服务器会先下载更新程序的METADATA,之后再下载更新文件(延期下载更新)
快速安装文件:
就是新旧程序的的差异文件,使用这个快速安装文件的优势是:
client端只需要download小size的快速安装文件,但缺点是:
wsus服务器需要大量的下载各文件和更新程序的差异,那么就需要对带宽有很高的要求
默认情况下:
WSUS是未启用快速安装文件的.
3-安装过程
WSUS部署不一定要有域环境,但微软建议我们能创建域环境
使用自己内部数据库
WID:
windowsinternalDatabase
默认情况下:
是将更新程序存放在c:
\wsus下
使用配置向导:
配置同步
4-组策略配置自动更新
在GPMC中展开“计算机配置”、“策略”、“管理模本”和“Windows组件”,然后单击“WindowsUpdate”
在详细信息窗格中,双击“配置自动更新”。
单击“已启用”,然后单击“配置自动更新”设置下的以下选项之一:
∙下载通知和安装通知。
该选项会在你下载和安装更新之前通知登录的管理用户。
∙自动下载和通知安装。
该选项将自动开始下载更新,然后在安装更新之前通知登录的管理用户。
∙自动下载和计划安装。
该选项自动开始下载更新,然后在你指定的当天和时间安装更新。
∙允许本地管理员选择设置。
该选项可让本地管理员使用控制面板中的自动更新来选择配置选项。
例如,他们可以选择计划的安装时间。
本地管理员不能仅用自动更新。
在WindowsUpdate详细信息窗格中,双击“指定IntranetMicrosoft更新服务位置”
当你键入WSUS服务器的Intranet地址时,确保指定准备使用哪个端口。
默认情况下,WSUS使用适用于HTTP的端口8530以及适用于HTTPS的端口8531。
例如,如果使用HTTP,则应键入http:
//servername:
8530
可以设置“自动更新检测的频率”,默认是22小时,我们可以根据实际的需要来调整间隔.
可以启用“对于已登录用户的计算机,计划的自动更新安装不执行重新启动”,这样的话,当计算机存在已登录的用户的时候,装完更新是否重启取决于用户的行为,计算机不会强制重启
对于某些不会中断windows服务,也不会需要重启服务器才生效的更新,我们可以配置启用“允许自动更新立即安装”,如图。
5-配置计算机组和客户端目标
对于WSUS来说,配置计算机的方式有两个出发点,一个是使用updateservices控制台来配置计算机组,计算机分组的管理都需要手动维护,第二种是使用计算机上的组策略和注册表设置,可以利用组策略中自动更新策略中的客户端目标设置,来让应用到组策略的用户自动被分配到对应的计算机组里,这两种方式,如下图所示
对于第二种情况,是需要在组策略上做个设置的
举例
同时没办法手动拖拽
6-查看状态报告
默认情况下,在WSUS控制台中是无法查看状态报告的,如果想正常的查看状态报告,需要一些插件和功能的支持
需要下载工具,下载好后并安装好,可以查看
7-配置自动审批规则
有一些类型的补丁可以不经过测试,直接往生产环境分发,例如:
高危漏洞,紧急更新,定义更新等。
对于这一类补丁,我们可以设置补丁的自动审批规则,利用规则来自动分发相关的补丁,而不需要人为的审批.同时也可以定义特定产品的补丁的自动审批
8-服务器清理向导
在WSUS控制台中,默认提供了很多选项,这些选项为我们更好的管理和使用WSUS提供了很好的途径。
首先,来看看“计算机清理向导”,一般我们可以每个月运行一次计算机清理向导,来清理不需要的更新,释放磁盘空间等等,具体清理向导打开的方式如下。
9-电子邮件通知
可以配置SMTPmailserver来发送更新和状态报告的通知
10-流程概述
本篇文章来大概说一说打补丁的流程,一般来说打补丁的流程分为测试环境测试和生产环境安装两个部分。
如果企业规模比较小,没有完善的流程制度,也是有一些打补丁的原则可以遵循的,比如:
对于安全级别为Low以上的各种安全补丁应该分发;
对于操作系统的安全补丁应该分发;
对于各种IE版本安全补丁应该分发;
对于其他各种安全补丁(如MediaPlayer、OutLookExpress等)应该分发;
对于状态为Updates修订版本的安全补丁,无需手工批准,系统会自动发布;
那么对于规模稍微复杂的企业来说,除了上述的原则以外,其实我们还可以通过结合流程来更加规范和安全的开展update的更新工作。
微软的最佳实践是补丁至少一个月安装一次。
一般微软的安全中心会在每个月的14号左右发送当月的安全公告摘要,WSUS也会在15号左右接收到微软发放的补丁。
下面举一个简单的例子,假如我们的公司有自己的流程管理系统(有电子邮件系统也可以,就是很麻烦)。
我们可以通过结合一些流程管理系统来做补丁的测试、审批工作。
(1)每月由补丁管理员及时检查微软新发布补丁,具体检查的方式是:
通过WSUS控制台和登陆technet的安全中心查看公告;
(2)收到补丁后,补丁管理员会发起一个测试的事件,并将当月收到的补丁分发到测试组(测试组的测试机器由其他部门反馈提供),然后通知各组对相关补丁进行测试(通知的方式可以是通过流程会审,也可以发邮件通知);
下面几张图描述了一个完整的WSUS测试补丁审批过程。
(3)其他部门在指定的时间内将测试结果进行反馈(可以通过邮件或者流程系统的方式进行反馈);
这里如果测试没有问题的话,我们就会把补丁审批到生产环境,如果有问题的话,先处理补丁问题。
(4)补丁管理员根据反馈情况对当月补丁进行批准、发放;
下面描述了WSUS往生产环境审批补丁的一个过程。
备注:
如果是为生产服务器安装补丁,需提前通知各部门,经同意后为生产服务器安装补丁,并设定计划任务重启服务器,然后提醒各部门在服务器重启完成后,注意检查应用。
当客户端收到补丁后,就可以安装了,一般客户机我们可以通过组策略设置自动下发计划安装,这样就不需要用户手动的干预了。
下面描述了一个客户端收到补丁后,手动安装的情况。
微软的补丁,有些安装完成后是不需要重启服务器或者客户端的,有些是必须重启服务器或者客户端的,下图说明了一个安装更新后不需要重启的情况。
11-经典的客户端排错操作
在实际的WSUS运维中,可能会出现需要手动调整客户机或者服务器的情况,比如因为组策略的原因,或者刷新间隔未到,客户端(包括客户机和服务器)未收到更新,这个时候就需要我们在客户端上执行一些操作来定位问题,确认是什么原因导致补丁未收到。
(一)刷新组策略并收集组策略结果集,以确保客户端获取到了WSUS相关的策略
首先我登陆一台客户端,打开CMD,输入组策略的刷新命令gpupdate/force,如图。
刷新成功后,我们使用gpresult/hgpreport.html来收集组策略结果,如图。
收集完成后,结果被保存到当前路径下,生成的是一个gpreport的html文件,如图。
然后我们双击打开这个报告文件,可以看到已经应用了WSUS的组策略信息,如图。
(二)使用检测命令手动联系WSUS服务器
在cmd中输入wuauclt/detectnow,如图。
如果成功联系WSUS的话,我们使用下面的命令可以看到客户端已经连接到了WSUS的相关端口。
如果是WSUS3.0则连接的是80端口;
如果是WSUS4.0以上版本,则连接的是8530或者8531端口;
做完上面的操作之后,默认已经联系到WSUS的机器会被放到WSUS的未分配计算机组里面。
(三)看客户端的windowsupdatelog文件
如果做完上面两个步骤的操作,还是无法联系WSUS服务器的话,那么我们可能需要查看本地的LOG文件了,来看看日志中是不是记录了相关的报错信息。
看下图,我的日志记录是正常的,没有报错。
(四)如果更新不正常,要看本地windowsupdate组件是不是正常
这个主要是要看本地的windowsupdate服务是否开启等等,这个在接下来的排错文章中会做介绍。
(五)如果更新不正常,需要确定是不是产品的BUG
这个主要是去看WSUS的teamblog,或者technet发布的KB,或者是跟代理商确认来判断。
本文主要讨论两类错误,一个是在实际部署中,由于错误的配置步骤导致的更新不正常的报错,另外一种就是WSUS部署完成后,在后期运维过程中出现的错误,一般错误主要集中的后期运维时期,可能会出现各种各样的客户端无法更新的报错。
(一)部署过程中,错误配置导致客户端无法更新
客户端无法联系WSUS服务器进行补丁更新,通过查看客户机本地的windowsupdate的log文件,发现文件中有下面的错误,如图。
其实上面的这个报错是典型的部署粗心的错误,在前面的文章中我已经多次提到过,在WSUS3.0时代,默认更新使用的是80端口,而到了WSUS4.0时代,则默认使用的是8530端口,如果在部署WSUS4.0的时候,参考的却是WSUS3.0的部署文档,就容易出现这种问题,正确的做法是:
设置组策略的时候,指定更新服务器的地址时后面加上8530的端口号,如图。
(二)后期运维的报错
比较常见的一种错误是windowsupdate更新的时候报错误代码。
第一种处理方式:
首先在“服务”中分别停用AutomaticUpdate和CrytographicService服务,再更改%systemroot%\SoftwareDistribution和%systemroot%\windows\system32\CatRoot2的目录名,最后将刚才的两个服务重新启动即可。
第二种处理方式:
使用在线修复的方式,可以在线访问windowsupdatetroubleshooter(bing搜索即可)工具,对本地的windowsupdate进行检测,自动修复后,再尝试更新。
第三种方式:
根据错误代码,在网上搜索相关的KB,以确定是否是已知问题,然后安装已知问题的的hotfix进行修复。
12-部署二级WSUS
在一些比较大的分公司,人数可能上千人,这个时候可以考虑在该分公司单独放置一台WSUS服务器,该WSUS服务器直接联系总部的一级WSUS进行更新,然后再通过针对分公司设置的组策略和计算机组将补丁下发到分公司的客户端。
下面我们就具体来看看二级WSUS的部署过程。
首先我准备了一台服务器,名称为。
然后我在该服务器上安装WSUS服务器角色,安装的过程和一级SUS的安装过程一模一样,这里不再重复描述,安装完成后如图所示。
然后我们重点来看看二级WSUS的配置过程。
在配置二级WSUS的时候,我们可以指定二级WSUS的工作模式,一种是自治模式,一种是副本模式。
今天我们部署采用的模式是自治模式,下面是自治模式的介绍和架构图。
“自治”模式(也称为分布式管理)是WSUS的默认安装选项。
在“自治”模式中,上游WSUS服务器与下游服务器在同步期间分享更新。
独立管理下游WSUS服务器,它们不接收来自上游服务器的更新批准状态或计算机组信息。
使用分布式管理模式,每个WSUS服务器管理员选择更新语言、创建计算机组、将计算机分配给各组、测试和批准更新,并确保将正确的更新安装到适当的计算机组。
以下图像显示你可能在分支机构环境中部署自治WSUS服务器的方式:
下面我们来看看自治模式下的二级WSUS的配置步骤。
首先打开二级WSUS的管理控制台。
在配置向导的开始页面,选择下一步。
选择是否加入microsoft更新改善计划,然后下一步。
在选择上游服务器界面,指定从WSUS服务器进行同步,这里我输入一级WSUS服务器的地址和端口号,其他选项保持默认,如图。
在代理服务器界面,选择是否指定代理服务器,如图。
在连接到上游服务器界面,选择开始连接,从中下载更新信息(也就是从我的上游服务器下载更新信息),如图。
下载成功后,选择下一步。
在选择语言界面,保持默认,如图。
设置同步计划,如图。
完成初始配置之后,勾选“开始初始同步”,然后点击完成。
二级WSUS开始从一级WSUS服务器同步更新,如图。
更新完成后,如图所示。
截止到目前为止,二级WSUS在自治模式下的部署和配置就介绍完成了。
当然,这里再提一下,我们其实也可以将二级WSUS部署为副本模式:
拥有与下游服务器分享更新、批准状态和计算机组的上游WSUS服务器,即可使用“副本”模式(也称为集中管理)。
副本服务器将继承更新批准,并且不能脱离其上游WSUS服务器进行管理。
以下图像显示你可能在分支机构环境中部署副本WSUS服务器的方式:
其实配置副本模式也很简单,我们打开WSUS的服务器配置向导,在选择上游服务器的步骤,勾选”这是上游服务器的副本“即可。
当我们勾选这个选项之后,二级WSUS的一些服务器选项将会被禁用,这些选项的行为将由一级WSUS来控制。
在自治模式下,二级WSUS可以单独管理,配置更新、计算机组、选项等等信息,但是在副本模式下,有些选项是被禁用的,也就是说只能遵从一级WSUS的配置,下面我们来看看,到底有哪些功能是禁用的。
副本模式下不允许更改产品和分类。
副本模式下不允许设置更新规则。
副本模式下不允许设置报告汇总选项。
副本模式下不能修改更新改善计划。
所以由上面可以看出,副本服务器将继承一级WSUS的更新批准,但是不能脱离其上游WSUS服务器进行单独管理。
而在自治模式下,所有的管理操作都不受一级WSUS的影响,比如新建计算机组,审批补丁等等。
如图。
13-powershell管理WSUS
在windowsserver2012R2平台下的WSUS服务器,有很多可用的powershell管理命令,涉及到WSUS的安装、配置等等。
使用powershell可以更好地加深我们对更新服务器的理解,提高我们的管理效率。
同时,在脚本中心,也有很多实用的powershell管理WSUS的脚本示例。
通过下图的命令可以查看WSUS服务器可安装的功能。
我们不能通过powershell来安装WSUS的所有功能,因为在下图所列的功能列表中同时存在WID数据库和SQL数据库的选项,我们只能二选一。
默认情况下,我们在安装WSUS的时候会安装WID数据库,如图。
我们使用Whatif选项来预演一下WSUS的安装过程,可以看到安装的是WID内部数据库。
下面我把whatif选项去掉,来使用powershell安装一下WSUS,如图。
安装成功后,如图所示。
在安装完成之后,我们需要使用WSUS的配置工具来对安装好的服务器进行基本的配置,通过输入下图的命令,我们可以看到wsusutil.exe命令的所有可用选项。
在配置WSUS之前,我已经提前创建好了C:
\WSUS文件夹,用来存放WSUS的一些文件,然胡我们进入tools目录后,通过使用wsusutil.exe工具来指定WSUS的content目录,如图。
执行上面的命令之后,我们可以看到在C:
\WSUS文件夹下面创建了updateservicespackages目录和wsuscontent目录,如图。
同时在做完上述的配置之后,我们还可以执行下图的命令来对安装好的WSUS服务器进行BPA的扫描,如图。
扫描完成后,我们再使用下面的命令来查看BPA最佳实践的扫描结果,如图。
我们通过扫描结果可以清晰地看到哪些配置符合最佳实践的做法,哪些配置不符合最佳实践的做法,如图。
同时呢,我们还可以通过一些写好的powershell脚本来配置同步选项和需要更新的产品分类,更新分类信息。
可以通过下面的脚本来配置更新的语言,并进行手动同步。
通过下面的脚本可以来配置需要同步的产品类型和更新类型,如图。
我们可以把上面的txt中的powershell脚本文件另存为ps1格式,然后在powershell下面执行就可以了,如图。
对于powershell管理WSUS服务器更多更深入的内容,大家可以参考下面的blog进行更加深入的练习和理解。
本文只是起到一个抛砖引玉的作用,通过中文的表述来让大家更容易理解和掌握WSUS的powershell管理方式和技巧。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精讲系列13Winodws Server WSUS 系列 13 Winodws