在独立服务器中运行 WSUS

Question 1

您目前的选择：

WSUS 服务器偶尔联机按照哈根的提议
设置另一个 WSUS 服务器，将其设置为下载所有内容，然后将更新内容和数据库复制到独立的 WSUS 服务器一经请求
使用完全不同的更新工具 - OSS“WSUS 脱机更新”项目（除了名称之外与 WSUS 本身没有任何关系）和许多能够提供“离线”更新存储的商业补丁管理产品（包括微软的 SCCM）。

请注意，即使 WSUS 服务器处于联机状态，也可以配置为对您的域造成基本可忽略的安全风险。它可以放置在 DMZ 中，客户端不需要与 WSUS 服务器位于同一域中，并且会检查更新签名由客户微软的公钥无法伪造更新，因此只要相应的私钥没有被破坏（无论你是否使用 WSUS 安装更新，这都会造成问题），就不可能伪造更新。因此你可以设置在线的 WSUS 服务器，并设置测试网络的过滤器，以仅允许与该服务器进行 HTTP/HTTPS 连接，同时不影响安全性。

Answer

您目前的选择：

WSUS 服务器偶尔联机按照哈根的提议
设置另一个 WSUS 服务器，将其设置为下载所有内容，然后将更新内容和数据库复制到独立的 WSUS 服务器一经请求
使用完全不同的更新工具 - OSS“WSUS 脱机更新”项目（除了名称之外与 WSUS 本身没有任何关系）和许多能够提供“离线”更新存储的商业补丁管理产品（包括微软的 SCCM）。

请注意，即使 WSUS 服务器处于联机状态，也可以配置为对您的域造成基本可忽略的安全风险。它可以放置在 DMZ 中，客户端不需要与 WSUS 服务器位于同一域中，并且会检查更新签名由客户微软的公钥无法伪造更新，因此只要相应的私钥没有被破坏（无论你是否使用 WSUS 安装更新，这都会造成问题），就不可能伪造更新。因此你可以设置在线的 WSUS 服务器，并设置测试网络的过滤器，以仅允许与该服务器进行 HTTP/HTTPS 连接，同时不影响安全性。

Question 2

这配置断开连接的网络以接收更新WSUS 文档中的章节介绍了在断开连接的环境中使用 WSUS 的官方支持方式。您需要安装第二个 WSUS，以便从 Microsoft 服务器下载更新。

首先，您需要同步连接的 WSUS 服务器上的元数据；然后您必须让它以某种方式下载更新文件（例如，通过批准某些虚拟组的更新）。完成此操作后，您需要从连接的 WSUS 服务器导出元数据：

 wsusutil.exe export packagename.cab logfile.log

然后将文件夹packagename.cab中的所有内容传输WsusContent到断开连接的 WSUS 服务器，并在那里导入元数据：

 wsusutil.exe import packagename.cab logfile.log

等待 WSUS 验证更新文件，然后照常使用（批准更新等）。

该工作流程的主要问题是似乎没有办法在断开连接的 WSUS 服务器（您可以在其中查看客户端需要哪些更新）和连接的 WSUS 服务器（您需要在其中下载更新）之间转移批准。

另请参阅本文，描述了 WSUS 服务器的最新更新；此更新取消了导出文件大小 2 GB 的限制，如果同步大量产品的更新，则可能会超过此限制。此更新将导出文件格式从 CAB 更改为 gzip 压缩的 XML，后者没有 2 GB 的限制。

Answer

这配置断开连接的网络以接收更新WSUS 文档中的章节介绍了在断开连接的环境中使用 WSUS 的官方支持方式。您需要安装第二个 WSUS，以便从 Microsoft 服务器下载更新。

首先，您需要同步连接的 WSUS 服务器上的元数据；然后您必须让它以某种方式下载更新文件（例如，通过批准某些虚拟组的更新）。完成此操作后，您需要从连接的 WSUS 服务器导出元数据：

 wsusutil.exe export packagename.cab logfile.log

然后将文件夹packagename.cab中的所有内容传输WsusContent到断开连接的 WSUS 服务器，并在那里导入元数据：

 wsusutil.exe import packagename.cab logfile.log

等待 WSUS 验证更新文件，然后照常使用（批准更新等）。

该工作流程的主要问题是似乎没有办法在断开连接的 WSUS 服务器（您可以在其中查看客户端需要哪些更新）和连接的 WSUS 服务器（您需要在其中下载更新）之间转移批准。

另请参阅本文，描述了 WSUS 服务器的最新更新；此更新取消了导出文件大小 2 GB 的限制，如果同步大量产品的更新，则可能会超过此限制。此更新将导出文件格式从 CAB 更改为 gzip 压缩的 XML，后者没有 2 GB 的限制。

Question 3

由于未指定的安全问题，您无法将其连接到“互联网”，但您肯定可以创建防火墙规则允许仅有的要连接的 WSUS 服务器仅有的到 Microsoft Update 服务器，然后明确拒绝任何/任何规则。如果您的同事/上级认为对此有合理的反对意见，我们很乐意听取。

Answer

由于未指定的安全问题，您无法将其连接到“互联网”，但您肯定可以创建防火墙规则允许仅有的要连接的 WSUS 服务器仅有的到 Microsoft Update 服务器，然后明确拒绝任何/任何规则。如果您的同事/上级认为对此有合理的反对意见，我们很乐意听取。

Question 4

我有一个隔离网络，遇到了同样的问题。现在我们的 WSUS (Server2008R2 STD) 不会导出 \ 导入 .cab 文件，因为它大于 2GB。无法清理我的文件...我需要向机密的隔离网络提供 9,000 多个更新...我使用 VMwarePlayer 并创建一个虚拟 Server2008R2 WSUS，为其提供足够的虚拟驱动器空间 150+GB，然后在虚拟 WSUS 服务器收集更新几天后，我通过牺牲的 500GB USB 便携式硬盘将 VMwarePlayer 和机器放在网络上。我将虚拟服务器加入域并使其成为上游 WSUS。然后我将实际的 WSUS 更改为下游服务器。在它们同步\更新\下载（大约一天）后，我关闭并删除虚拟 WSUS，然后将实际 WSUS 更改回上游服务器。在 WSUS 池中的所有工作站上运行 gpupdate /force，它们开始更新。这是一个季度过程，因此我们最初对这些隔离系统进行非常大的更新，然后可以以相同的方式进行季度更新（如果您愿意）或清理 WSUS 文件并返回使用小于 2GB 的 .cab 文件执行 wsusutil.exe 导出 \ 导入。

Answer

我有一个隔离网络，遇到了同样的问题。现在我们的 WSUS (Server2008R2 STD) 不会导出 \ 导入 .cab 文件，因为它大于 2GB。无法清理我的文件...我需要向机密的隔离网络提供 9,000 多个更新...我使用 VMwarePlayer 并创建一个虚拟 Server2008R2 WSUS，为其提供足够的虚拟驱动器空间 150+GB，然后在虚拟 WSUS 服务器收集更新几天后，我通过牺牲的 500GB USB 便携式硬盘将 VMwarePlayer 和机器放在网络上。我将虚拟服务器加入域并使其成为上游 WSUS。然后我将实际的 WSUS 更改为下游服务器。在它们同步\更新\下载（大约一天）后，我关闭并删除虚拟 WSUS，然后将实际 WSUS 更改回上游服务器。在 WSUS 池中的所有工作站上运行 gpupdate /force，它们开始更新。这是一个季度过程，因此我们最初对这些隔离系统进行非常大的更新，然后可以以相同的方式进行季度更新（如果您愿意）或清理 WSUS 文件并返回使用小于 2GB 的 .cab 文件执行 wsusutil.exe 导出 \ 导入。

在独立服务器中运行 WSUS

答案1

答案2

答案3

答案4

相关内容