windows系统局域网内补丁自动分发解决方案

2024年1月5日发(作者：)

windows系统局域网内补丁自动分发解决方案

Window操作系统

局域网内补丁自动分发解决方案

武汉超特网络技术有限公司

2021年4月

1

目录

1 2 3

WINDOWS补丁问题现状 ............................................................................................................ 3 解决思路.......................................................................................................................................... 3 WSUS安装 ..................................................................................................................................... 4 3.1

安装前的准备工作 ................................................................................................................. 5

3.1.1

IIS6.0 ................................................................................................................................... 5 3.1.2

BITS20 ................................................................................................................................. 6 3.1.3 .Net

Framework 1.1

SP1 ...................................................................................................... 7

磁盘空间 ......................................................................................................................... 8 3.1.5 数据

库 ............................................................................................................................. 8 3.2 安装WSUS2.0+SP1 ................................................................................................................ 9 3.3 配置WSUS2.0 ...................................................................................................................... 14 3.4 同步WSUS2.0 ...................................................................................................................... 18

4

利用WSUS进行补丁分发 .......................................................................................................... 21 4.1 4.2

WSUS分组管理 ................................................................................................................... 22 组策略或注册表设置 ........................................................................................................... 25

3.1.4

用组策略设置 ............................................................................................................... 25 4.2.2 用注册表设置 ............................................................................................................... 29 4.3 WSUS更新审批 ................................................................................................................... 31 4.3.1 手工批准更新 ............................................................................................................... 32 4.3.2 自动批准安装 ............................................................................................................... 35

5

链式WSUS部署 .......................................................................................................................... 43 5.1 5.2 5.3 6

启用WSUS服务器间的身份验证 ...................................................................................... 45 创建允许的下游WSUS服务器列表................................................................................... 46 配置IIS ................................................................................................................................. 47

4.2.1

物理隔离内网WSUS部署方法 .................................................................................................. 49 6.1

内部网络WSUS部署方案 .................................................................................................. 49

6.1.1 WSUS服务的一般部署方案 ............................................................................................ 49

内部网络中WSUS的安装部署 ................................................................................... 50 6.2 内网WSUS服务器的首次更新 .......................................................................................... 50 6.2.1 WSUS服务器中更新的数据构成 .................................................................................... 50 6.2.2 内部网络中WSUS更新的基本方法 ...........................................................................

50 6.3 内部网络中WSUS持续更新方案的实现与优化 ............................................................... 51 6.3.1 改进内部网络中WSUS更新方案的原因 ................................................................... 51

6.3.2 实现内部网络中WSUS更新优化的具体方法 ........................................................... 51 6.3.3 持续更新的关键――新增更新补丁的自动提取 ........................................................ 52 6.4 总结 ....................................................................................................................................... 53

6.1.2

2

1 windows补丁问题现状

目前在企业内网中，90%以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品。微软产品素以界面友好，功能强大而著称，但同时也以补丁泛滥而令管理员头疼。微软为弥补产品安全，提供了各种各样的Service Pack，Hotfix…..这些补丁解决的问题五花八门，种类繁多，管理员都有应接不暇的感觉，更别提普通用户了。但补丁又确实很重要，补丁对应着严重的安全隐患和性能缺陷，我们决不能掩耳盗铃，置之不理。那该怎么处理这个问题呢？其实微软从Win98之后就在操作系统中内置了Windows Update组件，这个组件可以使用Http或Https自动连接到微软的更新网站去下载所需要的补丁并自动安装。但对企业用户来说就存在以下问题：

其一，带宽问题。假设某企业500名用户，每人需下载20M补丁，全公司可就至少需要10G的带宽！这可不是个小数目。如果公司员工同时都去微软下载Windows XP SP3（349M），一定会引发的网络大塞车！

其二，安全问题。并非所有的补丁都适合在当前环境使用。就以当年的Windows XP

Service Pack 2为例，此补丁打上之后，与当时的很多应用程序都会产生冲突，解决办法是只能换用新版本的应用程序。如果管理员综合权衡安全和灵活因素，就未必会在生产环境第一时间部署这个补丁。

因此，综合来看，用Windows Update组件连接到微软的更新网站更适合家庭用户或小型公司，对中大型企业来看并不适合。

2 解决思路

基于上述原因，微软为企业用户提供了WSUS（Windows Server Update Services）作为解决方案。WSUS解决问题的思路很简单，管理员利用WSUS服务器从微软的更新网站下载补丁，然后再发布给内网用户。这样既能降低网络带宽流量，将补丁下载的数据量降为最低；又能让补丁置于管理员的控制之下，管理员经过审核后，同意发放补丁，用户才可以安装补丁。

WSUS常用的部署拓扑有以下三种，现简介如下：

3

A 单服务器拓扑。如下图所示，单服务器拓扑是使用最广泛的WSUS拓扑。单服务器拓扑利用一个WSUS服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。（图1）

B 链式拓扑。如下图所示，链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司/分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。（图2）

C 分离式拓扑。如下图所示，分离式拓扑指的是在一个与互联网隔离的网络内，WSUS服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队，公安等专用网络。（图3）

WSUS目前常用的是WSUS2.0 和WSUS3.0这两个版本。这两个版本的前身SUS1.0由于只能支持有限的操作系统补丁管理，已经基本被淘汰了。下面我们从WSUS2.0＋SP1开始介绍。

3 WSUS安装

介绍一下实验拓扑，如下图所示，Florence是域的域控制器，Berlin是wsus服务器，perth是测试用的工作站。三台计算机都安装了Win2021中文企业版。（图4）

4

3.1 安装前的准备工作

要在Berlin上安装WSUS2.0SP1，需满足下列条件。

3.1.1 IIS6.0

由于WSUS客户机和服务器之间通过Http或Https传递数据，因此WSUS服务器必然需要IIS的支持。我们在Berlin上依次点击控制面板－添加或删除程序－添加/删除

Windows组件－应用程序服务器，在应用程序服务器中选择安装Internet信息服务（IIS），如下图所示.（图5）

5

感谢您的阅读，祝您生活愉快。