简介
Windows XP Service Pack 2 (SP2) 中包含为更好地抵御黑客、病毒和蠕虫的进攻而设计的主要安全增强功能。Windows XP SP2 同时还改进了 Windows XP 中安全功能的可管理性,同时提供了更多、更好的信息,以便帮助用户做出可能会影响他们的安全和隐私的决定。Microsoft 强烈建议使用 Windows XP 和 Windows XP Service Pack 1 系统的客户尽快更新到 Windows XP SP2.
作为实施托管的 Windows XP SP2 产品演示的最佳操作方法,我们鼓励客户使用一个企业更新管理解决方案,比如 Systems Management Server (SMS) 2003 或 Software Update Services (SUS)。
下一节详细介绍使用 SUS 部署 Windows XP SP2 的注意事项。
使用 SUS 部署 Windows XP SP2 的主要好处1.允许管理员控制整个 Windows 系统内的 Windows XP SP2(及其他更新)部署。
2.允许客户安全地禁止个别系统直接访问“自动更新”(AU) 或 Windows Update (WU),同时让这些系统能够得到必要的关键安全更新以及管理员批准的其他更新。
3.SUS 可以自动和无提示地 安装 Windows XP SP2,而通过 WU 或 AU 的 Windows XP SP2 安装则需要在每个系统上进行用户或管理员交互。
4.大大降低了流入组织的网络流量,因为将更新程序下载到组织中的一台或少数几台服务器中即可,而不用将其分别下载到每个需要更新的系统中。
注意:具有 Windows Server 2003 或 Windows 2000 Server 许可证的客户可以免费下载 SUS,下载位置是
http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en
情况概述
因为 Windows XP SP2 是一个相当大的更新程序(约 270 MB),所以 SUS 管理员需要考虑它对内部网络流量以及对于运行 SUS 服务器的计算机的影响。
对于大部分的 SUS 实施,服务器和网络负载不会出现问题,SUS 管理员也没有必要采取下述缓解措施;虽然如此,在开始进行更新时,我们还是建议 SUS 管理员对 SUS 服务器的性能和负载进行监控。
对于专用 SUS 服务器而言,在理想情况下,假定服务器网卡具有 100 Mbps 的能力,目前开销要消耗掉它 20% 的性能,则 SUS 客户端从服务器下载 Windows XP SP2 更新将需要大约 30 秒钟。转换成 2880 个客户端,则下载将需要 24 小时才能完成。
如果在任何给定时间里只有一个客户端连接服务器,并且在为一个客户端与为下一个客户端提供服务之间不存在时间间隙,则上述数字便是 24 小时内可以支持的理论客户端数,但实际上存在多种会减少这个数字的因素。这些因素包括:
1.SUS 客户端以 17 小时到 22 小时之间的随机数作为时间间隔连接服务器。因此,客户端同步不是顺序进行的,在同一时间里可能有多个客户端连接服务器,在具有大量 SUS 客户端的环境中,这种情况尤为明显。
2.如果某个 SUS 客户端计算机在应当连接服务器的时候处于关闭状态,则在这台计算机打开大约 10 分钟后,它会尝试连接 SUS 服务器。因为在开始上班或轮班的时候通常会打开很多系统,所以此时试图连接 SUS 服务器的客户端(与工作日的其他时间里连接服务器的客户端数相比)会比平常时候来得多。
尽管 SUS 服务器未能为其提供服务的客户端(由于性能限制)将会在大约 5 个小时后再尝试连接服务器,但这种开销情况已足以降低服务器的运行速度,并且还会生成额外的网络开销。
下一节将提供有关如何防止出现这种情况的指导。
使用 SUS 部署 Windows XP SP2 时需要考虑的因素
1.配置为使用 SUS 服务器的 Windows XP 系统数量
2.SUS 服务器计算机网卡或网络连接的带宽容量
3.SUS 服务器计算机是否在运行其他服务(如域控制器、文件和打印等),如果是,则这些服务估计需要的带宽是多少
4.可用于部署 Windows XP SP2 的网络带宽(此带宽是否小于 SUS 服务器计算机的带宽容量)
以下是为最小 SUS 服务器配置提供的指导 ? Intel P700 系统,512MB 内存,100 Mbps 的网卡和网络连接,专门用于运行 SUS 服务器(即不存在域控制器等),并且需要位于可用带宽超过服务器网卡带宽容量的网络中。如果 SUS 服务器计算机在运行其他服务或是可用网络容量小于服务器网卡的容量,则需要对此指导进行调整,以反映出实际情况。
总体建议
主要有三种可选方案,具体取决于要使用 SUS 服务器更新的 Windows XP 系统数量(如果只有一台或少数几台 SUS 服务器)和 SUS 实施的拓扑结构(如果有多台 SUS 服务器):
1.如果每台 SUS 服务器需要更新的 Windows XP 计算机数少于 2000 台,则不必执行任何操作
2.如果需要通过 SUS 服务器更新到 Windows XP SP2 的 Windows XP 计算机在 2000 台到 15000 台之间,则使用下面介绍的限时批准技术
3.如果需要控制 SUS 用于部署 Windows XP SP2 的最大带宽,则实施下列带宽限制机制之一:
对 SUS IIS 服务器的最大并发连接数和最大带宽进行限制
通过相应地配置 BITS(后台智能传送服务)2.0,对下载 SUS 内容的 SUS 客户端所用的最大带宽进行限制
对于第一种(不需要任何操作)方案,建议 SUS 管理员在首次批准更新时以及在工作日的第一个小时内或第一次轮班时对服务器负载进行监控。
限时批准技术的工作方式是,在使用此技术的任何一天里限制连接到 SUS 服务器时可以查看已批准更新列表中的 Windows XP SP2 更新的 SUS 客户端数量,从而控制每一天服务的客户端数量和限制服务器负载及其他网络开销(如重试尝试等)。
第三种方案的工作方式是,限制 SUS 实施使用的带宽,从而控制服务器和网络的负载。
注意:通过此处描述的可选方案限制 SUS 服务器或网络的负载,将导致全部 Windows XP 系统的更新速度变慢,因为服务器负载成了瓶颈。下面为每种方案提供的指导基于同一服务器负载假定,所以部署 Windows XP SP2 所用的时间长度基本上是相同的。
下表总结了适用于各种情况的可选方案:
可选方案
不执行任何操作
使用限时批准技术
使用 IIS 或 BITS 2.0 实现带宽限制
每台 SUS 服务器的 Windows XP 系统数量
少于 2000 个
在 2000 和 15000 个之间
在分布式 SUS 服务器实施中通常超过 1000 台
SUS 服务器
一台或几台
一台或几台
许多
关键需求
无
日常 SUS 管理员干预,直到要更新的 Windows XP 系统数量少于 2000 个
在需要更新的计算机数量少于 2000 台之后,批准 Windows XP SP2 和重新设置配置之前配置 IIS 或 BITS
注意:如果 SUS 服务器成为瓶颈,则解决此问题的一个选择是增加一台或多台 SUS 服务器(在负载平衡网络的支持下极易实现)。
限时批准技术
此技术依赖于 SUS 管理员每天对 SUS 服务器上 Windows XP SP2 更新的批准和不批准,直到尚未接收 SP2 的 Windows XP 系统数量少于 2000 个。
因为仅在每一天的限定时间里批准更新,所以在给定的某一天中只有一部分连接服务器的 SUS 客户端可以看到标记为“已批准”的更新,并尝试下载该更新。在此时间段之外连接服务器的 SUS 客户端将看不到 SUS 服务器上已批准更新列表中的 SP2 更新,因此不尝试下载它。这同时使得 SUS 服务器在新一组客户端第二天下载获准下载的 SP2 之前,能够在批准期限内完成向连接到它的客户端提供的服务。
这是一个用于控制 SUS 服务器负载的机制,虽然需要手动实施但非常容易,并且不需要任何额外的基础结构配置或测试。SUS 管理员可以使用以下公式来计算每天批准 Windows XP SP2 更新所需的时间:
TA = 24000 / (NXP ? (1000 * NDE))
其中:
TA = 在给定日期将更新标记为“已批准”所需的时间(以小时为单位) NXP = 要通过 SUS 服务器获取 SP2 的 Windows XP 系统数量
NDE = 在 SUS 服务器上首次将 SP2 标记为已批准后的天数
例如,如果需要通过 SUS 服务器获取 Windows XP SP2 更新的 Windows XP 系统数量是 12000 个,则按照以下公式计算:在第 1 天,将更新标记为已批准所需的时间是 2 个小时,因为
24000 / (12000 ? (1000 * 0) = 2
在第 2 天,将更新标记为已批准所需的时间是 2.2 个小时,因为
24000 / (12000 ? (1000 * 1) = 2.2;依此类推
整个进度如下所示:
天
批准 XP SP2 前尚需更新的计算机数量
批准期限的长度
1
12000
2 小时
2
11000
2.2 小时
3
10000
2.4 小时
4
9000
2.7 小时
5
8000
3 小时
6
7000
3.4 小时
7
6000
4 小时
8
5000
4.8 小时
9
4000
6 小时
9
3000
8 小时
10
2000
批准,保持“已批准”状态
注意:使用此技术的重要注意事项是,在工作日或轮班开始约 1 小时后启动批准,这样,客户端启动后随即试图下载 SP2 的高峰就不会对 SUS 服务器产生影响。
注意:上述公式是基于保守的假定来计算批准期限内连接服务器的客户端数量峰值的。使用这一技术,预计每天有 1000 到 2000 台 SUS 客户端计算机将获取 Windows XP SP2 更新。
您可以使用性能计数器或任务管理器对 SUS 服务器进行监控;如果您确定 SUS 服务器的负载不高,则可以增加批准期限的长度。增加批准期限的长度将允许每天更多客户端下载 Windows XP SP2,从而减少更新所有 Windows XP 计算机所需的时间;但是,如果将这些期限的长度增加得超过了某个特定的阈值(此阈值根据环境中特殊因素的不同而不同),则会引起服务器过载和不必要的网络过载,结果不是减少反而是增加了更新所有 Windows XP 计算机所需的时间。
此外,我们建议您对 Windows XP SP2 部署进行规划,使其与 Microsoft 提供的每月安全更新(每月的第二个星期二发布)的部署不重叠,从而不用分析这些更新的部署对于服务器负载以及 Windows XP SP2 部署的批准期限长度的影响。
以下是使用此项技术的优点和缺点:
优点:
1.易于实施 ? 需要批准 SP2 更新,然后在计算的时间段后不批准 SP2 更新,并在第二天重复执行这一过程,直到需要更新的计算机数量少于 2000 台
2.服务器端机制消除了对 SUS 客户端计算机的配置进行更改的需要
3.即使没有基于 Active Directory 的“组策略”或其他可伸缩管理机制(例如脚本等)来控制 Windows XP 计算机上的注册表设置也可以运行
4.无需测试
缺点:
1.在要更新的 Windows XP 系统数少于 2000 个之前,需要 SUS 管理员的日常干预
使用 IIS 实施带宽使用限制
此方案允许对 SUS 可以使用的最大带宽进行限制,方法设置适当的最大并发连接数和 IIS 服务器分配用于服务 SUS 请求的最大带宽。这些配置适用于 IIS 5 和 IIS 6.
IIS 服务器将对所有指定的并发连接分配同样的指定最大带宽。
对于标准的 SUS 计算机(P700 系统,512 MB 内存,100 Mbps 网卡),请将最大并发连接数设置为 100,将 SUS Web 站点的最大带宽设置为 80 Mbps.在此例中,将最大并发连接数设置为 100,是对给定 CPU 和内存容量情况下、在重负荷数据传输负载条件下服务器计算机能够处理的情况的一种估计。
注意:此配置允许每天约 2000 个 Windows XP 系统下载和安装 Windows XP SP2 更新,每个系统下载所用的时间大约一小时,前提条件是不存在任何其他瓶颈。
优点:
1.易于实施 ? 在 IIS 服务器上设定配置设置
2.如果使用“限时批准”技术,则在进行过程中不需要任何管理员干预
3.可以有选择地控制为 SUS 客户端请求提供服务的最大带宽,无需对 IIS 服务器上其他站点(如果有)的带宽服务器进行限制。
4.服务器端机制消除了对 SUS 客户端计算机的配置进行更改的需求
5.即使没有基于 Active Directory 的“组策略”或其他可伸缩管理机制(例如脚本等)来控制 Windows XP 计算机上的注册表设置也可以运行
6.易于测试
缺点:
1.限制 IIS 上的 SUS 站点的并发连接和最大带宽不仅会影响 Windows XP 计算机的 SUS 客户端,而且对所有 SUS 客户端都有影响 ? 如果在您部署 Windows XP SP2 的同时还需要部署其他更新,这会成为一个问题
2.一旦需要更新的 Windows XP 计算机达到 2000 台或更少,管理员需要将 IIS 配置重新设定为正常设置
3.如果为全部 IIS 服务器连接(而不是仅限于 SUS 服务器网站)指定了最大并发连接数,则这会对 IIS 所服务的所有其他网站产生影响。
资源:
IIS 6
有关在 IIS 6 中限制并发连接的信息,请参见:http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/standard/proddocs/en-us/qos_limitconn.asp?sd=gn&ln=en-us&gssnb=1
有关在 IIS 6 中限制带宽的信息,请参见:http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/standard/proddocs/en-us/qos_throttlebw.asp?sd=gn&ln=en-us&gssnb=
有关 IIS 6 性能优化的其他信息,请参见:http://www.microsoft.com/resources/documentation/iis/6/all/proddocs/en-us/perf_tune.mspx
IIS 5
有关在 IIS 5 中限制并发连接的信息,请参见:http://windows.microsoft.com/windows2000/en/server/iis/htm/core/iilimcn.htm?id=128
有关在 IIS 5 中限制带宽的信息,请参见:http://windows.microsoft.com/windows2000/en/server/iis/htm/core/iithrot.htm
有关 IIS 5 性能优化的其他信息,请参见:http://windows.microsoft.com/windows2000/en/server/iis/htm/core/iiabtpm.htm
使用 BITS 2.0 实施带宽使用限制
此方案使用 BITS 2.0 最大带宽使用参数来控制 SUS 客户端与 SUS 服务器交互时使用的带宽量。例如,如果您希望 SUS 服务器(或整个网络)通过 SUS 部署 Windows XP SP2 时可以使用的最大带宽是 100 Mbps,而网络中有 5000 个 Windows XP 系统,则可将每个客户端系统的最大带宽使用设置为 20 Kbps,即整个网络带宽限制为 100 Mbps.
优点:
1.使用这个选项,您可以对网络中可用于通过 SUS 部署 Windows XP SP2 的最大带宽进行细化控制
2.可以使用“组策略”进行集中配置
3.提供对仅用于 Windows XP 计算机的 SUS 客户端的最大带宽进行控制的能力
4.如果使用“限时批准”技术,则在进行过程中不需要任何管理员干预
缺点:
1.只能用于已经实施 BITS 2.0 的环境 ? 如果尚未实施 BITS 2.0,则管理员需要在所有客户端系统上安装它
2.只能用于“托管”Windows XP 系统,即 SUS 管理员了解并且能够在其中控制 BITS 2.0 设置的系统
3.BITS 最大带宽限制将应用于使用 BITS 的客户端计算机上运行的所有服务(例如 SMS),结果将导致这些服务可能表现出低劣的性能或者不能正常运行。
资源:
有关使用“组策略”在客户端计算机上配置 BITS 的信息,请参见:http://msdn.microsoft.com/library/default.asp?url=/library/en-us/bits/bits/group_policies.asp
有关 BITS 的更多信息,请参见:http://msdn.microsoft.com/library/default.asp?url=/library/en-us/bits/bits/bits_start_page.asp
有关部署 BITS 2.0 的信息,请参见:http://support.microsoft.com/default.aspx?kbid=842773
总结
Windows XP Service Pack 2 (SP2) 包含为更好地抵御黑客、病毒和蠕虫的进攻而设计的主要安全增强功能,因此 Microsoft 强烈建议客户尽快使用 SP2 更新其 Windows XP 计算机。
在 Windows XP SP2 更新经过测试和认证,可以部署到您的计算机上之后,SUS 为在这些计算机上部署更新提供一种易于实施的机制。鉴于 Windows XP SP2 更新较大,SUS 管理员应该考虑它的部署对 SUS 服务器和网络负载的影响。对于大部分的 SUS 实施,服务器和网络负载不会出现问题,SUS 管理员也没有必要采取缓解措施;虽然如此,在开始进行更新时,我们还是建议 SUS 管理员对 SUS 服务器的性能和负载进行监控。
对于使用单个 SUS 服务器更新 2000 台以上的 Windows XP 计算机的环境,请使用上述缓解方案之一。这些只是在要更新的 Windows XP 计算机数降到 2000 以下之前需要执行的临时步骤。
