Описание вариантов развертывания сервера Windows Server Update Services

  • 7 мин

Перед установкой и настройкой серверов WSUS (Windows Server Update Services) необходимо подумать, как развертывать службы WSUS в своей среде. Реализация WSUS может иметь разные размеры и конфигурацию в зависимости от сетевой среды и способа управления обновлениями. У вас может быть один сервер WSUS для всей организации, несколько серверов WSUS, действующих независимо, или несколько серверов WSUS, подключенных друг к другу в иерархии.

Один сервер WSUS

В самой базовой реализации WSUS используется один сервер WSUS в сети. Этот сервер подключается к Центру обновления Майкрософт и скачивает обновления через брандмауэр. Сервер WSUS использует порт 8530 для HTTP-соединения и порт 8531 для HTTPS вместо портов по умолчанию 80 и 443 соответственно. Необходимо убедиться, что брандмауэр имеет необходимые правила, чтобы разрешить серверу подключаться к Центру обновления Майкрософт. Этот базовый сценарий обычно используется для небольших сетей с одним физическим расположением.

Несколько серверов WSUS

Если среда состоит из нескольких изолированных физических расположений, может потребоваться реализовать сервер WSUS в каждом расположении. В этом сценарии каждый сервер WSUS имеет собственное подключение к Интернету для загрузки обновлений из Центра обновления Майкрософт.

Хотя этот вариант допустим, он требует значительно большего объема административных усилий, особенно при увеличении количества физических расположений, поскольку каждым сервером WSUS необходимо управлять отдельно. Необходимо отдельно скачивать обновления для каждого сервера, утверждать обновления на каждом сервере по отдельности и управлять клиентами WSUS, чтобы они получали обновления с правильного сервера WSUS.

Отдельные серверы WSUS хорошо подходят для организаций с небольшим количеством физических расположений, в каждом из которых есть собственный ИТ-отдел. Этот сценарий также можно использовать для одного физического расположения, если имеется слишком много клиентов для одного сервера WSUS. В таком случае можно разместить несколько серверов WSUS в кластере балансировки сетевой нагрузки (NLB).

Отключенные серверы WSUS

Отключенный сервер WSUS — это сервер, который не подключен к Центру обновления Майкрософт через Интернет и не получает обновления с любого другого сервера в сети. Вместо этого этот сервер получает обновления со съемного носителя, созданного на другом сервере WSUS.

Отключенный сервер WSUS наиболее распространен в изолированных сетевых средах без доступа к Интернету, например в средах с высоким уровнем безопасности. Можно использовать сервер WSUS в другом расположении для синхронизации с Центром обновления Майкрософт, а затем экспортировать обновления на переносные носители и перенести их в удаленное расположение для импорта на отключенный сервер WSUS.

Иерархии серверов WSUS

До этого мы говорили только о независимо управляемых серверах WSUS, которые напрямую подключаются к Центру обновления Майкрософт или получают обновления в автономном режиме. Однако в крупных организациях с несколькими физическими расположениями может потребоваться возможность синхронизации с Центром обновления Майкрософт на одном сервере. Также может потребоваться принудительно отправлять обновления на серверы в различных расположениях по сети и утверждать обновления из одного расположения.

  • Иерархии серверов WSUS позволяют выполнять следующие задачи:
  • Загрузка обновлений на серверы, расположенные ближе к клиентам, например серверы в филиалах.
  • Однократная загрузка обновлений на один сервер и репликация обновлений по сети на другие серверы.
  • Отделение серверов WSUS на основе языка, используемого клиентами.
  • Масштабирование серверов WSUS для крупной организации с большим количеством клиентских компьютеров, с которыми не справится один сервер WSUS.

В иерархии серверов WSUS существует два типа серверов:

  • Вышестоящие серверы. Вышестоящий сервер напрямую подключается к Центру обновления Майкрософт для получения обновлений или отключен от сети и получает обновления с помощью переносного носителя.
  • Подчиненные серверы. Подчиненные серверы получают обновления с вышестоящего сервера WSUS.

Подчиненные серверы можно настроить в одном из двух режимов:

  • Автономный режим. Автономный режим, или распределенное администрирование, позволяет подчиненному серверу принимать обновления с вышестоящего сервера, но администраторы могут управлять обновлениями локально. В этом сценарии подчиненный сервер поддерживает собственный набор групп компьютеров, и обновления могут утверждаться независимо от параметров утверждения на вышестоящем сервере. Это позволяет другой группе администраторов управлять обновлениями в собственных расположениях и использовать только вышестоящий сервер в качестве источника загружаемых обновлений.
  • Режим реплики. Режим реплики, или централизованное администрирование, позволяет подчиненному серверу принимать обновления, сведения о членстве в группах компьютеров и утверждения с вышестоящего сервера. В этом сценарии одна группа администраторов может управлять обновлениями для всей организации. Кроме того, подчиненные серверы можно разместить в разных физических офисах и получать все обновления и данные управления с вышестоящего сервера.

В иерархии WSUS может быть несколько уровней. Некоторые подчиненные серверы можно настроить для работы в автономном режиме, в то время как для настройки других серверов можно использовать режим реплики. Например, можно подключить один вышестоящий сервер к Центру обновления Майкрософт, загрузив обновления для всей организации. Два других подчиненных сервера могут работать в автономном режиме. Один будет управлять всеми компьютерами с программным обеспечением на английском, а другой — компьютерами с программным обеспечением на испанском. Наконец, у вас может быть другой набор нижестоящих серверов, получивших обновления от серверов WSUS среднего уровня, настроенных в режиме реплики. Это реальные серверы, с которых клиенты получают обновления, но все управление выполняется на среднем уровне.

[ПРИМЕЧАНИЕ] Можно настроить подчиненные серверы для загрузки метаданных сведений об обновлениях с вышестоящего сервера, а фактических обновлений — из Центр обновления Майкрософт. Это распространенная конфигурация, при которой подчиненные серверы имеют хорошее подключение к Интернету и вы хотите сократить трафик WAN.