简介
Windows XP Service Pack 2 (SP2) 中包含为更好地抵御黑客、病毒和蠕虫的进攻而设计的主要安全增强功能。Windows XP SP2 同时还改进了 Windows XP 中安全功能的可治理性,同时提供了更多、更好的信息,以便帮助用户做出可能会影响他们的安全和隐私的决定。Microsoft 强烈建议使用 Windows XP 和 Windows XP Service Pack 1 系统的客户尽快更新到 Windows XP SP2.
作为实施托管的 Windows XP SP2 产品演示的最佳操作方法,我们鼓励客户使用一个企业更新治理解决方案,比如 Systems Management Server (SMS) 2003 或 Software Update Services (SUS)。
下一节具体介绍使用 SUS 部署 Windows XP SP2 的注重事项。
使用 SUS 部署 Windows XP SP2 的主要好处1.答应治理员控制整个 Windows 系统内的 Windows XP SP2(及其他更新)部署。
2.答应客户安全地禁止个别系统直接访问“自动更新”(AU) 或 Windows Update (WU),同时让这些系统能够得到必要的要害安全更新以及治理员批准的其他更新。
3.SUS 可以自动和无提示地 安装 Windows XP SP2,而通过 WU 或 AU 的 Windows XP SP2 安装则需要在每个系统上进行用户或治理员交互。
4.大大降低了流入组织的网络流量,因为将更新程序下载到组织中的一台或少数几台服务器中即可,而不用将其分别下载到每个需要更新的系统中。
注重:具有 Windows Server 2003 或 Windows 2000 Server 许可证的客户可以免费下载 SUS,下载位置是
http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en
情况概述
因为 Windows XP SP2 是一个相当大的更新程序(约 270 MB),所以 SUS 治理员需要考虑它对内部网络流量以及对于运行 SUS 服务器的计算机的影响。
对于大部分的 SUS 实施,服务器和网络负载不会出现问题,SUS 治理员也没有必要采取下述缓解措施;虽然如此,在开始进行更新时,我们还是建议 SUS 治理员对 SUS 服务器的性能和负载进行监控。
对于专用 SUS 服务器而言,在理想情况下,假定服务器网卡具有 100 Mbps 的能力,目前开销要消耗掉它 20% 的性能,则 SUS 客户端从服务器下载 Windows XP SP2 更新将需要大约 30 秒钟。转换成 2880 个客户端,则下载将需要 24 小时才能完成。
假如在任何给定时间里只有一个客户端连接服务器,并且在为一个客户端与为下一个客户端提供服务之间不存在时间间隙,则上述数字便是 24 小时内可以支持的理论客户端数,但实际上存在多种会减少这个数字的因素。这些因素包括:
1.SUS 客户端以 17 小时到 22 小时之间的随机数作为时间间隔连接服务器。因此,客户端同步不是顺序进行的,在同一时间里可能有多个客户端连接服务器,在具有大量 SUS 客户端的环境中,这种情况尤为明显。
2.假如某个 SUS 客户端计算机在应当连接服务器的时候处于关闭状态,则在这台计算机打开大约 10 分钟后,它会尝试连接 SUS 服务器。因为在开始上班或轮班的时候通常会打开很多系统,所以此时试图连接 SUS 服务器的客户端(与工作日的其他时间里连接服务器的客户端数相比)会比平常时候来得多。
尽管 SUS 服务器未能为其提供服务的客户端(由于性能限制)将会在大约 5 个小时后再尝试连接服务器,但这种开销情况已足以降低服务器的运行速度,并且还会生成额外的网络开销。
下一节将提供有关如何防止出现这种情况的指导。
使用 SUS 部署 Windows XP SP2 时需要考虑的因素
1.配置为使用 SUS 服务器的 Windows XP 系统数量
2.SUS 服务器计算机网卡或网络连接的带宽容量
3.SUS 服务器计算机是否在运行其他服务(如域控制器、文件和打印等),假如是,则这些服务估计需要的带宽是多少
4.可用于部署 Windows XP SP2 的网络带宽(此带宽是否小于 SUS 服务器计算机的带宽容量)
以下是为最小 SUS 服务器配置提供的指导 – Intel P700 系统,512MB 内存,100 Mbps 的网卡和网络连接,专门用于运行 SUS 服务器(即不存在域控制器等),并且需要位于可用带宽超过服务器网卡带宽容量的网络中。假如 SUS 服务器计算机在运行其他服务或是可用网络容量小于服务器网卡的容量,则需要对此指导进行调整,以反映出实际情况。
总体建议
主要有三种可选方案,具体取决于要使用 SUS 服务器更新的 Windows XP 系统数量(假如只有一台或少数几台 SUS 服务器)和 SUS 实施的拓扑结构(假如有多台 SUS 服务器):
1.假如每台 SUS 服务器需要更新的 Windows XP 计算机数少于 2000 台,则不必执行任何操作
2.假如需要通过 SUS 服务器更新到 Windows XP SP2 的 Windows XP 计算机在 2000 台到 15000 台之间,则使用下面介绍的限时批准技术
3.假如需要控制 SUS 用于部署 Windows XP SP2 的最大带宽,则实施下列带宽限制机制之一:
对 SUS IIS 服务器的最大并发连接数和最大带宽进行限制
通过相应地配置 BITS(后台智能传送服务)2.0,对下载 SUS 内容的 SUS 客户端所用的最大带宽进行限制
对于第一种(不需要任何操作)方案,建议 SUS 治理员在首次批准更新时以及在工作日的第一个小时内或第一次轮班时对服务器负载进行监控。
限时批准技术的工作方式是,在使用此技术的任何一天里限制连接到 SUS 服务器时可以查看已批准更新列表中的 Windows XP SP2 更新的 SUS 客户端数量,从而控制每一天服务的客户端数量和限制服务器负载及其他网络开销(如重试尝试等)。
第三种方案的工作方式是,限制 SUS 实施使用的带宽,从而控制服务器和网络的负载。
注重:通过此处描述的可选方案限制 SUS 服务器或网络的负载,将导致全部 Windows XP 系统的更新速度变慢,因为服务器负载成了瓶颈。下面为每种方案提供的指导基于同一服务器负载假定,所以部署 Windows XP SP2 所用的时间长度基本上是相同的。
