论文部分内容阅读
摘要:通过实例简要介绍了WSUS 3.0的特性,安装和管理方法,以及客户端的安装方法和常见故障排除。
关键词:Windows Update;WSUS 3.0;客户端
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)05-10856-03
1 引言
随着校园信息化的不断推进,校园网络已成为校园信息化应用的基础平台,在学校的教学和科研中发挥着重要的作用。如何保证校园网安全、高效地运行成为网络管理员面临的课题。由于大多数网络或者是病毒入侵是系统本身的漏洞造成的,而且校园网内计算机的分布呈高密度状态,计算机之间极易发生病毒的交叉感染。因此,在补丁推出的第一时间安装,已经成为校园网安全的重要一环。
通过部署WSUS,建立校园网内部系统更新服务器,让学校的所有计算机直接到这台更新服务器上下载补丁,这样就避免了下载补丁时的低速以及大量电脑一起下载时对网络出口带宽的占用,使得更新补丁的时间大大缩短,提高了安全性。另外,对于没有连接到Internet的计算机,只要在内网中可以访问这台更新服务器也可以更新系统补丁。
本文根据作者的实践,来说明在校园网内部署WSUS 3.0,管理方法,客户端布置方法以及一些常见问题的处理。
2 WSUS 3.0简介
WSUS 3.0(Windows Server Update Services)是微软公司推出的最新版WSUS版本,除了继承2.0的优点外,还增加了以下一些主要新特性:
(1)从管理控制台管理 WSUS:WSUS 3.0 管理控制台已从基于 Web 的控制台变为 Microsoft 管理控制台 3.0 版的一个插件,更便于使用;
(2)配置向导:使用向导配置安装后的任务,指导新用户进行安装后的服务器配置过程;
(3)准确性更高的多个报告:现在可以直接从更新视图生成报告。可以报告更新的子集,如计算机需要但还未批准安装的安全更新;
(4)可使用清除向导从服务器中删除旧的计算机、旧的更新和旧的更新文件;
(5)更快获得更新:使用 WSUS 3.0,可以将服务器配置为最快每隔一小时自动同步更新一次(而 WSUS 2.0 则是每天一次);
(6)采用更快的性能:WSUS 3.0 可获得比 WSUS 2.0 高大约 50% 的可伸缩性。
3 WSUS 3.0的布置
3.1 WSUS的布置场景
WSUS的布置场景有单WSUS服务器环境、链式WSUS服务器环境、和Internet断开的WSUS服务器环境三种,本文以最常见的单WSUS服务器、非域环境为例来说明,如下图所示:
3.2 WSUS服务器端安装需求
软件:必需组件:Windows Server 2003 Service Pack 1或以上版本、IIS6.0或以上版本、BITS2.0或以上版本、Windows Installer 3.1或以上版本、Microsoft .NET Framework 2.0。可选择的安装条件:Microsoft Management Console 3.0、SQL Server 2005 Service Pack 1、Microsoft Report Viewer Redistributable 2005。
尽管安装 WSUS 需要SQL SERVER数据库软件,但并不是一个必需组件,原因是 Windows Server 2003 上的默认 WSUS 安装包括 Windows SQL ServerTM 2000 Desktop Engine (WMSDE) 数据库软件。
3.3 WSUS 3.0的安装
添加必需组后,执行WSUS 3.0安装文件,选择“包括管理控制台的完整服务器安装”,然后根据具体需求依次选择相应选项,如无特殊需求,建议使用系统默认选项。
安装完成后,系统会自动启动配置向导,根据向导依次设置更新源(从Windows Update进行同步)、设置语言、指定产品更新及更新分类、设定同步模式等,安装完成后的界面如下图所示:
4 WSUS 3.0的管理模式
4.1 本地管理
我们可以直接登录到服务器上,在管理工具中选择Microsoft Windows Server Update Services 3.0,启动管理控制台来管理WSUS 3.0服务器。所使用的登录帐号必须属于WSUS Administrators和WSUS Reporters组或者是Administrators组。
4.2 远程管理
Wsus 3.0也支持远程控制台管理模式,可以在网络中的任意一台计算机上安装WSUS 3.0管理控制台以实现,具体方法如下:
首先在服务器端创建具有WSUS管理权限的帐号和密码(隶属于WSUS Administrators或者是Administrators组),在客户端创建相同的帐号和密码。然后在客户端安装下列组件:Mmc 3.0、.NET Framework 2.0、Windows installer 3.1,执行WSUS 3.0安装文件,选择“只安装管理控制台” ,安装完成后会在系统管理工具中出现WSUS 3.0控制台。右键单击控制台,选“运行方式”——“下列用户”,输入创建的帐号和密码。打开控制台后,选择“连接到服务器”,输入服务器的IP地址和所使用的端口号,即可正常连接到服务器。如果在网络上有多台WSUS 3.0服务器,均可在同一客户端控制台上进行管理。
5 客户端的布置
以Windows Xp为例,一般有两种方法:
5.1 通过本地安全策略设置
打开组策略编辑器(Gpedit.msc),依次打开本地计算机策略——计算机配置——管理模板——Windows组件——Windows Update,则会出现有关于客户端升级配置的一些选项。一般我们只需要将 “配置自动更新”配置为已启用;“指定Intranet Microsoft更新服务位置”配置为已启用,输入WSUS服务器和统计服务器的位置,例如“http://192.168.0.30”,如果使用的不是80端口,还要在后面加上所使用的端口号;“自动更新检测频率”配置为已启用,根据需要定义时间。点确定后即可完成客户端设置。其它的配置可根据具体需求定义。在此不再赘述。
5.2 编辑注册表
对于某些Windows XP,可能不带组策略编辑器组件,主要指OEM版XP,这时如果要使用WSUS,则需要编辑注册表项,内容及相关注释如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://192.168.0.30 "//WSUS更新服务器位置
"WUStatusServer"="http://192.168.0.30"//WSUS更新统计服务位置
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001//表明使用本地wsus更新服务器
"DetectionFrequencyEnabled"=dword:00000001//数据范围:0,1。0:禁用自动更新检测频率策略;1:启用自动更新检测频率策略。这里设置为1,下面的参数才有效。
"DetectionFrequency"=dword:00000001//数据范围:1~22,相当于组策略设置中的“自动更新检测频率”的时间间隔设置,1~22代表自动更新检测的时间间隔,单位小时。设置检测的频率。
"AutoInstallMinorUpdates"=dword:00000001//数据范围 :0,1。0 :对较小的补丁包和安装其他更新补丁包一样予以提示 ;1 :后台静默地安装较小的补丁包而不予提示。
"NoAutoUpdate"=dword:00000001//数据范围:0,1。0:启用“配置自动更新”策略;1:禁用“配置自动更新”策略。设置为0,表明自动升级。
"AUOptions"=dword:00000004//数据范围:2~5。2:在下载更新前提示;3:自动下载更新并提示安装;4:下载更新后按预设的时间自动安装(仅当scheduledDay and SheduledInstallTime项设置好后才有效);5:选择自动更新,但客户端可以配置更新模式。
"ScheduledInstallDay"=dword:00000000//数据范围:0~7。0:每天;1:每周日;2:每周1,3:每周2;…;7:每周6;设置为0,表示每天都检测升级。
"ScheduledInstallTime"=dword:00000014//数据范围:0~24,设置安装补丁的时间。
将以上内容存为以REG为扩展名的注册表文件,导入到注册表中即可。也可用相关软件将内容打包成可执行文件,在客户端直接执行。关于WSUS注册表还有其它一些设置,但以上内容已经可以使客户端正常连接到服务器,其它内容不再详述。
完成后,如果想使设置立即生效,则可在命令提示符下输入wuauclt/detectnow,可以实现WSUS服务器和客户端之间的侦测,可以很快连接上服务器下载更新。
6 客户端布置时的主要问题
有时,按照上述方法完成后,发现客户端计算机没有在WSUS服务器上显示出来,一般来说,有以下两种情况:
6.1 设置完客户端后,计算机不能立即显示到WSUS服务器上
这是因为本地策略有刷新期,时间在90分钟之内,只要网络通信正常,只需要多等一些时间,客户端就可正常显示在服务器上。如果不想等待,则可在命令提示符下输入“Gpupdate/force”来强制刷新本地策略。但可能仍然需要等待20分钟左右。
6.2 克隆系统不能正常连接到WSUS服务器上
为了方便,很多系统都是通过GHOST方式安装的,而通过GHOST制作的操作系统的SID值是相同的。由于WSUS是通过SID值来定位计算机,所以相同SID值的计算机同时只能有一台出现在WSUS服务器。导致升级过程不正常。因此,需要修改系统的SID值。最常用的修改SID值的软件是Newsid,运行后可随机生成一个新SID。
7 结束语
通过作者在本单位校园网部署WSUS 3.0,目前已经有100多个客户端通过WSUS 3.0服务器进行系统更新,运行正常。实践证明,使用WSUS 3.0服务器可以更快的将更新分发到客户端,更大的提高了网络的安全性和可用性,不失为一种保障网络安全、高效运行的有效手段。
参考文献:
[1]Susan Norwood. Microsoft Windows Server Update Services 3.0 入门循序渐进指南[EB/OL]. http://www.microsoft.com/downloads/details.aspx?familyid=3B-A03939-A5A9-407B-A4B0-1290BA5182F8
关键词:Windows Update;WSUS 3.0;客户端
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)05-10856-03
1 引言
随着校园信息化的不断推进,校园网络已成为校园信息化应用的基础平台,在学校的教学和科研中发挥着重要的作用。如何保证校园网安全、高效地运行成为网络管理员面临的课题。由于大多数网络或者是病毒入侵是系统本身的漏洞造成的,而且校园网内计算机的分布呈高密度状态,计算机之间极易发生病毒的交叉感染。因此,在补丁推出的第一时间安装,已经成为校园网安全的重要一环。
通过部署WSUS,建立校园网内部系统更新服务器,让学校的所有计算机直接到这台更新服务器上下载补丁,这样就避免了下载补丁时的低速以及大量电脑一起下载时对网络出口带宽的占用,使得更新补丁的时间大大缩短,提高了安全性。另外,对于没有连接到Internet的计算机,只要在内网中可以访问这台更新服务器也可以更新系统补丁。
本文根据作者的实践,来说明在校园网内部署WSUS 3.0,管理方法,客户端布置方法以及一些常见问题的处理。
2 WSUS 3.0简介
WSUS 3.0(Windows Server Update Services)是微软公司推出的最新版WSUS版本,除了继承2.0的优点外,还增加了以下一些主要新特性:
(1)从管理控制台管理 WSUS:WSUS 3.0 管理控制台已从基于 Web 的控制台变为 Microsoft 管理控制台 3.0 版的一个插件,更便于使用;
(2)配置向导:使用向导配置安装后的任务,指导新用户进行安装后的服务器配置过程;
(3)准确性更高的多个报告:现在可以直接从更新视图生成报告。可以报告更新的子集,如计算机需要但还未批准安装的安全更新;
(4)可使用清除向导从服务器中删除旧的计算机、旧的更新和旧的更新文件;
(5)更快获得更新:使用 WSUS 3.0,可以将服务器配置为最快每隔一小时自动同步更新一次(而 WSUS 2.0 则是每天一次);
(6)采用更快的性能:WSUS 3.0 可获得比 WSUS 2.0 高大约 50% 的可伸缩性。
3 WSUS 3.0的布置
3.1 WSUS的布置场景
WSUS的布置场景有单WSUS服务器环境、链式WSUS服务器环境、和Internet断开的WSUS服务器环境三种,本文以最常见的单WSUS服务器、非域环境为例来说明,如下图所示:
3.2 WSUS服务器端安装需求
软件:必需组件:Windows Server 2003 Service Pack 1或以上版本、IIS6.0或以上版本、BITS2.0或以上版本、Windows Installer 3.1或以上版本、Microsoft .NET Framework 2.0。可选择的安装条件:Microsoft Management Console 3.0、SQL Server 2005 Service Pack 1、Microsoft Report Viewer Redistributable 2005。
尽管安装 WSUS 需要SQL SERVER数据库软件,但并不是一个必需组件,原因是 Windows Server 2003 上的默认 WSUS 安装包括 Windows SQL ServerTM 2000 Desktop Engine (WMSDE) 数据库软件。
3.3 WSUS 3.0的安装
添加必需组后,执行WSUS 3.0安装文件,选择“包括管理控制台的完整服务器安装”,然后根据具体需求依次选择相应选项,如无特殊需求,建议使用系统默认选项。
安装完成后,系统会自动启动配置向导,根据向导依次设置更新源(从Windows Update进行同步)、设置语言、指定产品更新及更新分类、设定同步模式等,安装完成后的界面如下图所示:
4 WSUS 3.0的管理模式
4.1 本地管理
我们可以直接登录到服务器上,在管理工具中选择Microsoft Windows Server Update Services 3.0,启动管理控制台来管理WSUS 3.0服务器。所使用的登录帐号必须属于WSUS Administrators和WSUS Reporters组或者是Administrators组。
4.2 远程管理
Wsus 3.0也支持远程控制台管理模式,可以在网络中的任意一台计算机上安装WSUS 3.0管理控制台以实现,具体方法如下:
首先在服务器端创建具有WSUS管理权限的帐号和密码(隶属于WSUS Administrators或者是Administrators组),在客户端创建相同的帐号和密码。然后在客户端安装下列组件:Mmc 3.0、.NET Framework 2.0、Windows installer 3.1,执行WSUS 3.0安装文件,选择“只安装管理控制台” ,安装完成后会在系统管理工具中出现WSUS 3.0控制台。右键单击控制台,选“运行方式”——“下列用户”,输入创建的帐号和密码。打开控制台后,选择“连接到服务器”,输入服务器的IP地址和所使用的端口号,即可正常连接到服务器。如果在网络上有多台WSUS 3.0服务器,均可在同一客户端控制台上进行管理。
5 客户端的布置
以Windows Xp为例,一般有两种方法:
5.1 通过本地安全策略设置
打开组策略编辑器(Gpedit.msc),依次打开本地计算机策略——计算机配置——管理模板——Windows组件——Windows Update,则会出现有关于客户端升级配置的一些选项。一般我们只需要将 “配置自动更新”配置为已启用;“指定Intranet Microsoft更新服务位置”配置为已启用,输入WSUS服务器和统计服务器的位置,例如“http://192.168.0.30”,如果使用的不是80端口,还要在后面加上所使用的端口号;“自动更新检测频率”配置为已启用,根据需要定义时间。点确定后即可完成客户端设置。其它的配置可根据具体需求定义。在此不再赘述。
5.2 编辑注册表
对于某些Windows XP,可能不带组策略编辑器组件,主要指OEM版XP,这时如果要使用WSUS,则需要编辑注册表项,内容及相关注释如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://192.168.0.30 "//WSUS更新服务器位置
"WUStatusServer"="http://192.168.0.30"//WSUS更新统计服务位置
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001//表明使用本地wsus更新服务器
"DetectionFrequencyEnabled"=dword:00000001//数据范围:0,1。0:禁用自动更新检测频率策略;1:启用自动更新检测频率策略。这里设置为1,下面的参数才有效。
"DetectionFrequency"=dword:00000001//数据范围:1~22,相当于组策略设置中的“自动更新检测频率”的时间间隔设置,1~22代表自动更新检测的时间间隔,单位小时。设置检测的频率。
"AutoInstallMinorUpdates"=dword:00000001//数据范围 :0,1。0 :对较小的补丁包和安装其他更新补丁包一样予以提示 ;1 :后台静默地安装较小的补丁包而不予提示。
"NoAutoUpdate"=dword:00000001//数据范围:0,1。0:启用“配置自动更新”策略;1:禁用“配置自动更新”策略。设置为0,表明自动升级。
"AUOptions"=dword:00000004//数据范围:2~5。2:在下载更新前提示;3:自动下载更新并提示安装;4:下载更新后按预设的时间自动安装(仅当scheduledDay and SheduledInstallTime项设置好后才有效);5:选择自动更新,但客户端可以配置更新模式。
"ScheduledInstallDay"=dword:00000000//数据范围:0~7。0:每天;1:每周日;2:每周1,3:每周2;…;7:每周6;设置为0,表示每天都检测升级。
"ScheduledInstallTime"=dword:00000014//数据范围:0~24,设置安装补丁的时间。
将以上内容存为以REG为扩展名的注册表文件,导入到注册表中即可。也可用相关软件将内容打包成可执行文件,在客户端直接执行。关于WSUS注册表还有其它一些设置,但以上内容已经可以使客户端正常连接到服务器,其它内容不再详述。
完成后,如果想使设置立即生效,则可在命令提示符下输入wuauclt/detectnow,可以实现WSUS服务器和客户端之间的侦测,可以很快连接上服务器下载更新。
6 客户端布置时的主要问题
有时,按照上述方法完成后,发现客户端计算机没有在WSUS服务器上显示出来,一般来说,有以下两种情况:
6.1 设置完客户端后,计算机不能立即显示到WSUS服务器上
这是因为本地策略有刷新期,时间在90分钟之内,只要网络通信正常,只需要多等一些时间,客户端就可正常显示在服务器上。如果不想等待,则可在命令提示符下输入“Gpupdate/force”来强制刷新本地策略。但可能仍然需要等待20分钟左右。
6.2 克隆系统不能正常连接到WSUS服务器上
为了方便,很多系统都是通过GHOST方式安装的,而通过GHOST制作的操作系统的SID值是相同的。由于WSUS是通过SID值来定位计算机,所以相同SID值的计算机同时只能有一台出现在WSUS服务器。导致升级过程不正常。因此,需要修改系统的SID值。最常用的修改SID值的软件是Newsid,运行后可随机生成一个新SID。
7 结束语
通过作者在本单位校园网部署WSUS 3.0,目前已经有100多个客户端通过WSUS 3.0服务器进行系统更新,运行正常。实践证明,使用WSUS 3.0服务器可以更快的将更新分发到客户端,更大的提高了网络的安全性和可用性,不失为一种保障网络安全、高效运行的有效手段。
参考文献:
[1]Susan Norwood. Microsoft Windows Server Update Services 3.0 入门循序渐进指南[EB/OL]. http://www.microsoft.com/downloads/details.aspx?familyid=3B-A03939-A5A9-407B-A4B0-1290BA5182F8