了解更新管理服务WSUS

目前在企业内网中，90%以上的桌面操作系统以及大部分的服务器都使用了微软公司的产品。微软产品素以界面友好、功能强大而著称，但同时也因补丁泛滥而令管理员头疼。微软为弥补产品安全缺陷，提供了各种各样的补丁，解决的问题五花八门，种类繁多，管理员都有应接不暇的感觉，更别提普通用户了。但补丁又确实很重要，补丁对应着严重的安全隐患和性能缺陷，决不能置之不理。因此，微软从Win98之后就在操作系统中内置了Windows Update组件，这个组件可以使用http或https自动连接到微软的更新网站去下载所需要的补丁并自动安装。

1.企业更新下载补丁存在的问题

1）带宽问题。假设某企业500名用户，每人需下载20 MB补丁，全公司可就至少需要10 GB的带宽，这可不是个小数目。

2）安全问题。并非所有的补丁都适合在当前环境使用。当年的Windows XP Service Pack 2补丁打上之后，与当时的很多应用程序都会产生冲突，解决办法是只能换用新版本的应用程序。如果管理员综合权衡安全和灵活因素，就未必会在生产环境第一时间部署这个补丁。因此，综合来看，用Windows Update组件连接到微软的更新网站更适合家庭用户或小型公司，对中大型企业并不适合。

2.更新管理服务WSUS概述

基于上述原因，微软为企业用户提供了Windows更新管理服务WSUS（Windows Server Update Services）作为解决方案。此外，WSUS还是一个完全免费的产品。WSUS可以直接将更新程序从Microsoft Update下载至本地，然后由WSUS服务分发给办公网络客户端计算机，修复网络用户计算机系统安全漏洞。由于使用WSUS是本地的，Windows Update更新速度快，节约网络带宽，达到保护办公网络或网络用户的计算机系统安全的目的，同时也提高了网管人员的装机及维护的工作效率，还避免了打补丁时类似“XP系统在微软网站更新会要求正版系统验证”的麻烦。

WSUS解决问题的思路很简单，管理员利用WSUS服务器从微软的更新网站下载补丁，然后再发布给内网用户。这样既能降低网络带宽流量，将补丁下载的数据量降为最低；又能让补丁置于管理员的控制之下，管理员经过审核后，同意发放补丁，用户才可以安装补丁。一旦WSUS服务器启动了，系统中自带的Windows Update就被禁用。用户不能绕过管理员的审核，使用原先操作系统中自带的Windows Update组件直接连到微软去更新。

WSUS常用的部署拓扑有以下三种，下面进行简单介绍。

（1）单服务器拓扑

单服务器拓扑是使用最广泛的WSUS拓扑。单服务器拓扑利用一个WSUS服务器从微软的更新网站下载补丁，然后负责将补丁发给内网用户。单服务器拓扑是大多数中小公司的最佳选择。

（2）链式拓扑(www.xing528.com)

链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司/分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。

（3）分离式拓扑

分离式拓扑指的是在一个与互联网隔离的网络内，WSUS服务器无法从微软网站进行补丁更新，因此只能先用一个能连接互联网的WSUS服务器下载所需要的补丁，然后将下载的补丁导出成数据。隔离网络内的WSUS服务器通过导入数据来间接完成补丁的下载。这种拓扑常用于部队、公安系统等专用网络。

WSUS目前常用的是WSUS2.0和WSUS3.0两个版本，它们都可以支持微软的全系列产品。

WSUS目前提供了对微软15个新产品和8个新分类的更新，产品其中涵盖了Windows2000家族、Windows XP家族、Windows 2003家族、Office 2000/xp/2003家族、SQL Server等，提供更新的8个分类：Feature Pack、Service Pack、安全更新程序、更新程序、更新程序集、工具、关键更新程序、驱动程序。当适用于计算机的重要更新发布时，它会及时提醒下载和安装。使用自动更新可以在第一时间更新操作系统以及其他微软产品，修复系统及程序的漏洞，保护计算机安全。

WSUS服务器和Microsoft Update实现客户端计算机自动更新的方式完全相同，通过WSUS可以实现更新程序的集中管理和分发，它的主要优点如下。

1）通过选择的方式将更新程序（包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等）从Microsoft Update下载至本地安装源，节省企业外部网络带宽。

2）对更新程序进行管理，控制更新程序的分发；可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，也可以拒绝此更新程序。

3）对网络中的客户端计算机进行分组，控制更新程序在不同客户端计算机上的分发。

因此，现在的微软更新服务体系为三级结构：Microsoft Update→本地企业网络中的WSUS服务器→客户端计算机的自动更新。在部署WSUS之后，只需要配置客户端计算机使用WSUS服务器上的更新服务，就可以轻松地享受WSUS服务器所带来的好处。例如大中型企业网络，当部署WSUS服务器以后，内部客户端计算机可自动访问WSUS服务器来获取更新，免除了频繁手动安装补丁的麻烦，节省了大量的外部网络带宽。