WSUS全攻略之四链式WSUS部署

WSUS全攻略之四：链式WSUS部署链式WSUS部署WSUS服务器不仅仅可以从WindowsUpdate中获取更新程序，也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时，一台WSUS服务器可能不能满足你的需求，此时你就可以使用多台WSUS服务器组成链式结构，如下图所示，一台WSUS服务器作为上游服务器，一台WSUS服务器作为下游服务器。你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的级数是没有限制的，但是由于每一级WSUS服务器增加了更新程序的延迟，所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步，否则WSUS就不能正常提供服务。在链式WSUS服务器部署中，下游WSUS服务器继承上游WSUS服务器的高级同步选项，你不能修改下游服务器的高级同步选项。默认情况下，上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中，而不包含其他的信息，例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息，则下游WSUS服务器必须配置为集中管理模式中的复制服务器。根据管理模式的不同，WSUS服务器担当的角色也不同，不同WSUS服务器角色之间的区别如下表所示，表中未提及的其他功能均一致：分布管理模式下的独立管理服务器集中管理模式下的独立管理服务器（主服务器）集中管理模式下的复制服务器同步源位置MicrosoftUpdate或者其他WSUS服务器MicrosoftUpdate或者其他WSUS服务器只能是其他WSUS服务器同步高级选项（同步更新的语言和下载更新程序的方式）配置为从其他WSUS服务器获取更新时不能修改配置为从其他WSUS服务器获取更新时不能修改无此选项同步更新程序的产品和分类配置为从其他WSUS服务器获取更新时不能修改配置为从其他WSUS服务器获取更新时不能修改无此选项管理计算机组可以可以不能，只能从主服务器继承计算机组设置将计算机添加到计算机组中或者从计算机组中进行删除可以可以可以批准更新可以可以不能，从主服务器继承更新批准设置自动批准可以可以无此选项其实分布管理模式下的独立管理服务器和集中管理模式下的主服务器是没有区别的，简单一点来说，WSUS服务器就只有独立管理服务器和复制服务器这两种角色。决定WSUS服务器的服务器角色是根据在安装WSUS服务器时在镜像更新设置页的配置进行，如果你没有配置该服务器继承其他服务器的设置，则该WSUS服务器为独立管理服务器角色；如果你配置该服务器继承其他服务器的设置，则该WSUS服务器为复制服务器角色。如下图所示，我配置此服务器继承另外一台WSUS服务器的设置，则此WSUS服务器则配置为复制服务器。安装好WSUS服务器后，你不能修改WSUS服务器的工作模式，但是可以修改获取更新的主服务器的地址。修改主服务器地址后，WSUS服务器从新的主服务器获取更新和配置信息，而丢弃从原主服务器上获取的配置信息。WSUS服务器之间的同步也是通过WSUSWeb站点进行的，只是和客户端计算机进行同步时访问的目录不同。你可以配置上游WSUS服务器要求下游WSUS服务器同步时进行身份验证，但是由于是对计算机账户进行身份验证，所以必须要求所有WSUS服务器均属于域环境；可以位于不同的森林，但是所在的森林间必须具有信任关系。启用WSUS服务器间的身份验证你需要通过两个步骤来启用WSUS服务器间的身份验证：首先，你需要在上游WSUS服务器上创建一个允许通过此WSUS服务器进行同步的下游WSUS服务器列表；其次，在上游WSUS服务器的IIS中禁止匿名访问WSUS服务器同步目录，配置使用集成身份验证。这样，就只有在所定义的服务器列表中的下游WSUS服务器才可以访问此WSUS服务器来进行同步。创建允许的下游WSUS服务器列表在WSUS服务器安装时，创建了一个可以让你显式添加允许访问此WSUS服务器的下游WSUS服务器列表的文件，此文件名为Web.Config，位于%ProgramFiles%\UpdateServices\WebServices\Serversyncwebservice目录下（此目录就是下游WSUS服务器同步时所访问的目录）。你可以在此文件中使用authorization元素来定义一个认证列表，只有此认证列表中的WSUS服务器才能和此WSUS服务器进行同步。你必须将authorization元素添加在configuration元素和system.web元素下，如下图所示：configurationsystem.webauthorizationallowusers=domain\computer_name,domain\computer_name/denyusers=*//authorization/system.web/configuration在此列表中，你可以使用Allowuser和Denyusers来定义允许访问和拒绝访问的计算机账户，定义的计算机账户必须采用domain\computer_name的形式，多个计算机账户之间使用英文逗号“,”隔开。此列表是从上到下依次执行，所以顺序非常重要。如下图所示，我修改此文件只允许WINSVR\Munich$计算机账号的访问。配置IIS接下来我们需要配置IIS服务器拒绝对WSUSWeb站点的ServerSyncWebService虚拟目录的匿名访问，此虚拟目录用于WSUS服务器之间的同步。在Internet信息服务管理控制台中，展开本地计算机下的WSUSWeb站点，然后右击SeverSyncWebService虚拟目录，选择属性，在目录安全性标签，点击身份验证和访问控制下的编辑按钮，在弹出的身份验证方法对话框上，取消启用匿名访问，然后勾选集成Windows身份验证，如下图所示，然后点击两次确定关闭对话框。此时，其他WSUS服务器就不能访问此WSUS服务器进行更新了，在这些WSUS服务器的报告的同步结果中你可以看到同步失败的信息，详细错误信息如下图所示：401未授权。