iT邦幫忙

0

請問公司伺服器在WSUS Policy該如何設定?

若在WSUS3.0 SP1下,針對以下伺服器(Windows 2000 & 2003 Server)是否要套用更新該如何判斷?

  1. DC、Exchange、MOM等網域相關伺服器
  2. 未加入網域伺服器(Stand alone or DMZ Server)該如何處理
  3. 自行開發or協力廠商之AP Server,若只更新重大更新其考量點為何

以上問題,謝謝大家提供意見...

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
18
glennlin
iT邦研究生 4 級 ‧ 2008-11-04 10:03:21
最佳解答

1.dc、ex、mom等重要伺服器在使用wsus時,可以再獨立分開設立一個群組
讓wsus在套用的時候,不要強制直接套用更新;可設定為篩選後,再決定要不要套用更新

2.未加入網域的電腦,則是直接手動修改本機群組原則中的sus選項即可套用更新
而在dmz區的電腦因為幾乎和公司電腦網路隔離,直接設定讓該區的電腦自動做更新即可
如果是為了更新又開了port與內部網路溝通的話,那就失去dmz區域的意義了

3.正常來講應該沒有這類的考量存在。
微軟的更新會變更系統檔案版本、修改某些功能性、修改某些系統程序或是關閉某些服務
所以ap之所以可能會受到影響,是因為ap中的程式碼可能存取到被更新的檔案

程式設計人員應該在所有更新前後做測試之後
再把微軟的更新套用至所有ap主

14
jerry710822
iT邦高手 1 級 ‧ 2008-11-04 08:31:35

只要是微軟的主機系統都需要更新除了一些有特殊AP的主機才決定要不要更新
在DMZ或其他不在網域內請自行更新

最好再加上安全性的更新
這樣比較安全

12
tom6507
iT邦大師 1 級 ‧ 2008-11-04 09:04:04

關於第一個問題:基本上我的考量是主機是否有直接對外聯網,公司內有沒有架設防火牆,公司內使用私人電腦的多寡。
如果主機有直接聯外網,防火牆功能不夠強大,私人電腦很多,那就把所有的重大更新跟安全性更新裝上去,其他就不用裝了
第二個問題請看下方的註冊表:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://WSUS server IP :port"
"WUStatusServer"="http://WSUS server IP :port"
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"RescheduleWaitTime"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000004
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
內容主要就是告知WSUS主機是哪台,使用哪個port,以及更新之後是否要重新開機

第三個問題的回答同問題一

我要發表回答

立即登入回答