Beskriva distributionsalternativ för Windows Server Update Services-servern

  • 7 minuter

Innan du installerar och konfigurerar WSUS-servrar (Windows Server Update Services) måste du överväga hur du distribuerar WSUS i din miljö. WSUS-implementeringar varierar i storlek och konfiguration beroende på din nätverksmiljö och hur du vill hantera uppdateringar. Du kan ha en enda WSUS-server för hela organisationen, flera WSUS-servrar som agerar oberoende av varandra eller flera WSUS-servrar som är anslutna till varandra i en hierarki.

Enskild WSUS-server

Den mest grundläggande implementeringen av WSUS använder en enda WSUS-server i nätverket. Den här servern ansluter till Microsoft Update och laddar ned uppdateringar via brandväggen. WSUS-servern använder port 8530 för HTTP-kommunikation och port 8531 för HTTPS i stället för standardvärdet 80 respektive 443. Du måste se till att brandväggen har de regler som krävs för att servern ska kunna ansluta till Microsoft Update. Det här grundläggande scenariot används ofta för små nätverk med en enda fysisk plats.

Flera WSUS-servrar

Om din miljö består av flera isolerade fysiska platser kan du behöva implementera en WSUS-server på varje plats. I det här scenariot har varje WSUS-server en egen anslutning till Internet för att ladda ned uppdateringar från Microsoft Update.

Även om det här är ett giltigt alternativ kräver det betydligt mer administrativt arbete, särskilt när antalet fysiska platser växer, eftersom du måste hantera varje enskild WSUS-server separat. Du måste ladda ned uppdateringar till varje server separat, godkänna uppdateringar på varje server individuellt och hantera WSUS-klienter så att de får uppdateringar från rätt WSUS-server.

Enskilda WSUS-servrar fungerar bra för organisationer som har ett litet antal fysiska platser, där varje fysisk plats har en egen IT-hanteringsteam. Du kan också använda det här scenariot för en enda fysisk plats som har för många klienter för en enda WSUS-server att hantera genom att placera flera WSUS-servrar i ett NLB-kluster (Network Load Balancing).

Frånkopplade WSUS-servrar

En frånkopplad WSUS-server är en server som inte ansluter till Microsoft Update via Internet eller tar emot uppdateringar från någon annan server i nätverket. I stället tar den här servern emot uppdateringar från flyttbara medier som genererats på en annan WSUS-server.

En frånkopplad WSUS-server är vanligast i isolerade nätverksmiljöer utan internetåtkomst, till exempel i vissa miljöer med hög säkerhet. Du kan använda en WSUS-server på en annan plats för att synkronisera med Microsoft Update, sedan exportera uppdateringarna till bärbara medier och sedan transportera det bärbara mediet till fjärrplatsen som ska importeras till den frånkopplade WSUS-servern.

WSUS-serverhierarkier

Alla scenarier som vi har diskuterat hittills handlar om en oberoende hanterad WSUS-server som ansluter direkt till Microsoft Update eller tar emot uppdateringarna på ett frånkopplat sätt. Men i större organisationer med flera fysiska platser kanske du vill kunna synkronisera med Microsoft Update på en server. Du kanske också vill push-överföra uppdateringarna till servrar på olika platser i nätverket och godkänna uppdateringar från en enda plats.

  • Med WSUS-serverhierarkier kan du:
  • Ladda ned uppdateringar till servrar som ligger närmare klienter, till exempel servrar på avdelningskontor.
  • Ladda ned uppdateringar en gång till en enskild server och replikera sedan uppdateringarna via nätverket till andra servrar.
  • Separera WSUS-servrar baserat på det språk som används av deras klienter.
  • Skala WSUS-servrar för en stor organisation som har fler klientdatorer än vad en enda WSUS-server kan hantera.

I en WSUS-serverhierarki finns det två typer av servrar:

  • Överordnade servrar. Överordnade servrar ansluter direkt till Microsoft Update för att hämta uppdateringar eller kopplas från och tar emot uppdateringar med hjälp av bärbara medier.
  • Underordnade servrar. Underordnade servrar tar emot uppdateringar från en överordnad WSUS-server.

Du kan konfigurera underordnade servrar i något av två lägen:

  • Autonomt läge. Autonomt läge, eller distribuerad administration, gör att en nedströmsserver kan ta emot uppdateringar från en överordnad server, men gör det möjligt för administratörer att upprätthålla administrationen av uppdateringarna lokalt. I det här scenariot underhåller den underordnade servern en egen uppsättning datorgrupper och uppdateringar kan godkännas oberoende av godkännandeinställningarna på de överordnade servrarna. På så sätt kan en annan grupp administratörer hantera uppdateringar på sina egna platser och endast använda den överordnade servern som källa för nedladdningsbara uppdateringar.
  • Replikläge. Replikläge, eller centraliserad administration, gör att en nedströmsserver kan ta emot uppdateringar, information om datorgruppmedlemskap och godkännanden från en överordnad server. I det här scenariot kan en enda grupp administratörer hantera uppdateringar för hela organisationen. Dessutom kan underordnade servrar placeras på olika fysiska kontor och ta emot alla uppdateringar och hanteringsdata från en överordnad server.

Du kan ha flera lager i WSUS-hierarkin. Du kan konfigurera några av dina underordnade servrar att använda autonomt läge, medan du kan använda replikläge för att konfigurera andra servrar. Du kan till exempel ha en enda överordnad server ansluten till Microsoft Update och ladda ned uppdateringar för hela organisationen. Du kan ha två andra underordnade servrar i autonomt läge, en som hanterar uppdateringar för alla datorer som kör programvara på engelska och en annan för alla datorer som kör programvara på spanska. Slutligen kan du ha en annan uppsättning underordnade servrar som tar emot deras uppdateringar från WSUS-servrarna på mellannivå som konfigurerats i replikläge. Det här är de faktiska servrar som klienterna tar emot uppdateringar från, men all hantering sker på mellannivån.

[OBS] Du kan konfigurera underordnade servrar för att ladda ned uppdateringsinformationsmetadata från en överordnad server, men för att ladda ned själva uppdateringarna från Microsoft Update. Det här är en vanlig konfiguration när de underordnade servrarna har en bra Internetanslutning och du vill minska WAN-trafiken.