Implementatieopties voor Windows Server Update Services-server weergeven

  • 7 minuten

Voordat u WSUS-servers (Windows Server Update Services) installeert en configureert, moet u overwegen om WSUS in uw omgeving te implementeren. WSUS-implementaties variëren in grootte en configuratie, afhankelijk van uw netwerkomgeving en hoe u updates wilt beheren. U kunt één WSUS-server hebben voor uw hele organisatie, meerdere WSUS-servers die onafhankelijk werken of meerdere WSUS-servers die met elkaar zijn verbonden in een hiërarchie.

Enkele WSUS-server

De meest eenvoudige implementatie van WSUS maakt gebruik van één WSUS-server in uw netwerk. Deze server maakt verbinding met Microsoft Update en downloadt updates via de firewall. De WSUS-server gebruikt poort 8530 voor HTTP-communicatie en poort 8531 voor HTTPS, in plaats van de standaardwaarde 80 en 443. U moet ervoor zorgen dat uw firewall beschikt over de benodigde regels om de server verbinding te laten maken met Microsoft Update. Dit basisscenario wordt vaak gebruikt voor kleine netwerken met één fysieke locatie.

Meerdere WSUS-servers

Als uw omgeving bestaat uit verschillende geïsoleerde fysieke locaties, moet u mogelijk op elke locatie een WSUS-server implementeren. In dit scenario heeft elke WSUS-server een eigen verbinding met internet om updates van Microsoft Update te downloaden.

Hoewel dit een geldige optie is, is er aanzienlijk meer administratieve inspanning vereist, met name naarmate het aantal fysieke locaties toeneemt, omdat u elke afzonderlijke WSUS-server onafhankelijk moet beheren. U moet updates afzonderlijk naar elke server downloaden, updates op elke server afzonderlijk goedkeuren en WSUS-clients beheren, zodat ze updates ontvangen van de juiste WSUS-server.

Afzonderlijke WSUS-servers werken goed voor organisaties met een klein aantal fysieke locaties, waarbij elke fysieke locatie een eigen IT-beheerteam heeft. U kunt dit scenario ook gebruiken voor één fysieke locatie met te veel clients voor één WSUS-server die moet worden beheerd door meerdere WSUS-servers in een NLB-cluster (Network Load Balancing) te plaatsen.

Niet-verbonden WSUS-servers

Een niet-verbonden WSUS-server is een server die geen verbinding maakt met Microsoft Update via internet of de updates ontvangt van een andere server in het netwerk. In plaats daarvan ontvangt deze server de updates van verwisselbare media die zijn gegenereerd op een andere WSUS-server.

Een niet-verbonden WSUS-server wordt het meest gebruikt in geïsoleerde netwerkomgevingen zonder internettoegang, zoals in sommige omgevingen met hoge beveiliging. U kunt een WSUS-server op een andere locatie gebruiken om te synchroniseren met Microsoft Update, de updates vervolgens te exporteren naar draagbare media en vervolgens de draagbare media naar de externe locatie te transporteren die moet worden geïmporteerd in de niet-verbonden WSUS-server.

WSUS-serverhiërarchieën

Alle scenario's die we tot nu toe hebben besproken, hebben betrekking op een onafhankelijk beheerde WSUS-server die rechtstreeks verbinding maakt met Microsoft Update of de updates ontvangt op een niet-verbonden manier. In grotere organisaties met meerdere fysieke locaties wilt u echter mogelijk de mogelijkheid hebben om te synchroniseren met Microsoft Update op één server. Mogelijk wilt u de updates ook pushen naar servers op verschillende locaties via uw netwerk en updates goedkeuren vanaf één locatie.

  • Met WSUS-serverhiërarchieën kunt u het volgende doen:
  • Download updates naar servers die zich dichter bij clients bevinden, zoals servers in filialen.
  • Download updates eenmaal naar één server en repliceer vervolgens de updates via uw netwerk naar andere servers.
  • Afzonderlijke WSUS-servers op basis van de taal die door hun clients wordt gebruikt.
  • Schaal WSUS-servers voor een grote organisatie met meer clientcomputers dan één WSUS-server kan beheren.

In een WSUS-serverhiërarchie zijn er twee typen servers:

  • Upstream-servers. Upstream-servers maken rechtstreeks verbinding met Microsoft Update om updates op te halen of worden losgekoppeld en ontvangen updates via draagbare media.
  • Downstreamservers. Downstreamservers ontvangen updates van een WSUS-upstream-server.

U kunt downstreamservers configureren in een van de volgende twee modi:

  • Autonome modus. Met autonome modus of gedistribueerd beheer kan een downstream-server updates ontvangen van een upstream-server, maar kunnen beheerders het beheer van de updates lokaal onderhouden. In dit scenario onderhoudt de downstream-server een eigen set computergroepen en kunnen updates onafhankelijk van goedkeuringsinstellingen op de upstream-servers worden goedgekeurd. Hierdoor kan een andere groep beheerders updates op hun eigen locaties beheren en alleen de upstream-server gebruiken als bron van downloadbare updates.
  • Replicamodus. Met de replicamodus of gecentraliseerd beheer kan een downstreamserver updates, informatie over het lidmaatschap van de computergroep en goedkeuringen van een upstream-server ontvangen. In dit scenario kan één groep beheerders updates voor de hele organisatie beheren. Daarnaast kunnen downstreamservers in verschillende fysieke kantoren worden geplaatst en alle updates en beheergegevens van een upstream-server ontvangen.

U kunt meerdere lagen in uw WSUS-hiërarchie hebben. U kunt sommige downstreamservers configureren om de autonome modus te gebruiken, terwijl u de replicamodus kunt gebruiken om andere servers te configureren. U kunt bijvoorbeeld één upstream-server hebben verbonden met Microsoft Update, waarbij updates voor uw hele organisatie worden gedownload. U kunt twee andere downstreamservers hebben in de autonome modus, een die updates beheert voor alle computers met software in het Engels en een andere voor alle computers die software in het Spaans uitvoeren. Ten slotte kunt u een andere set downstreamservers hebben die hun updates ontvangen van de WSUS-servers in de middelste laag die zijn geconfigureerd in de replicamodus. Dit zijn de werkelijke servers van waaruit clients updates ontvangen, maar al het beheer wordt uitgevoerd op de middelste laag.

[OPMERKING] U kunt downstreamservers configureren om de metagegevens van updategegevens van een upstream-server te downloaden, maar om de werkelijke updates zelf te downloaden van Microsoft Update. Dit is een algemene configuratie wanneer de downstreamservers een goede internetverbinding hebben en u WAN-verkeer wilt verminderen.