Microsoft推荐的这一更新管理流程方法由四个连续的阶段组成,如下图所示。持续地重复更新管理流程非常必要,因为可增强和保护生产环境的新更新会不断推出。
下图是每个阶段的目标,以及管理员如何使用WSUS功能在此四阶段流程的每个阶段中确保成功的示例。许多功能可在多个阶段中使用,这一点请特别注意。
1.评估
在“评估”阶段,管理员的目标是:
•设置支持常规和紧急情况下更新管理的生产环境。
虽然这是***个步骤,但是“评估”阶段实质上是一个持续过程。例如,管理员必须评估有多少服务器和客户端计算机需要更新,存储和网络带宽要求是多少,以及哪个时间段可部署普通更新。管理员还必须确定他们要更新哪些平台、产品以及语言。根据这些因素,管理员可确定用于扩容其WSUS组件的最有效拓扑。
WSUS提供大量用于设置WSUS组件的选项,包括能将更新内容本地存储到WSUS服务器或根据需要从Microsoft Update下载内容。管理员还可以配置“自动更新”以在计算机上自动下载和安装缺少的更新。WSUS提供了用于管理Active Directory和非Active Directory环境中的客户端计算机的选项。
WSUS提供管理员可持续运行的标准化聚合报告。这些报告提供有关WSUS实施过程中所有活动的全面信息,包括已与WSUS服务器同步的更新的信息以及每台计算机已安装或还缺少哪些更新的信息。
2.确定
在“确定”阶段,管理员的目标是:
•以一种方便的方式发现新的更新。
•确定更新是否与生产环境相关。
WSUS使管理员可确定要从MicrosoftUpdate同步哪些类型的更新以及何时进行同步。由于WSUS自动收集有关WSUS服务器已知的所有计算机的数据以确定更新是否相关,因此,在生产环境中安装更新前,管理员可直接了解到有多少台计算机需要更新以及更新部署将如何影响网络。
3.评估和规划
在与生产环境隔离但又与其类似的环境中测试更新。
•在与生产环境隔离但又与其类似的环境中测试更新。
•确定将更新部署到生产中所需执行的任务,规划更新版本,构建版本,然后执行版本的验收测试。
在测试环境中评估更新时,管理员可运行多个会在实际部署中使用的WSUS功能。他们可设置与其WSUS服务器自动同步的条件和时间表,创建计算机组,然后通过批准安装更新来确定这些组的更新目标。测试期间以及测试之后,管理员可使用WSUS提供的标准化报告来监视其测试更新安装成功与否。
WSUS使管理员可在将更新部署到生产环境中之前评估安装更新的结果。通过创建一组测试计算机并按产品、语言和其他分类自动批准不同的更新集,管理员可自动测试不同类型的更新。测试期间以及测试之后,管理员可将WSUS更新报告与其测试结果相关联,以验证已安装的更新并确定如何以及何时为生产环境计划下载并安装批准。
4.部署
在“部署”阶段,管理员的目标是:
•批准和计划更新安装。
•在部署完成后审查流程。
WSUS允许管理员指定目标计算机组并批准将更新部署到这些组。为建立部署更新的顺序,管理员可使用WSUS来为其网络和人力资源创建最有效的上游和下游WSUS服务器配置。此外,管理员可使用“组策略”或使用WSUSAPI编写脚本来配置客户端计算机与WSUS服务器或MicrosoftUpdate相互通信的方式。然后,管理员可使用报告来确定计算机或目标组的更新部署成功与否。
服务器和客户端要求
WSUS3.0软件要求
以下是针对WSUS服务器和客户端计算机的软件要求。
WSUS服务器的先决条件
•Windows Server 2003 SP1或更高版本,或firstref_longhorn
•Microsoft Internet信息服务(IIS)6.0或更高版本
•Windows Installer3.1或更高版本
•Microsoft .NET Framework2.0
使用WSUS3.0管理控制台的先决条件
•Windows XP SP2,Windows Vista,Windows Server 2003 Windows Server 2008
•Microsoft管理控制台3.0
•Microsoft Report Viewer Redistributable2005
注意:
WSUS3.0现在允许在与WSUS服务器分离的远程系统上安装WSUS管理控制台。
Optionale Software
•SQLServer2005SP1或更高版本(WindowsServer2003上)或SP2(nextref_longhorn上)
WSUS客户端计算机的先决条件
firstref_vista、Windows Server2003(任何版本)、nextref_longhorn、WindowsXP或Windows 2000S P4。
WSUS3.0容量要求
对于WSUS3.0可伸缩性和容量要求的完整讨论,请参阅WSUS部署指南的“确定WSUS容量要求”一节,网址为http://go.microsoft.com/fwlink/?LinkId=86416。
服务器和客户端要求
WSUS3.0软件要求
以下是针对WSUS服务器和客户端计算机的软件要求。
WSUS服务器的先决条件
•Windows Server 2003SP1或更高版本,或firstref_longhorn
•Microsoft Internet信息服务(IIS)6.0或更高版本
•Windows Installer3.1或更高版本
•Microsoft NET Framework2.0
使用WSUS3.0管理控制台的先决条件
•WindowsXPSP2,WindowsVista,Windows Server 2003oder Windows Server 2008
•Microsoft管理控制台3.0
•Microsoft Report Viewer Redistributable2005
注意:
WSUS3.0现在允许在与WSUS服务器分离的远程系统上安装WSUS管理控制台。
Optionale Software
•SQL Server 2005 SP1或更高版本(WindowsServer2003上)或SP2(nextref_longhorn上)
WSUS客户端计算机的先决条件
firstref_vista、WindowsServer2003(任何版本)、nextref_longhorn、WindowsXP或Windows2000SP4。
WSUS3.0容量要求
对于WSUS3.0可伸缩性和容量要求的完整讨论,请参阅WSUS部署指南的“确定WSUS容量要求”一节,网址为http://go.microsoft.com/fwlink/?LinkId=86416。
Windows Server Update Services3.0的新增内容
Windows Server Update Services(WSUS)3.0提供了许多新的功能,使WSUS更易于使用、部署和支持。具体来说,WSUS3.0在下列领域进行了改进:
从管理控制台管理WSUS
WSUS3.0管理控制台已从基于Web的控制台变为Microsoft管理控制台3.0版的一个插件。新的用户界面提供以下功能:
•每个节点的主页都包含与节点相关联的任务的概述
•高级过滤
•新列允许根据MSRC编号、MSRC严重性、KB文章和安装状态对更新进行分类
•对列进行选择、排序和重新排序
•快捷菜单允许右键单击并选择一个操作
•与更新视图集成的报告
•自定义视图
远程管理WSUS
可以将WSUS3.0管理控制台安装在网络中的其他计算机上,以便远程管理WSUS3.0服务器。
使用向导配置安装后的任务
配置向导指导新用户进行安装后的服务器配置过程。
生成准确性更高的多个报告
现在可以直接从更新视图生成报告。可以报告更新的子集,如计算机需要但还未批准安装的安全更新。可以在副本层次结构管理的所有计算机上创建报告,还可以将这些报告以Excel或PDF格式保存。
更容易地维护服务器运行状况
WSUS3.0现在将详细的服务器运行状况信息记录在事件日志中。现在可用一个MicrosoftOperationsManager(MOM)包来监视WSUS服务器生成的事件。
获得有关新更新的电子邮件消息
服务器对新更新和更新符合性摘要的电子邮件通知具有内置支持。
可轻松删除旧信息
可使用清除向导从服务器中删除旧的计算机、旧的更新和旧的更新文件。
从WSUS2.0无缝升级到WSUS3.0
WSUS3.0可以安装在已安装WSUS2.0的服务器上。安装过程将执行可保留所有先前设置和批准的原位升级。升级服务器层次结构时应从中心服务器开始,然后向下延续至各个层次结构。WSUS2.0服务器可从WSUS3.0服务器同步,但是WSUS3.0服务器不能从WSUS2.0服务器同步。从WSUS2.0升级到WSUS3.0是一个单向过程,返回到WSUS2.0要求首先删除WSUS3.0,然后安装WSUS2.0。
更快获得更新
使用WSUS3.0,可以将服务器配置为最快每隔一小时自动同步更新一次(而WSUS2.0则是每天一次)。此改进使新的更新可在整个公司内更快地复制。
设置更多自动审批
WSUS3.0自动审批规则允许指定不同的产品和更新分类,如自动审批MicrosoftWord的定义更新。此外,WSUS3.0还支持创建多个自动审批规则,而不是单个规则。自动审批规则现在将应用于WSUS服务器上当前所有的更新。
限制对只读报告的访问权限
“WSUSReporters”安全组的成员将只具有服务器的只读访问权限。成员可生成报告,但是不能批准更新或配置服务器。
从单个控制台管理多个服务器
WSUS3.0管理控制台允许检查和管理层次结构中的所有WSUS服务器。
为所有计算机创建报告
现在可以为副本层次结构管理的所有计算机创建更新报告。
在群集中配置服务器
现在可在群集中配置WSUS3.0服务器来实现容错。此类服务器必须全部指向同一SQL服务器数据库实例,该实例也可使用群集技术。
切换副本模式
现在可在副本模式和自主模式之间移动子服务器,而无需重新安装WSUS3.0。
将客户端分配给多个目标组
在WSUS3.0中,一台计算机可属于多个目标组(例如,“桌面”组和“测试”组)。此外,还可以创建层次结构组(例如,具有“关键服务器”和“非关键服务器”子组的“服务器”目标组)。可以指定批准父目标组,这些批准将自动被子组中的计算机继承。
采用更快的性能
WSUS3.0可获得比WSUS2.0高大约50%的可伸缩性。此外,WSUS3.0附带本机x64支持以进一步改善64位硬件的性能和可伸缩性。
在分支机构中指定语言
为了节省磁盘空间和网络负载,现在可将分支机构配置为下载较少语种(与中心服务器相比)的更新。例如,可以配置中心服务器下载所有语言的更新,而分支机构只下载英语更新。
配置单独的内容和元数据通道
以前分支机构使用窄带连接中心服务器,但使用宽带连接Internet,现在可配置为从中心服务器获取元数据,而从MicrosoftUpdate获取更新内容。
上移到.NETFramework2.0支持
新的API以.NETFramework2.0为基础。
用于高级管理工具的API优于WSUS控制台
已创建的新API供高级管理工具(如SystemCenterEssentials)使用,而WSUS管理控制台中没有提供这些功能。
将可选安装批准添加到管理员选项
新的API支持为“可选安装”创建批准,它使WindowsUpdateAgent在“添加或删除程序”对话框中显示可供使用的安装更新,而不是通过“自动更新”来执行更新。
收集硬件和软件清单
新的API支持从管理的设备收集硬件和软件清单。
