验证 WSUS 服务器设置
本主题介绍典型的 WSUS 服务器设置。
更新文件同步和下载设置
本部分介绍影响更新文件同步和下载的以下问题:
- 注册表设置
- 配置设置
- IIS 设置
- 权限
.gif) 重要提示 |
|---|
| 默认情况下,这些设置是在 WSUS 设置期间配置的。 此处列出了它们作为参考,在故障排除时用作检查点。 进行故障排除时,可以验证这些设置是否已到位。 |
注册表设置
以下是在 WSUS 服务器上设置期间配置的注册表设置。 这些设置不存储服务器配置信息。 所有配置信息都存储在 WSUS 数据库中(SUSDB.mdf)。
以下所有注册表项都在 \HKLM\Software\Microsoft\Update Services\Server\Setup 注册表项中:
- ContentDir – 存储二进制文件和最终用户许可协议文件的位置。 如果用户在安装过程中选择了安装 WMSDE,则此位置还包含数据库存储文件和日志文件;例如 C:\WSUS。 注意以下事项:
- <ContentDir>\WsusContent 包含更新文件
- <ContentDir>\MSSQL$WSUS 包含数据库文件(如果 WMSDE)
- TargetDir – 产品安装位置;例如 C:\Program Files\Update Services
- WmsdeInstalled – 此条目指定是否在原始安装中使用 WMSDE;例如,1=yes,0=no。 注意:如果以后将 WMSDE 数据库迁移到完整的 SQL Server 数据库,则不会修改此密钥。
- SqlServerName – 常规服务器操作中使用的主注册表项。 这用于使用其余数据和服务器配置的数据库服务器启动服务器组件。 例如:WMSDE 的 %computername%\WSUS。 使用此密钥快速确定 WSUS 服务器正在使用的 SQL Server(尤其是在远程 SQL 案例中)。
- SqlDatabaseName – 数据库的名称。 对于 WSUS 2.0,这始终是 SUSDB。
- SqlAuthenticationMode – 身份验证模式 WSUS 用于与数据库服务器通信。 对于 WSUS 2.0,这始终是 WindowsAuthentication。
配置设置
以下所有服务器配置设置都存储在 WSUS 数据库(SUSDB.mdf) 中。
| 配置内容 | 数据库存储位置 | 说明 |
|---|---|---|
| 更新存储 | tbConfigurationA.SyncToMutbConfigurationA.UpstreamServerName | 第一个数据库位置指定客户端计算机的更新源。 可能的值为:0 – WSUS server1 – Microsoft UpdateThe second database locations specifie the name of the 上游 WSUS server,if you have chosen one as the update source. |
| Express (PSF) 文件下载 | tbConfigurationC.DownloadExpressPackages | 此设置控制是否下载快速安装文件。 可能的值为:0 – 不下载快速文件(默认值)选项.1 – 下载快速文件。在 WSUS 控制台上,这在“高级同步选项”框中进行了配置。 |
| 语言选项 | tbLanguage.Enabled | 此设置控制要下载的语言二进制文件。 默认情况下,所有语言都处于启用状态。在 WSUS 控制台上,这是在“高级同步选项”框中配置的。 |
| BITS 下载优先级 | tbConfigurationC.BitsDownloadPriorityForeground | 此内部设置指定是否对 BITS 下载使用前台优先级。 默认值是使用受限制的下载。 添加了此设置来处理某些未正确处理 HTTP 1.1 可重启下载的代理服务器的问题。 |
IIS 设置
以下虚拟目录(vroots)在 IIS(默认网站中)中创建,以便客户端到服务器同步、服务器到服务器同步、报告和客户端自我更新。
| IIS 中的 Vroot | 属性 |
|---|---|
| ClientWebService | 目录: %ProgramFiles%Update Services\WebServices\ClientWebServiceApplication Pool: WsusPoolSecurity: Anonymous Access Enabled.Execute Permissions: Scripts only |
| 内容 | 目录:e:\wsus\wsuscontentSecurity: Anonymous Access EnabledExecute Permissions: None |
| DssAuthWebService | 目录: %ProgramFiles%Update Services\WebServices\DssAuthWebServiceApplication Pool: WsusPoolSecurity: Anonymous Access Enabled.Execute Permissions: Scripts only |
| ReportingWebService | 目录: %ProgramFiles%Update Services\WebServices\ReportingWebServiceApplication Pool: WsusPoolSecurity: Anonymous Access Enabled.Execute Permissions: Scripts only |
| ServerSyncWebService | 目录: %ProgramFiles%Update Services\WebServices\ServerSyncWebServiceApplication Pool: WsusPoolSecurity: Anonymous Access Enabled.Execute Permissions: Scripts only |
| SimpleAuthWebService | 目录: %ProgramFiles%Update Services\WebServices\SimpleAuthWebServiceApplication Pool: WsusPoolSecurity: Anonymous Access Enabled.Execute Permissions: Scripts only |
| WSUS管理员 | 目录: %ProgramFiles%Update Services\管理员istrationApplication Pool: WsusPoolSecurity: Integrated Windows Authentication.Execute Permissions: Scripts only |
| SelfUpdate | 目录: %ProgramFiles%Update Services\SelfUpdateSecurity: Anonymous Access Enabled, Integrated Windows Authentication.Execute Permissions: Scripts only |
权限
下面列出了 WSUS 服务器磁盘和注册表权限上特定文件夹所需的权限。
磁盘
以下权限是在 WSUS 设置期间配置的,对于 BITS 下载工作非常重要:
- WSUSContent 文件夹所在的驱动器上的根文件夹(例如,<%windir%>\WSUS\WSUSContent)必须具有用户帐户或 NT 颁发机构\网络服务帐户(在 Windows 2003 上)的读取权限。 如果未设置此权限,BITS 下载将失败。 注意:这是 WSUS 安装程序未配置的权限,因此请确保按此处所述设置权限
- WSUS 内容目录(通常<为 %windir%>\WSUS\WSUSContent)必须具有向 NT Authority\Network Service 帐户授予的完全控制权限。 此权限由 WSUS 服务器设置在创建目录时设置,但安全软件可能会重置此权限。 权限。 没有此权限集也会导致 BITS 下载失败。
- NT Authority\Network Service 帐户(在 Windows 2003 上)必须对 WSUS 控制台的以下文件夹具有完全控制权限才能正确显示页面:
- <%windir%>\Microsoft .NET\Framework\v1.1.4322\Temporary ASP.NET Files
- <%windir%>\Temp
注册表
在设置 WSUS 期间,将为注册表设置以下权限。
- 用户组必须具有对 \HKLM\Software\Microsoft\Update Services\Server 注册表项的读取访问权限。
- 以下帐户必须具有对 \HKLM\Software\Microsoft\Update Services\Server\Setup 注册表项的完全控制权限:
- ASP.NET
- 网络服务 (适用于 Windows Server 2003)
- WSUS 管理员istrators