門門精通:百分百符合 WSUS 規範的 6 大秘訣
作者:Greg Shields
Windows Server Update Services (WSUS) 確實是 Microsoft 值得注意的成就之一。 我們當中的很多人都會記得它的前身,Software Update Services (SUS)。 那時,軟體更新推出時很少事先通知,並且具體的時間表也無法預測。 市場上的修補程式管理解決方案種類繁多,每種解決方案均標榜自身可採用獨特的方式使不斷湧現的關鍵更新變得井然有序。
此後隨著 WSUS 的推出,其他修補程式管理解決方案系列似乎已停止供應。 WSUS 幾乎靠一己之力成為大眾普遍使用的 Microsoft 修補程式管理解決方案。 為什麼呢? 因為它好用。
許多資料中心均使用 WSUS 伺服器管理其 Windows 更新。 數量更多的資料中心使用 WSUS 用戶端(Windows Update 代理)安裝每個更新的可執行代碼。 不過,很多資料中心仍在力爭及時部署更新。 即使通常情況下無法實現,短時間內實現百分百的合規性仍是一個崇高的目標。
許多“萬事通”IT 專業人員並未意識到,某些最佳的 WSUS 實現方法並非顯而易見。 某些方法甚至並未廣為人知。 下麵我將介紹幾種更有成效的技巧,説明您順利進行更新。
1. 不要讓使用者或更新控制重新開機
實現百分百的更新合規性需要兩個基本步驟:首先,您必須安裝更新;其次,您必須重新開機電腦。 您必須完成這兩個步驟才能使電腦被視為合規。 WSUS 處理重新開機步驟的方式略顯不足。
大多數像您這樣的人都不希望麻煩使用者在更新後重新開機電腦。 在工作期間重新開機會令使用者感到不快,並可能導致丟失工作。 正因如此,通常會提供相應的選項讓使用者推遲重新開機。 推遲重新開機將使使用者有時間完成正在進行的工作,並從容地關閉電腦。 然而,推遲重新開機會延誤百分百合規性的實現。
另一個選項是為每個已批准的更新附加期限, 從而規定安裝和重新開機必須完成的日期和時間。 期限過後,必須強制電腦重新開機。 此處的問題出在那些在期限範圍內關閉或與網路斷開連接的電腦上。 這些電腦在再次開機或重新連接到網路後將打補丁,隨後重新開機。 這並非理想的解決方案。
一個更好的控制重新開機的方法是徹底從 WSUS 中刪除它們。 生成一個用於一次性重新開機所有電腦的腳本。 安排該腳本在使用者下班後運行。 在確定外部重新開機腳本將完成更新過程的情況下,您可以根據需要隨時更新系統。
例如,確定一個重新開機網路上每台桌上型電腦的時間範圍 — 假設為星期三和星期六淩晨 2:00 至淩晨 4:00。 and 4:00 a.m. 將此“重新開機時間範圍”告知使用者,以便他們保存工作。 然後,您親自生成一個用於一次性重新開機所有桌上型電腦的小腳本。 您可以從 concentratedtech.com/download 下載一個示例腳本。 在重新開機時間範圍內使用任務計畫程式每週運行該腳本一次。
這種情況下使用幾個群組原則設置可能會有説明: 啟用策略設置“對於有已登錄使用者的電腦,計畫的自動更新安裝不執行重新開機”。這將阻止更新安裝重新開機電腦。
在策略設置“配置自動更新”中,將值設置為 4,然後確保安裝時間早于重新開機時間範圍。 啟用策略“允許自動更新立即安裝”也會有所説明,因為該策略會立即安裝不需要重新開機的更新。 最後,如果您希望鎖定這些設置(甚至對管理員也不例外),您可以啟用使用者配置策略“刪除使用所有 Windows Update 功能的存取權限”。
以這種方式重新配置 WSUS 會將重新開機步驟與安裝步驟分開,從而使您能夠對短時間內實現百分百合規性進行更好的控制。
2. 使用 WSUS API 立即對電腦打補丁
IT 專業人員經常問我,“是否可通過某種方式使用 WSUS 立即對電腦打補丁?”他們對等待基於時間的 WSUS 更新已感到厭倦。 他們想要立即控制電腦打補丁的時間,尤其是對於伺服器。
方法是有的,只是未在 WSUS GUI 中公開。 WSUS 還通過 API 公開了腳本編寫。 使用此 API 和您首選的指令碼語言,您可以指示任何用戶端的 Windows Update 代理從 WSUS 伺服器中收集並安裝已批准的更新。 當需要重新開機以安裝更新時,此代理甚至會立即重新開機電腦。
困難之處在于構建一個將完成此任務的腳本。 concentratedtech.com/download 中提供了兩個腳本。 第一個腳本在需要更新的電腦上執行。 該腳本將下載並安裝已批准的更新,然後在必要的情況下重新開機電腦。 第二個腳本使用出色的 Microsoft 工具 PSExec 在網路中的多台電腦上遠端啟動第一個腳本。
這兩個腳本可用於對伺服器打補丁。 您可以指示伺服器立即打補丁並重新啟動,而不必等待 WSUS 時鐘計時器啟動。
3. 使用群組原則喚醒電腦
在其他 WSUS 群組原則設置存儲所在的位置,您將找到一個名為“啟用 Windows Update 電源管理”的群組原則設置。 該群組原則設置將自動喚醒系統以安裝安排好的更新。
我們當中的很多人會將電腦配置為在不使用的情況下進入省電狀態,例如關閉螢幕,甚至使電腦處於休眠狀態。 問題是處於休眠狀態的電腦不會在午夜時醒來安裝更新。
啟用此設置將指示 Windows Update 在到了更新時間時自動喚醒處於休眠狀態的電腦。 更新完畢後,電腦將在兩分鐘後恢復休眠模式。
4. 實現面向 Internet 的 WSUS
另一個可能會帶來難題的因素就是那些很少連接內部 LAN 的員工。 這些員工的可擕式電腦屬於公司財產,但由於很少聯網,因此管理選項很有限。 為了確保對這些電腦打補丁,許多使用者被迫訪問 Microsoft 公共更新網站。 在該網站中,他們將獲得 Microsoft 認為合適的每個修補程式。
如您所想,此方法有很多問題。 我們當中的很多人都希望確定安裝哪些修補程式。 我們希望測試和批准修補程式,以便去除那些我們確定其會產生問題的修補程式。 此外,我們還需要有關修補是否成功的報告,以防未打補丁的電腦感染網路。
實現此目的(以及短時間內實現百分百合規性)的方法之一是使用面向 Internet 的 WSUS 伺服器。 此類伺服器可滿足您對那些很少在辦公室辦公的使用者的修補程式管理需要。 面向 Internet 的 WSUS 伺服器通常不包含實際的更新資料, 而是將用戶端指向 Windows Update 以獲取更新內容。
這使得您可以控制將部署哪些修補程式,同時將修補程式分發的責任轉移給 Microsoft 伺服器。 這些伺服器通常還通過使用 SSL 證書和單獨的資料庫伺服器得到增強,從而防止不當使用者訪問。
5. 考慮 BranchCache 加速
短時間內實現百分百合規性需要快速對用戶端打補丁, 同時還需要在整個 WSUS 層次結構中快速分發更新。 遺憾的是,如果您將多台 WSUS 伺服器連接在一起,則在某些情況下可能無法快速分發更新中繼資料和內容。 此處的問題體現在自動更新檢測的頻率以及某些潛在的分支辦公室網路連接。
如果您使用的是 Windows Server 2008 R2,您可以將連接的 WSUS 伺服器替換為 BranchCache — 一種針對遠端辦公室中的使用者緩存文檔的內容加速解決方案。 您還可以使用 BranchCache 加快更新部署。
在您的 WSUS 伺服器上安裝 BranchCache。 然後,使用群組原則為遠端辦公室中的 Windows 7 用戶端啟用它。 最後,將這些遠端辦公室用戶端指向總部的 WSUS 伺服器獲取更新。
使用 BranchCache 分散式緩存模式,遠端網站中的 Windows 7 電腦將共用已下載的 WSUS 內容。 這將加快更新分發的速度,而不會使您的網路連接處於滿負荷狀態。
BranchCache 中的實際緩存對用戶端是完全透明的。 這意味著,針對從啟用了 BranchCache 的伺服器中下載的所有內容啟用加速功能後,此功能將立即生效。 因此,您可以移除遠端網站中的 WSUS 伺服器,並取消更新分發中的一個步驟。
6. 確保 WSUS 資料庫保持乾淨狀態
最後這個提示感覺像是在開玩笑,但它是實現百分百合規性的一個重要步驟。 從 WSUS 資料庫中刪除過期的電腦會將其從您的合規性計數器中刪除。 如果某台電腦不復存在,它將永遠不會報告合規性,而您將永遠看不到百分百合規性。
WSUS 提供了一個清理嚮導,您應定期使用此嚮導。 它將移除不再與伺服器進行通信的電腦,並消除不必要的更新。
多年來,我始終將以上建議傳達給客戶。 所有這些客戶均明顯縮短了實現完全合規性所需的時間。 您也一樣可以做到。 如果不能,請通知我。 請在 concentratedtech.com/WSUSGuarantee 上提出您的問題。
.jpg)
Greg Shields , 是一位 MVP,也是 Concentrated Technology 的合夥人。 若要瞭解 Shields 這位百事通的更多提示和技巧,請訪問 ConcentratedTech.com
憑藉自己的最佳技巧獲得大家認可
您是門門精通的 Windows 管理員嗎? 您同時負責網路、伺服器、印表機等諸如此類的工作嗎? 如果是,您一定開發出了一些讓這些伺服器保持順利運行的有用方法和技巧。 是否有興趣分享一下呢? TechNet 雜誌的萬事通專欄作家 Greg Shields 正在為下一期專欄尋找一些好的建議,他需要您的説明。
找到管理 Windows 伺服器的好技巧了嗎? 想出保持桌上型電腦順利運行的好辦法了嗎? 介意分享在管理 IT 環境方面的秘訣嗎?Greg 的“20 大 IT 技巧”將出現在下一期 TechNet 雜誌上。 在下一期雜誌中,他將評出本行業中最聰明的 20 位 IT JOAT 以及他們用來改變遊戲規則的技巧和竅門。現在就提交您的技巧吧!將您名字刊登在雜誌上,讓別人稱讚您的美德,告訴每個人為何您能夠輕鬆搞定實際工作。 將您的技巧發送到 gshields@concentratedtech.com。每個提交的技巧都將得到回復。
—G.S.