WSUS全攻略之四鏈?zhǔn)絎SUS部署

1、WSUS全攻略之四 ：鏈?zhǔn)絎SUS部署 鏈?zhǔn)絎SUS部署 WSUS服務(wù)器不僅僅可以從Windows Update中獲取更新程序，也可以從其他WSUS服務(wù)器中獲取更新程序。當(dāng)企業(yè)網(wǎng)絡(luò)具有很大的規(guī)模時(shí)，一臺(tái)WSUS服務(wù)器可能不能滿(mǎn)足你的需求，此時(shí)你就可以使用多臺(tái)WSUS服務(wù)器組成鏈?zhǔn)浇Y(jié)構(gòu)，如下圖所示，一臺(tái)WSUS服務(wù)器作為上游服務(wù)器，一臺(tái)WSUS服務(wù)器作為下游服務(wù)器。 你可以使用鏈?zhǔn)降腤SUS結(jié)構(gòu)滿(mǎn)足企業(yè)網(wǎng)絡(luò)中不同地域的需求或者企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大后的更新服務(wù)需求。鏈?zhǔn)絎SUS服務(wù)器的級(jí)數(shù)是沒(méi)有限制的，但是由于每一級(jí)WSUS服務(wù)器增加了更新程序的延遲，所以推薦部署不超過(guò)三級(jí)的鏈?zhǔn)絎SUS服務(wù)結(jié)構(gòu)。上游

2、服務(wù)器不能和下游服務(wù)器進(jìn)行同步，否則WSUS就不能正常提供服務(wù)。 在鏈?zhǔn)絎SUS服務(wù)器部署中，下游WSUS服務(wù)器繼承上游WSUS服務(wù)器的高級(jí)同步選項(xiàng)，你不能修改下游服務(wù)器的高級(jí)同步選項(xiàng)。默認(rèn)情況下，上游WSUS服務(wù)器只把更新元數(shù)據(jù)和更新文件同步到下游WSUS服務(wù)器中，而不包含其他的信息，例如計(jì)算機(jī)組和更新批準(zhǔn)信息。如果你想讓上游WSUS服務(wù)器向下游WSUS服務(wù)器同步計(jì)算機(jī)組和更新批準(zhǔn)信息，則下游WSUS服務(wù)器必須配置為集中管理模式中的復(fù)制服務(wù)器。 根據(jù)管理模式的不同，WSUS服務(wù)器擔(dān)當(dāng)?shù)慕巧膊煌?，不同WSUS服務(wù)器角色之間的區(qū)別如下表所示，表中未提及的其他功能均一致： 分布管理模式下的獨(dú)立管

3、理服務(wù)器集中管理模式下的獨(dú)立管理服務(wù)器（主服務(wù)器）集中管理模式下的復(fù)制服務(wù)器同步源位置Microsoft Update或者其他WSUS服務(wù)器Microsoft Update或者其他WSUS服務(wù)器只能是其他WSUS服務(wù)器同步高級(jí)選項(xiàng)（同步更新的語(yǔ)言和下載更新程序的方式）配置為從其他WSUS服務(wù)器獲取更新時(shí)不能修改配置為從其他WSUS服務(wù)器獲取更新時(shí)不能修改無(wú)此選項(xiàng)同步更新程序的產(chǎn)品和分類(lèi)配置為從其他WSUS服務(wù)器獲取更新時(shí)不能修改配置為從其他WSUS服務(wù)器獲取更新時(shí)不能修改無(wú)此選項(xiàng)管理計(jì)算機(jī)組可以可以不能，只能從主服務(wù)器繼承計(jì)算機(jī)組設(shè)置將計(jì)算機(jī)添加到計(jì)算機(jī)組中或者從計(jì)算機(jī)組中進(jìn)行刪除可以可以可以

4、批準(zhǔn)更新可以可以不能，從主服務(wù)器繼承更新批準(zhǔn)設(shè)置自動(dòng)批準(zhǔn)可以可以無(wú)此選項(xiàng) 其實(shí)分布管理模式下的獨(dú)立管理服務(wù)器和集中管理模式下的主服務(wù)器是沒(méi)有區(qū)別的，簡(jiǎn)單一點(diǎn)來(lái)說(shuō)，WSUS服務(wù)器就只有獨(dú)立管理服務(wù)器和復(fù)制服務(wù)器這兩種角色。決定WSUS服務(wù)器的服務(wù)器角色是根據(jù)在安裝WSUS服務(wù)器時(shí)在鏡像更新設(shè)置頁(yè)的配置進(jìn)行，如果你沒(méi)有配置該服務(wù)器繼承其他服務(wù)器的設(shè)置，則該WSUS服務(wù)器為獨(dú)立管理服務(wù)器角色；如果你配置該服務(wù)器繼承其他服務(wù)器的設(shè)置，則該WSUS服務(wù)器為復(fù)制服務(wù)器角色。如下圖所示，我配置此服務(wù)器繼承另外一臺(tái)WSUS服務(wù)器的設(shè)置，則此WSUS服務(wù)器則配置為復(fù)制服務(wù)器。安裝好WSUS服務(wù)器后，你不能修改W

5、SUS服務(wù)器的工作模式，但是可以修改獲取更新的主服務(wù)器的地址。修改主服務(wù)器地址后，WSUS服務(wù)器從新的主服務(wù)器獲取更新和配置信息，而丟棄從原主服務(wù)器上獲取的配置信息。 WSUS服務(wù)器之間的同步也是通過(guò)WSUS Web站點(diǎn)進(jìn)行的，只是和客戶(hù)端計(jì)算機(jī)進(jìn)行同步時(shí)訪(fǎng)問(wèn)的目錄不同。你可以配置上游WSUS服務(wù)器要求下游WSUS服務(wù)器同步時(shí)進(jìn)行身份驗(yàn)證，但是由于是對(duì)計(jì)算機(jī)賬戶(hù)進(jìn)行身份驗(yàn)證，所以必須要求所有WSUS服務(wù)器均屬于域環(huán)境；可以位于不同的森林，但是所在的森林間必須具有信任關(guān)系。啟用WSUS服務(wù)器間的身份驗(yàn)證 你需要通過(guò)兩個(gè)步驟來(lái)啟用WSUS服務(wù)器間的身份驗(yàn)證：首先，你需要在上游WSUS服務(wù)器上創(chuàng)建一

6、個(gè)允許通過(guò)此WSUS服務(wù)器進(jìn)行同步的下游WSUS服務(wù)器列表；其次，在上游WSUS服務(wù)器的IIS中禁止匿名訪(fǎng)問(wèn)WSUS服務(wù)器同步目錄，配置使用集成身份驗(yàn)證。這樣，就只有在所定義的服務(wù)器列表中的下游WSUS服務(wù)器才可以訪(fǎng)問(wèn)此WSUS服務(wù)器來(lái)進(jìn)行同步。 創(chuàng)建允許的下游WSUS服務(wù)器列表 在WSUS服務(wù)器安裝時(shí)，創(chuàng)建了一個(gè)可以讓你顯式添加允許訪(fǎng)問(wèn)此WSUS服務(wù)器的下游WSUS服務(wù)器列表的文件，此文件名為Web.Config，位于 %ProgramFiles%Update ServicesWebServicesServersyncwebservice 目錄下（此目錄就是下游WSUS服務(wù)器同步時(shí)所訪(fǎng)問(wèn)的目

7、錄）。你可以在此文件中使用元素來(lái)定義一個(gè)認(rèn)證列表，只有此認(rèn)證列表中的WSUS服務(wù)器才能和此WSUS服務(wù)器進(jìn)行同步。你必須將元素添加在元素和元素下，如下圖所示： 在此列表中，你可以使用和來(lái)定義允許訪(fǎng)問(wèn)和拒絕訪(fǎng)問(wèn)的計(jì)算機(jī)賬戶(hù)，定義的計(jì)算機(jī)賬戶(hù)必須采用domaincomputer_name的形式，多個(gè)計(jì)算機(jī)賬戶(hù)之間使用英文逗號(hào)“,”隔開(kāi)。此列表是從上到下依次執(zhí)行，所以順序非常重要。如下圖所示，我修改此文件只允許WINSVRMunich$計(jì)算機(jī)賬號(hào)的訪(fǎng)問(wèn)。 配置IIS 接下來(lái)我們需要配置IIS服務(wù)器拒絕對(duì)WSUS Web站點(diǎn)的ServerSyncWebService虛擬目錄的匿名訪(fǎng)問(wèn)，此虛擬目錄用于WSUS服務(wù)器之間的同步。 在Internet信息服務(wù)管理控制臺(tái)中，展開(kāi)本地計(jì)算機(jī)下的WSUS Web站點(diǎn)，然后右擊SeverSyncWebService虛擬目錄，選擇屬性，在目錄安全性標(biāo)簽，點(diǎn)擊身份驗(yàn)證和訪(fǎng)問(wèn)控制下的編輯按鈕，在彈出的身份驗(yàn)證方法對(duì)話(huà)框上，取消啟用匿名訪(fǎng)問(wèn)，然后勾選集