wsus

Windows Server 更新服務(WSUS)使信息技術管理員能夠將最新的Microsoft產品更新部署至運行了Microsoft Windows Server2003、Windows2000Server和Windows XP操作系統的網路中的計算機上。

WSUS是個微軟推出的網路化的補丁分發方案，是免費的，可以在微軟網站上去下載。

WSUS支持微軟公司全部產品的更新，包括Office、SQL Server、M SDE和Exchange Server等內容。通過WSUS這個內部網路中的Windows升級服務，所有Windows更新都集中下載到內部網的WSUS伺服器中，而網路中的客戶機通過WSUS伺服器來得到更新。這在很大程度上節省了網路資源，避免了外部網路流量的浪費並且提高了內部網路中計算機更新的效率。

WSUS採用C/S模式，客戶端已被包含在各個WINDOWS操作系統上。從微軟網站上下載的是WSUS伺服器端。

通過配置，將客戶端和伺服器端關聯起來，就可以自動下載補丁了。這個配置幾乎就是使用WSUS的全部工作了。

配置工作是區分域與工作組環境的，在域的前提下，可以通過設置域的組策略來實現，比較簡單。

在工作組的環境里，因為配置是需要用到管理員許可權，於是就變成了逐台配置。

對單機的配置也可以用單機的組策略配置來實現，也可以採用修改註冊表的方式來實現。因為單機的組策略配置反而麻煩，所以還不如修改註冊表來的方便。（通過使用也發現，配置組策略實際也是修改註冊表。所以這2種方案實際是一樣的。）

註冊表的修改項包括：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

RescheduleWaitTime重新計劃自動更新計劃后的等待時間

NoAutoRebootWithLoggedOnUsers　計劃的自動更新安裝后是否重新啟動

NoAutoUpdate啟停自動更新

AUOptions　配置自動更新

ScheduledInstallDay　計劃安裝日期

ScheduledInstallTime計劃安裝時間

UseWUServer是否起用WSUS伺服器

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

WUServer WSUS伺服器

WUStatusServer統計伺服器

ElevateNonAdmins是否允許普通用戶審批更新

TargetGroupEnabled是否設置目標組

TargetGroup　目標組名稱

這上面簡單的列舉了些重要的註冊表項。可能有些名稱有些拗口。不過，這基本是從組策略里摘出來的，主要是為了引起一些簡單的聯想。實際上一看WSUS文檔也就差不多了解了。

修改註冊表的工作方式，完全可以採用形成一個註冊表文件，然後放在單位內部網站上要求大家下載即可。在WSUS推出后的這麼長的時間裡，很多單位都採用了WSUS（隨便搜一下網路，我們發現雲南大學、清華大學和北京大學等很多學校都採用了這樣的方案，並且在學校的有關網站上有很詳細的說明。）但是仍然有很多單位不清楚怎麼來解決補丁的管理難題，並且也很為之困惑。這是個有趣的現象，足以說明咱們國家是個非常遼闊的國家，所以信息並不是那麼流暢。

對工作組的環境，考慮到希望更簡單和可靠的使用的用戶，也可以使用清揚內網管理系統，裡面有輔助的全網配置工具，也可以防止各終端用戶的無意中破壞。

WSUS還有非常清晰的對從微軟網站上的下載補丁的狀態的描述，你可以看到哪些補丁沒有下載完畢，並且 容易的恢復下載。

WSUS也有非常清晰的對各終端的下載補丁情況的描述，這也可以用來查看有關補丁分發的情況。微軟也提供了SMS等更加高級的企業網路使用工具，不過，說實在的，為了打補丁去考慮這樣的軟體，實在是浪費。因為WSUS已經足夠好用，並且是免費的。

像補丁管理這樣的工作，其實完全是微軟的應盡的義務，畢竟是Windows需要打補丁。作為目前的軟體巨無霸，它應該承擔這樣的職責，才能更長久的建立軟體廠商的信譽。從WSUS上，我們看到它現在是這樣做的。

對於多達500個客戶端的伺服器，建議使用以下硬體：

*1GHz的處理器

*1GB的RAM

要使用默認選項安裝WSUS，必須在計算機上安裝以下軟體。

*Microsoft Internet信息服務(IIS)6.0。

*用於Windows Server2003的Microsoft .NET Framework1.1Service Pack1。

*Background Intelligent Transfer Service(BITS)2.0。

要安裝WSUS，伺服器上的文件系統必須滿足以下要求：

*系統分區和安裝WSUS的分區都必須使用NTFS文件系統進行格式化。

*系統分區至少需要1GB的可用空間。

*WSUS用於存儲內容的卷至少需要6GB的可用空間，建議預留空間為30GB。

*WSUS安裝程序用於安裝Windows SQL Server2000Desktop Engine(WMSDE)的卷至少需要2GB的可用空間。

自動更新是WSUS的客戶端組件。除了需要連接到網路外，自動更新沒有其他的硬體要求。您可以針對運行以下任一操作系統的計算機上的 WSUS 使用自動更新：

*帶有Service Pack3(SP3)或Service Pack4(SP4)的Microsoft Windows2000Professional、帶有SP3或SP4的Windows2000Server或帶有SP3或SP4的Windows2000Advanced Server。

*帶有或不帶 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。

*Microsoft Windows Server 2003 Standard Edition、Windows Server2003Enterprise Edition、Windows Server2003Datacenter Edition或Windows Server2003Web Edition。

以在Windows Server 2003系統中安裝WSUS伺服器為例介紹方法：

第1步，運行WSUS安裝程序，自動解壓縮後進入安裝嚮導。在歡迎對話框中單擊“下一步”按鈕。

第2步，打開“許可協議”對話框，選中“我接受許可協議中的條款”單選框，並單擊“下一步”按鈕。

第3步，在打開的“選擇更新源”對話框中需要指定用於保存補丁程序的目錄，該目錄所在分區必須為NTFS文件系統，並且至少擁有6GB的剩餘空間。選中“本地存儲更新”複選框，單擊“瀏覽”按鈕選擇目標位置，並單擊“下一步”按鈕。

第4步，打開“資料庫選項”對話框，如果當前系統中沒有安裝SQL Server，則安裝嚮導會提示用戶將安裝SQL Server桌面引擎。單擊“瀏覽”按鈕選擇SQL Server桌面引擎的安裝目錄，並單擊“下一步”按鈕。

第5步，在打開的“網站選擇”對話框中，選中“使用現有IIS默認網站（推薦）”單選框，並單擊“下一步”按鈕。

如果當前伺服器中部署了其他Web站點，則必須選中“創建Microsoft Windows Server Update Services網站”單選框。否則將由於80埠被佔用使WSUS站點無法啟用。

第6步，打開“鏡像更新設置”對話框，一般情況下，用戶部署的是獨立的更新伺服器，並非其他伺服器的鏡像站點。因此無需選中“該伺服器應繼承來自以下伺服器的設置”複選框，直接單擊“下一步”按鈕。

第7步，在打開的“準備安裝Microsoft Windows Server Update Services”對話框中，顯示出WSUS的安裝設置。確認設置正確無誤，並單擊“下一步”按鈕。

第8步，安裝嚮導開始安裝WSUS，完成安裝后直接單擊“完成”按鈕即可。

我們在之前文章中介紹過WSUS，伺服器管理員最常使用的一項功能。總地來說，Windows Server Update Services（WSUS）可以幫助管理員對Windows計算機的關鍵和重要的更新進行管理和分配。

WSUS伺服器推送更新的方式有兩種，一種是由微軟更新伺服器推送，另外一種是由企業網路中配置的根WSUS伺服器進行推送。企業網路中配置的WSUS伺服器作為更新源，通常叫做上游WSUS伺服器。其他與上游伺服器進行會話的所有WSUS伺服器叫做下游WSUS伺服器。下游WSUS伺服器一般位於組織分支，作為向Windows客戶端計算機分發更新的權威來源。

Nirmal Sharma是一名微軟技術人員，獲得微軟目錄服務領域MCSEx3、MCITP和微軟MVP證書。他從1994年進入微軟技術領域，一直關注微軟操作系統和軟體的發展。近日他在ServerWatch網站上分享了最新Windows伺服器操作系統版本中有關WSUS的六個常見問題。一起來看看：

需要從微軟網站上下載WSUS嗎

在早期Windows版本中，你需要直接從微軟網站上下載WSUS軟體，但是在Windows Server2012及之後版本中，WSUS作為一個伺服器角色可以從伺服器管理器中進行安裝。

Windows Server2012 R2上的WSUS包含了Windows PowerShell cmdlets，可以用來管理WSUS執行，或從命令提示符完成重複任務。

準備在Windows Server2012或更高版本的操作系統上安裝WSUS伺服器之前，首先要安裝.NET Framework4.0。另外還要注意到安裝WSUS伺服器時使用的賬戶必須是本地管理員組中的成員，同時本地伺服器也必須是安裝了WSUS伺服器角色。

更新時要將WSUS連接到網路嗎

WSUS伺服器可以配置成離線模式，通常叫做離線WSUS伺服器。如果因為企業網路政策原因，WSUS無法連接網路直接從微軟更新伺服器上獲得更新，這時候可以安裝離線WSUS伺服器。

在聯網的WSUS伺服器上下載和測試更新之後，管理員可以將內容導出到一個外部硬碟，然後導入到離線模式下的WSUS伺服器上。

WSUS使用的網路埠是什麼

WSUS通信有兩種類型：上游和下游WSUS伺服器之間的通信以及上游WSUS伺服器與微軟更新伺服器之間的通信。Windows Server2012WSUS6.2中，微軟改變了WSUS伺服器之間相互溝通的方式。

在早期WSUS版本，如WSUS3.2中，下游WSUS伺服器通過埠80（HTTP）和443（HTTPS）與上游WSUS伺服器進行通信。在WSUS6.2中，這一情況發生了改變。

上游和下游WSUS伺服器現在通過埠8530（HTTP）和埠8531（HTTPS）進行通信。如果你在WSUS伺服器上配置了防火牆，一定要確保上述埠的流量流通。

至於上游WSUS伺服器和微軟更新伺服器之間的通信發生在80（HTTP）和443（HTTPS）埠。如果有代理伺服器的話，你可能需要改變WSUS來使用代理伺服器。

WSUS支持哪些資料庫

WSUS需要一個資料庫來存儲更新元數據和配置信息。WSUS可以使用以下資料庫：Windows內部資料庫（Windows Internal Database，WID）或Microsoft SQL Server資料庫。

Windows操作系統附帶WID，沒有額外的許可證費用。大多數組織選擇使用WID的目的是降低許可成本，但重要的是要注意，在負載均衡和高可用的環境下安裝WSUS后，WID無法正常工作。這種情況下，你必須選擇SQL Server資料庫選項。

如果你打算在獨立於資料庫機的計算機上安裝WSUS角色，請注意以下事項：

該WSUS資料庫伺服器必須避免配置在域控制器上。

遠程桌面服務角色不能安裝在已經安裝了WSUS伺服器角色的計算機上。

如果資料庫和WSUS伺服器位於不同的活動目錄域中，確保這兩個活動目錄域之間存在信任關係。

WSUS伺服器流量可以實現負載平衡嗎

在大型生產環境中，你總是要在網路負載均和集群中設置WSUS來增加WSUS伺服器的可靠性和性能。如果你想在NLB集群中設置WSUS，首先必須安裝WSUS伺服器，並使用微軟SQL資料庫選項。

重要的是要注意，在WSUS伺服器上存儲的更新必須可用於共享同一SQL資料庫的所有WSUS伺服器。