门门精通:实现百分百 WSUS 合规性的 6 个提示
作者:Greg Shields
Windows Server Update Services (WSUS) 确实是 Microsoft 值得注意的成就之一。我们当中的很多人都会记得它的前身,Software Update Services (SUS)。那时,软件更新推出时很少事先通知,并且具体的时间表也无法预测。市场上的修补程序管理解决方案种类繁多,每种解决方案均标榜自身可采用独特的方式使不断涌现的关键更新变得井然有序。
此后随着 WSUS 的推出,其他修补程序管理解决方案系列似乎已停止供应。WSUS 几乎靠一己之力成为大众普遍使用的 Microsoft 修补程序管理解决方案。为什么呢?因为它好用。
许多数据中心均使用 WSUS 服务器管理其 Windows 更新。数量更多的数据中心使用 WSUS 客户端(Windows Update 代理)安装每个更新的可执行代码。不过,很多数据中心仍在力争及时部署更新。即使通常情况下无法实现,短时间内实现百分百的合规性仍是一个崇高的目标。
许多“万事通”IT 专业人员并未意识到,某些最佳的 WSUS 实现方法并非显而易见。某些方法甚至并未广为人知。下面我将介绍几种更有成效的技巧,帮助您顺利进行更新。
1. 不要让用户或更新控制重新启动
实现百分百的更新合规性需要两个基本步骤:首先,您必须安装更新;其次,您必须重新启动计算机。您必须完成这两个步骤才能使计算机被视为合规。WSUS 处理重新启动步骤的方式略显不足。
大多数像您这样的人都不希望麻烦用户在更新后重新启动计算机。在工作期间重新启动会令用户感到不快,并可能导致丢失工作。正因如此,通常会提供相应的选项让用户推迟重新启动。推迟重新启动将使用户有时间完成正在进行的工作,并从容地关闭计算机。然而,推迟重新启动会延误百分百合规性的实现。
另一个选项是为每个已批准的更新附加期限,从而规定安装和重新启动必须完成的日期和时间。期限过后,必须强制计算机重新启动。此处的问题出在那些在期限范围内关闭或与网络断开连接的计算机上。这些计算机在再次开机或重新连接到网络后将打补丁,随后重新启动。这并非理想的解决方案。
一个更好的控制重新启动的方法是彻底从 WSUS 中删除它们。生成一个用于一次性重新启动所有计算机的脚本。安排该脚本在用户下班后运行。在确定外部重新启动脚本将完成更新过程的情况下,您可以根据需要随时更新系统。
例如,确定一个重新启动网络上每台台式机的时间范围 — 假设为星期三和星期六凌晨 2:00 至凌晨 4:00。将此“重新启动时间范围”告知用户,以便他们保存工作。然后,您亲自生成一个用于一次性重新启动所有台式机的小脚本。您可以从 concentratedtech.com/download 下载一个示例脚本。在重新启动时间范围内使用任务计划程序每周运行该脚本一次。
这种情况下使用几个组策略设置可能会有帮助:启用策略设置“对于有已登录用户的计算机,计划的自动更新安装不执行重新启动”。这将阻止更新安装重新启动计算机。
在策略设置“配置自动更新”中,将值设置为 4,然后确保安装时间早于重新启动时间范围。启用策略“允许自动更新立即安装”也会有所帮助,因为该策略会立即安装不需要重新启动的更新。最后,如果您希望锁定这些设置(甚至对管理员也不例外),您可以启用用户配置策略“删除使用所有 Windows Update 功能的访问权限”。
以这种方式重新配置 WSUS 会将重新启动步骤与安装步骤分开,从而使您能够对短时间内实现百分百合规性进行更好的控制。
2. 使用 WSUS API 立即对计算机打补丁
IT 专业人员经常问我,“是否可通过某种方式使用 WSUS 立即对计算机打补丁?”他们对等待基于时间的 WSUS 更新已感到厌倦。他们想要立即控制计算机打补丁的时间,尤其是对于服务器。
方法是有的,只是未在 WSUS GUI 中公开。WSUS 还通过 API 公开了脚本编写。使用此 API 和您首选的脚本语言,您可以指示任何客户端的 Windows Update 代理从 WSUS 服务器中收集并安装已批准的更新。当需要重新启动以安装更新时,此代理甚至会立即重新启动计算机。
困难之处在于构建一个将完成此任务的脚本。concentratedtech.com/download 中提供了两个脚本。第一个脚本在需要更新的计算机上执行。该脚本将下载并安装已批准的更新,然后在必要的情况下重新启动计算机。第二个脚本使用出色的 Microsoft 工具 PSExec 在网络中的多台计算机上远程启动第一个脚本。
这两个脚本可用于对服务器打补丁。您可以指示服务器立即打补丁并重新启动,而不必等待 WSUS 时钟计时器启动。
3. 使用组策略唤醒计算机
在其他 WSUS 组策略设置存储所在的位置,您将找到一个名为“启用 Windows Update 电源管理”的组策略设置。该组策略设置将自动唤醒系统以安装安排好的更新。
我们当中的很多人会将计算机配置为在不使用的情况下进入省电状态,例如关闭屏幕,甚至使计算机处于休眠状态。问题是处于休眠状态的计算机不会在午夜时醒来安装更新。
启用此设置将指示 Windows Update 在到了更新时间时自动唤醒处于休眠状态的计算机。更新完毕后,计算机将在两分钟后恢复休眠模式。
4. 实现面向 Internet 的 WSUS
另一个可能会带来难题的因素就是那些很少连接内部 LAN 的员工。这些员工的便携式计算机属于公司财产,但由于很少联网,因此管理选项很有限。为了确保对这些计算机打补丁,许多用户被迫访问 Microsoft 公共更新网站。在该网站中,他们将获得 Microsoft 认为合适的每个修补程序。
如您所想,此方法有很多问题。我们当中的很多人都希望确定安装哪些修补程序。我们希望测试和批准修补程序,以便去除那些我们确定其会产生问题的修补程序。此外,我们还需要有关修补是否成功的报告,以防未打补丁的计算机感染网络。
实现此目的(以及短时间内实现百分百合规性)的方法之一是使用面向 Internet 的 WSUS 服务器。此类服务器可满足您对那些很少在办公室办公的用户的修补程序管理需要。面向 Internet 的 WSUS 服务器通常不包含实际的更新数据,而是将客户端指向 Windows Update 以获取更新内容。
这使得您可以控制将部署哪些修补程序,同时将修补程序分发的责任转移给 Microsoft 服务器。这些服务器通常还通过使用 SSL 证书和单独的数据库服务器得到增强,从而防止不当用户访问。
5. 考虑 BranchCache 加速
短时间内实现百分百合规性需要快速对客户端打补丁,同时还需要在整个 WSUS 层次结构中快速分发更新。遗憾的是,如果您将多台 WSUS 服务器连接在一起,则在某些情况下可能无法快速分发更新元数据和内容。此处的问题体现在自动更新检测的频率以及某些潜在的分支办公室网络连接。
如果您使用的是 Windows Server 2008 R2,您可以将连接的 WSUS 服务器替换为 BranchCache — 一种针对远程办公室中的用户缓存文档的内容加速解决方案。您还可以使用 BranchCache 加快更新部署。
在您的 WSUS 服务器上安装 BranchCache。然后,使用组策略为远程办公室中的 Windows 7 客户端启用它。最后,将这些远程办公室客户端指向总部的 WSUS 服务器获取更新。
使用 BranchCache 分布式缓存模式,远程站点中的 Windows 7 计算机将共享已下载的 WSUS 内容。这将加快更新分发的速度,而不会使您的网络连接处于满负荷状态。
BranchCache 中的实际缓存对客户端是完全透明的。这意味着,针对从启用了 BranchCache 的服务器中下载的所有内容启用加速功能后,此功能将立即生效。因此,您可以移除远程站点中的 WSUS 服务器,并取消更新分发中的一个步骤。
6. 确保 WSUS 数据库保持干净状态
最后这个提示感觉像是在开玩笑,但它是实现百分百合规性的一个重要步骤。从 WSUS 数据库中删除过期的计算机会将其从您的合规性计数器中删除。如果某台计算机不复存在,它将永远不会报告合规性,而您将永远看不到百分百合规性。
WSUS 提供了一个清理向导,您应定期使用此向导。它将移除不再与服务器进行通信的计算机,并消除不必要的更新。
多年来,我始终将以上建议传达给客户。所有这些客户均明显缩短了实现完全合规性所需的时间。您也一样可以做到。如果不能,请通知我。请在 concentratedtech.com/WSUSGuarantee 上提出您的问题。
.jpg)
Greg Shields是一位 MVP,也是 Concentrated Technology 的合伙人。若要了解 Shields 这位百事通的更多提示和技巧,请访问 ConcentratedTech.com。
凭借自己的最佳技巧获得大家认可
您是门门精通的 Windows 管理员吗?您同时负责网络、服务器、打印机等诸如此类的工作吗?如果是,您一定开发出了一些让这些服务器保持顺利运行的有用方法和技巧。是否有兴趣分享一下呢?TechNet 杂志的万事通专栏作家 Greg Shields 正在为下一期专栏寻找一些好的建议,他需要您的帮助。
找到管理 Windows 服务器的好技巧了吗?想出保持台式机顺利运行的好办法了吗?介意分享在管理 IT 环境方面的秘诀吗?Greg 的“20 大 IT 技巧”将出现在下一期 TechNet 杂志上。在下一期杂志中,他将评出本行业中最聪明的 20 位 IT JOAT 以及他们用来改变游戏规则的技巧和窍门。现在就提交您的技巧吧!将您名字刊登在杂志上,让别人称赞您的美德,告诉每个人为何您能够轻松搞定实际工作。 将您的技巧发送到 gshields@concentratedtech.com。每个提交的技巧都将得到回复。
—G.S.