特爱蚂蚁
管理员
帖子
1261
精华
3
无忧币 3102
积分 1300
阅读权限 255
来自 (保密)
|
发表于:2008-6-27 10:30
标题:WSUS全攻略之四 :链式WSUS部署
<上一帖 |
下一帖>
链式WSUS部署 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�t$V�R�a�W�y�m
WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
�c�m d+f�@�T.W
$U�x�b�q�J9Pbbs.51cto.com你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离#a�n*j+s'l�r
在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能修改下游服务器的高级同步选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器。 bbs.51cto.com
{�s�x
@�Y�x�w�s.Z9a#|
根据管理模式的不同,WSUS服务器担当的角色也不同,不同WSUS服务器角色之间的区别如下表所示,表中未提及的其他功能均一致:
�X'J�\�J�jbbs.51cto.com�w�b�W�H�^�b�K
�A�F4E�Y�u�V�W.F51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5S T*X#f
h�A�Y�\0{
分布管理模式下的独立管理服务器
�@"s+f�a�{�]
�B�V�Z�`*I7_集中管理模式下的独立管理服务器(主服务器)bbs.51cto.com"Q�S5G�_�a�C.O1j h�f
4F3w�c/Y�l�w
U集中管理模式下的复制服务器bbs.51cto.com�R�T%}�O$V�a�d4U�J
�I�P�y:y
o�j�\�L�Z
F同步源位置1T;?%]+O�N4W
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1~%o�P2V�B/e
Microsoft Update或者其他WSUS服务器51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
k6D3` ~�u
�v:Q S3j+b�u#X�i�b7g51CTO技术论坛Microsoft Update或者其他WSUS服务器bbs.51cto.com�p�x�m!P�].y�e9V�t
�Q�^�e�y ]&H�S w�V只能是其他WSUS服务器51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 C(V,z$~3W�S/K'm�T+y
&Z7s�Z�O'r*T6? ?bbs.51cto.com同步高级选项(同步更新的语言和下载更新程序的方式)51CTO技术论坛�l3Y�|"_;m�F�\�{&n {
�w5^6o'A7f(t配置为从其他WSUS服务器获取更新时不能修改51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 c�B
W�h4y)x�]�r;L0}
bbs.51cto.com f2S0O;a�l6`-N�y ~
配置为从其他WSUS服务器获取更新时不能修改
�[�k�^�v�J9t"U�w,h51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
�g�p�G�b+]0f�Tbbs.51cto.com无此选项�T�u�\�W�Q3?*m/q5v
bbs.51cto.com"v�X:g�j�f g
同步更新程序的产品和分类
�`5u�n�y
q�F51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离配置为从其他WSUS服务器获取更新时不能修改51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离:?�q�x�Y9z,@7G6d
配置为从其他WSUS服务器获取更新时不能修改bbs.51cto.com:^.H�Q�v�_"x�~
无此选项
�P�`3|6N�@�n"G
K
y�}�s51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
*L n�w�e7j�}._�i5o�F51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离管理计算机组
�c)j'K x�_�Obbs.51cto.com7D Z�b3`�Q.q!w
可以"z5A.O;{ E�\�d
bbs.51cto.com(M�U�R�D j�q9j(K�E
可以�R�i"V,_ F�w�k3I�m�v _
51CTO技术论坛�y�V0Y�G0E"u$A2J
不能,只能从主服务器继承计算机组设置
;H�H�?�G�Y*{�_�H51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
�I%j�L3r4n)J�_7r7i51CTO技术论坛将计算机添加到计算机组中或者从计算机组中进行删除
0}�z�J�A�L)]�f51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�q�c*w;o3b
]
可以�U�m:l(S�D @/J2}�U
�d!e�m h
d X�g1xbbs.51cto.com可以
�F�i7Z/}�u�j�G�Nbbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�o�[,V-i�B
可以
.a8z�];?)X!t!A�^�c�j
�e&p�j�L2D*j*j51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离批准更新
,T�k�U�g6H�]�~51CTO技术论坛
:X;D&a#K�W�`&O�A51CTO技术论坛可以bbs.51cto.com&O!X�C
g0C
bbs.51cto.com�T�R&x+c K-e�M7|)t+W
可以
�D�^�D7\+r(Z�l/xbbs.51cto.com51CTO技术论坛�u+K�W*q#r�d,x)L�K
不能,从主服务器继承更新批准设置
,J;M�s�Z(W51CTO技术论坛
�K/j�X6s)~�Y-{�t51CTO技术论坛自动批准
#Z2V�_2V�J.m�C5m�}2h�J51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com�Q�E:}�R6Z�A+b
可以51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离0F�p'X�~!i�L
0{�Z�b!s�l�vbbs.51cto.com可以bbs.51cto.com'w�H�l�S6t,I
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�c�n(O�]�u�g�I
无此选项51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 F
U2u-^�n�c:N�h
�|�[�x�V7@�J�X;N
其实分布管理模式下的独立管理服务器和集中管理模式下的主服务器是没有区别的,简单一点来说,WSUS服务器就只有独立管理服务器和复制服务器这两种角色。决定WSUS服务器的服务器角色是根据在安装WSUS服务器时在镜像更新设置页的配置进行,如果你没有配置该服务器继承其他服务器的设置,则该WSUS服务器为独立管理服务器角色;如果你配置该服务器继承其他服务器的设置,则该WSUS服务器为复制服务器角色。如下图所示,我配置此服务器继承另外一台WSUS服务器的设置,则此WSUS服务器则配置为复制服务器。安装好WSUS服务器后,你不能修改WSUS服务器的工作模式,但是可以修改获取更新的主服务器的地址。修改主服务器地址后,WSUS服务器从新的主服务器获取更新和配置信息,而丢弃从原主服务器上获取的配置信息。
�z�m�d0\�b%Q2j*^:G51CTO技术论坛
�l�R�]+b�l�@�`+k�k51CTO技术论坛 #k�_�K4A r�S1P�C%g�m
WSUS服务器之间的同步也是通过WSUS Web站点进行的,只是和客户端计算机进行同步时访问的目录不同。你可以配置上游WSUS服务器要求下游WSUS服务器同步时进行身份验证,但是由于是对计算机账户进行身份验证,所以必须要求所有WSUS服务器均属于域环境;可以位于不同的森林,但是所在的森林间必须具有信任关系。
'v1I!} u�U9B�Jbbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6d
p�]%@3L�_0Z�L:G v8]
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!E�V%p'Y+F6P(a�_-n4t
启用WSUS服务器间的身份验证 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�u"P c;X8m4U)O5c�G�G
你需要通过两个步骤来启用WSUS服务器间的身份验证:首先,你需要在上游WSUS服务器上创建一个允许通过此WSUS服务器进行同步的下游WSUS服务器列表;其次,在上游WSUS服务器的IIS中禁止匿名访问WSUS服务器同步目录,配置使用集成身份验证。这样,就只有在所定义的服务器列表中的下游WSUS服务器才可以访问此WSUS服务器来进行同步。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�Q�R�].Z�L2r,k(]
*t�B�L�T"q i
x
创建允许的下游WSUS服务器列表 �I�w�t8F
f&L
在WSUS服务器安装时,创建了一个可以让你显式添加允许访问此WSUS服务器的下游WSUS服务器列表的文件,此文件名为Web.Config,位于 -`-y(u"C�Q
%ProgramFiles%\Update Services\WebServices\Serversyncwebservice
�F�q�C9`;a*n51CTO技术论坛目录下(此目录就是下游WSUS服务器同步时所访问的目录)。你可以在此文件中使用元素来定义一个认证列表,只有此认证列表中的WSUS服务器才能和此WSUS服务器进行同步。你必须将元素添加在元素和元素下,如下图所示:
�D�v g&Q0r51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�g#Z
X#I;L!G�Q D�W�T f�z
�k;_�^�q.b8f&O�j51CTO技术论坛 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
@�`,m#F�N8`
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离3S�t3m5m�A(O
s�W2s
+Y5N Z�T'x�}(V�\1D�W
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�v0e�Z�B�F�S
�G(?$m4M�j$M
bbs.51cto.com�o)o�N&o"w�n4{5X�h�}
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!X,?�y�K*}�g5A8t
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�c�d�s�x+Y/^+W�l�u
在此列表中,你可以使用和来定义允许访问和拒绝访问的计算机账户,定义的计算机账户必须采用domain\computer_name的形式,多个计算机账户之间使用英文逗号“,”隔开。此列表是从上到下依次执行,所以顺序非常重要。如下图所示,我修改此文件只允许WINSVR\Munich$计算机账号的访问。 bbs.51cto.com2X�I�?�O1C�Z�n Y
�B�\/^)_8U(K�W�[#c -g�K�s�_;B�A�I�e�B�]8b
�h![�^�]8v(o�m2o配置IIS 51CTO技术论坛�J�v/@�P�p�G&|5B'd�n.F�J
接下来我们需要配置IIS服务器拒绝对WSUS Web站点的ServerSyncWebService虚拟目录的匿名访问,此虚拟目录用于WSUS服务器之间的同步。 �G#@�V l�Z�h
在Internet信息服务管理控制台中,展开本地计算机下的WSUS Web站点,然后右击SeverSyncWebService虚拟目录,选择属性,在目录安全性标签,点击身份验证和访问控制下的编辑按钮,在弹出的身份验证方法对话框上,取消启用匿名访问,然后勾选集成Windows身份验证,如下图所示,然后点击两次确定关闭对话框。 51CTO技术论坛8]#w�I2_�g3b*Y
 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�[�o�b,I,i
�G�A:x�a;o51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离此时,其他WSUS服务器就不能访问此WSUS服务器进行更新了,在这些WSUS服务器的报告的同步结果中你可以看到同步失败的信息,详细错误信息如下图所示:401 未授权。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�_"z6z�I+F/S�L+\
|
喜欢篮球和bbs的纯情小正太一枚..
|
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图