以 WSUS 規劃整合

Client Security 使用 WSUS,從 Microsoft Update 下載代理程式元件、定義與引擎更新,並將更新散佈到貴組織內的 Client Security 代理程式。

WSUS 允許您選擇是否將更新的相關資訊儲存至 SQL Server 資料庫,或 Microsoft SQL Server Desktop Engine (MSDE) 資料庫中。因為 WSUS 將從 Microsoft Update 下載大量的 Client Security 更新,所以強烈建議您將 Client Security 的 WSUS 伺服器安裝至 SQL Server 資料庫。

WSUS 賦予組織自動下載 Microsoft 產品更新,並將它們散佈至組織內用戶端的能力。WSUS 連接至 Microsoft Update,並將可用的更新同步處理至本機伺服器。安裝與設定 WSUS 之後,您必須設定用戶端連接至 WSUS 伺服器,以下載更新。這可透過群組原則來完成。如需關於將 Client Security 部署至受管理電腦的詳細資訊,請參閱部署 Client Security (http://go.microsoft.com/fwlink/?LinkId=88893)(英文) 與規劃 Client Security 的部署.

如需關於部署 WSUS 2.0 的指導,請參閱部署 Microsoft Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=88891)(英文)。如需關於部署 WSUS 3.0 的指導,請參閱部署 Microsoft Windows Server Update Services 3.0 (http://go.microsoft.com/fwlink/?LinkId=88892)(英文)。如需關於如何使用 WSUS 的詳細資訊,請參閱 Microsoft Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=88611)(英文)。

WSUS 必須能透過 TCP 連接埠 80 或 TCP 連接埠 443 連接至 Microsoft Update 網站。您可能需要修改貴組織內的防火牆或路由器規則,以允許進行這項通訊。此外,您在開始安裝 Client Security 之前,必須同步處理新的 WSUS 伺服器,因為這可能要花費一些時間。此同步處理會為分佈角色安裝所啟動的 Client Security 新增額外的更新類別。

將 Client Security 部署至目標受管理電腦的建議方式是透過群組原則。您可以使用 Microsoft Forefront Client Security 管理主控台將 Client Security 原則部署至目標。目標電腦接收到 Client Security 原則之後,它們將聯繫 WSUS 伺服器,並下載 Client Security 用戶端元件;這些元件是 WSUS 伺服器從 Microsoft Update 所下載。為順利執行,受管理電腦必須設定為連接至 WSUS 伺服器。

在 WSUS 伺服器上安裝 Client Security 分佈元件,會新增稱為 Forefront Client Security Update Assistant 的服務。此項服務使 WSUS 每一小時查詢 Microsoft Update 的更新一次。如此允許 WSUS 以比 WSUS 預設設定更頻繁的間隔來取得 Client Security 定義更新。

此外,安裝分佈元件會將 WSUS 伺服器設定為自動同步處理來自於 Microsoft Update 的 Client Security 定義更新。定義更新也會新增至 WSUS [自動核准選項] 內的 [核准安裝] 清單中。這表示 WSUS 伺服器下載的任何定義更新,會由您的受管理電腦自動核准安裝。

WSUS 允許系統管理員管理核准設定,以便將更新部署至用戶端電腦。您應考慮預設的 Client Security 設定是將定義更新設定為自動核准。雖然建議您允許定義更新仍為自動核准為儘快散佈定義更新,但是也可能有理由不設定自動核准:

  • 定義更新的測試
  • 分段式進行定義更新,以減少網路流量

若要確認 WSUS 伺服器同步處理 Client Security 用戶端元件,而且它們在您部署 Client Security 原則之後,可由受管理電腦下載及安裝,您必須在 WSUS [同步處理選項] 內的 [更新分類] 清單中新增 [更新]。如需詳細資訊,請參閱在 WSUS 中核准用戶端元件 (http://go.microsoft.com/fwlink/?LinkId=88895)(英文)。

如果您目前的 WSUS 基礎結構包含多部 WSUS 伺服器,則必須在所有 WSUS 伺服器上安裝 Client Security 分佈元件。Client Security 分佈元件會設定 WSUS 伺服器每隔一小時向 Microsoft Update 查詢定義更新,而且會設定 WSUS 自動核准定義更新。如果無法在所有 WSUS 伺服器上安裝分佈元件,則將會延遲定義更新的分佈。

此外,如果您的 WSUS 基礎結構包含 WSUS 伺服器的上游/下游設定,則上游伺服器上定義更新的核准選項,必須等於下游伺服器上的核准選項。而且在 WSUS 伺服器的上游/下游設定中,對於鏈結內 WSUS 伺服器的每一層,定義更新分佈至受管理電腦的延遲會增加一個小時。

顯示: