Windows Server 2012 R2 WSUS-2:部署前的规划工作
其实在technet library里面对部署要做的准备工作已经说明的很详细了,但是实际部署过程中还是存在一些需要考量的规划问题、需要注意的细节问题。
那么,在本文的场景下,我要部署的是一个包含一级WSUS和二级WSUS的环境,下面就以这个环境为例来看看我们都要做哪些准备工作。
(一)系统要求
其实WSUS对系统的硬件要求不是特别高,就目前来说,如果企业的WSUS客户端的数量在4000台以下,8G内存足够了。对于操作系统,则可以选择windows server 2008 R2 SP1(WSUS 3.0 SP2),也可以选择windows server 2012系统。同时,对于WSUS的部署来说,可以选择刀片服务器、机架服务器,也可以选择部署在虚拟化平台上面。本文的demo环境是在vmware的虚拟化平台上部署的WSUS。对于系统要求来说,有一些注意事项如下。
1、必须在将安装 WSUS 服务器角色的服务器上安装 Microsoft .NET Framework 4.0。这个条件已经具备了,对于windows server 2012 R2操作系统来说,默认是安装的。
2、NT Authority\Network Service 帐户必须拥有以下文件夹的完全控制权限,以便 WSUS 管理管理单元正确显示:%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files。这个条件需要在部署完成WSUS后,去手动调整,在未部署WSUS之前,由于没有安装IIS,所以是没有这个文件夹的。
添加相应的权限。
(二)数据库要求
对于数据库来说,可以选择内部数据库,本文的部署场景选择的就是内部数据库。也可以选择SQL server数据库,对于SQL server的版本来说,只要是SQL server 2008 R2 SP1以上版本都可以支持。如果选择SQL server,则会多一个选择数据库实例的步骤,如图。
WSUS 数据库存储以下信息:
WSUS 服务器配置信息
描述各个更新的元数据
有关客户端计算机、更新和交互的信息
(三)防病毒排除要求
某些厂商的防病毒软件,可能会对WSUS产生一定的影响,所以在部署WSUS之前,最好能对WSUS的防病毒排除做一个规划;在部署之后,立马进行防病毒的排除操作。微软建议的防病毒排除项目如下图。
(四)部署架构准备工作
在部署WSUS之前,我们最好针对整个公司的实际情况,进行架构的规划工作,不能盲目的去部署,导致一些后期的维护难题。
WSUS的部署分为简单部署和多台部署两种方式,如果企业的客户端不是特别多,那么就放一台WSUS就够了,如果总部客户端比较多,而且存在客户端数量比较多的分公司或者办事处,可以考虑多台部署的方式,来提高补丁分发的效率。下图是微软的多台WSUS服务器部署架构图。
(五)WSUS服务器层次结构规划
WSUS 服务器层次结构部署具有以下几个优点:
你可以一次从 Internet 下载更新,然后使用下游服务器将更新分配给客户端计算机。该方法将节约企业 Internet 连接上的带宽。
你可将更新下载到接近实际的客户端计算机(例如在分支机构)的 WSUS 服务器。
你可设置独立的 WSUS 服务器以服务使用 Microsoft 产品不同语言的客户端计算机。
对于客户端计算机数量超出一台 WSUS 服务器有效管理范围的大型组织而言,你可以扩展 WSUS。
我们建议你不要创建三个级别以上的 WSUS 服务器层次结构。每个级别将增加向整个连接的服务器传播更新的时间。虽然在理论上层次结构没有受到限制,但 Microsoft Corporation 只对五个级别的层次结构部署进行了测试。
你可在“自治”模式(旨在实现分布式管理)或“副本”模式(旨在实现集中管理)下连接 WSUS 服务器。
本例中,我们选择的是自治模式,在“自治”模式中,上游 WSUS 服务器与下游服务器在同步期间分享更新。独立管理下游 WSUS 服务器,它们不接收来自上游服务器的更新批准状态或计算机组信息。使用分布式管理模式,每个 WSUS 服务器管理员选择更新语言、创建计算机组、将计算机分配给各组、测试和批准更新,并确保将正确的更新安装到适当的计算机组。以下图像显示你可能在分支机构环境中部署自治 WSUS 服务器的方式:
(六)防火墙配置
如果公司在WSUS与internet之间存在防火墙,那么要确保防火墙已经打开了WSUS到如下microsoft站点的通信。而且如果WSUS放置在专用的服务器DMZ区的话,要打开相应的更新端口,在windows server 2012中,WSUS 4.0使用端口8530和8531。
以上简单介绍了部署WSUS前需要考虑的一些主要的准备工作,如果想了解更多关于准备工作的信息,可以访问WSUS的library文档,其他的一些需要考虑的事项例如:分支机构带宽的优化、补丁下载模式等等。
本文出自 “曾垂鑫的技术专栏” 博客,谢绝转载!