系统更新及疑难处理
利用WSUS部署更新程序
微软公司的主要补丁类型
n Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序
n 微软公司会及时地将软件产品中发现的重大问题以安全公告的形式公布于众,这些公告都有一个惟一的编号,即“MS”,如MS04-011
n 还有一种形式为KB(2003年4月份后用此编号)的编号,这个编号是微软知识库中的一个编号,通过该编号我们可以在微软知识库(http://support.microsoft.com)中查找到有关该问题的所有技术性文章和相应的解决方案。例如“WindowsXP-KB823980-x86-CHS32λ.exe”
n SP(Service Pack,服务包)是微软公司针对已经发现的问题进行修补的程序。对一般用户来说,下载安装各种Hotfix很繁琐,于是微软公司开始发布SP补丁包。SP补丁包中包含有SP发布日期前所发布的所有Hotfix
n Windows操作系统的SP补丁包是可叠加补丁包,也就是说SP2中已包含有SP1中的所有补丁,SP3中已包含有SP2、SP1中的所有补丁。在实际应用中,用户只需要下载并安装最新的SP补丁包即可
n 而对于Office产品则必须下载并安装所有的SP补丁包
n ●通过服务器管理系统控制台,向用户推送软件升级包。目前主要的产品有WSUS(Windows Server Update Services,Windows更新服务)
n ●提供让用户桌面系统自动登陆微软公司网站并自动下载补丁程序的系统升级服务(System Update Services)
n ●提供安全漏洞评估的免费在线工具,即微软基线安全分析器(Microsoft Baseline Security Analyzer),可用于识别微软产品中错误的安全配置问题,生成并存储个人XML安全报告
WSUS(Microsoft Windows Server Update Services)
n 使用WEB管理界面简化管理工作
n 同步引擎从Windows Update站点自动下载更新
n 基于SQL的数据库信息存储
n 可配置树形架构满足企业级管理需求
n 软件更新报表
n 有效优化网络带宽
n 客户端自动定时更新
n 安全
n 可靠
WSUS概述
n 通过WSUS服务器集中下载更新程序
- 可渐少对网络效率的影响
- 测试更新程序,确定对企业内部计算机无不良影响后,再通过网管人员的审批程序,将这些更新程序部署到客户端的计算机上
WSUS服务器的软件需求
n Microsoft Internet Information Services 7.0,且需启用
- ASP.NET
- Windows验证
- IIS 6 Metabase兼容性
n Microsoft Report Viewer Redistributable 2005
- 用来制作各种不同的报告
n 用来储存WSUS设定信息与更新程序信息的数据库
- Windows Server 2008的内建数据库或Microsoft SQL Server 2005 Service Pack 1(或更新的版本)数据库
*系统分区区(system partition)与安装WSUS的磁盘分区区的文件系统都必须是NTFS
客户端的需求
n 必须支持自动更新
- Windows Server 2008
- Windows Vista
- Windows Server 2003
- Windows XP Professional SP2
- Windows 2000 Professional SP4、Windows 2000 Server SP4、Windows 2000 Advanced Server SP4
「WSUS管理控制台」的需求
n WSUS服务器已内含WSUS管理控制台
n 其他系统需另外安装
- Windows Server 2008
- Windows Vista
- Windows Server 2003 SP1
- Windows XP Professional SP2
n 上述计算机内必须包含以下组件
- Microsoft .NET Framework Version 2.0 Redistributable Package
- Microsoft Management Console 3.0
- Microsoft Report Viewer Redistributable 2005
利用计算机组来部署更新程序
n 将客户端计算机适当分组,可以更容易与明确的将更新程序部署到指定的计算机
n 内建两个计算机组
- 所有计算机
- 未分配的计算机
WSUS服务器的上下游架构
n 自治模式
- 下游服务器从上游服务器来取得更新程序,但不包含更新程序的审批状态、计算机组信息
- 下游服务器必须自行决定是否要审批这些更新程序与自行建立所需的计算机组
n 副本模式
- 下游服务器会从上游服务器取得更新程序、更新程序的审批状态与计算机群组信息
- 所有可以在上游服务器上管理的项目均无法在下游服务器自行管理,例如不能够自行改变更新程序的审批状态
- 计算机组信息只有计算机群组本身而已,并不包含计算机群组的成员
上下游服务器架构的好处
n 降低因特网联机的负担
- 上游服务器下载一次更新程序,然后将它分配给位其余的下游服务器
n 分散管理
- 大型网络可透过多台下游WSUS服务器来服务不同的客户端,分散负担
n 客户端计算机更快取得更新程序
- 将更新程序放到更接近客户端计算机的下游服务器
上下游服务器架构的注意事项
n *下游服务器所需的语言,上游服务器需先安装
n *上下游串接最好不要超过3层,因为会增加延迟时间,因而拉长将 更新程序传递到每一台服务器的时间
选择数据库
n Windows Server 2008的内建数据库或Microsoft SQL Server 2005 Service Pack 1数据库
n 每一台WSUS服务器都有自己独立的一个数据库
数据库内容
n WSUS服务器的设定信息
n 描述每一个更新程序的metadata
- 更新程序的属性
例如更新程序的名称、描述、相关的Knowledge Base文章编号等
- 适用规则
用来判断更新程序是否适用于某台计算机
- 安装信息
例如安装时所需的指令行参数
n 客户端计算机、更新程序、客户端计算机与更新程序之间的关系等信息
更新程序文件的储存地点
n 储存在WSUS服务器的本机硬盘内
- WSUS服务器会从Microsoft Update网站(或上游服务器)下载更新程序
- 客户端可直接从WSUS服务器来取得更新程序
- WSUS服务器最少需20GB的可用空间,建议30GB以上
n 视更新程序数量、所下载的语言数量、产品的种类数量等因素而可能需要再预留更多可用空间
n 储存在Microsoft Update网站
- WSUS服务器与Microsoft Update之间的同步时, WSUS服务器只会从Microsoft Update网站下载更新程序的Metadata数据,并不会下载更新程序本身
- 审批客户端可以安装某个更新程序后,客户端是直接连接Microsoft Update网站来下载更新程序
推迟下载更新程序
n WSUS服务器会先下载更新程序的metadata,更新程序档案只有在被审批后才会下载
n 可节省网络带宽与WSUS服务器的硬盘空间
n 它是建议值与默认值
使用「快速安装文件」
n 客户端只下载新版与旧版之间的差异
- 可减少客户端从WSUS服务器下载的数据量、降低对企业内部网络的负担
- WSUS服务器从Microsoft Update网站所下载的快速安装文件会比较大,因其内必须包含新更新程序与各旧版档案之间的差异,因此WSUS服务器在下载文件时会比较占用对外的网络带宽
WSUS环境搭建
n 建议采用Active Directory域环境
- 可利用组策略来充分控管客户端的自动更新设定
n 安装web服务器(IIS)角色
- 需增加勾选ASP.NET 、Windows验证、 IIS 6 Metabase兼容性
n 下载与安装Microsoft Report Viewer Redistributable
n 下载与安装Windows Server Update Services 3.0 SP2
安装WSUS 3.0 SP2
n 手动同步
- 透过同步处理画面右边的立即同步处理
n 排程自动同步的设定
- 点选右边的同步处理选项,或是
- 直接点击左边的选项,然后透过同步处理排程来设定
n 安装过程中的所有设定也都可以透过选项画面来变更
设定客户端的自动更新
n 组策略
- 在Active Directory网域环境下,可以透过群组原则来让网域内的计算机从指定的WSUS服务器下载更新程序
n 本机计算机原则
- 若没有Active Directory网域环境,或是客户端计算机未加入网域的话,则可以透过本机计算机原则来设定
组策略 - 自动更新
n 通知下载和通我安装
n 自动下载和通知安装
n 自动下载和计划安装
n 允许本机系统管理员选择设定
组策略 – 指定WSUS服务器
n 从指定的WSUS服务器下载
n 将更新结果回报给指定的WSUS服务器
n 设定完成后,必须等域内的客户端计算机套用原则后才有效,而客户端计算机默认是每隔90 – 120分钟套用一次或执行gpupdate /force指令
布署更新程序
n 客户端计算机套用原则完成后,必须等客户端计算机开始与WSUS服务器接触后,在WSUS管理控制台才看得到这些客户端计算机,然后才可以开始将更新程序布署到这些计算机
n 客户端何时与WSUS服务器接触?
- 组策略套用完成后约20分钟会主动与WSUS服务器接触
- 手动与WSUS服务器接触:到客户端计算机上执行wuauclt /detectnow指令
WSUS管理控制台
n 显示每一台客户端计算机的计算机名称、IP地址、操作系统的种类、已安装与不适用于此计算机的更新程序数量占所有更新程序总数的百分比、客户端计算机上次向WSUS服务器回报更新状态的时间
n 透过最上方左边的状态处选择根据不同的状态来显示计算机的信息
建立新计算机组
n 完成新组建立后,将应隶属于该群组的计算机,从未分配的计算机搬移到新组内
审批更新程序
n 所有更新程序需要经过审批后,该更新程序才会被下载,下载完成后,客户端计算机才可以开始安装此更新程序
未下载完成前的警示
n 若针对某更新程序会出现如图的提示讯息的话,表示该更新尚未下载完成,必须要下载完成后,客户端计算机才可以开始安装此更新程序
检查最新更新程序的间隔时间
n 预设每隔22小时连接WSUS服务器来检查是否有最新的更新程序可供下载
n 若有新更新程序的话,会根据图所示来下载与安装更新程序
变更检查更新的间隔时间
n 实际的间隔时间为 频率值减掉一个随机值,随机值是频率值的0% 到 20 %
n 例如频率值20小时:实际值16 – 20小时
- 默认值:22小时 -> 17.6 – 22 小时
拒绝更新程序
n 系统将解除其审批
n 在WSUS数据库内与此更新有关的报告数据(由客户端计算机送来的)都将被删除
n 在审批处改选择拒绝可看到被拒绝的更新程序
自动审批更新程序
n 设定当WSUS服务器与Windows Update同步时,自动审批所下载的更新程序
n 若要将下载的安全性更新与重大更新自动审批给所有计算机的话
- 执行规则:将此规则套用到已经同步的更新程序
n WSUS更新
- 用来设定是否要让WSUS产品本身的更新程序自动被审批
n 更新的修订
- 自动审批已审批更新的新修订
n 自动拒绝新修订版本会使更新过期的更新
与自动更新有关的组策略设定
n 设定自动更新
n 设定Intranet Microsoft更新服务的位置
n 自动更新检测频率
n 允许非管理员收到更新通知
- 启用:非管理员也收得到通知信息(右下角的状态栏会显示通知图标)
- 停用或不设定(默认):只有管理员才会收到此通知信息
n 允许自动更新立即安装
- 默认是根据设定自动更新原则内的设定来决定何时安装更新程序
- 启用此原则会将自动安装那些既不会中断Windows服务,也不会重新启动Windows 系统的更新程序
n 对计划的自动更新安装不执行重新启动
- 在有用户登录的情况下,计划自动更新程序完成后,只是会通知已经登录的用户,但是不自动重新启动计算机。
n 对计划的安装延迟重新启动
- 预设为5分钟后自重新启动计算机
n 对计划的安装再次提示重新启动
- 预设为10分钟后
n 重新计划自动更新计划的安装
- 重新启动后,何时安装之前错过排程时间的更新程序
n 启用:依照指定时间过后
n 停用:等下一次排程的时间到达时
n 不设定:1分钟后
n 启用客户端目标设置
- 自动将客户端加入到指定的计算机群组
n 允许来自Intranet Microsoft更新服务位置的签名更新
- 让客户端计算机可以从WSUS服务器下载由其他第三方所开发与签署的更新程序
n 删除「Window Update」的链接和访问
n 关闭所有Windows Update功能的访问
- 客户端计算机将无法直接从Microsoft Update网站取得更新程序,不过还是可以从WSUS服务器来取得
n WSUS
n 本实验为了在企业中使用统一的更新源,从wsus获取更新,以避免所有客户端都从网络更新所带来的下载流量对公司带宽的占用,有了wsus,所有客户端从wsus获取系统补丁即可,获取系统补丁是降低系统受攻击和毒害的有效办法.
n 本实验暂时测试一个单服务器的环境。用到一台服务器和一台客户机
n 服务器:WSUSServer01,WINOWS 2003 SP2+R2,已安装好了WSUS需要相关软件。
n 客户机:WSUSClient,XP SP3.
n 相关下载
n WSUS 3.0 SP2:https://connect.microsoft.com/site/sitehome.aspx?SiteID=110
n Microsoft Report Viewer Redistributable 2008:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=6ae0aa19-3e6c-474c-9d57-05b2347456b1
n
n 1、服务器安装
n 在服务器运行下载的安装文件WSUSSetup.exe,开始安装(以下是几个重要截图)
n
n
n
n
n
n
n
n
n 注意:机房无法连接互联网,点击取消即可。
n 2、服务器操作
n 打开管理工具中的WSUS管理控制台,完成以下有关操作
n 同步更新
n
n 建立计算机组(命名组名XPCLENT)
n
n 审批更新
n
n
n 选项设置
n
n 在实验中,我建立计算机组XPCLENT,“审批进行安装”所有更新。
n 3、客户端设置
n 如果是一个域环境,可以建立相关的OU,然后对利用组策略进行集中设置。
n 由于实验环境是一个工作组环境,所以只能在每台计算机上进行手工设置。
n 设置方法有两种,一种是通过组策略,另外一种是通过修改注册表。
n 运行GPEDIT.MSC,有关设置见如下截图
n
n
n 注意:在这里不要也写成WSUSServer01,输入你自己WSUS服务器的名字或者IP地址都可以。
n
n
n 运行GPUPDATE/FORCE,使组策略生效。
n 此时打开服务器上的WSUS管理控制台,选择“计算机”下的“XPCLIENT”看见已有一台计算机(客户机).
n 4、测试更新
n 结合书本的例子,自己测试审批。
n
12.2系统设定与配置
12.1.1系统设定与最近一次的正确配置
系统设置内储存着设备驱动程序与服务等相关设定值Windows系统启动时会根据系统设置内的设定值来启动设备驱动程序与服务用户登入成功的话,系统就会将目前的系统设置储存到最近一次的正确配置内下一次因故无法启动Windows系统时,用户就可以尝试选用最近一次的正确配置来启动Windows系统
系统设定分为目前的系统设置、默认系统设置与最近一次的正确配置
计算机启动时若使用者并未选择最近一次的正确配置来启动Windows系统则系统会利用默认系统设置来启动Windows系统,然后将默认系统设置设定拷贝到目前的系统设置若使用者选择最近一次的正确配置来启动Windows系统启动成功后,系统会将最近一次的正确配置拷贝到目前的系统设置使用者登录成功后,目前的系统设置会被拷贝到最近一次的正确配置用户登录成功后,其对系统设置的变更,都会被储存到目前的系统设置内,之后将计算机关机或重新启动时,目前的系统设定内的设定值,都会被拷贝到默认系统设置,以供下一次启动Windows系统时来使用 选用上次的正确设定来启动系统,并不会影响到使用者个人的文件,例如电子邮件、相片文件等,它只会影响到系统设定
何时选用「最近一次的正确配置」?
1.在您安装了新的设备驱动程序后,因而Windows 系统停止响应或无法启动。
2.有些关键性的设备驱动程序不应该被禁用,否则系统将无法正常启动。如果您不小心将这类驱动程序禁用的话,此时可以选用最近一次的正确配置来启动Windows系统
3.有些关键性的设备驱动程序或服务若无法启动的话,系统会自动以最近一次的正确配置来重新启动Windows系统
不适合于选用「最近一次的正确配置」的场合
所发生的问题并不是跟系统设置有关最近一次的正确配置只可以用来解决设备驱动程序与服务等系统设定有关的问题虽然系统启动时有问题,但是仍然可以启动,而且使用者也登入成功此时最近一次的正确配置将会被默认系统设置(它是有问题的设定)所覆盖,因此前一个最近一次的正确配置也就遗失了无法启动的原因是因为硬件故障或系统文件损毁、遗失因为最近一次的正确配置内只是储存系统设定,它无法解决硬件故障或系统档案损毁、遗失的问题
如何选用「最近一次的正确配置」
启动计算机,并在完成自检后、系统启动初期立刻按F8键
如果计算机内安装多套Windows系统的话,此时您可以在出现操作系统选择列表时再按F8键
12.1.2安全模式与高级启动选项
n 安全模式
- 只会启动基本服务与设备驱动程序,例如鼠标、键盘、大容量储存设备与一些标准的系统服务
- 会将所加载的设备驱动程序与服务的信息记录到%Systemroot%\Ntbtlog.txt档案内
n 安全模式(含网络功能)
n 安全模式(含命令提示字符)
n 启用启动日志
n 启用低分辨率视频 (640 x 480)
n 最近一次的正确配置(高级)
n 目录服务还原模式(只适用于域控制器)
n 调试模式
n 禁用系统失败时自动重新启动
n 禁用驱动程序签名强制
系统容错指的是在系统出现各种软硬件故障时,系统仍然能够保护正在运行的工作和继续提供正常服务的能力,因此保证数据和服务的可用性是容错的一个重要内容。灾难恢复是指在出现软硬件故障后尽最大可能保护重要的数据,使资源不受破坏,也包括当出现故障时使损失降低到最小,并且不影响其他服务。主要的系统容错和灾难恢复方法有下述三种。
n 1.配置不间断电源
n 不间断电源实际上就是一个蓄电池,主要作用是保证输入计算机的供电不中断,防止电压欠载、电涌和频率偏移现象。有了不间断电源之后,一旦遇到意外断电之类的情况,计算机就不会同上于突然断电造成系统崩溃、程序出错、文件丢失,甚至硬盘损坏之类的故障。
n 2.利用RAID实现容错
n RAID是为了防止因为硬盘故障而导致数据丢失或者导致系统不正常工作的一组硬盘阵列。通过RAID可以将重复的数据保存到多个硬盘上,降低了丢失数据的风险。常见的RAID分为硬件RAID和软件RAID两种,前者由第三方供应商提供各种磁盘阵列产品,后者主要是整合在操作系统中的软件RAID。
n 3.数据的备份和还原
n 数据的备份和还原是预防数据丢失的最常用的手段之一,一方面可以借助Ghost之类专业的工作对某个分区甚至整个磁盘进行备份,另一方面可以使用Windows Server 2008中内置的备份程序进行数据备份。在数据备份完成之后,一旦发现数据出错也能够在最短的时间之内恢复,以确保计算机能够正常稳定运行。
备份与还原概念
n 储存在磁盘内的数据可能会因为天灾、人祸、设备故障等因素而遗失,因而造成公司或个人的严重损失,但是只要您平常定期备份磁盘,并将其存放在安全的地方,之后即使发生上述意外事故,您仍然可以利用这些备份来迅速复原数据与让系统正常运作。
n 可以通过Windows Server Backup功能来备份磁盘。
备份方式
n 完整服务器备份(full server backup)
- 它会备份这台服务器内所有磁盘内的所有文件,包含应用程序与系统状态。
- 可以利用此备份来将整台计算机复原,包含Windows Server 2008操作系统与所有其他文件。
n 自定义备份(custom backup)
- 可以透过自定义备份来选择将不要备份的磁盘排除。
自动备份与手动备份
n 自动备份(计划备份)
- 就是计划备份:设定在指定的时间到达时自动备份
- 备份目的地可以选择本机磁盘、USB或IEEE 1394外接式磁盘
- 备份目的地磁盘会被格式化,因此其内现有数据都将被删除,故备份目的地磁盘不可以包含在要被备份的磁盘内
- 您必须备份内含操作系统文件的卷,不可以将它排除。
n 手动备份
- 就是执行一次备份工作
- 备份目的地可以选择本机磁盘、USB或IEEE 1394外接式磁盘、共享文件夹。如果有安装DVD刻录机的话,还可以备份到DVD
- 备份目的地磁盘不可以包含在要被备份的磁盘内
- 如果选择备份操作系统的话,则它会将内含操作系统组件的所有磁盘都备份,因此以后您可以利用此备份来还原操作系统。
安装备份软件
n 新增Windows Server Backup功能:服务器管理器Ü点击功能Ü添加功能
u 若要撰写Windows PowerShell脚本来执行备份工作的话,请增加勾选图中的命令列工具
设定计划备份(自动备份)
n 也可以连接到另一台计算机来备份另一台计算机内的文件
n 时间是以半小时为单位,若要改用其他时间单位的话,例如要选择下午9:15备份,请使用wbadmin指令来备份
n 具备离站存储(store disk offsite)的功能
n 备份目的地磁盘将专用于储存备份,故不会有驱动器号
离站存储
n 若选择多个磁盘(例如USB、IEEE 1394外接式磁盘)来储存备份的话,则它具备离站存储(store disk offsite)的功能,也就是说系统将其备份到第1个磁盘内后,您就可以将此磁盘拿到其他地点存放,下一次备份时,系统会自动备份到第2个磁盘内,您再将第2个磁盘拿到其他地点存放,并将之前的备份磁盘(第1个磁盘)带回来装好,以便让下一次备份时可以备份到这个磁盘内。这种轮流离站存放的方式,可以让资料多一份保障。
一次性备份(手动备份)
n 与「备份计划向导」中用于计划备份的选项相同
- 若之前曾经执行计划备份的话,此处选择与该计划备份相同的设定来备份,这些设定包括完整服务器备份或自定义备份、备份时间、备份目的磁盘等
n 不同选项
- 重新选择备份设置,例如重新选择完整服务器备份或自定义备份、备份时间、备份目的地磁盘等
一次性备份-不同选项
n 可选择备份到DVD或远程共享文件夹
n VSS复制备份(建议)
- 如果您有使用其他备份软件来备份磁盘内的应用程序,则此选项可保留应用程序记录文件
n VSS完整备份
- 如果没有使用其他备份软件来备份磁盘内的应用程序,则请选择此选项。请确定没有使用其他备份软件来备份磁盘内的应用程序,才选择此选项,因为它会破坏应用程序记录文件
* VSS(Volume Shadow Copy Service,磁盘区阴影复制服务)让使用者
可以存取正在备份的档案,而且备份时,不会跳过已被使用者开启的档案
恢复文件、文件夹、应用程序或磁盘区
n 利用之前透过Windows Server Backup所建立的备份来恢复文件、文件夹、应用程序、磁盘等
还原操作系统或整台计算机
n 请准备好Windows Server 2008 DVD、内含操作系统或完整服务器的备份
n 将Windows Server 2008 DVD放到光驱内、从 DVD启动计算机
备份的性能设定
n 始终执行完整备份
- 每次备份时,所选磁盘内的所有文件都会备份。这种备份方式会花费较多的时间,但是不会影响整体系统效能
n 始终执行增量备份
- 所选磁盘内,只有新添加的文件或有改动的文件才会被备份,以前备份过但没有再改动的文件都不备份。这种增量备份(incremental backup)的方式,其备份速度较快,但是会降低整体系统效能
n 自定义
- 您可以针对不同的磁盘来选择不同的备份方式(完整备份或增量备份)
n 备份和还原系统
n 一、实验目的
n 1) 熟悉windows server 2008 backup的相关备份和还原相关操作
n 二、准备工作
n 1) VMware 虚拟机软件
n 三、实验步骤及内容
n
n 实验一:计划备份C盘
n
n
n
n
n
n
n
n
n 计划备份的实验成功
n
n 实验二:系统盘备份
n
n
n
n
n
n
n
n
n
n
n
n
n
n