wsus

Windows Server 更新服務 (WSUS) 使信息技術管理員能夠將最新的 Microsoft 產品更新部署至運行了 Microsoft Windows Server 2003、Windows 2000 Server 和 Windows XP 操作系統的網絡中的計算機上。

WSUS是個微軟推出的網絡化的補丁分發方案，是免費的，可以在微軟網站上去下載。

WSUS支持微軟公司全部產品的更新，包括Office、SQL Server、MSDE和Exchange Server等內容。通過WSUS這個內部網絡中的Windows升級服務，所有Windows更新都集中下載到內部網的WSUS服務器中，而網絡中的客户機通過WSUS服務器來得到更新。這在很大程度上節省了網絡資源，避免了外部網絡流量的浪費並且提高了內部網絡中計算機更新的效率。

WSUS採用C/S模式，客户端已被包含在各個WINDOWS操作系統上。從微軟網站上下載的是WSUS服務器端。

通過配置，將客户端和服務器端關聯起來，就可以自動下載補丁了。這個配置幾乎就是使用WSUS的全部工作了。

配置工作是區分域與工作組環境的，在域的前提下，可以通過設置域的組策略來實現，比較簡單。

在工作組的環境裏，因為配置是需要用到管理員權限，於是就變成了逐台配置。

對單機的配置也可以用單機的組策略配置來實現，也可以採用修改註冊表的方式來實現。因為單機的組策略配置反而麻煩，所以還不如修改註冊表來的方便。（通過使用也發現，配置組策略實際也是修改註冊表。所以這2種方案實際是一樣的。）

註冊表的修改項包括：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

RescheduleWaitTime 重新計劃自動更新計劃後的等待時間

NoAutoRebootWithLoggedOnUsers　計劃的自動更新安裝後是否重新啓動

NoAutoUpdate 啓停自動更新

AUOptions　配置自動更新

ScheduledInstallDay　計劃安裝日期

ScheduledInstallTime 計劃安裝時間

UseWUServer 是否起用WSUS服務器

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

WUServer WSUS服務器

WUStatusServer 統計服務器

ElevateNonAdmins 是否允許普通用户審批更新

TargetGroupEnabled 是否設置目標組

TargetGroup　目標組名稱

這上面簡單的列舉了些重要的註冊表項。可能有些名稱有些拗口。不過，這基本是從組策略裏摘出來的，主要是為了引起一些簡單的聯想。實際上一看WSUS文檔也就差不多瞭解了。

修改註冊表的工作方式，完全可以採用形成一個註冊表文件，然後放在單位內部網站上要求大家下載即可。在WSUS推出後的這麼長的時間裏，很多單位都採用了WSUS（隨便搜一下網絡，我們發現雲南大學、清華大學和北京大學等很多學校都採用了這樣的方案，並且在學校的有關網站上有很詳細的説明。）但是仍然有很多單位不清楚怎麼來解決補丁的管理難題，並且也很為之困惑。這是個有趣的現象，足以説明咱們國家是個非常遼闊的國家，所以信息並不是那麼流暢。

對工作組的環境，考慮到希望更簡單和可靠的使用的用户，也可以使用清揚內網管理系統，裏面有輔助的全網配置工具，也可以防止各終端用户的無意中破壞。

WSUS還有非常清晰的對從微軟網站上的下載補丁的狀態的描述，你可以看到哪些補丁沒有下載完畢，並且 容易的恢復下載。

WSUS也有非常清晰的對各終端的下載補丁情況的描述，這也可以用來查看有關補丁分發的情況。微軟也提供了SMS等更加高級的企業網絡使用工具，不過，説實在的，為了打補丁去考慮這樣的軟件，實在是浪費。因為WSUS已經足夠好用，並且是免費的。

像補丁管理這樣的工作，其實完全是微軟的應盡的義務，畢竟是Windows需要打補丁。作為軟件巨無霸，它應該承擔這樣的職責，才能更長久的建立軟件廠商的信譽。從WSUS上， 我們看到它是這樣做的。

對於多達 500 個客户端的服務器，建議使用以下硬件：

* 1 GHz 的處理器

* 1 GB 的 RAM

要使用默認選項安裝 WSUS，必須在計算機上安裝以下軟件。

* Microsoft Internet 信息服務 (IIS) 6.0。

* 用於 Windows Server 2003 的 Microsoft .NET Framework1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

要安裝 WSUS，服務器上的文件系統必須滿足以下要求：

* 系統分區和安裝 WSUS 的分區都必須使用 NTFS 文件系統進行格式化。

* 系統分區至少需要 1 GB 的可用空間。

* WSUS 用於存儲內容的卷至少需要 6 GB 的可用空間，建議預留空間為 30 GB。

* WSUS 安裝程序用於安裝 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空間。

自動更新是 WSUS 的客户端組件。除了需要連接到網絡外，自動更新沒有其他的硬件要求。您可以針對運行以下任一操作系統的計算機上的 WSUS 使用自動更新：

* 帶有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、帶有 SP3 或 SP4 的 Windows 2000 Server 或帶有 SP3 或 SP4 的 Windows 2000 Advanced Server。

* 帶有或不帶 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。

* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。

以在Windows Server 2003系統中安裝WSUS服務器為例介紹方法：

第1步，運行WSUS安裝程序，自動解壓縮後進入安裝嚮導。在歡迎對話框中單擊“下一步”按鈕。

第2步，打開“許可協議”對話框，選中“我接受許可協議中的條款”單選框，並單擊“下一步”按鈕。

第3步，在打開的“選擇更新源”對話框中需要指定用於保存補丁程序的目錄，該目錄所在分區必須為NTFS文件系統，並且至少擁有6GB的剩餘空間。選中“本地存儲更新”複選框，單擊“瀏覽”按鈕選擇目標位置，並單擊“下一步”按鈕。

第4步，打開“數據庫選項”對話框，如果當前系統中沒有安裝SQL Server，則安裝嚮導會提示用户將安裝SQL Server桌面引擎。單擊“瀏覽”按鈕選擇SQL Server桌面引擎的安裝目錄，並單擊“下一步”按鈕。

第5步，在打開的“網站選擇”對話框中，選中“使用現有IIS默認網站（推薦）”單選框，並單擊“下一步”按鈕。

如果當前服務器中部署了其他Web站點，則必須選中“創建Microsoft Windows Server Update Services網站”單選框。否則將由於80端口被佔用使WSUS站點無法啓用。

第6步，打開“鏡像更新設置”對話框，一般情況下，用户部署的是獨立的更新服務器，並非其他服務器的鏡像站點。因此無需選中“該服務器應繼承來自以下服務器的設置”複選框，直接單擊“下一步”按鈕。

第7步，在打開的“準備安裝Microsoft Windows Server Update Services”對話框中，顯示出WSUS的安裝設置。確認設置正確無誤，並單擊“下一步”按鈕。

第8步，安裝嚮導開始安裝WSUS，完成安裝後直接單擊“完成”按鈕即可。

我們在之前文章中介紹過WSUS，服務器管理員最常使用的一項功能。總地來説，Windows Server Update Services（WSUS）可以幫助管理員對Windows計算機的關鍵和重要的更新進行管理和分配。

WSUS服務器推送更新的方式有兩種，一種是由微軟更新服務器推送，另外一種是由企業網絡中配置的根WSUS服務器進行推送。企業網絡中配置的WSUS服務器作為更新源，通常叫做上游WSUS服務器。其他與上游服務器進行會話的所有WSUS服務器叫做下游WSUS服務器。下游WSUS服務器一般位於組織分支，作為向Windows客户端計算機分發更新的權威來源。

Nirmal Sharma是一名微軟技術人員，獲得微軟目錄服務領域MCSEx3、MCITP和微軟MVP證書。他從1994年進入微軟技術領域，一直關注微軟操作系統和軟件的發展。近日他在ServerWatch網站上分享了最新Windows服務器操作系統版本中有關WSUS的六個常見問題。一起來看看：

在早期Windows版本中，你需要直接從微軟網站上下載WSUS軟件，但是在Windows Server 2012及之後版本中，WSUS作為一個服務器角色可以從服務器管理器中進行安裝。

Windows Server 2012 R2上的WSUS包含了Windows PowerShell cmdlets，可以用來管理WSUS執行，或從命令提示符完成重複任務。

準備在Windows Server 2012或更高版本的操作系統上安裝WSUS服務器之前，首先要安裝.NET Framework 4.0。另外還要注意到安裝WSUS服務器時使用的賬户必須是本地管理員組中的成員，同時本地服務器也必須是安裝了WSUS服務器角色。

WSUS服務器可以配置成離線模式，通常叫做離線WSUS服務器。如果因為企業網絡政策原因，WSUS無法連接網絡直接從微軟更新服務器上獲得更新，這時候可以安裝離線WSUS服務器。

在聯網的WSUS服務器上下載和測試更新之後，管理員可以將內容導出到一個外部硬盤，然後導入到離線模式下的WSUS服務器上。

WSUS使用的網絡端口是什麼

WSUS通信有兩種類型：上游和下游WSUS服務器之間的通信以及上游WSUS服務器與微軟更新服務器之間的通信。Windows Server 2012 WSUS 6.2中，微軟改變了WSUS服務器之間相互溝通的方式。

在早期WSUS版本，如WSUS 3.2中，下游WSUS服務器通過端口80（HTTP）和443（HTTPS）與上游WSUS服務器進行通信。在WSUS 6.2中，這一情況發生了改變。

上游和下游WSUS服務器通過端口8530（HTTP）和端口8531（HTTPS）進行通信。如果你在WSUS服務器上配置了防火牆，一定要確保上述端口的流量流通。

至於上游WSUS服務器和微軟更新服務器之間的通信發生在80（HTTP）和443（HTTPS）端口。如果有代理服務器的話，你可能需要改變WSUS來使用代理服務器。

WSUS需要一個數據庫來存儲更新元數據和配置信息。WSUS可以使用以下數據庫：Windows內部數據庫（Windows Internal Database，WID）或Microsoft SQL Server數據庫。

Windows操作系統附帶WID，沒有額外的許可證費用。大多數組織選擇使用WID的目的是降低許可成本，但重要的是要注意，在負載均衡和高可用的環境下安裝WSUS後，WID無法正常工作。這種情況下，你必須選擇SQL Server數據庫選項。

如果你打算在獨立於數據庫機的計算機上安裝WSUS角色，請注意以下事項：

該WSUS數據庫服務器必須避免配置在域控制器上。

遠程桌面服務角色不能安裝在已經安裝了WSUS服務器角色的計算機上。

如果數據庫和WSUS服務器位於不同的活動目錄域中，確保這兩個活動目錄域之間存在信任關係。

WSUS服務器流量可以實現負載平衡嗎

在大型生產環境中，你總是要在網絡負載均和集羣中設置WSUS來增加WSUS服務器的可靠性和性能。如果你想在NLB集羣中設置WSUS，首先必須安裝WSUS服務器，並使用微軟SQL數據庫選項。

重要的是要注意，在WSUS服務器上存儲的更新必須可用於共享同一SQL數據庫的所有WSUS服務器。 ^[1]