首页 > 代码库 > Windows Server 2012 R2 WSUS-2:部署前的规划工作

Windows Server 2012 R2 WSUS-2:部署前的规划工作

其实在technet library里面对部署要做的准备工作已经说明的很详细了,但是实际部署过程中还是存在一些需要考量的规划问题、需要注意的细节问题。

那么,在本文的场景下,我要部署的是一个包含一级WSUS和二级WSUS的环境,下面就以这个环境为例来看看我们都要做哪些准备工作。

(一)系统要求

其实WSUS对系统的硬件要求不是特别高,就目前来说,如果企业的WSUS客户端的数量在4000台以下,8G内存足够了。对于操作系统,则可以选择windows server 2008 R2 SP1(WSUS 3.0 SP2),也可以选择windows server 2012系统。同时,对于WSUS的部署来说,可以选择刀片服务器、机架服务器,也可以选择部署在虚拟化平台上面。本文的demo环境是在vmware的虚拟化平台上部署的WSUS。对于系统要求来说,有一些注意事项如下。

1、必须在将安装 WSUS 服务器角色的服务器上安装 Microsoft .NET Framework 4.0。这个条件已经具备了,对于windows server 2012 R2操作系统来说,默认是安装的。

2、NT Authority\Network Service 帐户必须拥有以下文件夹的完全控制权限,以便 WSUS 管理管理单元正确显示:%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files。这个条件需要在部署完成WSUS后,去手动调整,在未部署WSUS之前,由于没有安装IIS,所以是没有这个文件夹的。

截图106

添加相应的权限。

截图107

(二)数据库要求

对于数据库来说,可以选择内部数据库,本文的部署场景选择的就是内部数据库。也可以选择SQL server数据库,对于SQL server的版本来说,只要是SQL server 2008 R2 SP1以上版本都可以支持。如果选择SQL server,则会多一个选择数据库实例的步骤,如图。

截图38

WSUS 数据库存储以下信息:

  • WSUS 服务器配置信息

  • 描述各个更新的元数据

  • 有关客户端计算机、更新和交互的信息

(三)防病毒排除要求

某些厂商的防病毒软件,可能会对WSUS产生一定的影响,所以在部署WSUS之前,最好能对WSUS的防病毒排除做一个规划;在部署之后,立马进行防病毒的排除操作。微软建议的防病毒排除项目如下图。

截图150

(四)部署架构准备工作

在部署WSUS之前,我们最好针对整个公司的实际情况,进行架构的规划工作,不能盲目的去部署,导致一些后期的维护难题。

WSUS的部署分为简单部署和多台部署两种方式,如果企业的客户端不是特别多,那么就放一台WSUS就够了,如果总部客户端比较多,而且存在客户端数量比较多的分公司或者办事处,可以考虑多台部署的方式,来提高补丁分发的效率。下图是微软的多台WSUS服务器部署架构图。

IC661071[5]

(五)WSUS服务器层次结构规划

WSUS 服务器层次结构部署具有以下几个优点:

  • 你可以一次从 Internet 下载更新,然后使用下游服务器将更新分配给客户端计算机。该方法将节约企业 Internet 连接上的带宽。

  • 你可将更新下载到接近实际的客户端计算机(例如在分支机构)的 WSUS 服务器。

  • 你可设置独立的 WSUS 服务器以服务使用 Microsoft 产品不同语言的客户端计算机。

  • 对于客户端计算机数量超出一台 WSUS 服务器有效管理范围的大型组织而言,你可以扩展 WSUS。

我们建议你不要创建三个级别以上的 WSUS 服务器层次结构。每个级别将增加向整个连接的服务器传播更新的时间。虽然在理论上层次结构没有受到限制,但 Microsoft Corporation 只对五个级别的层次结构部署进行了测试。

你可在“自治”模式(旨在实现分布式管理)或“副本”模式(旨在实现集中管理)下连接 WSUS 服务器。

本例中,我们选择的是自治模式,在“自治”模式中,上游 WSUS 服务器与下游服务器在同步期间分享更新。独立管理下游 WSUS 服务器,它们不接收来自上游服务器的更新批准状态或计算机组信息。使用分布式管理模式,每个 WSUS 服务器管理员选择更新语言、创建计算机组、将计算机分配给各组、测试和批准更新,并确保将正确的更新安装到适当的计算机组。以下图像显示你可能在分支机构环境中部署自治 WSUS 服务器的方式:

IC594401

(六)防火墙配置

如果公司在WSUS与internet之间存在防火墙,那么要确保防火墙已经打开了WSUS到如下microsoft站点的通信。而且如果WSUS放置在专用的服务器DMZ区的话,要打开相应的更新端口,在windows server  2012中,WSUS 4.0使用端口8530和8531。

截图151

以上简单介绍了部署WSUS前需要考虑的一些主要的准备工作,如果想了解更多关于准备工作的信息,可以访问WSUS的library文档,其他的一些需要考虑的事项例如:分支机构带宽的优化、补丁下载模式等等。

本文出自 “曾垂鑫的技术专栏” 博客,谢绝转载!