|
链式WSUS部署 WSUS服务器不仅仅可以从Windows Update中获取更新程序,也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时,一台WSUS服务器可能不能满足你的需求,此时你 就可以使用多台WSUS服务器组成链式结构,如下图所示,一台WSUS服务器作为上游服务器,一台WSUS服务器作为下游服务器。
你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS服务器的 级数是没有限制的,但是由于每一级WSUS服务器增加了更新程序的延迟,所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步,否则WSUS就不能正常提供服务。 在链式WSUS服务器部署中,下游WSUS服务器继承上游WSUS服务器的高级同步选项,你不能修改下游服务器的高级同步 选项。默认情况下,上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中,而不包含其他的信息,例如计算机组和更新批准信息。如果你想 让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息,则下游WSUS服务器必须配置为集中管理模式中的复制服务器。 根据管理模式的不同,WSUS服务器担当的角色也不同,不同WSUS服务器角色之间的区别如下表所示,表中未提及的其他功 能均一致:
其实分布管理模式下的独立管理服务器和集中管理模式下的主服务器是没有区别的,简单一点来说,WSUS服务器就只有独 立管理服务器和复制服务器这两种角色。决定WSUS服务器的服务器角色是根据在安装WSUS服务器时在镜像更新设置页 的配置进行,如果你没有配置该服务器继承其他服务器的设置,则该WSUS服务器为独立管理服务器角色;如果你配置该服务器继承其他服务器的 设置,则该WSUS服务器为复制服务器角色。如下图所示,我配置此服务器继承另外一台WSUS服务器的设置,则此WSUS服务器则配置为复 制服务器。安装好WSUS服务器后,你不能修改WSUS服务器的工作模式,但是可以修改获取更新的主服务器的地址。修改主服务器地址后,WSUS服务器从 新的主服务器获取更新和配置信息,而丢弃从原主服务器上获取的配置信息。
WSUS服务器之间的同步也是通过WSUS Web站点进行的,只是和客户端计算机进行同步时访问的目录不同。你可以配置上游WSUS服务器要求下游WSUS服务器同步时进行身份验证,但是由于是对 计算机账户进行身份验证,所以必须要求所有WSUS服务器均属于域环境;可以位于不同的森林,但是所在的森林间必须具有信任关系。 启用WSUS服务器间的身份验证 你需要通过两个步骤来启用WSUS服务器间的身份验证:首先,你需要在上游WSUS服务器上创建一个允许通过此WSUS服 务器进行同步的下游WSUS服务器列表;其次,在上游WSUS服务器的IIS中禁止匿名访问WSUS服务器同步目录,配置使用集成身份验证。这样,就只有 在所定义的服务器列表中的下游WSUS服务器才可以访问此WSUS服务器来进行同步。
创建允许的下游WSUS服务器列表 在 WSUS服务器安装时,创建了一个可以让你显式添加允许访问此WSUS服务器的下游WSUS服务器列表的文件,此文件名为Web.Config,位于 %ProgramFiles%\Update Services\WebServices\Serversyncwebservice 目录 下(此目录就是下游WSUS服务器同步时所访问的目录)。你可以在此文件中使用<authorization> 元素来定义一个认证列表,只有此认证列表中的WSUS服务器才能和此WSUS服务器进行同步。你必须将<authorization>元素添 加在<configuration>元素和<system.web>元素下,如下图所示:
<configuration> <system.web> <authorization> <allow users="domain\computer_name,domain\computer_name" /> <deny users="*" /> </authorization> </system.web> </configuration>
在此列表中,你可以使用<Allow user>和<Deny users>来定义允许访问和拒绝访问的计算机账户,定义的计算机账户必须采用domain\computer_name的形式,多个计算机账户之 间使用英文逗号“,”隔开。此列表是从上到下依次执行,所以顺序非常重要。如下图所示,我修改此文件只允许WINSVR\Munich$计 算机账号的访问。
配置IIS 接下 来我们需要配置IIS服务器拒绝对WSUS Web站点的ServerSyncWebService虚 拟目录的匿名访问,此虚拟目录用于WSUS服务器之间的同步。 在Internet信息服务管理控制台中, 展开本地计算机下的WSUS Web站点,然后右击SeverSyncWebService虚拟目录,选择属性,在目 录安全性标签,点击身份验证和访问控制下的编辑按钮,在弹出的身份验证方法对话框上,取消启用匿名访问, 然后勾选集成Windows身份验证,如下图所 示,然后点击两次确定关闭对话框。
此时,其他WSUS服务器就不能访问此 WSUS服务器进行更新了,在这些WSUS服务器的报告的同步结果中你可以看到同步失败的信息,详细错误信息如下图所示:401 未授权。 
(责任编辑:admin) |
