Osnova možností nasazení serveru služby Windows Server Update Services

  • 7 min

Před instalací a konfigurací serverů WSUS (Windows Server Update Services) je nutné zvážit, jak nasadit službu WSUS ve vašem prostředí. Implementace služby WSUS se liší podle velikosti a konfigurace v závislosti na síťovém prostředí a na tom, jak chcete spravovat aktualizace. V hierarchii můžete mít jeden server WSUS pro celou organizaci, několik serverů WSUS fungujících nezávisle nebo několik serverů WSUS.

Jeden server WSUS

Nejzásadnější implementace služby WSUS používá v síti jeden server WSUS. Tento server se připojí ke službě Microsoft Update a stáhne aktualizace přes bránu firewall. Server WSUS používá port 8530 pro komunikaci HTTP a port 8531 pro HTTPS místo výchozích 80 a 443. Musíte se ujistit, že vaše brána firewall obsahuje potřebná pravidla, která serveru umožní připojení ke službě Microsoft Update. Tento základní scénář se běžně používá pro malé sítě s jedním fyzickým umístěním.

Několik serverů WSUS

Pokud se vaše prostředí skládá z několika izolovaných fyzických umístění, možná budete muset do každého umístění implementovat server WSUS. V tomto scénáři má každý server WSUS vlastní připojení k internetu ke stahování aktualizací ze služby Microsoft Update.

I když se jedná o platnou možnost, vyžaduje podstatně větší administrativní úsilí – zejména s rostoucím počtem fyzických umístění – protože je nutné spravovat každý jednotlivý server WSUS nezávisle. Je nutné stahovat aktualizace na každý server samostatně, schvalovat aktualizace na každém serveru jednotlivě a spravovat klienty WSUS tak, aby dostávali aktualizace ze správného serveru WSUS.

Jednotlivé servery WSUS dobře fungují pro organizace, které mají malý počet fyzických umístění, kde má každé fyzické umístění vlastní tým pro správu IT. Tento scénář můžete použít také pro jedno fyzické umístění, které má příliš mnoho klientů pro správu jednoho serveru WSUS, umístěním více serverů WSUS do clusteru vyrovnávání zatížení sítě (NLB).

Odpojené servery WSUS

Odpojený server WSUS je server, který se nepřipojuje ke službě Microsoft Update přes internet nebo přijímá aktualizace z jakéhokoli jiného serveru v síti. Místo toho tento server obdrží aktualizace z vyměnitelného média generovaného na jiném serveru WSUS.

Odpojený server WSUS je nejběžnější v izolovaných síťových prostředích bez přístupu k internetu, například v některých prostředích s vysokým zabezpečením. Server WSUS můžete použít v jiném umístění k synchronizaci se službou Microsoft Update, následnému exportu aktualizací do přenosného média a následnému přenosu přenosných médií do vzdáleného umístění, které se má importovat do odpojeného serveru WSUS.

Hierarchie serverů WSUS

Všechny scénáře, které jsme zatím probrali, řeší nezávisle spravovaný server WSUS, který se připojuje přímo ke službě Microsoft Update nebo přijímá aktualizace odpojeným způsobem. Ve větších organizacích s více fyzickými umístěními ale můžete chtít mít možnost synchronizovat se službou Microsoft Update na jednom serveru. Můžete také chtít odesílat aktualizace na servery v různých umístěních v síti a schvalovat aktualizace z jednoho umístění.

  • Hierarchie serverů WSUS umožňují:
  • Stáhněte si aktualizace serverů, které jsou blíže klientům, například serverům na pobočkách.
  • Stáhněte aktualizace jednou na jeden server a pak aktualizace replikujte přes síť na jiné servery.
  • Servery WSUS oddělte podle jazyka používaného jejich klienty.
  • Škálujte servery WSUS pro velkou organizaci, která má více klientských počítačů, než může spravovat jeden server WSUS.

V hierarchii serveru WSUS existují dva typy serverů:

  • Upstreamové servery. Upstreamové servery se připojují přímo ke službě Microsoft Update, aby načítaly aktualizace, nebo se odpojí a přijímají aktualizace pomocí přenosných médií.
  • Podřízené servery. Podřízené servery přijímají aktualizace z nadřazeného serveru WSUS.

Podřízené servery můžete nakonfigurovat v jednom ze dvou režimů:

  • Autonomní režim. Autonomní režim nebo distribuovaná správa umožňuje podřízeným serveru přijímat aktualizace z nadřazeného serveru, ale umožňuje správcům udržovat správu aktualizací místně. V tomto scénáři podřízený server udržuje vlastní sadu skupin počítačů a aktualizace lze schválit nezávisle na nastavení schválení na nadřazených serverech. To umožňuje jiné skupině správců spravovat aktualizace ve svých vlastních umístěních a jako zdroj aktualizací ke stažení používat pouze nadřazený server.
  • Režim repliky Režim repliky nebo centralizovaná správa umožňuje podřízeným serveru přijímat aktualizace, informace o členství ve skupinách počítačů a schválení z nadřazeného serveru. V tomto scénáři může jedna skupina správců spravovat aktualizace pro celou organizaci. Podřízené servery lze navíc umístit do různých fyzických poboček a přijímat všechna data o aktualizacích a správě z nadřazeného serveru.

V hierarchii služby WSUS můžete mít více vrstev. Některé podřízené servery můžete nakonfigurovat tak, aby používaly autonomní režim, zatímco pro konfiguraci jiných serverů můžete použít režim repliky. Můžete mít například jeden nadřazený server připojený ke službě Microsoft Update a stahovat aktualizace pro celou organizaci. V autonomním režimu můžete mít dva další podřízené servery, jeden, který spravuje aktualizace pro všechny počítače, na kterých běží software v angličtině, a další pro všechny počítače, na kterých běží software ve španělštině. Nakonec můžete mít další sadu podřízených serverů, které přijímají aktualizace ze serverů WSUS střední vrstvy nakonfigurovaných v režimu repliky. Jedná se o skutečné servery, ze které klienti přijímají aktualizace, ale veškerá správa se provádí na střední úrovni.

[POZNÁMKA] Podřízené servery můžete nakonfigurovat tak, aby stahovaly metadata informací o aktualizacích z nadřazeného serveru, ale samotné aktualizace si stáhly ze služby Microsoft Update. Jedná se o běžnou konfiguraci, pokud podřízené servery mají dobré připojení k internetu a chcete snížit provoz sítě WAN.