Windows Update之官方解决方案

      以下仅以不同情况下如何实现更新做简单介绍。

 

一：个人计算机

      对于连接互联网的个人计算机而言，通过Windows系统自带的自动更新程序，就可以实现补丁的下载与安装。
自动更新：一个嵌入到 Windows Vista、Microsoft Windows Server 2003、Windows XP 以及 Windows 2000 SP4 操作系统的客户端计算机组件。通过使用自动更新，服务器和客户端计算机可以从 Microsoft Update 或运行 WSUS 的服务器接收更新。
      而对于与互联网隔离的个人计算机而言，通过Microsoft的官方网站下载需要的补丁包，手动安装即可。

二：内部局域网

      与互联网连接的局域网同样可以使用Windows系统自带的自动更新程序为每个系统下载与安装补丁，但将造成局域网内的带宽浪费，因为同一个补丁包将会被多次下载；同时，如果网络内对个人计算机访问互联网设有限制，这样的解决方案看来也不太实际。

      微软提供的WSUS(Windows Server Update Services)无疑是最佳的解决方案。WSUS组件安装在位于防火墙内部的 Windows Server 2003 SP1 或 nextref_longhorn 服务器上，网络中只要有一个 WSUS 服务器连接到 Microsoft Update即可获取可用的更新信息，此WSUS 服务器还可作为组织内其他 WSUS 服务器的更新源，管理员可根据网络安全性和配置来决定是否允许其他服务器直接连接到 Microsoft Update。WSUS 服务器允许管理员通过 WSUS 管理控制台（可安装在域中的任意 Windows 计算机上）管理和分发更新，WSUS服务器好比在企业内网中建立的一个微软补丁镜像服务器，这样，局域网内所有系统只需连接至该WSUS服务器即可获得更新。

      Microsoft Windows Server Update Services (WSUS)(目前版本3.0)是 Microsoft Windows Server操作系统的一个组件，通过使用 Windows Server Update Services (WSUS)，您可以管理获取通过 Microsoft Update 发布的软件更新并将其分发给网络中的服务器和客户端计算机的过程。

WSUS 提供一个管理解决方案，其中包括：
      Microsoft Update：是一个 Microsoft 网站，WSUS 组件连接到该网站以获取 Microsoft 产品更新。
      Windows Server Update Services 服务器：是一个服务器组件，它安装在企业防火墙内运行 Microsoft Windows 2003 Server 操作系统的计算机上。管理员可通过 WSUS 服务器软件来管理更新并将其分发给客户端计算机。WSUS 服务器也可以作为其他 WSUS 服务器的更新源。在 WSUS 实现中，网络中至少有一台 WSUS 服务器必须连接到 Microsoft Update 以获取可用更新。管理员可根据网络安全性和配置来确定另外有多少台服务器可直接连接到 Microsoft Update。
      WSUS 管理控制台：是一个基于 Microsoft 管理控制台的管理控制台，可以从与 WSUS 服务器域具有信任关系的任何域中的任何计算机对其进行访问。
      自动更新：是一个嵌入到 Windows Vista、Microsoft Windows Server 2003、Windows XP 以及 Windows 2000 SP4 操作系统的客户端计算机组件。通过使用自动更新，服务器和客户端计算机可以从 Microsoft Update 或运行 WSUS 的服务器接收更新。

      关于WSUS的相关介绍，可以查看该链接内容：
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/wsus/default.mspx
      关于WSUS的相关部署内容，在下载安装WSUS后，会有详细的帮助文档，也可以参看以下下链接内容：
http://struggle.blog.51cto.com/333093/79953
      Windows Server Update Services 3.0 - 简体中文下载地址：
http://www.microsoft.com/downloads/details.aspx?FamilyID=e4a868d7-a820-46a0-b4db-ed6aa4a336d9&DisplayLang=zh-cn

      WSUS是Microsoft官方发布的解决方案，稳定性好，而且功能强大，服务器端组件包括以下及其它功能，完整内容可参见WSUS的帮助文档：

      更多更新
Microsoft Update 发布了以下产品的更新：
•Windows 2000 
•Windows XP（32 位、IA-64 和 x64 版本）
•Windows Vista 
•Windows Server 2003 
•Windows Small Business Server 2003 
•Exchange Server 2000
•Exchange Server 2003
•Exchange Server 2007
•SQL Server 
•SQL Server 2005
•Office XP 
•Office 2003 
•Microsoft ISA Server 2004 
•Microsoft Data Protection Manager
•Microsoft ForeFront
•Windows Live
•Windows Defender

      可设置为自动下载的特定更新
当 WSUS 服务器从 Microsoft Update 或上游 WSUS 服务器下载可用更新时，会同时进行同步。
管理员可根据以下条件选择在同步期间要下载到 WSUS 服务器的更新：
•产品或产品系列（例如 Microsoft Windows Server 2003 或 Microsoft Office）
•更新分类（例如关键更新和驱动程序）
•语言（例如，仅英语和日语）

      由管理员批准决定的针对更新的自动操作
管理员必须批准要对更新执行的所有自动操作。
批准操作包括：
•批准
•删除（仅当更新支持卸载时才可使用此操作）
•拒绝

      能够在安装更新之前确定其适用性

现在，WSUS 3.0 可自动扫描更新以确定应该在哪些计算机中安装它们。在实际规划和部署要安装的更新之前，管理员可利用状态报告来分析更新将产生的影响，状态报告可直接从单个更新、更新子集或所有更新的更新视图生成。

 

三：物理隔离网络

      公司策略或其他条件限制了计算机对 Internet 的访问，则管理员可建立一个运行 WSUS 的内部服务器，创建了一个与 Internet 相连但与 Intranet 隔离的服务器。在此服务器上下载、测试和批准更新后，管理员随后可将更新元数据和内容导出到适当的媒体中，然后再从该媒体中将更新元数据和内容导入到 Intranet 内运行 WSUS 的服务器中。该实现的部署示意图如下所示：

/WSUS DIR/Tools/wsusutil.exe export|import可以实现数据的导出与导入操作。