Wsus服务器的部署---总结

文档链接来源于

1. Windows Server Update Services (WSUS) 入门 | Microsoft Learn
2. 
   

1-wsus的概述

WSUS 服务器提供了通过管理控制台管理和分发更新时可以使用的功能。 WSUS 服务器还可以作为组织内其他 WSUS 服务器的更新源。 充当更新源的 WSUS 服务器称为上游服务器。 在 WSUS 实现中，网络中必须至少有一台 WSUS 服务器能够连接到 Microsoft 更新来获取可用的更新信息。 作为管理员，你可以根据网络安全和配置来决定多少其他 WSUS 服务器直接连接到 Microsoft 更新。

Wsus服务器可以作为企业内部操作系统进行补丁更新的一个解决方案。

支持一台、多台服务器部署。

1. 集中式更新管理
2. 更新管理自动化

2-wsus的版本

End of synchronization for WSUS 3.0 SP2 - Microsoft Community Hub

以前的WSUS 3.0 SP2 已经不建议使用， sws1.update.microsoft.com 已经关闭

Wsus已经集成在windows server 2012以上版本中的角色功能中。

支持ssl协议

3-规划wsus的部署

1. 硬件要求
   WSUS 的最低硬件需求是：
   
   处理器： 1.4 千兆赫 (GHz) x64 处理器（推荐使用 2Ghz 或以上）
   
   内存：除了服务器和所有其他服务或软件需要的内存量之外，WSUS 还需要额外的 2 GB RAM。
   
   可用磁盘空间：建议使用
   
   网络适配器：每秒
   
   
2. 软件要求

Download MICROSOFT REPORT VIEWER 2012 RUNTIME from Official Microsoft Download Center

Download Microsoft Report Viewer 2012 Runtime from Official Microsoft Download Center

1-为查看报告，在。

2-用来安装 WSUS 的帐户是本地 Administrators 组成员

3-数据库为WID（windows内部数据库）

4-注意事项

使用按需功能移除了其有效负载的服务器角色无法从 Microsoft 更新进行按需安装。 必须在尝试安装这类服务器角色时提供安装源，或在组策略中为按需功能配置源。

Windows 客户端版本无法从 Web 按需安装 .NET 3.5

4-Wsus部署方案

1. 单台部署
   
   将 WSUS 服务器连接到 Microsoft 更新，以下载更新。（能上网更新）
   
   默认情况下，WSUS 服务器将端口 8530 用于 HTTP 协议，将端口 8531 用于 HTTPS 协议，以向客户端工作站提供更新。
   
   
2. 多台部署
   将该服务器设置为上游服务器 - 与下游服务器同步的源。
   （一台上网，其他都是副本）
   
3. 没有网络的wsus（断开的 WSUS 服务器）在该服务器上下载、测试和批准更新之后，管理员会将更新元数据和内容导出到 DVD。 将更新元数据和内容从 DVD 中导入到在内部网运行 WSUS 的服务器。
   
4. 服务器层级关系

微软建议你不要创建三个级别以上的 WSUS 服务器层次结构

5-下游服务器的模式

1. 自治模式
   “自治”模式（也称为分布式管理）是 WSUS 的默认安装选项。 在“自治”模式中，上游 WSUS 服务器与下游服务器在同步期间分享更新。 独立管理下游 WSUS 服务器，它们不接收来自上游服务器的更新批准状态或计算机组信息。
   
2. 副本模式

副本服务器将继承更新批准，并且不能脱离其上游 WSUS 服务器进行管理。

6-选择 WSUS 存储策略

更新由两部分组成：描述更新的元数据，以及安装更新所需的文件

（默认是全部）

7-计划 WSUS 计算机组

1-计算机始终分配给“所有计算机”组，并且它们保持分配给“未分配的计算机” 组，直到你将它们分配给其他组。 计算机可以属于多个组。

2-因为可将计算机分配给多个组，所以可为同一台计算机多次批准单一更新。但是，更新仅被部署一次，且

3-在客户端计算机上使用组策略或编辑注册表设置，使那些计算机可以自动将其添加到之前创建的计算机组中。

4-优先级

与最高优先级组有关的操作会覆盖其他组的操作。小组在组层次结构中出现的结构越深，优先级越高。仅基于深度分配优先级；所有分支都有相同的优先级。

安装操作会覆盖卸载操作。必需安装会覆盖可选安装

8-文件的下载方式

快速安装文件功能识别不同版本之间的精确字节，并创建和分配仅限于那些差异的更新，然后将现有文件与更新的字节合并在一起。

可以使用快速安装文件限制在本地网络上消耗的带宽，因为 WSUS 仅传输适用于特定版本的更新组件的增量。 但是，这会在你的 WSUS 服务器、任何上游 WSUS 服务器与 Microsoft 更新之间形成额外带宽成本，并且需要更多的本地磁盘空间。

9-计划自动更新设置

默认情况下，自动更新每隔 22 小时（减去随机偏移量）就向 WSUS 服务器询问批准的更新。 如果需要安装新更新，则已下载它们。 每个检测周期之间的时间可限制为 1 到 22 小时。

这意味着，如果在自动更新下载更新时，WSUS 管理员从批准的更新列表中删除更新，则实际上安装的只是依然获批准的更新。

10-安装 WSUS 服务器角色

步骤如下

1-使用作为本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。

2-在“服务器管理器”中，单击“管理” ，然后单击“添加角色和功能” 。

3-在“开始之前”页上，单击“下一步” 。

4-在“选择安装类型”页上，确认已选择了“基于角色或基于功能的安装” 选项，然后单击“下一步” 。

5-在“选择目标服务器”页上，选择服务器所在的位置（从服务器池或虚拟硬盘中）。选择位置后，选择你想安装

6-在“选择服务器角色”页上，选择“Windows Server Update Services” 。 此时将打开“添加 Windows Server Update Services 所需的功能” 。 单击“添加功能” ，然后单击“下一步” 。

7-在“选择功能”页上，保留默认选择，然后单击“下一步”。

重要

WSUS 仅需要默认的 Web Server 角色配置。 如果你在设置 WSUS 时收到有关额外 Web Server 角色配置的提示，你可安全接受默认值并继续设置 WSUS。

8-在 “Windows Server Update Services” 页上，单击 “下一步” 。

9-在 “选择角色服务” 页上，保留默认选择，然后单击 “下一步” 。

提示

必须选择一种数据库类型。如果数据库选项已全部清除（未选择），安装后任务将失败。

10-在“内容位置选择”页上，键入有效的位置以存储更新。例如，可以在

11-单击下一步。此时将打开“Web 服务器角色(IIS)” 页。 查看信息，然后单击“下一步” 。 在“为 Web 服务器(IIS)选择要安装的角色服务” 中，保留默认值，然后单击“下一步” 。

12-在 “确认安装选择” 页上，查看所选的选项，然后单击 “安装” 。 WSUS 安装向导将运行。 这可能需要几分钟才能完成。

13-等 WSUS 安装完成后，在“安装进度” 页上的摘要窗口中，单击“启动安装后任务” 。 文本发生变化，请求：正在配置服务器，请稍候。 任务完成后，文本更改为：已成功完成配置。 单击 “关闭” 。

14-在服务器管理器中，验证是否出现提醒你需要重新启动的通知。根据安装的服务器角色，这可能有所变化。如果需要重新启动，请务必重新启动服务器以完成安装。

11-配置wsus服务器访问internet范围

你的第一台 WSUS 服务器必须对以下域中的端口 80 和 443 具有出站访问权限：

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

其他 WSUS 服务器必须有通过两个端口对最顶层服务器进行出站访问的权限。 默认情况下，这些端口是 8530 和 8531。

客户端计算机必须对 WSUS 服务器上的两个端口具有出站访问权限。 默认情况下，这些端口是 8530 和 8531。

12-配置SSL（安全套接字）

在 WSUS 服务器的 IIS 服务上启用 SSL 支持。 此操作涉及为服务器创建 SSL 证书。

步骤 2 - 配置 WSUS | Microsoft Learn

应要求将 SSL 只用于以下 IIS 虚拟根：

SimpleAuthWebService

DSSAuthWebService

ServerSyncWebService

APIremoting30

ClientWebService

不应要求将 SSL 用于以下虚拟根：

内容

Inventory

ReportingWebService

SelfUpdate

必须将证书颁发机构 (CA) 的证书导入每个 WSUS 服务器的本地计算机受信任的根 CA 存储中，或 WSUS 受信任的根 CA 存储中（如果存在）。

应将 IIS 配置为使用端口 8531 进行 HTTPS 连接，以及使用端口 8530 进行 HTTP 连接。

13-管理计算机群组

服务器端定位：这是默认方法。在此方法中，你使用

通过此方法，你可以灵活地随着环境的变化快速地将客户端计算机从一个组移动到另一个组。但这意味着必须手动将新的客户端计算机从“未分配的计算机”组移动到相应的计算机组。

客户端定位：在此方法中，使用客户端计算机上设置的策略设置将每台客户端计算机分配到计算机组。

通过此方法，可更轻松地将新的客户端计算机分配给相应的组。你在将客户端计算机配置为从

14-组策略更改更新源

步骤 2 - 配置 WSUS | Microsoft Learn

15-批准和部署更新

右键单击该选项，然后单击 “批准” 。

在 “批准更新” 对话框中，选择你的测试组，然后单击向下箭头。

单击 “批准安装” ，然后单击 “确定” 。

此时 “批准进度” 窗口出现，它显示了影响批准更新的任务进度。 完成批准进度时，单击 “关闭” 。

16-配置自动审批

1-在 WSUS 管理控制台中的“更新服务” 下，展开 WSUS 服务器，然后单击“选项” 。 “选项” 窗口随即打开。

2-在“选项”中，单击“自动审批” 。 “自动审批”对话框随即打开。

3-在“更新规则”中，单击“新规则” 。 “添加规则” 对话框随即打开。

4-在“添加规则”中，在“步骤1：选择属性” 中，从以下各项选择任何单个选项或选项组合：

当更新属于特定分类时

当更新属于特定产品时

设置审批期限

在“步骤 2：编辑属性” 中，单击列出的每个选项，然后为每个选项选择合适的选项。

在“步骤 3： 指定名称”中，为你的规则键入名称，然后单击“确定” 。

单击“确定”以关闭“自动审批”对话框

17-设置更新同步

WSUS 服务器首次下载更新可能需要很长时间。

可以将内容从一个 WSUS 服务器的内容目录复制到另一个 WSUS 服务器的内容目录。 在运行 WSUS 安装后过程时指定内容目录的位置。 可以使用 wsusutil.exe 工具将更新元数据从一个 WSUS 服务器导出到文件。 然后，可以将该文件导入其他 WSUS 服务器。

18-客户端状态显示

大概延迟20分钟

19-wsus的疑难问题

WSUS 消息和疑难解答提示 | Microsoft Learn