WSUS全攻略之四 ：链式WSUS部署

WSUS服务器的详细配置和部署一、WSUS 安装要求1、硬件要求：对于多达500 个客户端的服务器，建议使用以下硬件：* 1 GHz 的处理器* 1 GB 的RAM2、软件要求：要使用默认选项安装WSUS，必须在计算机上安装以下软件。

* Microsoft Internet 信息服务(IIS) 6.0。

* 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

3、磁盘要求：要安装WSUS，服务器上的文件系统必须满足以下要求：* 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。

* 系统分区至少需要1 GB 的可用空间。

* WSUS 用于存储内容的卷至少需要6 GB 的可用空间，建议预留空间为30 GB。

* WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要2 GB 的可用空间。

4、自动更新要求：自动更新是WSUS 的客户端组件。

除了需要连接到网络外，自动更新没有其他的硬件要求。

您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新：* 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。

* 带有或不带Service Pack 1 或Service Pack 2 的Microsoft Windows XP Professional。

* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或Windows Server 2003 Web Edition。

WSUS规划部署（三）WSUS服务器与客户端配置熟悉控制台之后，便开始配置服务器。

打开控制台，首先需要先与微软官网进行同步，查看当前有哪些补丁需要。

但是这里先打个预防针，并不是所有补丁都安全，所以建议多多综合了解，多多查阅资料，看看某些补丁打了之后是不是会出现问题，也希望看过该博文的能够提供建议，说说自己经验。

在成功同步之后，建立分组，我是按照操作系统来区分的，Windows 7，Windows xp，Windows 2003，Windows 2008，这里为了做演示，同时也是测试环境没有那么高的带宽，所以仅仅在选择产品的时候选择了Windows xp。

Windows xp的更新很多，很多啊！这里开始的时候建议进行打补丁的时候，选择需要的，可以看到有0%标志？什么意思？这个是说，当前的补丁在客户端中没有安装。

而这些都是100%，可以看出，要么是客户端不需要这些更新，这些更新已经过时，或者就是已经安装过，所以不必操心。

下面，我们先审批一个补丁。

审批结束的情况。

服务器的审批已经结束，下面来到客户端进行配置。

我的客户端是属于计算机组，并不是域环境，如果是域环境，那么可以直接使用组策略。

Windows xp，打开策略组计算机配置→管理模板→Windows组件→Windows update这里我首先保证可以更新，所以开启自动更新，选择配置自动更新勾选已启用，点击确定。

然后配置服务器位置双击打开输入服务器的地址，这里要注意，如果在安装过程中，更改过端口号，那么需要在后面配置端口号，我安装时候默认的，所以使用的是80，双击确定。

这样，配置了这两处之后，客户端就可以进行获取到更新了，可是如果等待，太漫长了，可以通过使用如下命令gpupdate /force -------------刷新组策略wuauclt /detectnow --------------强制与WSUS服务器通讯这样，等待一分钟就可以看到右下角出现的安装更新的选项打开，看看是不是自己发布的更新呢？注：可能有人执行了命令之后没有看到，那么首先查看一下，是不是在服务器上面审批的补丁还没有下载结束？我碰到过几次这种情况，没有下载结束，我就开始刷新，等了很久也没有。

WSUS全攻略之四：链式WSUS部署链式WSUS部署WSUS服务器不仅仅可以从Windows Update中获取更新程序，也可以从其他WSUS服务器中获取更新程序。

当企业网络具有很大的规模时，一台WSUS服务器可能不能满足你的需求，此时你就可以使用多台WSUS服务器组成链式结构，如下图所示，一台WSUS服务器作为上游服务器，一台WSUS服务器作为下游服务器。

你可以使用链式的WSUS结构满足企业网络中不同地域的需求或者企业网络规模扩大后的更新服务需求。

链式WSUS服务器的级数是没有限制的，但是由于每一级WSUS服务器增加了更新程序的延迟，所以推荐部署不超过三级的链式WSUS服务结构。

上游服务器不能和下游服务器进行同步，否则WSUS就不能正常提供服务。

在链式WSUS服务器部署中，下游WSUS服务器继承上游WSUS服务器的高级同步选项，你不能修改下游服务器的高级同步选项。

默认情况下，上游WSUS服务器只把更新元数据和更新文件同步到下游WS US服务器中，而不包含其他的信息，例如计算机组和更新批准信息。

如果你想让上游WSUS服务器向下游WSUS服务器同步计算机组和更新批准信息，则下游WSUS服务器必须配置为集中管理模式中的复制服务器。

根据管理模式的不同，WSUS服务器担当的角色也不同，不同WSUS服务器角色之间的区别如下表所示，表中未提及的其他功能均一致：其实分布管理模式下的独立管理服务器和集中管理模式下的主服务器是没有区别的，简单一点来说，WSU S服务器就只有独立管理服务器和复制服务器这两种角色。

决定WSUS服务器的服务器角色是根据在安装WSUS服务器时在镜像更新设置页的配置进行，如果你没有配置该服务器继承其他服务器的设置，则该W SUS服务器为独立管理服务器角色；如果你配置该服务器继承其他服务器的设置，则该WSUS服务器为复制服务器角色。

如下图所示，我配置此服务器继承另外一台WSUS服务器的设置，则此WSUS服务器则配置为复制服务器。

WSUS服务器的详细配置和部署一、WSUS 安装要求1、硬件要求：对于多达500 个客户端的服务器，建议使用以下硬件：* 1 GHz 的处理器* 1 GB 的RAM2、软件要求：要使用默认选项安装WSUS，必须在计算机上安装以下软件。

* Microsoft Internet 信息服务(IIS) 6.0。

* 用于Windows Server 2003 的Microsoft .NET Framework 1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

3、磁盘要求：要安装WSUS，服务器上的文件系统必须满足以下要求：* 系统分区和安装WSUS 的分区都必须使用NTFS 文件系统进行格式化。

* 系统分区至少需要1 GB 的可用空间。

* WSUS 用于存储内容的卷至少需要6 GB 的可用空间，建议预留空间为30 GB。

* WSUS 安装程序用于安装Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要2 GB 的可用空间。

4、自动更新要求：自动更新是WSUS 的客户端组件。

除了需要连接到网络外，自动更新没有其他的硬件要求。

您可以针对运行以下任一操作系统的计算机上的WSUS 使用自动更新：* 带有Service Pack 3 (SP3) 或Service Pack 4 (SP4) 的Microsoft Windows 2000 Professional、带有SP3 或SP4 的Windows 2000 Server 或带有SP3 或SP4 的Windows 2000 Advanced Server。

* 带有或不带Service Pack 1 或Service Pack 2 的Microsoft Windows XP Professional。

* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或Windows Server 2003 Web Edition。

WSUS补丁服务器部署详细来源于⽹络转载WSUS概述为了让⽤户的windows系统与其他microsoft产品能够更安全，更稳定，因此microsoft会不定期在⽹站上推出最新的更新程序供⽤户下载与安装，⽽⽤户可以通过以下⽅式来取得这些程序：⼿动连接microsoft update⽹站通过windows系统的⾃动更新功能然⽽以上两种⽅式对企业内部来说，都可能会有以下缺点。

影响⽹络效率：如果企业内部每台计算机都⾃⾏上⽹更新，将会增加对外⽹络的负担。

与现有软件相互⼲扰：如果企业内部使⽤的软件与更新程序发⽣冲突，则⽤户⾃⾏下载与安装更新程序可能会影响该软件或更新程序的正常运⾏。

WSUS是⼀个可以解决上述问题的产品，企业内部可以通过WSUS服务器集中从Microsoft update⽹站下载更新程序，并且在完成这些更新程序的测试⼯作，确定对企业内部计算机没有不良影响后，在通过⽹管审批程序，将程序部署到客户机上。

WSUS的系统需求对于基本WSUS架构来说，WSUS服务器与客户端计算机都必须满⾜适当的条件才能享受WSUS的好处。

可以在windows server 2012内通过新增⾓⾊的⽅式来安装WSUS。

安装WSUS之前，需要安装以下组件。

Microsoft Report Viewer Redistributable 2008：WSUS服务器需要通过他制作各种不同的报告，例如更新程序状态报告，客户端计算机状态报告与同步处理结果报告等。

需要到microsoft 官⽹下载。

Net framework 2.0: report viewer需要net framework。

注：WSUS服务器的系统分区与安装WSUS的磁盘分区的⽂件系统都必须是NTFS。

WSUS客户端计算机必须⽀持⾃动更新功能，Windows 2000 sp4以后的客户端都⽀持。

可以利⽤WSUS服务器内置的WSUS管理控制台执⾏WSUS服务器的管理⼯作，还可以在其他计算机上管理WSUS服务器。

WSUS全攻略之一：部署与规划WSUS（Microsoft® Windows™Server Update Services）是微软推出的免费的Windows更新管理服务，目前最新版本为2.0.0.2472，除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。

提及更新，可能许多朋友都比较反感。

其实我认为更新代表着厂商对其产品的责任心，只有对自己的产品负责任的厂商才会提供更新。

随着技术的发展，没有绝对安全的系统，也没有任何产品可以永远的满足你在安全、性能或者其他方面的要求，此时，厂商推出的更新就极为重要。

通过更新你的系统，可以让你的系统更为安全、高效的运行，何乐而不为呢？首先我给大家介绍一下微软的更新服务体系。

在提供WSUS服务以及SUS服务（被WSUS服务取代的软件更新服务）之前，微软的更新服务体系总共包括两个组件：1、Microsoft Update提供更新服务的微软网站，由一系列的微软站点组成，常见的有：••••等等，提供了更新程序、驱动程序以及Service Pack等的下载。

2、自动更新内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件，默认情况下，它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序，从而实现客户端计算机的系统更新。

在小规模的企业网络中，客户端计算机通过自动更新连接Microsoft Update来进行系统更新并不会对企业的外部网络带宽造成太大的影响，例如有5台客户端计算机每台下载20M的更新程序，那么总占用的企业外部网络流量只是100M；但是在中大规模的企业网络中，如果每台客户端计算机都通过连接到Microsoft Update来实现更新，则会极大的影响企业的外部网络带宽，例如有500台客户端计算机每台下载20M的更新程序，就会占用10G的流量。

WSUS（Windows Server Update Services 3.0）是微软公司面向其软件产品提供的软件升级更新解决方案，它可以提供Windows系列操作系统、Office、SQL Server等软件更新补丁的大规模分发服务。

[1][2]目前很多高校通过在内部网络中部署WSUS系统，较好的解决了学校内部网络中的计算机因为操作系统和软件存在漏洞而产生的安全隐患。

[2]很多安全保密级别较高的内部网络不但与因特网物理隔离，而且为了防止摆渡攻击不能使用移动硬盘等存储设备进行交换数据，只允许使用刻录光盘在内部网络与因特网之间进行单向数据复制。

在这种内部网络环境中，WSUS服务器或安装Windows操作系统的计算机都无法及时连接因特网进行在线升级，而手工下载并安装所有补丁在实践中难以保证完整、及时地进行更新，[3]因此在内网中建立WSUS更新服务系统的关键在于合理的部署WSUS服务系统，并建立及时高效的WSUS服务器持续更新方案。

1 内部网络WSUS部署方案1.1 WSUS服务的一般部署方案如果能够访问因特网，则WSUS部署较为简单，WSUS服务器安装后即可自动连接微软公司网站下载更新程序，以后也基本不需进行维护，内部网络中的计算机只需将更新源指定为该WSUS服务器即可进行更新升级。

[2][3]1.2 内部网络中WSUS的安装部署在隔离的内部网络中部署WSUS方法相同，但隔离的内部网络中的WSUS 服务器无法自动获取新发布的更新补丁。

如果手工下载补丁对WSUS服务器进行更新，非常困难，未见有成功方案。

很多单位在建立了隔离的内部网网络的同时，也有与因特网连接的网络，解决信息查询等问题。

因此，我们采用在与因特网连接的外部网络（以下简称外网）和与因特网隔离的内部网络（以下简称内网）中各部署一套WSUS系统，外网WSUS服务器自动获取更新程序，供外网计算机进行更新，并定期导出更新数据，通过刻录光盘等方法，对内网WSUS服务器进行更新，实现内网计算机的持续更新。

内网WSUS服务器部署1)在内网的WSUS Server上，使用和外网WSUS安装时相同的选项安装，并配置WSUS（保证高级同步选项要一致）2)在外网WSUS Server上通过命令行工具wsusutil.exe，将原有的WSUS更新元数据导出( wsusutil.exe，缺省位于“C:\Program Files\Update Services\Tools”目录中)：wsusutil export例：C:\Program Files\Update Services\Tools>wsusutil exportd:\wsus080120.cab d:\wsus080120.log3)将外网WSUS的存放更新源文件(wsuscontent)的目录备份下来。

复制wsuscontent文件夹即可。

4)将从外网WSUS的备份出来的WSUScontent文件夹的内容,复制到内网WSUSContent文件夹内。

5)在内网WSUS Server通过命令行工具wsusutil.exe，将已经导出的WSUS更新元数据导入：wsusutil import例：C:\Program Files\Update Services\Tools>wsusutil Importd:\wsus080120.cab d:\wsus080120.log6)运行WSUSutil Reset此命令用于检查WSUS数据库中每一个元数据是否具有本地存储对应的更新文件，如果更新文件丢失或者被损坏，WSUS将再次下载更新文件。

此命令在你刚恢复WSUS备份数据或者排除更新批准故障时非常有用。

维护操作1)移动更新文件当WSUS服务器用于本地存储更新文件的硬盘空间不足或者出现故障时，你可能需要将更新文件移动到另外的磁盘上进行存储。

而Movecontent命令正是用于实现这一需求。

运行此命令时，WSUSUtil.exe执行以下操作：将更新文件从源位置复制到目的存储位置；更新WSUS数据库中的本地存储位置以及IIS中的虚拟目录映射。

一、WSUS 3.0 SP2 安装需求1、服务器平台和要求Windows Server 2008 R2Windows Server 2008 SP1 或以上版本Windows Server 2003 SP1 或以上版本Windows Small Business Server 2008Windows Small Business Server 2003IIS 6.0 或以上版本The Microsoft .NET Framework 2.0 或以上版本数据库引擎： Microsoft SQL Server 2008 Express, Standard, or Enterprise Editio nSQL Server 2005 SP2 Windows Internal DatabaseMicrosoft Management Console 3.0Microsoft Report Viewer Redistributable 20082、管理控制台要求Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 SP2 or later versions, Windows Small Business Server 2008 or 2003, Windows Vista, or Windows XP SP2Microsoft .NET Framework 2.0 或以上版本Microsoft Management Console 3.0Microsoft Report Viewer Redistributable 20083、客户端要求Windows Server 2008 R2, Windows Server 2008 SP1 or later versions, Windows Server 2 003 SP2 or later versions, Windows Small Business Server 2003, 2005, or 2008, Windo ws Vista, Windows XP Professional RTM, SP1, SP2, SP3, or later versions, Windows 20 00 SP4, or Windows 7 client.4、相关下载WSUS 3.0 SP2：https:///site/sitehome.aspx?SiteID=110Microsoft Report Viewer Redistributable 2008：/downloads/de tails.aspx?displaylang=zh-cn&FamilyID=6ae0aa19-3e6c-474c-9d57-05b2347456b1二、WSUS 3.0 SP2部署需知1、每个WSUS服务器需要唯一的数据库实例，一个远程的中央SQL SERVER系统不能支持多个WS US服务器2、运行在WSUS服务器或远程服务器上的SQL SERVER发布启动嵌套触发器选项。