WSUS全攻略之一：部署与规划

WSUS全攻略之一：部署与规划

WSUS（Microsoft? Windows?Server Update Services）是微软推出的免费的Windows更新管理服务，目前最新版本为2.0.0.2472，除了支持Windows系统（Windows 2000全系列、Windows XP 全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。

提及更新，可能许多朋友都比较反感。其实我认为更新代表着厂商对其产品的责任心，只有对自己的产品负责任的厂商才会提供更新。随着技术的发展，没有绝对安全的系统，也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求，此时，厂商推出的更新就极为重要。通过更新你的系统，可以让你的系统更为安全、高效的运行，何乐而不为呢？

首先我给大家介绍一下微软的更新服务体系。在提供WSUS服务以及SUS服务（被WSUS服务取代的软件更新服务）之前，微软的更新服务体系总共包括两个组件：

1、Microsoft Update

提供更新服务的微软网站，由一系列的微软站点组成，常见的有：

? https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

等等，提供了更新程序、驱动程序以及Service Pack等的下载。

2、自动更新

内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件，默认情况下，它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序，从而实现客户端计算机的系统更新。

在小规模的企业网络中，客户端计算机通过自动更新连接Microsoft Update来进行系统更新并不会对企业的外部网络带宽造成太大的影响，例如有5台客户端计算机每台下载20M的更新程序，那么总占用的企业外部网络流量只是100M；但是在中大规模的企业网络中，如果每台客户端计算机都通过连接到Microsoft Update来实现更新，则会极大的影响企业的外部网络带宽，例如有500台客户端计算机每台下载20M的更新程序，就会占用10G的流量。

正是因为考虑到这一点，微软推出了WSUS服务器，它是免费向大家提供的。WSUS服务器和Microsoft Update实现客户端计算机自动更新的方式完全相同，通过WSUS，你可以实现更新程序的集中管理和分发，它的主要优点有：

?通过选择的方式将更新程序（包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等，可选择）从Microsoft Update下载至本地安装源，节

省企业外部网络带宽；

?对更新程序进行管理，控制更新程序的分发；你可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，你也可以拒绝此更新程序；

?对网络中的客户端计算机进行分组，控制更新程序在不同客户端计算机上的分发。

因此，现在的微软更新服务体系为三级结构：Microsoft Update->本地企业网络中的WSUS服务器->客户端计算机的自动更新。在部署WSUS之后，你只需要配置客户端计算机使用WSUS服务器上的更新服务，就可以轻松的享受WSUS服务器所带来的好处。例如上面所举的大中型企业网络，当部署WSUS 服务器以后，只有WSUS服务器才从Microsoft Update下载更新，所占用的外部网络流量就只为20M，而内部客户端计算机则自动访问WSUS服务器来获取更新，就不再需要访问外部的Windows Update，从而节省了大量的外部网络带宽。

部署场景

WSUS服务器的部署场景有以下三种：

1、单WSUS服务器环境

这是最常见的WSUS服务部署场景，如下图所示：

企业网络中部署了一台WSUS服务器，WSUS服务器连接到Microsoft Update来获取更新程序（称之为同步），并分发给企业网络中的客户端计算机。当WSUS服务器和Microsoft Update进行同步时，WSUS会检查Microsoft Update是否具有新的更新程序并进行下载；当第一次进行同步时，WSUS会下载本地设置要求下载的所有更新程序。

WSUS服务器使用HTTP（TCP 80）和HTTPS（TCP 443）来从Microsoft Update获取更新程序，如果企业在内部和外部网络之间部署有防火墙，你必须在防火墙上允许WSUS服务器到Microsoft Update站点的访问，需要的具体访问规则为：

允许WSUS服务器到以下Web站点的HTTP/HTTPS访问

? https://www.360docs.net/doc/2713112757.html,

? http://*https://www.360docs.net/doc/2713112757.html,

? https://*https://www.360docs.net/doc/2713112757.html,

? http://*https://www.360docs.net/doc/2713112757.html,

? https://*https://www.360docs.net/doc/2713112757.html,

? http://*https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

? http://*https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

? https://www.360docs.net/doc/2713112757.html,

WSUS与IIS服务器结合创建Web站点来实现更新程序的分发，你可以配置WSUS Web站点共享使用默认Web站点（服务端口为TCP 80）或者使用其他的端口为客户端计算机提供服务。在安装WSUS服务器时，如果你不选择使用默认的Web站点，那么WSUS将创建自定义的Web站点并在TCP端口8530侦听HTTP连接请求，建议你使用默认的Web站点。

WSUS服务器要求客户端计算机上运行WSUS客户端，WSUS客户端可以在打过SP3及以上补丁的Windows 2000全系列产品、Windows XP全系列产品、Windows server 2003全系列产品上运行，换言之，WSUS服务器支持运行这些操作系统的客户端计算机从其获得更新程序。其中Windows XP SP2以及Windows server 2003 SP1已经内建了WSUS客户端；而其他的操作系统中除了没有安装过任何SP的Windows XP外，内建的自动更新组件均具有自我更新特性，可以通过WSUS提供的自我更新程序包自动更新至WSUS客户端；对于没有安装过任何SP 的Windows XP，你必须安装SUS客户端，从而通过SUS客户端来实现自我更新至WSUS客户端。

由于客户端计算机的自动更新组件只能通过服务端口TCP 80来实现自我更新，因此，如果你在安装WSUS时不使用默认的Web站点而自定义一个Web站点，你也必须在侦听TCP 80端口的Web站点中创建一个名为Selfupdate的虚拟目录来为客户端计算机提供自我更新程序包，否则非WSUS客户端计算机不能正常的进行自我更新，从而不能从WSUS服务器获取更新程序。

WSUS中可以对客户端计算机进行分组，在WSUS中内建有两个计算机组：所有计算机和未指定的计算机。默认情况下，任何一个客户端计算机访问WSUS服务器时，都将被加入到这两个组中。你可以创建计算机组，并将客户端计算机对象从未指定的计算机组中移动到你所创建的计算机组中，但是你不能将客户端计算机对象从所有计算机组中移动到其他组。这是因为所有计算机组是便于你指定将更新程序应用到所有的客户端计算机，而不同的计算机组则便于你针对不同的客户端计算机应用不同的更新程序。

使用计算机组的好处之一是便于你测试更新程序。例如针对某个重要的更新程序，你可以创建一个包含少量客户端计算机的计算机组Test Group，然后将更新程序应用到此计算机组，当更新程序运行成功后，你再将此更新程序应用到其他计算机组或者所有计算机组。

注意：不要使用WSUS分发未授权的更新程序到客户端计算机，WSUS授权协议禁止这一点。

2、链式WSUS服务器环境

WSUS服务器不仅仅可以从Windows Update中获取更新程序，也可以从其他WSUS服务器中获取更新程序。当企业网络具有很大的规模时，一台WSUS服务器可能不能满足你的需求，此时你就可以使用多台WSUS服务器组成链式结构，如下图所示，一台WSUS服务器作为上游服务器，一台WSUS服务器作为下游服务器。

你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。链式WSUS 服务器的级数是没有限制的，但是由于每一级WSUS服务器增加了更新程序的延迟，所以推荐部署不超过三级的链式WSUS服务结构。上游服务器不能和下游服务器进行同步，否则WSUS就不能正常提供服务。

在链式WSUS服务器部署中，下游WSUS服务器继承上游WSUS服务器的高级同步选项，你不能在下游服务器上修改高级同步选项。默认情况下，上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中，而不包含其他的信息，例如计算机组和更新批准信息。如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息，则下游WSUS服务器必须配置为集中管理模式中的复制服务器，详细信息请参见文章的后续章节选择管理模式。

3、和Internet断开的WSUS服务器环境

部署WSUS服务时，并不要求你必须连接到Internet。对于没有连接到Internet的网络环境，你一样可以部署WSUS 服务。通过在其他连接到Internet上的WSUS服务器上导出更新程序数据，再通过其他媒体复制到此WSUS服务器上，最后导入更新程序数据，一样可以实现WSUS服务器更新程序的同步，此过程如下图所示。

选择管理模式

WSUS支持集中管理和分布管理两种管理模式，你可以根据自己的实际情况进行选择。不过，你并不是只能在你的企业网络中采用一种管理模式，你可以同时采用这两种管理模式，但是一台WSUS服务器只能同时工作于一种模式下。

注意：你不能将更新程序数据导入到被集中管理的WSUS服务器（复制服务器）上。和Internet断开的WSUS服务器总是工作在分布管理模式。

1、集中管理

集中管理模式的WSUS服务器采用独立管理服务器和复制服务器这两种角色，它的含义是单个服务器（主服务器）作为独立管理服务器，而一个或多个从属服务器（复制服务器）只是复制主服务器上的数据，组织结构如下图所示。你在主服务器上创建的计算机组和更新的批准信息将复制到所有的复制服务器中。注意，计算机组的成员关系不会复制，仅仅是复制计算机组对象本身，你必须在复制服务器上添加客户端计算机对象到计算机组中。你只能在安装WSUS服务器的过程中将WSUS服务器配置为复制服务器，如果您的组织需要集中管理更新批准和计算机组，便可以实施此方案。

如果WSUS服务器在复制模式下运行，则只能在该服务器上执行有限的管理功能，这些功能主要包括：

?向计算机组添加计算机或从中删除计算机；

?设置同步计划；

?指定代理服务器设置；

?指定更新源，更新源可以是管理服务器之外的服务器，但是不能选择为Windows Update；

?查看可用更新；

?监视更新、同步和计算机的状态，并监视服务器上的 WSUS 设置；

?提供所有的标准的WSUS报告功能。

注意：当你修改同步选项中的语言选项时，微软建议你立即手动同步主服务器和复制服务器。这避免了当在主服务器上修改了语言选项时，主服务器上批准的更新程序数和复制服务器上批准的更新程序数不匹配。

2、分布管理

分布管理模式只允许你配置每台WSUS服务器为独立管理服务器，组织结构如下图所示，如果你需要将WSUS委派给其他站点的管理员进行控制，则可以采用此模式。

分布管理模式是所有WSUS服务器的默认安装选项，你不需要任何修改就将服务器配置为此模式。你可以配置WSUS 服务器从Windows Update或者从其他WSUS服务器中获取更新程序，但是如果配置为从其他WSUS服务器中获取更新程序时，上游WSUS服务器只把更新元数据和更新文件同步到下游WSUS服务器中，而不包含其他的信息，例如计算机组和更新批准信息。

选择使用的数据库

WSUS数据库存储以下信息：

?WSUS服务器配置信息；

?用于描述更新程序作用的元数据；

?客户端计算机、更新程序信息以及客户端计算机所进行的更新情况。

你不能通过直接访问数据库来管理WSUS，你必须通过WSUS管理控制台来进行管理。每个WSUS服务器需要自己的数据库，如果具有多个WSUS服务器，必须具有多个WSUS数据库。WSUS不支持将多个WSUS数据库存放在单个运行SQL Server的计算机上，这是因为WSUS只能使用名为SUSDB的数据库名。

你可以使用和Microsoft SQL完全兼容的数据库来作为WSUS数据库，但是推荐你使用以下三种之一：

?WSUS附带的Microsoft Windows SQL Server 2000桌面引擎（WMSDE），只存在于安装在Windows server 2003上的WSUS服务器中，并且在Windows server 2003上安装WSUS时默认会安装WMSDE。

它和下面的MSDE的区别是没有数据库大小限制，WMSDE和MSDE均不附带管理工具或用户界面。当在

Windows server 2003上安装时，如果你不愿意使用Microsoft SQL Server，推荐使用WMSDE。建议

你总是在Windows server 2003上部署WSUS服务，并且总是使用WMSDE数据库。

?Microsoft SQL Server 2000桌面引擎（MSDE），可以从微软免费下载。它基于SQL Server 2000，但是数据库大小不能超过2GB。当你在运行Windows 2000的计算机上安装WSUS时，可以使用MSDE。

当在Windows 2000上安装时，如果你不愿意使用Microsoft SQL Server，推荐使用MSDE。

?具有SP3a补丁的Microsoft SQL Server 2000，在安装WSUS之前必须启用了SQL Server的嵌套触发器选项。WSUS安装时启用了数据库的递归触发器选项，但是不会修改服务器全局的嵌套触发器选项。

WSUS支持使用其他计算机上的SQL数据库，但是具有以下限制：

?不能将Windows 2000服务器作为远程SQL对的前端服务器；

?不能将配置为域控制器的服务器作为远程SQL对的前端或后端服务器；

?不能将WMSDE或MSDE作为后端服务器上的数据库软件。

无论使用任何数据库类型，WSUS只支持Windows认证。安装WSUS时，要求存储WSUS数据库的驱动器具有至

少2GB的剩余空间。

决定存储位置

更新程序是计算机上所安装软件的修补程序或整个文件的替代，Microsoft Update上的每个可用更新都由以下两个部

分构成：

?元数据，提供有关更新的信息，例如有关更新程序的属性信息，从而使您能够了解更新的用处；此外，元数据还包括最终用户许可协议（EULA）。下载的更新的元数据软件包通常远远小于实际的更新文件软件包。

?更新文件，是指在计算机上安装更新所需的实际文件。

将更新同步到WSUS服务器时，元数据和更新文件将存储在两个不同的位置。元数据存储在WSUS数据库中；而根据配置同步选项的方式，更新文件可存储在WSUS服务器上，也可存储在Microsoft Update服务器上。

1、本地存储

你可以将更新文件存储在WSUS服务器上，这节省了企业外部网络连接的带宽，因为客户端计算机直接从WSUS服务器获取更新，这也是默认选项。为了进行本地存储，安装时WSUS服务器至少需要6G的剩余空间来存储更新文件，

推荐30G，但是根据不同的产品及分类同步选项，更新文件可能会超过30G。

2、远程存储

如果你需要，你可以不进行本地存储。此时，更新文件远程存储在Microsoft Update上。当WSUS服务器和Microsoft Update进行同步时，将只下载元数据；你可以通过WSUS控制台批准更新，安装时客户端计算机直接从Microsoft Update获取更新文件。更新过程如下图所示，这对于客户端计算机访问Microsoft Update速度比访问WSUS速度快时，有较好的效果。

决定性能选项

不用担心你所拥有的带宽，WSUS提供了一些节省带宽的特性，你可以根据你的部署来进行选择。这些节省带宽的特性有：

1、延迟更新下载

WSUS允许你分开下载更新程序的元数据和更新文件。在这种配置下，只有批准更新程序安装时，才会触发此更新文件的下载，如下图所示。这种方案同时节省了带宽和WSUS服务器空间，因为只有需要安装的更新程序才会完全下载到WSUS服务器。微软推荐你总是使用这个配置，因为它实现了最优化的带宽使用，当对更新文件进行本地存储时，这是默认选项。

对于链式WSUS服务，不推荐你部署超过三级的链式WSUS服务，这是因为：

?在链式WSUS服务中，WSUS自动设置所有下游服务器使用连接到Microsoft Update的WSUS服务器的延迟更新下载选项，你不能修改这一配置。因此，完整的WSUS服务器链在同步时要么延迟更新文件下载，要么同时下载元数据和更新文件；

?如果你设置为延迟更新文件下载，当下游服务器请求一个上游服务器没有批准的更新程序时，触发了上游服务器进行下载，然后下游服务器在下次同步时下载此更新程序，如下图所示。如果你链式WSUS服务级数过多，那么从请求此更新程序到完成下载之间，会经历较长的时延。

延迟更新下载和批准更新进行检测时一起工作非常有用，一方面节省了大量的外部网络带宽，另外一方面，通过更新程序元数据的下载以及批准进行检测，就可以知道客户端计算机是否需要此更新程序。只有当客户端计算机需要时，你再批准此更新程序进行安装，此时WSUS服务器才会进行更新文件的下载。

2、更新过滤

WSUS让你可以选择只和Windows Update同步你的企业中所需要的更新，你可以通过更新的语言、产品和分类来对同步进行限制。

在链式WSUS服务器环境中，WSUS自动设置所有下游服务器使用直接连接到Windows Update的WSUS服务器的更新过滤选项，从另一方面来说，你不能在任何下游服务器上设置过滤选项。这个配置是无法修改的，完整的WSUS 链必须使用相同的更新过滤设置。虽然你不能在下游服务器上修改更新过滤设置，但是你可以通过延迟更新下载来实现下游服务器只是下载上游WSUS服务器的更新程序中的子集。

默认情况下，WSUS为任何语言的所有Windows产品下载关键更新和安全更新，为了节省外部网络带宽和服务器空间，微软推荐你限制更新程序为只是你需要的语言。

3、使用快速安装文件

快速安装文件是一种更新分发机制，你可以通过使用快速安装文件来节省你内部网络中的带宽，但是却是以增加你的外部网络带宽消耗为前提。

更新程序通常是由客户端计算机上已经安装的文件的更新版本组成，在文件的二进制级别上来说，它们的区别并不大。快速安装文件特性就是精确的识别不同版本文件的不同的字节，然后创建和分发仅仅是包含这些不同字节的更新程序，然后这些更新程序和客户端计算机上的原始文件进行整合，从而完成系统更新。这种特性也称之为增量分发，因为它只是下载两个版本文件的不同或者增加之处。

因为快速安装文件必须考虑每个文件的任何可能性，所以WSUS服务器从Microsoft Update下载的快速安装文件通常比正常的更新文件大，当使用快速安装文件特性时，它所消耗的外部网络带宽要比正常的更新文件多。只是当内部网络的客户端计算机下载更新文件时，所下载的更新文件要比正常的更新文件小，如下图所示。

这只适合内部网络带宽更为紧张的网络环境，默认情况下，WSUS不使用快速安装文件特性。

决定容量需求

WSUS服务器的硬件和数据库软件要求是根据你企业网络中所需要进行更新的客户端计算机数量来决定的。下图是根据WSUS服务器可以服务的客户端计算机数量所提供的指导，单个使用推荐的硬件和数据库软件的WSUS服务器可以支持最大数目为15,000的客户端计算机。

对于具有500个或者更低数目的客户端计算机的WSUS服务器的硬件需求

需求最低推荐

CPU750 MHz 1 GHz或更高

内存512 MB 1 GB

数据库软件WMSDE/MSDE WMSDE/MSDE

对于具有500个～15000个客户端计算机的WSUS服务器的硬件需求

需求最低推荐

CPU 1 GHz或更高3 GHz或更高的双处理器（超过10000个客户时使用双处理器）

内存 1 GB 1 GB

数据库软件WMSDE/具有SP3a的SQL Server2000WMSDE/具有SP3a的SQL Server2000决定计算机组分配选项

决定如何将计算机分配到计算机组具有三个步骤：首先，你必须选择计算机组分配的选项，你可以选择服务器端定位或客户端定位；其次，在WSUS服务器中创建对应的计算机组；最后，根据你选择的分配选项，使用不同的方式来将计算机进行分组。

当使用服务器端定位时，你必须在WSUS管理控制台中手动将客户端计算机对象移动到不同的计算机组中；而使用客户端定位时，你必须通过组策略来告知客户端计算机所加入的计算机组。无论采用哪种方式，你都必须先在WSUS服务器中创建相应的计算机组。

在你可以在WSUS服务器上管理某个客户端计算机之前，你必须先让此客户端计算机和WSUS服务器进行通讯。在客户端计算机没有和WSUS服务器进行通讯之前，WSUS服务器无法识别此客户端计算机，也不会在计算机列表中列出此对象。安装在域环境下的WSUS服务器也可能不能正常识别非域成员的客户端计算机，就算这些客户端计算机可以正常通过此WSUS服务器进行更新。

一个客户端计算机只能设置为同时访问一个WSUS服务器。如果你修改了客户端计算机更新的WSUS服务器，那么此客户端计算机将终止和原有WSUS服务器的通讯，但是此客户端计算机对象还会存在于原WSUS服务器的计算机列表中，只是同时会列出此计算机最后一次和WSUS服务器进行通讯的时间，你可以手动删除此客户端计算机对象。

批准更新

当WSUS服务器同步后，将根据配置情况获得相应的更新列表。你需要对更新进行批准，以便进行安装或检测；你可以选择一个或多个更新进行批准，如果选择多个更新，那么客户端计算机会一次性进行安装。批准更新的方式有以下五种：

1、仅检测

当你批准更新只是进行检测时，更新并不会在客户端计算机上进行安装。但是，WSUS会在批准更新对话框上所应用到的计算机组上进行检测，以确定此更新是否适合客户端计算机或者客户端计算机是否需要。此检测动作计划在当客户端计算机下次和WSUS服务器进行通讯时发生，你可以通过更新报告状态或者在更新页面点击更新程序的状态标签来查看结果。如果显示为需要，则表明客户端计算机需要此更新。默认情况下，关键更新和安全更新将自动批准进行检测。

2、安装

批准更新在批准更新对话框所指定的计算机组中进行安装。在批准更新时，你可以选择客户端计算机安装更新的不同方式：

?使用客户端计算机的设置来决定如何安装更新。当你使用此方式时，批准更新所应用到的计算机组中的客户端计算机将根据自己的设置来决定如何安装更新程序，可能会提示当前的用户进行安装，也可以根据组策略

的设置自动进行安装。

?定义自动安装的最后期限。当你使用此方式，你可以指定更新程序在客户端计算机上安装的日期和时间，此设置会覆盖客户端计算机上的任何设置。你可以指定一个过去的时间，这样会导致客户端计算机在下次访问

WSUS服务器时立刻进行安装操作。注意，你不能为需要用户输入的更新程序进行最后期限定义的自动安装，

否则安装会失败。你可以在更新程序的详细信息中查看可能要求用户输入字段来确定更新程序是否需要用户

输入，并且在批准更新时在批准更新对话框上也会有相应的提示。

3、拒绝更新

此选项只是存在于更新页面的更新任务列表中。如果你选择此选项，此更新将从可用更新列表中删除，而不再进行任何其他操作。只有在查看视图中选择查看已拒绝或者所有更新时才可见。

4、删除

你可以批准某个更新进行删除，即从相应的客户端计算机上进行卸载。此选项只有更新支持删除时才会出现。针对删除更新操作，你也同样可以定义最后期限，当你想让客户端计算机立即执行时，你可以指定一个过去时间为最后期限。

5、未许可

这是默认的批准选项。WSUS服务器同步更新程序后，更新程序的默认状态即为未许可。在此状态下，WSUS服务器

不会对更新程序进行任何操作，客户端计算机也不能对此更新进行检测或安装，你必须手动批准更新进行安装或检测。

自动批准更新

在自动批准选项中，你可以配置WSUS服务器在同步时下载更新程序后自动批准进行检测或者安装。你可以通过更新

程序的分类和计算机组来决定自动批准检测或自动批准安装，当两者规则出现冲突时，以自动批准安装的规则为准。默认情况下，自动批准安全更新和关键更新在所有计算机组上进行检测。

另外，你可以选择自动批准更新的最新修订，这也是默认选项。修订是在原有更新基础上的修改，例如，原有更新可能已经过期或者EULA已经不适用。如果你取消此选项，你必须手动对新的更新程序进行批准。另外一个和修订类似的概念是取代。某个更新可能会取代另外一个更新，也可能被另外一个更新所取代。你可以从更新程序的详细信息中看到这些信息。对于取代以前某个更新的更新程序，WSUS并不是自动批准。这是因为以前这个更新可能适合旧的版本或者使用的对象不一样。对于这种情况，你应该批准此取代更新进行检测，然后观察此取代更新检测后的状态，看客户端计算机是否需要此取代更新，然后再根据情况进行批准安装操作。

另外还有一个默认启用的选项是自动批准WSUS更新，它是针对WSUS服务所使用的更新程序进行自动批准安装操作，你应该总是使用此选项。

配置客户端计算机进行自动更新

前面所涉及的都是WSUS服务器的配置，你还需要配置客户端计算机通过WSUS服务器来进行自动更新。如何配置客户端计算机通过WSUS服务器进行自动更新取决于您的网络环境：在域环境中，可以使用基于域的组策略对象 (GPO)；在非域环境中，可以使用本地组策略对象或者直接修改注册表。当你部署组策略用于自动更新后，客户端计算机上控制面板中的自动更新就会失效。

在域中通过组策略进行部署时，微软建议添加一个针对WSUS更新的组策略对象，而不是修改默认域策略或默认域控制器策略。自动更新是通过配置组策略中Windows Update管理模板来实现的，具体的位置在计算机配置->管理模板->Windows组件->Windows Update，如果你没有找到此模板，可以右击管理模板选择添加/删除模板再选择添加%systemroot%inf wuau.adm模板。

为了让客户端计算机从WSUS服务器获取更新，你必须在组策略中部署以下选项：

?配置自动更新。必须设置为已启用，然后选择以下方式之一：

?通知下载并通知安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。

?自动下载并通知安装。该选项会自动开始下载更新，然后在安装更新之前对已登录的管理用户进行提醒。

?自动下载并计划安装。如果将自动更新配置为执行计划安装，那么还必须设置后面的执行计划安装的日期和时间。

?允许本地管理员选择设置。如果选择该选项，则允许本地管理员使用“控制面板”中的“自动更新”来自行选择配置选项。例如，他们可以选择自己的计划安装时间，但是不允许本地管理员禁用自动更新。此选项只有当客户端计算机的自动更新组件已自我更新到与WSUS兼容的版本之后，才会显示。

?指定Intranet Microsoft更新服务位置。必须设置为已启用，然后配置为企业内部网络中的WSUS服务器地址。

除此之外，你还可以配置其他选项，例如自动更新检测频率、允许自动更新立即安装等等。另外有一个较为重要的配置选项是允许客户端目标设置。通过此选项，当你在WSUS服务器上配置计算机分组使用客户端定位时，你可以配置应用此组策略的客户端计算机自动加入到此选项所配置的计算机组中。

部署wsus链式拓扑 (上下游服务器)#sh run作品

部署WSUS(Windows Server Update Services 3.0) 链式拓扑部署实战（工作组环境） 链式拓扑。如下图所示，链式拓扑定义了上游服务器和下游服务器，上游服务器可以直接连接到微软的更新网站，下游服务器则只能从上游服务器下载更新。这种拓扑在总公司/分公司的管理模型中比较常见。考虑到性能因素，链式拓扑很少超过三层。 实验环境： server A上游服务器 IP:192.168.1.30 工作组 serverB下游服务器 IP:192.168.1.230工作组 server A client ：windows xp 192.168.1.4 server B client：windows server 2003 192.168.1.5 一安装前的准备工作 要在server A上游服务器和下游服务器serverB上安装WSUS3. 0，需满足下列条件。 1.安装Windows server 2003 sp1以上的补丁

2.安装应用程序服务器中的Internet信息服务（IIS）和IIS详细信息中的后 台智能传送服务（BITS） 3.安装https://www.360docs.net/doc/2713112757.html, Framework 2.0 补丁

4.安装Microsoft Report Viewer 2005 SP1补丁

5. 6.

5磁盘空间 WSUS3.0要求系统分区至少应有1G的剩余空间，WSUS的更新文件需要至少6G空间，WSUS的元文件至少需要2G空间。 6数据库 WSUS的后台数据库可以是SQL2005，MSDE或WMSDE。WSUS安装时自带了WMSDE，MSDE是大家很熟悉的数据库桌面引擎，MSDE和WMSDE的区别在于MSDE有最大不能超过2G的限制，而WMSDE没有。MSDE和WM SDE都没有提供管理工具，如果你需要管理工具，可以考虑安装SQL2005作为WSUS的后台数据库，也可以在WMSDE或MSDE的基础上加装一个SQL 2005管理工具。建议如无特殊需求，使用WSUS自带的WMSDE数据库即可。在server A上游服务器 IP:192.168.1.30 工作组 开始安装 Windows Server Update Services 3.0

WSUS配置分解

配置WSUS3.0服务器给客户机分发补丁 本文中介绍配置WSUS服务器后给客户机分发补丁。还是使用上篇博文中的拓扑结构BEIJING做DC和DNS服务器，GUANGZHOU做WSUS服务器，NANJING做客户机，IP 地址如图中一样。 1、WSUS服务器分组 2、给组分配计算机 3、审批更新补丁 4、共享WSUS文件夹 5、客户机测试 下面开始今天的实验： 一、在WSUS服务器上分组 打开GUANGZHOU也就是WSUS服务器，在程序→管理工具→找到Microsoft Windows Server Update Services 3.0打开。

我们就看到WSUS服务器的管理对话框，选择计算机我们可能性看到域内的所有计算机，都属于“所有计算机”这个组。我们为了管理补丁方便可以创建几个组，这样管理就会更加灵活。 选择计算机后在右边的操作中可以看到有添加计算机组，单击后打开添加计算机组对话框，我在这里添加两个组，分别为test1和test2。输入test1添加，第一个组就创建完成，用同样的方法创建好test2组。

现在两个组都创建完成，现在我们需要把计算机指定到组中，选择选项中的计算机。 二、给组分配计算机 单击计算机在常规里可以看到有两种指定的方法，一种是使用Update Services控制台，一种是使用计算机上的组策略或注册表设置。因为现在我们有域环境，选择第二种更加方便。

在域控制器上从程序→管理工具→打开“Active Directory用户和计算机” 右击“https://www.360docs.net/doc/2713112757.html,”属性

选择组策略，选择当前的组策略对象链接，单击编辑

WUSU完整部署

步骤1：WSUS 3.0 安装需求 安装WSUS 3.0之前，你需要在你的机器上安装以下组件。当安装完成需要重新启动的时候，请在安装WSUS之前重启。 在Windows server 2003 系列上的WSUS 3.0安装需求 a. Windows Server 2003 Service Pack 1 b. Microsoft Internet Information Services (IIS) 6.0 c. Update for Background Intelligent Transfer Service (BITS) 2.0 and WinHTTP 5.1 Windows Server 2003. d. Microsoft .NET Framework Version 2.0 Redistributable Package (x86) e. Microsoft Report Viewer Redistributable 2005 f. Microsoft Management Console 3.0 for Windows Server 2003 (KB907265) 在Windows Server Longhorn系列上的WSUS 3.0安装需求 a.Microsoft Internet Information Services (IIS) 7.0 b.Windows Authentication(Windows 身份验证) https://www.360docs.net/doc/2713112757.html, d. 6.0 Management Compatibility(6.0管理兼容性) e.IIS MetabaseCompatibility(IIS元数据库的兼容性) f.Microsoft Report Viewer Redistributable 2005 g.Microsoft SQL Server? 2005 Service Pack 1 .NET Framework 2.0 and BITS 2.0是Windows Server "Longhorn"操作系统自带组件,无需安装 磁盘空间需求和建议 安装WSUS 3.0的服务器系统必须满足以下需求: a.至少两个系统分区,并且安装WSUS 3.0的分区格式必须为NTFS b.推荐为系统分区至少保留1GB空间 c.在WSUS 3.0所在分区至少保留20GB 的剩余空间,建议为30GB剩余空间 d.在安装WSUS 内部数据库的分区,至少保留2GB剩余空间

在局域网内实现windows补丁自动分发实现(WSUS部署与安装)

在局域网内实现windows补丁自动分发实现（WSUS部署与安装) 2007-02-06 11:04 一．前言 WSUS软件升级服务，是用来在内部网络中提供Windows补丁升级服务。 通过在内部网络中配置WSUS服务，所有Windows的更新都从上一级WSUS服务器集中下载到内部网的WSUS服务器中，而网络中的客户机通过本地WSUS 服务器来得到更新。 为了提高效率，节省网络带宽资源，公务网大型局域网接入用户可以部署自己的WSUS服务器（以管理中心WSUS补丁服务器为上一级服务器），为本局域网用户提供补丁升级服务。本文则讲述了如何在网络中安装、配置和使用WSUS服务。 二．复查 WSUS 安装要求 1．以下是使用默认选项进行安装的基本硬件安装要求： 500客户端以下 500客户端以上 CPU 300M--1G 1G--2G RAM 256M--1G 1G--1G 硬盘容量 9G--30G 系统盘与补丁存放盘必须是NTFS文件系统。 2．软件要求： 要使用默认选项安装 WSUS，必须在计算机上安装以下软件。如果任意一项更新要求在安装完成后重新启动计算机，则应在安装 WSUS 之前重新启动服务器。 Microsoft Internet 信息服务 (IIS) 6.0。 用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。（WindowsServer2003-KB867460-x86-CHS） Background Intelligent Transfer Service (BITS) 2.0。 （WindowsServer2003-KB842773-x86-chs.exe） 注：如果您的win2003安装了SP1补丁，那么WindowsServer2003-KB867460-x86-CHS和WindowsServer2003-KB842773-x86-chs.exe两个补丁程序您将不需要安装。 3．客户端要求：

WSUS3.0安装部署步骤

WSUS3.0安装配置步骤 一、安装前的准备 1、安装https://www.360docs.net/doc/2713112757.html, Framework 3.5 SP1 2、安装SQL Server 2005以及最新的Service Pack（当前是SP4） 3、确认已经安装IIS6.0，如果没有安装请先从控制面板中的“添加或删除程序”->“添 加/删除Windows组件”中添加“应用程序服务器”中的“Internet信息服务（IIS）” 组件。 4、安装Microsoft Report Viewer 5、注意WSUS的补丁可能超过100G，甚至200G，因此需要给存放WSUS补丁的分 区分配尽可能大的空间。 二、安装配置WSUS3.0 SP2 1、运行WSUS3.0 SP2的安装程序WSUS30-KB972455-x86.exe 2、安装模式，选择“包括管理控制台的完整服务器安装” 3、选择更新源，使用“本地存储更新”，并设置本地目录。注意这个目录用于存放WSUS 的补丁，空间要求大，根据所需补丁种类及语言的不同，可能需要高达100－200G 的空间。

4、数据库选项，默认情况下WSUS会安装一个简化版的SQL 2005 Express（即Windows Internal Database）。这里建议使用完整版本的SQL 2005，并在安装WSUS前，先安装好SQL2005。因此这里的数据库可以选择“使用此计算机上现有的数据库服务器”，如果本机没有安装SQL2005，也可以使用其他服务器上的SQL2005 5、网站选择，建议“使用现有IIS默认网站（推荐）” 6、完成WSUS安装后，根据提示进入WSUS设置向导。

Windows 2008 R2详细部署WSUS要点

Windows 2008 R2 SP1部署WSUS 3.0 SP2 1 实验环境 1）域： 域名为https://www.360docs.net/doc/2713112757.html,； 网段：192.168.0网段，不连接外网。 域功能级别和林功能级别为Windows server 2003模式。 2）DC服务器： 域控制器； Windows2008 R2 SP1企业版； 主机名:DC01 5个操作主机角色服务器； 证书服务器； DNS服务器IP地址为192.168.0.101； IP地址为192.168.0.101。 3）WSUS服务器： Windows2008 R2 SP1企业版； 主机名：WSUS01； 不加入https://www.360docs.net/doc/2713112757.html,域； 主机双网卡： 网卡一的IP地址为192.168.0.108； 网卡二的IP地址为DHCP自动分配，连接外网。 4）客户端： Windows7企业版X86； 主机名:WIN701； 加入https://www.360docs.net/doc/2713112757.html,域； DNS服务器IP地址为192.168.0.101； IP地址为192.168.0.103。 2 安装WSUS SP2准备 1) 以本地管理登陆WSUS01服务器。 2) 安装Microsoft Report Viewer Redistributable 2008，下载链接： https://www.360docs.net/doc/2713112757.html,/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyI D=6ae0aa19-3e6c-474c-9d57-05b2347456b1 3) 运行Report Viewer.exe文件，下一步。

4) 接受协议，选择“安装”。

WSUS规划部署(二)WSUS控制台说明

WSUS规划部署（二）WSUS控制台说明 在安装了WSUS之后，那么需要开始配置。安装过程很简单，就是需要点击鼠标几次，真正需要做的就是后期如何管理维护WSUS服务器。管理之前就需要先熟悉界面。 与上一个版本想对比，wsus 3.0 取消了web，使用了c/s的方式，在服务器上面做的控制台。 如上图。打开控制台，默认连接的是当前的服务器，如果需要添加另外一个WSUS服务器，那么可以做如下操作：

首先在Update Services上面右键，选择添加服务器，之后就会弹出窗体，输入服务器名称，与端口号。 添加服务器之后，看下面的节点，会看到分为更新、计算机、下游服务器、同步、报告与选择。 更新：也就是所有与官方同步的更新。其下分为几个选项，所有更新，关键更新，安全更新与WSUS更新。点击选项卡，进入页面。

这里可能开始的时候不是特别的熟悉，上面的下拉列表中的每个选项很详细，从这一点来说很人性化。 之后看下面的计算机。

开始安装结束的界面，没有下面的Windows 7选项卡的，这是将计算机进行分组，方便管理，同时，可以自己根据实际情况定义，比如以客户端的操作系统就是一种方式。管理很简单。下游服务器：对于下游服务器，在安装的时候就已经涉及，一般情况都是仅仅存在一台补丁服务器。可以如果实际情况中有需要内外网隔离的，那么就有可能需要下游服务器，下游服务器所在网络可能不能与外网直接相连，那么就需要通过与能连接外网的WSUS进行同步复制。之后提供补丁分发功能。

同步：当选择为手动同步的时候，那么可以在该选项上右键，选择手动同步。这样就会开始与上游服务器，下游服务器，客户端进行同步。这里面可能有人会发现，客户端收到了补丁，同时也安装了，可是服务器端确没有反馈。这时不要迷惑，只要再进行同步一次就可以。报告：能够将当前状态等等信息进行整理，生成一份报告，方便查阅。 选项：这是整个WSUS控制台重要的地方，大多数配置都是在这里的。 切换到“选项” 可以看到上面选项。根据实际情况进行配置。比如代理的设置。 另外，某些产品新添加过来，需要提供补丁服务，而开始安装时候又没有设置，那么就选择产品和分类，来进行选择。 同步计划一定要设置，一般情况下，会将同步计划设置为周末。

WSUS3.0 详细部署

WSUS3.0 详细部署之一 2009-06-02 03:22:46 标签：部署 wsus server 是微软推出一款为企业打补丁用的，是免费的，如果企业的每一台电脑都不跑到微软官方网站上去！一个电脑占用一点带宽，电脑多了对企业的带宽是很的的消耗！如果把补丁下载到一台服务器上，别的电脑不在跑到微软官方网站去下载补丁，节约了带宽资源，局域网的网速也很快，当微软有补丁的时候可以测试用！ 如果那个更新的软件不好用的话，可以不安装，有的时候新的不一定如旧的，有很多新的软件都不稳定，说了这么多废话，现在该进入正题了 准备条件： 1.必须是windows server 2003 sp1 windows server 2000一下可不支持哦！ 2.wsus需要8g 以上的硬盘，内存 256m以上， 3.iis（iis信息服务）bits后台智能传输服务 https://www.360docs.net/doc/2713112757.html, framework 2.0以上。管理控制台（mmc3.0）。microsoftvewer 2005 sp1 （microsoft 报表查看器） beijing是dc服务器 dns ，beijing是wsus server 上海是客户机

iis的安装 由于wsus server在http或https上运行的所以必须安装iis 。开始--设置--控制面板--添加/删除windows组件--应用程序服务器－－Internet 信息服务（ｉｉｓ）

ｉｉｓ组件安装完了

net framework 2.0（补丁）。管理控制台（mmc3.0）（补丁）。microsoftvewer 2005 sp1 （microsoft 报表查看器）（补丁） https://www.360docs.net/doc/2713112757.html,/downloads/thankyou.aspx?familyId=0856eacb-4362-4b0d-8edd-aab15c5e04f5&disp layLang=zh-cn（net framework 2.0微软网址） mmc3.0补丁

物理隔离内网wsus部署方法

WSUS（Windows Server Update Services 3.0）是微软公司面向其软件产品提供的软件升级更新解决方案，它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。[1][2]目前很多高校通过在内部网络中部署WSUS系统，较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。[2] 很多安全保密级别较高的内部网络不但与因特网物理隔离，而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据，只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。在这种内部网络环境中，WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级，而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新，[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统，并建立及时高效的WSUS服务器持续更新方案。 1 内部网络WSUS部署方案 1.1 WSUS服务的一般部署方案 如果能够访问因特网，则WSUS部署较为简单，WSUS服务器安装后即可自动连接微软公司网站下载更新程序，以后也基本不需进行维护，内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。[2][3] 1.2 内部网络中WSUS的安装部署 在隔离的内部网络中部署WSUS方法相同，但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。如果手工下载补丁对WSUS服务器进行更新，非常困难，未见有成功方案。很多单位在建立了隔离的内部网网络的同时，也有与因特网连接的网络，解决信息查询等问题。因此，我们采用在与因特网连接的外部网络（以下简称外网）和与因特网隔离的内部网络（以下简称内网）中各部署一套WSUS系统，外网WSUS服务器自动获取更新程序，供外网计算机进行更新，并定期导出更新数据，通过刻录光盘等方法，对内网WSUS服务器进行更新，实现内网计算机的持续更新。方法如图1所示。 2 内网WSUS服务器的首次更新 2.1 WSUS服务器中更新的数据构成 WSUS服务器中的更新数据包含两部分：

内网WSUS服务器部署

内网WSUS服务器部署 1)在内网的WSUS Server上，使用和外网WSUS安装时相同的选项安装，并配置WSUS （保证高级同步选项要一致） 2)在外网WSUS Server上通过命令行工具wsusutil.exe，将原有的WSUS更新元数据 导出( wsusutil.exe，缺省位于“C:\Program Files\Update Services\Tools”目 录中)：wsusutil export 例：C:\Program Files\Update Services\Tools>wsusutil export d:\wsus080120.cab d:\wsus080120.log 3)将外网WSUS的存放更新源文件(wsuscontent)的目录备份下来。复制wsuscontent 文件夹即可。 4)将从外网WSUS的备份出来的WSUScontent文件夹的内容,复制到内网WSUSContent 文件夹内。 5)在内网WSUS Server通过命令行工具wsusutil.exe，将已经导出的WSUS更新元数 据导入：wsusutil import 例：C:\Program Files\Update Services\Tools>wsusutil Import d:\wsus080120.cab d:\wsus080120.log 6)运行WSUSutil Reset

此命令用于检查WSUS数据库中每一个元数据是否具有本地存储对应的更新文件， 如果更新文件丢失或者被损坏，WSUS将再次下载更新文件。此命令在你刚恢复WSUS 备份数据或者排除更新批准故障时非常有用。 维护操作 1)移动更新文件 当WSUS服务器用于本地存储更新文件的硬盘空间不足或者出现故障时，你可能需 要将更新文件移动到另外的磁盘上进行存储。而Movecontent命令正是用于实现这 一需求。运行此命令时，WSUSUtil.exe执行以下操作： 将更新文件从源位置复制到目的存储位置； 更新WSUS数据库中的本地存储位置以及IIS中的虚拟目录映射。 更新文件存放的目的存储位置必须是NTFS文件格式；如果目的存储位置中更新文 件已经存在，则WSUSUtil.exe将不会复制相应的文件；并且WSUSUtil.exe将会设 置目的存储位置的NTFS权限和源位置一致。 你可以使用其他方式，例如xcopy或者备份工具来将更新文件复制到目的存储位 置，然后在WSUSUtil.exe运行时指定skipcopy参数不复制更新文件。 运行的语法如下所示： wsusutil movecontentcontentpath logfile[-skipcopy] 其中参数 contentpath 目的存储位置的路径，此路径必须存在 logfile 创建的日志文件名（不含路径则为当前目录） -skipcopy 可选，只更新WSUS数据库中的本地存储位置，不进行更新文件复制操作 2)deleteunneededrevisions

WSUS服务器安装与配置手册

Microsoft Windows Server Update Services 安装与配置教程 珠江期货广州总部技术部 修改日期：2010 年09 月03 日 摘要 本文提供Microsoft? Windows Server? Update Services (WSUS) 入门的分步指导。其中详述了在网络上部署WSUS 所涉及的基本任务的说明，具体包括在Microsoft Windows Server 2003 操作系统上安装WSUS、配置WSUS 以获取更新、将客户端计算机配置为从WSUS 安装更新，以及批准、测试和分发更新。在“部署Microsoft Windows Server Update Services”白皮书（文档可能为英文）中可以找到有关内容的更为全面的阐述。

目录 Microsoft Windows Server Update Services 入门循序渐进指南 (3) 步骤1：WSUS 安装要求 (3) 硬件要求 (3) 磁盘要求 (3) 软件要求 (3) 步骤2：在服务器上安装WSUS (5) 步骤3：部署WSUS (19) 服务器端的部署 (19) 客户端的部署 (21) 客户端组策略的配置 (21) 客户端注册表的修改 (26) 步骤4：使用WSUS (28) 发现客户端 (28) 同步更新 (31) 客户端更新 (32)

Microsoft Windows Server Update Services 安装与配置教程 WSUS为在网络中管理更新提供了一个全面的解决方案。本文档提供了在网络上部署WSUS 时涉及的基本任务的分步指导。使用本指南可执行以下任务： ? 在 Microsoft Windows Server 2003 操作系统上安装 WSUS。 ? 将 WSUS 配置为从 Microsoft 获取更新。 ? 将客户端计算机配置为通过 WSUS 安装更新。 ? 批准、测试和分发更新。 步骤 1：WSUS 安装要求 硬件要求 建议使用以下硬件： ? 2 GHz 的处理器 ? 最少1 GB 的 RAM 磁盘要求 要安装WSUS，服务器上的文件系统必须满足以下要求： ? 系统分区和安装 WSUS 的分区都必须使用 NTFS文件系统进行格式化。 ? 系统分区至少需要 10 GB 的可用空间。 ? WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。 注意：WSUS更新的系统补丁占用空间很大，可以将更新目录设置为其他盘符 软件要求 安装WSUS之前，需要确认操作系统版本以及相应补丁是否安装： ? 操作系统要求 使用windows 2003 server SP2版

WSUS服务器的详细配置和部署

WSUS服务器的详细配置和部署 WSUS服务器的详细配置和部署 一、WSUS 安装要求 1、硬件要求： 对于多达500 个客户端的服务器，建议使用以下硬件： * 1 GHz 的处理器 * 1 GB 的RAM 2、软件要求： 要使用默认选项安装WSUS，必须在计算机上安装以下软件。 * Microsoft Internet 信息服务(IIS) 6.0。 * 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。 * Background Intelligent Transfer Service (BITS) 2.0。 3、磁盘要求： 要安装WSUS，服务器上的文件系统必须满足以下要求： * 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。 * 系统分区至少需要1 GB 的可用空间。 * WSUS 用于存储内容的卷至少需要6 GB 的可用空间，建议预留空间为30 GB。 * WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。 4、自动更新要求： 自动更新是WSUS 的客户端组件。除了需要连接到网络外，自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新： * 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。

WSUS系统维护手册

WSUS系统简介（必看） 由于网管网是与外界隔离的独立内网，无法连到微软下载补丁。所以采用在网管网部署一台二级WSUS补丁服务器，供各windows终端、服务器下载补丁。另自己安装一台一级WSUS补丁服务器，用于通过internet连到微软下载补丁，这台服务器可以是自己的笔记本电脑或者上面的虚拟机，然后每周一再把这台一级WSUS补丁服务器接入网管网，与二级WSUS补丁服务器进行补丁同步。以达到网管网的windows终端，服务器能够及时有最新的补丁可能下载安装，减少系统漏洞，保证网络安全。 服务器资源 二级服务器：网管网部署了一台IBM的服务器用于做二级WSUS服务器，位于西得胜主机楼5F，数据02机房C01机柜，IP地址为132.97.31.10 一级服务器：一级WSUS服务器采用自带手提电脑安装虚拟机Win2003Server。先通过internet（可以在家或者通过OA网连接internet）从微软下载补丁，再接入网管网与二级WSUS 服务器同步补丁。 补丁分发流程 互 互 互

一级WSUS服务器配置 1、更新源，先择从Microsoft Update 进行同步，代理服务器填OA网的代理，因为通过OA 网接入的

2、产品与分类，选择要更新的产品，在这里选WinXP,Win03Server，分类选安全更新，如下图： 3、更新语言，先择简体中文

4、下载补丁 点击“立即同步”就开始同步，先同步数据 库，同步完会显示完成100%，但还要等“下 载状态”显示补丁下载完才真正完成 二级服务器补丁同步 1.将下载了补丁的笔记本或者虚拟机的IP地址改为13 2.97.32.131，然后拔下连接网管网 的网管终端上的网线接入网管网。 2.如果是第一次设定二级补丁升级服务器需要做下面的操作，否则可以跳过这一步骤：通 过笔记本或者虚拟机上的MSTSC远程桌面联到二级WSUS服务器，这里采用的地址是1.1.1.10：10080（ISG防火墙映射为132.97.31.10：3389）做如下关键位置配置：更新源，一级WSUS服务器地址132.97.32.131，端口80

如何在网域内部署WSUS服务20050906

如何在網域內部署WSUS服務........................................................... 错误！未定义书签。 一.安裝前的準備 .......................................................................... 错误！未定义书签。首先,要安裝WSUS的電腦必須加入網域,在安裝過程中必須用域管理員的帳號登陸到要安裝WSUS的電腦................................................................................ 错误！未定义书签。 1.如果WSUS Server是Windows Server 2000的操作系統,必需具備一下條件: (2) 2.如果WSUS Server是Windows Server 2003的操作系統....... 错误！未定义书签。 二.安裝WSUS,新建一個組策略,並對其進行配置 .......................... 错误！未定义书签。 1.如何安裝WSUS................................................................... 错误！未定义书签。 2.配置WSUS的各項參數 ....................................................... 错误！未定义书签。 3.創建一個WSUS Policy,並對其逕行設置................................ 错误！未定义书签。

WSUS微软补丁服务器详细配置

WSUS微软补丁服务器详细配置 WSUS补丁服务器的优点： 是微软免费为公司、企事业单位提供内部网的补丁分发，可以为没有联接外部网的系统进行升级与更新。主要包括：Windows2000、XP、2003、VISTA系列系统，Office 2002及以上版本，Windows live、Windows Small Business Server、MSSQL 2000及以上版本的数据库系统、Windows Exchange 2000及以上版本、ISA、Forefront、Microsoft Codename Max、Microsoft System Center Data Protection Manager。 通过选择的方式将更新程序（包含Feature Pack、Service Pack、安全更新、关键更新、更新程序、更新程序集、工具、驱动程序等）可选择从Microsoft Update下载至本地安装源，节省企业外部网络带宽。 对更新程序进行管理，控制更新程序的分发；你可以批准更新在客户端计算机上进行安装，或者仅仅是检测客户端计算机是否需要此更新，你也可以拒绝此更新程序； 对网络中的客户端计算机进行分组，控制更新程序在不同客户端计算机上的分发。 安装要求 硬件安装要求： 系统分区和存储WSUS更新文件的分区文件系统必须采用NTFS格式； 系统分区至少有2G的剩余空间； 进行本地存储时，存储WSUS更新文件内容的分区至少需要6G剩余空间， 安装WMSDE的分区至少要求有2GB的剩余空间。如果WMSDE和WSUS安装在同一分区，至少需要8G剩余空间。 根据公司情况，个人建议服务器配置：CPU 2.0以上，内存：512MB,硬盘最少80G。 软件要求：必需安装在Window 2000及Windows 2003 Server版系统上Windows 2000 Server版必需安装以下组件： ●安装SP4补丁 ●Internet信息服务（IIS）5.0，建立默认站点，以及配置好Web服务 ●后台智能传输服务（BITS） 2.0 下载地址： https://www.360docs.net/doc/2713112757.html,/downloads/details.aspx?familyid=3ee866a0-3a09- 4fdf-8bdb-c906850ab9f2&displaylang=zh-cn ●Microsoft SQL完全兼容的数据库软件，推荐使用MSDE，下载地址: https://www.360docs.net/doc/2713112757.html,/downloads/details.aspx?displaylang=zh-cn&Famil yID=413744d1-a0bc-479f-bafa-e4b278eb9147 ●安装IE6.0 sp1 ●Microsoft .NET Framework Version 1.1 下载地址： https://www.360docs.net/doc/2713112757.html,/downloads/details.aspx?displaylang=zh-cn&Famil yID=262d25e3-f589-4842-8157-034d1e7cf3a3 ●Microsoft .NET Framework 1.1 Service Pack 1 下载地址： https://www.360docs.net/doc/2713112757.html,/downloads/details.aspx?displaylang=zh-cn&Famil yID=a8f5654f-088e-40b2-bbdb-a83353618b38 Windows 2003 Server 版必需安装以下组件： ●Internet信息服务（IIS）6.0, 建立默认站点，以及配置好Web服务 ●后台智能传输服务（BITS） 2.0 下载地址：

WSUS客户端补丁自动更新配置

在办公电脑上配置自动更新因为有部分电脑启用自动更新服务会出现错误。 所以我将排错步骤一起写进配置文档里。 第一步，在“运行”里输入％windir%找到微软补丁服务的文件夹 16刃 理戶 誉乐 rescache?O1&/2；12 17:15 R-crsources 20CE/7/1+ 13；3 2 SchCachi?23W/7/14 1>33 j.2009/7/14 13S? 2510/11/22 3 34 Service Profil e2'J(?/7/14 12:45 servicing2010/11/22 5 2? Setup2009/7/14 li45哀｛悻 SoftwareD tglri butio n玄件龙 h Speech2O1W1V?2 ? ??站吐 systew20?/7/14 li>Jb主1帜 ■SyEtenn S 2201S/3/27 1&19M夹 2D10/a/2? 1A0? TAPI20?/7jl4 U57立《 2018/2/12 4TF A Tuinp251B73/27 2LO2 traang2^111/2/11 2Z0? 找到Softwaredistribution这个文件夹，将它删除掉。 如果直接删除，可能会提示有程序正在使用它。 删除Softwaredistribution文件夹的方法如下: 以管理员的身份启动命令行管理器。

位置：开始--＞程序--＞附件--＞命令提示符 右键点击，选择“以管理员身份运行” f Update 11 打开阿 + ■ -- E 管理足身伯迄行iA) F r 和开之件常爭T ＞ p rM ? 密； 劭勺印欽i 止放n I Cl ifffl 彳弱杀禹 歸爭卜停严1) 戈率立件赭门幵曲」棊单妙 ￡應 m 叙粧除 学 g 心寸F -飙扳呈」血痔 阳口&期二Up 强切际 3tO^2 中 T afftisew? ■'1 帰m ? ft 八忘仝自* tlzf 丄等件 ■W 健科讦衿前i jkdn: it] ^trfttar fflft _g Fine ■艸5： ■|计耳蛊 J 记丰本 前F .T) 亘刮I : 州岳期 ■谆鼻剽J K"±型 二三事标 远程点五逹榕 回国fj fin&w 土 T c*tj ： Sl.tll 卑松浙可 系堺工具 冒理工具 启幼 S1F 控制面顿 荃竜和和印机 営埋丄且 制貼和古持 童行 |斂程库和更岸 ，呻主肖?] 使用net stop wuauserv 命令将更新服务程序停止掉。 C ： \UindobJS \sj^s t yindovis Update Uindous Update ： P -止 ta ￥ ￡鸟 et 在成 >n 正」wuausepu [G ： \ymdoibj ：s\g 艸 然后就可以删除掉 Softwaredistribution 文件夹。 之后，在使用net start wuauserv 命令启动更新服务程序。 C= SUi.ndau?^￡^E ;t&n32>net wuau^erM UiinilDwx Update 思毎止?左启葫- Wihd tfw5 IM?t C 眼务已经启动成功匸 IC:sS/Xnd4WVM￥VCPn33> 然后还需要确定一次 windows update 这个服务是否已经启动了。

WSUS全攻略之三：WSUS操作指南

WSUS全攻略之三：WSUS操作指南 在安装好WSUS服务器之后，你可以通过WSUS管理控制台来对WSUS服务器进行管理。WSUS管理控制台是基于Web浏览器的，你可以通过以下地址 http://WSUS_Website_url/WSUSAdmin 来访问WSUS管理控制台，在默认情况下WSUS Web站点使用默认Web站点，WSUS管理控制台的访问路径是 http://servernam e/WSUSAdmin 你必须将浏览器配置为允许活动脚本和ActiveX控件。如果在计算机上已启用了Internet Explorer增强安全配置组件，你应该将WSUS管理控制台地址添加到受信任的站点中。 WSUS安装时将创建一个名为WSUS Administrators的用户组，这便于你委派用户进行WSUS的管理。默认情况下，只有属于内建的Administrators组或WSUS Administrators组的用户可以访问WSUS管理控制台。 在WSUS管理控制台中你可以执行以下任务： ?配置WSUS服务器选项并进行同步； ?管理计算机及计算机组； ?管理更新（批准或拒绝更新）； ?通过报告监控WSUS服务器的实现情况。

配置WSUS服务器选项并进行同步 点击开始，再点击管理工具中的Microsoft Windows Server Update Services进入WSUS管理控制台，此时会弹出身份验证对话框，输入具有访问权限的用户账户及密码，然后点击确定，如下图所示， 由于采用了增强的Internet Explorer安全配置，在弹出的警告提示框中，点击添加，

然后在可信站点对话框上，点击添加。这样就把WSUS管理控制台加入了到受信任的站点中，再点击关闭。

WSUS客户端部署

WSUS客户端部署 Windows 系统可以在组策略里配置Windows update策略，也可以通过注册表来配置。当前公司办公用的Windows 操作系统，除了XP之外，还有Vista，Windows 7。但Vista，Windows 7 home版没有组策略，故采取修改注册表方式比较方便快捷。 Windows XP注册表修改如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windo wsUpdate] "WUServer"="http://IP:8530" "WUStatusServer"="http://IP:8530" "ElevateNonAdmins"=dword:00000001 "TargetGroupEnabled"=dword:00000001 "TargetGroup"="Windows XP" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windo wsUpdate\AU] "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:0000000c "UseWUServer"=dword:00000001 "AutoInstallMinorUpdates"=dword:00000001 "NoAutoRebootWithLoggedOnUser"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run] "WSUS Update"="wuauclt.exe /detectnow" 如果是Windows Vista系统，则"TargetGroup"="Windows Vista"； 如果是Windows Vista系统，则"TargetGroup"="Windows 7" 注册表文件说明如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindows Update]

Windows Server 2008 WSUS安装部署

Windows Server 2008 WSUS安装部署 一、WSUS 3.0 SP2 安装需求 1、服务器平台和要求 Windows Server 2008 R2 Windows Server 2008 SP1 或以上版本 Windows Server 2003 SP1 或以上版本 Windows Small Business Server 2008 Windows Small Business Server 2003 IIS 6.0 或以上版本 The Microsoft .NET Framework 2.0 或以上版本 数据库引擎：Microsoft SQL Server 2008 Express, Standard, or Enterprise Edition SQL Server 2005 SP2 Windows Internal Database Microsoft Management Console 3.0 Microsoft Report Viewer Redistributable 2008 2、管理控制台要求 Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 SP2 or later versions, Windows Small Business Server 2008 or 2003, Windows Vista, or Windows XP SP2 Microsoft .NET Framework 2.0 或以上版本 Microsoft Management Console 3.0 Microsoft Report Viewer Redistributable 2008 3、客户端要求 Windows Server 2008 R2, Windows Server 2008 SP1 or later versions, Windows Server 2003 SP2 or later versions, Windows Small Business Server 2003, 2005, or 2008, Windows Vista, Windows XP Professional RTM, SP1, SP2, SP3, or later versions, Windows 2000 SP4, or Windows 7 client. 4、相关下载