全网范围内自动补丁分发
 
1.引子:微软免费提供的WSUS是网络化补丁自动分发的标准解决方案,WSUS在域网络环境下能够容易地靠域的组策略来统一部署补丁自动分发,但是工作组环境下需要在每个终端上手工逐台配置。清扬内网管理提供了辅助的便利的全网集中部署补丁自动分发的管理手段
    微软免费的WSUS提供了网络化补丁管理的统一解决方案,能够在域网络环境下统一部署补丁的自动更新。
    WSUS采用C/S工作模式分为WSUS服务器端和客户端,服务器端安装微软免费提供的wsussetup.exe,客户端需要在每台计算机上部署。域网络环境中,微软通过统一组策略实现域内客户端的集中统一部署。工作组环境或者混合环境下,微软给出了单机组策略或者单机上修改注册表的两种单机部署方案,但是没有全网集中统一部署方案。
2.清扬内网管理的补丁管理:在工作组环境下全网集中部署补丁自动分发
    清扬内网管理的补丁管理功能是基于WSUS实现全网集中统一部署的补丁管理方案。该方案能够适合域网络环境也能适合工作组网络环境或者混合环境。能够解决WSUS在工作组网络环境下单机部署的不方便之处,也同样适用于域网络环境。
    通常,清扬内网管理按照C/S结构分为管理平台和客户端两部分,该补丁管理方案需要外挂WSUS服务器部分。
 
     图2-1:清扬补丁管理由WSUS服务器、清扬管理端和清扬客户端三部分构成
    如上所示,WSUS服务器、管理端和客户端三部分构成了清扬补丁管理方案。
    其中,部署WSUS服务器就是微软免费软件wsussetup.exe的安装和部署,在微软网站上有大量详细的介绍,这里不再赘述。本补丁管理方案是在已部署WSUS服务器的前提下进行的。
    部署清扬内网管理软件也是自行独立的,可参考:清扬内网管理产品试用版本的安装和部署简单步骤。此处也不再详解。清扬内网管理采用C/S工作模式,服务器端即管理端能够对客户端设置策略,通过策略实现对客户端管理。对于补丁管理而言,其工作就是在管理平台配置补丁分发的策略。这里补丁分发策略分为统一策略和单机策略。对于个别不需要打补丁的客户端可以使用单机策略。下面重点介绍如何实现工作组网络环境(或混合环境下)实现全网补丁自动分发的策略部署步骤。
3.设置全网统一补丁分发策略
    在清扬内网管理产品界面下,打开[配置]/[统一远程桌面策略配置],出现窗口如下:
 

     图3-1:设置统一补丁分发策略
点击“设置补丁分发策略”,出现窗口如下:                                                                              
    
 
     
     图3-2:导入统一补丁分发策略模板
点击“导入WSUS注册表模板”,经过一个确认窗口和一个信息提示窗口后,上面的设置补丁分发策略窗口就自动填入了如下内容: 这时,需要填写预先安装的WUServer和WUStatusServer,然后点击“确定”就完成了补丁分发统一策略的配置功能。
  
 
     图3-3:统一补丁分发策略模板导入后需要填入WSUS地址
4.自动补丁分发策略生效
    如何知道补丁分发策略已经下发了呢?一般,管理平台策略下发是由客户端和服务器端通信的系统参数而定。打开[配置]/[系统参数配置],出现下面的窗口:
    
 
     图4-1:系统参数配置
    其中,“客户端下载配置间隔”参数是所有策略下发到客户端的间隔时间,是下发时间,但是管理平台如何得到客户端已经下发的状态信息呢? 上图中可以看到“客户端上传补丁分发配置间隔”参数,缺省情况下(可以根据需要修改)客户端在90秒后自动上传补丁分发的信息。
    打开[管理]/[远程桌面管理]/[补丁分发配置的状态列表],在缺省时间到后,刷新后将出现如下图“已锁定”的状态指示。这表明策略已经下发,并且生效。这时,用户无法对这些注册表项进行修改,一旦修改,就立即恢复到锁定的状态。
    
 
           图4-2:计算机补丁分发配置的状态列表 
5.设置单机补丁分发策略
    
如何设置补丁分发的单机策略? 打开[管理]/[远程桌面管理]/[补丁分发配置的状态列表],找到需要某一计算机,右键[编辑],出现如下窗口。其中,手工更改图中的参数,不管是否修改,点击确定,即建立一条补丁分发的单机策略。
    
 

     图5-1:建立单机补丁分发策略
6.查看补丁分发策略列表
怎么知道曾经配置了哪些补丁分发的单机策略和统一策略? 打开[管理]/[远程桌面管理]/[补丁分发配置的策略列表],出现如下窗口。
    
 

    图6-1:补丁分发配置的策略列表

    其中,MAC=000000000000对应的策略,是统一补丁分发策略。非0的MAC对应着该计算机的单机策略。双击这些策略记录,可以看到如下详细的说明。
    
 
图6-2:补丁分发配置的策略属性
    
7.客户端启动补丁自动分发功能,与WSUS进行补丁自动更新
    客户端什么时候开始进行自动更新?补丁分发策略下发后,客户端并不是马上进行补丁自动更新,通常客户端重新启动后就开始自动更新,也可以在客户端运行命令:wuauclt.exe /detectnow来触发补丁自动更新功能。
8.查看客户端补丁列表
    如何知道客户端补丁更新情况? 打开[管理]/[计算机管理]/[计算机列表],选中某客户端,右键[远程桌面管理]/[补丁列表],将列出该客户端所有已更新的补丁列表。
9.补丁查询
    如何了解某个重要补丁在整个网络中的更新情况? 在产品界面,如下图示,点击“查询”的图标
 
    图8-1:查询
 出现如下图的查询窗口,选中“补丁查询”,就可以根据补丁名称或者补丁别名进行正向查询和反向查询,即能够得到已打过该补丁的计算机和没有打过该补丁的计算机的信息,并能够方便地导出查询的这些结果。
    
 
    图8-2:选中补丁查询
  在补丁列表中可以任意点击列的首行,可以进行数据的排序。也可以点击[管理]/[导出]命令,选择导出excel格式,能够实现对补丁列表的导出。
 
责任编辑 赵毅 zhaoyi#51cto.com TEL:(010)68476636-8001