【IT168 技术】在云平台中,出于安全考虑,部分虚机不能访问外网。为保证cloud中操作系统为windows的虚机安全,需要定期对这部分虚机做系统更新。因此需要搭建WSUS(Windows Server Update Services)服务器,从而保证云平台中的windows机器能获取最新的补丁包。
本文将介绍如何在Windows 2012 R2系统中安装WSUS,并从Windows 2008系统中迁移WSUS DB到Windows 2012 R2系统。其主要内容包括:WSUS简介,WSUS安装,WSUS配置,WSUS迁移,WSUS测试。
1. WSUS简介
WSUS 服务器提供管理员通过管理控制台管理和分配更新所需的功能。此外,WSUS 服务器还可以作为组织内其他WSUS服务器的更新源。充当更新源的WSUS服务器被称为上游服务器。 在WSUS实现过程中,网络中必须至少有一台WSUS服务器连接到Microsoft更新以获取可用的更新信息。
管理员根据云平台上的虚机数量,所处位置,选择不同的WSUS部署方案。下面是两种比较常用的WSUS部署方案。
1)单WSUS服务器
管理员在内网只配置一台WSUS服务器,使其能从微软官网下载更新,同时通过WSUS服务器将更新分发到客户端。单服务器部署能够支持数千台WSUS客户端。
2)多台WSUS服务器
管理员只配置一台WSUS服务器,能够访问微软官网,该服务器为上游服务器。同时在该服务器下配置多台下游服务器。下游服务器从上游服务器获取微软官网的windows更新。上游服务器和下游服务器将更新分发到对应的客户端中。多服务器模式中,必须给每个WSUS服务器配置相应的数据库。
2. 环境说明
1)服务器环境说明
2)安装软件说明
3. WSUS安装
1)安装.Net Framework 3.5
1、解压Windows 2012 ISO安装文件
2、到Add roles and features中安装.Net Framework 3.5
▲图3 安装.Net Framework 3.5 features
3、选择Specify an alternative source path
4、从Windows 2012安装文件中选择.Net Framework 3.5所在的路径
2) 安装SQL Server 2008 SP2
由于WSUS不支持从运行SQL Server的源服务器迁移到运行WID(Windows内部数据库)的目标服务器,所以在新服务器上安装SQL Server 2008 R2,为后面的迁移做准备。
1、安装SQL Server 2008 R2
▲图6 WSUS Server在注册表的配置安装SQL Server 2008 R2
2、安装Management Studio
3、Enable SQL SERVER TCP/IP
3)安装WSUS
在Add Roles and Feature中选择Windows Server Update Service
▲图8 安装Windows Server Update Services
在Role Service中选择Database。
选择WSUS存储的位置。注意系统用户需要有对该存储位置的文件及文件的读取权限,否则在系统更新时,会提示不能将更新下载到对应位置的错误。
在DB Instance中选择对应的DB,点击Check connection确认DB连接。
4) 安装Microsoft Report Viewer 2008 Redistributable
为了在WSUS服务器中查看客户端的Windows Update的情况,需要安装Microsoft Report Viewer 2008 Redistributable。
下载地址为https://www.microsoft.com/en-us/download/details.aspx?id=3841。
4. WSUS配置
通过WSUS配置向导配置WSUS。
在Server Manager的tool菜单中选择Windows Server Update Services。通过WSUS配置向导配置WSUS。
在Choose Upstream Server页面中,选择获取windows update的来源。如果是单WSUS服务器模式,则选择从微软官网同步。如果是多WSUS服务器模式,上游服务器需要选择从微软官网同步,下游服务器选择从对应的上游服务器同步更新。
在Choose Languages页面中选择更新的语言版本。
在Choose Products中选择需要更新的微软产品补丁。
Choose Classification
Configure Syn Schedule中设置第一次同步的时间,以及同步的方式。
如果在第一次同步时,保证WSUS服务器能够连接微软官网。第一次同步需要十几到几十分钟不等,需要耐心等待。
5. WSUS迁移
1) 迁移用户/组
在WSUS迁移过程中,可以将WSUS administrator以及相应的security user通过WSUS Migration Tool将其从源WSUS服务器迁移到目标服务器中。在迁移之后,所有迁移到目标服务器的user状态均不能登录,需要admin登陆上去逐一重置密码。鉴于此,不建议对user进行迁移。
下面是迁移用户/组的步骤,仅供参考。
安装Windows Server Migration Tools
在目标服务器上通过Add Roles and Features安装Windows Server Migration Tools。
通过命令在目标服务器创建部署的文件夹。
SmigDeploy.exe /package /architecture amd64 /os WS08 /path <deployment folder path>
在源服务器上注册Windows Server Migration Tools。
在源服务器执行下面命令。
▲图20 注册Server Manager Migration
在源服务器上导出user/group。
Export-SmigServerSetting -User <Enabled | Disabled | All> -Group -Path <MigrationStorePath> -Verbose
在目标服务器上通过该命令导入User/Group。
Import-SmigServerSetting -User <Enabled | Disabled | All> -Group -Path <MigrationStorePath> -Verbose
2)迁移SUSDB
在源服务器中通过SQL Server Management Studio对SUSDB进行备份。
将导出的备份文件上传到目标服务器。
在目标服务器中通过SQL Server Management Studio对SUSDB进行恢复。
在SQL Server Management Studio中新建查询,并执行下面命令,将已经创建的SUSDB删除。
USE master
GO
ALTER DATABASE SUSDB SET SINGLE_USER WITH ROLLBACK IMMEDIATE
GO
DROP DATABASE SUSDB
GO
在目标服务器中恢复SUSDB
6. WSUS测试
更改WSUS server端http端口号
在Windows Server 2012中,WSUS的http默认端口是8530,为了不更改客户端的WSUS配置,需要在WSUS服务器端执行如下命令,将端口改为80。
C:\Program Files\Update Services\Tools>wsusutil usecustomwebsite falseUsing
port number: 80
更改客户端的WSUS Server。
在客户端更改注册表中相应的Windows Update配置。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
1、在WSUS服务器上查看客户端的windows update。
2、在WSUS服务器上对测试客户机approve相应的windows update。
3、在测试客户机上查看是否能检测到最新的windows update。
7. 小结
WSUS安装与迁移中,除默认安装,配置外,要注意以下几点:
(1)在实际环境中,应根据具体的客户端数量,所处的地点等不同因素决定采用的WSUS部署方案,但应注意WSUS部署方案不建议超过三层。
(2)如果采用SQL Server 2008,需要安装.Net Framework 3.5。
(3)User必须有对存储Windows Update文件夹的读写权限。
(4)在Windows 2008系统中,WSUS默认端口号是80,迁移到Windows 2012后,WSUS默认端口号是8530。对此可以采取两种方式,第一种是更改WSUS server端的端口号,将其由8530改为80,第二种是更改WSUS Client端的WSUS server配置,将端口号改为8530。