原始链接 WSUS新体验——个性化+透明度 李 晖 令网管员们翘首以待的、SUS的换代产品Microsoft Windows Server Update Service（WSUS），终于在2005年6月正式推出了。虽然微软在《WSUS白皮书》中罗列了众多新功能，但从网管员实际应用的角度看，与SUS相比较，我认为WSUS的优势主要体现在个性化和透明度两方面。 个性化 所谓个性化，又分为推送内容和推送对象两个层面。 WSUS在推送内容中增加了Office、SQL、Exchange产品的补丁，又将所有补丁细分为Feature Pack、Service Pack、安全更新程序、更新程序、更新程序集、工具、关键更新程序、驱动程序共8个门类，方便了网管员在实际操作中的个性化选择。 WSUS在其控制台中增加了“组”的概念。我们可以将客户端按操作系统分组，进行针对性推送；可以将客户端按行政归属分组，加强组织管理；甚至可以创建一个“高危组”，将对安全补丁有迫切需求的客户端纳入，对它们给予特别关注。 透明度 如何便捷地检验补丁推送的实效性，一直是SUS的重大缺陷，WSUS的报告功能弥补了这一缺陷。打开WSUS控制台，曾经使用过SMS用户一定会感到很亲切，即使未接触过SMS的用户，也可通过WSUS对SMS略知一二。由于有SQL数据库的后台支持，即使客户端不在线，网管员也可通过WSUS控制台，查阅所有客户端最近一次连接服务器时的状态报告。 图1 如图1所示，打开WSUS控制台，点击“计算机”，屏幕上栏显示所有客户端最近一次报告的时间，屏幕下栏分别显示当前客户端已安装和待安装的补丁细目，以及该客户端的软硬件摘要。 至于WSUS的部署与配置，我想从“全新安装”与“SUS迁移”两方面谈谈个人体验。 WSUS全新安装 WSUS的硬件要求与SUS类似，考虑到要运行SQL，内存最好大一些。软件方面举Windows 2000 Server 为例，需要打全所有补丁，至少要包含以下内容： Service Pack 4 (SP4) Internet Explorer 6.0 Service Pack 1 Background Intelligent Transfer Service (BITS) 2.0 Microsoft.NET Framework Service Pack 1.1 SQL Server 2000 Service Pack 3a WSUS的安装相对容易，控制台又提供纯中文界面，无需额外赘述。 本人先前曾写过关于SUS的《搭建局域网内部SUS服务》（《中国电脑教育报》2004年4月19日）一文，并因此文而结交了众多SUS用户朋友。在共同切磋中，我感觉易出现问题的部分还是在客户端，这类问题同样存在于WSUS中，下面我将尽可详细地介绍一下WSUS客户端的部署与配置。 Windows 2000 Professional SP3、Windows XP Professional SP1本身以及之后的版本已包含了SUS客户端，通过WSUS服务器可直接升级为WSUS客户端。 低于上述版本的操作系统，需事先安装SUS客户端。方法有二：一是打更高的SP补丁，二是去微软http://go.microsoft.com/fwlink/?LinkId=6930网站下载SUS客户端安装程序WUAU22CHS.msi，实施安装。 WSUS客户端的配置方法分为“域用户”和“非域用户”两种。 域用户： 在域控制器（DC）上点击“开始→程序→管理工具→Active Directory用户与计算机”，右击所在域名，选择“属性→组策略”，点击“添加”，选择“WSUS”组策略模板，点击“确定”。接下来选择刚刚添加的“WSUS”组策略进行编辑，如图2所示，展开“计算机配置→管理模板→Windows组件→Windows Update”，双击右栏中的“配置自动更新”。 图2 WSUS组策略模板共有8个配置页面，对于新手来说只需完成头两个页面的配置工作，后6个页面均可采用默认值。图3、图4分别显示头两个配置页面，“说明”栏中有详尽的配置方法供参考。至此，域用户客户端的配置工作已完成。如果急于查看配置效果，可在客户端命令提示符下运行gpupdate /force命令，然后查看该机注册表的 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]键值，验证一下配置是否成功。 图3 图4 非域用户： 非域用户客户端的配置方法很多，我这里仅简介一种相对简便的注册表修改法。 从WSUS服务器本机注册表中导出 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]字段，另存为WSUS.reg注册表文本，范例如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://192.168.0.1" "WUStatusServer"="http://192.168.0.1" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "AutoInstallMinorUpdates"=dword:00000001 "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:0000000a "UseWUServer"=dword:00000001 将WSUS.reg文件通过内部WEB或EMAIL方式发布，所有非域用户在本地直接运行该文件即可完成客户端的配置。 从SUS迁移到WSUS 微软称WSUS为SUS的换代（iteration）产品，而非升级（upgrade）产品，这就意味着WSUS与SUS可同时运行在同一台服务器上。 迁移安装与全新安装基本一致，只是当安装到Web Site Selection界面时，改选8530端口。WSUS服务器安装成功后，选择几个有代表性的客户端进行测试。方法是从活动目录（AD）中针对这几个客户端创建新的WSUS组策略，将它们与WSUS服务器的WEB通讯端口也改为8530。待测试成功后，停掉SUS服务，将WSUS的WEB端口改回80，这时，所有旧SUS客户端都将自动升级为新WSUS客户端，并从新服务器获得补丁更新，新服务器上至少应有Offices的补丁在等着它们。 迁移工作的另一项重要任务是迁移多达数G乃至数十G的安全补丁，否则WSUS将重新下载它们。SUS的补丁存放在driver:\SUS\content\cabs目录下，WSUS的补丁存放在driver:\WSUS\WsusContent目录下，二者存方格式不同，迁移工作必须用WSUSutil.exe工具来完成。WSUSutil.exe工具在\Program Files\Update Services\Tools目录下，迁移补丁的命令格式为WSUSutil.exe movecontent c:\SUS\content\cabs。补丁迁移完成后，还可运行WSUSutil reset命令，检验一下补丁内容与SQL库中相关信息的一致性，缺失部分WSUS将从微软服务器补足。 关于WSUS的技术手册 《Deploying Microsoft Windows Server Update Services》英文版，149页，全面介绍WSUS的规划、安装、配置、客户端等。 《Microsoft Windows Server Update Services Operations Guide》英文版，93页，介绍WSUS的管理方法，以及WSUSutil.exe工具的详尽命令参数和常见问题解答。 《Step-by-Step Guide to Getting Started with Microsoft Windows Server Update Services on Windows 2000 Server》英文版，31页，在Windows Server 2000上部署WSUS的简明手册。 《Step-by-Step Guide to Getting Started with Microsoft Windows Server Update Services》英文版，24页，在Windows Server 2003上部署WSUS的简明手册。 《Step-by-Step Guide to Migrating from Software Update Services to Windows Server Update Services》英文版，26页，从SUS迁移至WSUS的简明手册。>>>>>>