令网管员们翘首以待的、SUS的换代产品Microsoft Windows Server Update Service(WSUS),终于在2005年6月正式推出了。虽然微软在《WSUS白皮书》中罗列了众多新功能,但从网管员实际应用的角度看,与SUS相比较,笔者认为WSUS的优势主要体现在个性化和透明度两方面。
WSUS的新特性
个性化
所谓个性化,又分为推送内容和推送对象两个层面。
WSUS在推送内容中增加了Office、SQL、Exchange产品的补丁,又将所有补丁细分为Feature Pack、Service Pack、安全更新程序、更新程序、更新程序集、工具、关键更新程序、驱动程序共8个门类,方便了网管员在实际操作中的个性化选择。
WSUS在其控制台中增加了“组”的概念。我们可以将客户端按操作系统分组,进行针对性推送;可以将客户端按行政归属分组,加强组织管理;甚至可以创建一个“高危组”,将对安全补丁有迫切需求的客户端纳入,对它们给予特别关注。
透明度
无法便捷地检验补丁推送的实效性一直是SUS的重大缺陷,WSUS的报告功能弥补了这一缺陷。打开WSUS控制台,曾经使用过SMS的用户一定会感到很亲切,即使未接触过SMS的用户,也可通过WSUS对SMS略知一二。由于有SQL数据库的后台支持,即使客户端不在线,网管员也可通过WSUS控制台查阅所有客户端最近一次连接服务器时的状态报告。
如图1所示,
打开WSUS控制台,点击“计算机”,屏幕上栏显示所有客户端最近一次报告的时间,屏幕下栏分别显示当前客户端已安装和待安装的补丁细目,以及该客户端的软硬件摘要。
WSUS的部署与配置
至于WSUS的部署与配置,笔者将从“全新安装”与“SUS迁移”两方面谈谈个人体验。
WSUS全新安装
WSUS的硬件要求与SUS类似,考虑到要运行SQL,内存最好大一些。软件方面举Windows 2000 Server 为例,需要打全所有补丁,至少要包含以下内容:SP4、IE 6.0 SP1、Background Intelligent Transfer Service (BITS) 2.0、Microsoft.NET Framework Service Pack 1.1以及SQL Server 2000 SP 3a。
WSUS的安装相对容易,控制台又提供纯中文界面,无需额外赘述。
笔者先前曾写过关于SUS的《搭建局域网内部SUS服务》一文,并因此文而结交了众多SUS用户朋友。在共同切磋中,笔者感觉易出现问题的部分还是在客户端,这类问题同样存在于WSUS中。
下面,笔者尽可能详细地介绍一下WSUS客户端的部署与配置。
Windows 2000 Professional SP3、Windows XP Professional SP1本身以及之后的版本已包含了SUS客户端,通过WSUS服务器可直接升级为WSUS客户端。
低于上述版本的操作系统,需事先安装SUS客户端。方法有二:一是打更高的SP补丁;二是去微软网站下载SUS客户端安装程序WUAU22CHS.msi,实施安装。
WSUS客户端的配置方法分为“域用户”和“非域用户”两种。
◆ 域用户:
在域控制器(DC)上点击“开始→程序→管理工具→Active Directory用户与计算机”,右击所在域名,选择“属性→组策略”,点击“添加”,选择“WSUS”组策略模板,点击“确定”。接下来选择刚刚添加的“WSUS”组策略进行编辑,如图2所示,
展开“计算机配置→管理模板→Windows组件→Windows Update”,双击右栏中的“配置自动更新”。
WSUS组策略模板共有8个配置页面,对于新手来说只需完成前两个页面的配置工作,后6个页面均可采用默认值。图3、
图4
分别显示头两个配置页面,“说明”栏中有详尽的配置方法供参考。至此,域用户客户端的配置工作已完成。如果急于查看配置效果,可在客户端命令提示符下运行gpupdate /force命令,然后查看该机注册表的[HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindowsWindows Update]键值,验证一下配置是否成功。
◆ 非域用户:
非域用户客户端的配置方法很多,笔者这里仅简介一种相对简便的注册表修改法。
从WSUS服务器本机注册表中导出HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows WindowsUpdate字段,另存为WSUS.reg注册表文本,范例如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows WindowsUpdate]
“WUServer”=“”
“WUStatusServer”=“”
[HKEY_LOCAL_MACHINESOFTWARE PoliciesMicrosoftWindows WindowsUpdateAU]
“AutoInstallMinorUpdates”=dword:00000001
“NoAutoUpdate”=dword:00000000
“AUOptions”=dword:00000004
“ScheduledInstallDay”=dword:00000000
“ScheduledInstallTime”=dword:0000000a
“UseWUServer”=dword:00000001
将WSUS.reg文件通过内部Web或E-mail方式发布,所有非域用户在本地直接运行该文件即可完成客户端的配置。
从SUS迁移到WSUS
微软称WSUS为SUS的换代(iteration)产品,而非升级(upgrade)产品,这就意味着WSUS与SUS可同时运行在同一台服务器上。
迁移安装与全新安装基本一致,只是当安装到Web Site Selection界面时,改选8530端口。WSUS服务器安装成功后,选择几个有代表性的客户端进行测试。方法是从活动目录(AD)中针对这几个客户端创建新的WSUS组策略,将它们与WSUS服务器的Web通讯端口也改为8530。待测试成功后,停掉SUS服务,将WSUS的Web端口改回80,这时,所有旧SUS客户端都将自动升级为新WSUS客户端,并从新服务器获得补丁更新,新服务器上至少应有Office的补丁在等着它们。
迁移工作的另一项重要任务是迁移多达数G乃至数十G的安全补丁,否则WSUS将重新下载它们。SUS的补丁存放在driver:SUScontentcabs目录下,WSUS的补丁存放在driver:WSUSWsusContent目录下,二者存放格式不同,迁移工作必须用WSUSutil.exe工具来完成。WSUSutil.exe工具在Program FilesUpdate ServicesTools目录下,迁移补丁的命令格式为WSUSutil.exe movecontent c:SUScontentcabs。补丁迁移完成后,还可运行WSUSutil reset命令,检验一下补丁内容与SQL库中相关信息的一致性,缺失部分WSUS将从微软服务器补足。