免费为企业IT规划WSUS：Windows Server 更新服务 (WSUS) 之快速入门教程（一）

哈喽大家好，欢迎来到虚拟化时代君（XNHCYL），收不到通知请将我点击星标！“ 大家好，我是虚拟化时代君，一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…（每天更新不间断，福利不见不散）

第一章、文章引言

很多老铁后台私信说怎么没有微软的文章更新，我们征集了一些技术文章，连载分享下。更下关于Windows补丁服务器的搭建和配置。劳逸结合，昨天更新的文章太长，今天先简单介绍下WSUS一些前置条件。

WSUS（Windows Server Update Services）是微软提供的一款用于管理和分发更新到Windows操作系统和其他Microsoft软件的服务器工具。它的主要作用是集中管理网络中多个计算机的更新和补丁，确保系统保持最新并且安全。它适用于所有受支持的 Windows Server 版本，从 Windows Server 2012 R2 到 Windows Server 2022（小编Windows Server 2025 已经不再主动开发，所有功能仍用于部署）。它是一个免费的角色；但是，运行许可的 Windows Server 版本是必不可少的。

第二章、为什么需要WSUS

它可以帮助您以自动化的方式将更新部署到数千台机器，而无需太多的手动操作。以下是一些好处。

1、集中更新管理：

WSUS允许管理员集中控制和管理网络中的所有Windows设备的更新。通过WSUS，管理员可以在一个中央位置查看、批准和分发Windows操作系统和应用程序的更新，而不需要每台计算机单独下载和安装更新。

2、节省带宽：

WSUS 可帮助您在本地下载所有更新，然后在非工作时间将其分发给目标主机和产品。通过这样做，您可以节省带宽消耗，因为数千台机器不会通过互联网下载更新，而是在本地下载。

3、控制更新：

在一些组织中，可能有合规性要求必须确保特定的更新已被安装。WSUS能够帮助企业确保所有计算机都按照设定的策略安装必要的安全更新和补丁，避免由于更新未及时安装而导致的安全漏洞。

4、报告和监控：

WSUS提供了更新状态的详细报告，管理员可以查看哪些计算机已成功安装更新，哪些计算机存在问题，是否有更新失败等信息。通过这些报告，可以快速识别和解决潜在的更新问题。

5、自动化更新审批：

WSUS允许管理员对更新进行分类并批准或拒绝，这样可以防止不适合或有潜在风险的更新自动部署到网络中的设备。管理员可以选择推迟某些更新，或者仅在特定时间窗内推送更新，以减少对业务操作的影响。

6、避免强制更新造成的影响：

Windows 操作系统（特别是Windows 10及以上版本）有时会强制推送更新，这可能会导致系统重启或应用程序中断。使用WSUS，管理员可以控制何时进行更新，减少强制更新对生产环境的干扰。

7、节省计算资源：

当所有设备通过WSUS获取更新时，更新只需要从中央服务器下载一次，减少了每个设备单独下载更新所消耗的计算资源和存储空间。

第三章、上游与下游WSUS服务器

在 WSUS（Windows Server Update Services）的上下游架构中，上游WSUS 和下游WSUS 是指两个不同层级的 WSUS 服务器之间的关系。这个架构通常用于大型组织或多个地点的分布式环境中，以帮助集中管理更新，并优化带宽和更新分发效率。部署 WSUS 服务器时，您可以将其设置为上游服务器或下游服务器。如果您是首次部署 WSUS，则必须将其配置为上游服务器。实际上，上游和下游服务器之间的主要区别在于它们的数据源、角色和互联网连接。数据源是指客户端下载更新的位置，角色定义哪个服务器是主服务器，哪个是辅助服务器，而它们之间的互联网连接也不同。

1、上游 WSUS（Upstream WSUS）：

定义：上游 WSUS 是一个或多个集中式的 WSUS 服务器，通常位于网络的“上游”部分，负责从 Microsoft Update 服务器（或其他更新源）下载和接收所有最新的更新和补丁。

作用：上游 WSUS 服务器通常是主服务器，负责从微软的服务器获取更新，并将这些更新推送到下游 WSUS 服务器。

2、下游 WSUS（Downstream WSUS）

定义：下游 WSUS 是连接到上游 WSUS 服务器的 WSUS 实例，它从上游 WSUS 获取更新，并将这些更新分发到本地网络或子网络中的计算机。

角色：下游 WSUS 服务器负责将上游 WSUS 服务器批准的更新推送到最终客户端或计算机上。它不直接从 Microsoft Update 获取更新，而是依赖于上游 WSUS。

3、上游和下游 WSUS 的工作原理

1. 上游 WSUS 服务器：上游服务器会从 Microsoft Update下载所有可用的操作系统和应用程序更新（包括补丁、驱动程序等），并存储在本地。管理员可以在上游 WSUS 服务器上批准或拒绝这些更新。

2. 下游 WSUS 服务器：下游服务器连接到上游服务器并同步更新。下游 WSUS 不会直接从 Microsoft Update 获取更新，而是从上游 WSUS 服务器接收已经批准的更新。下游服务器继续向客户端计算机推送这些更新。

3. 同步与批准：上游 WSUS 服务器定期同步与 Microsoft Update 的连接，以获取最新的更新，下游 WSUS 服务器则定期同步上游服务器的更新内容。下游服务器可以选择从上游 WSUS 获取某些特定的更新，或者自动接受所有上游批准的更新。

4、上游和下游 WSUS区别

两者最大区别是上游服务器需要互联网连接，因为它直接连接到 Microsoft 并下载更新。另一方面，下游服务器不需要互联网连接。相反，它从上游服务器下载更新并充当辅助服务器，将更新分发到客户端计算机。

5、上游和下游 WSUS架构案例

总部：有一个上游 WSUS 机器，它直接连接到 Microsoft Update 管理所有更新。

分支机构：有一个下游 WSUS 服务器，它从总部的上游 WSUS 获取更新并分发给分支机构的设备。

第四章、支持的产品

为了更新某些产品，您需要选择所需的产品和语言包。以下是您可以更新的内容：

WSUS 只能用于分发对 Windows 和基于 Microsoft 的产品的更新。

Windows 操作系统：您可以更新 Windows 客户端和 Windows Server 2022。WSUS 支持所有 Microsoft 支持的产品。

Microsoft Office：如果您仍在运行本地 Microsoft Office，则可以通过 WSUS 更新它。

其他 Microsoft 产品：WSUS 可以更新 Microsoft Exchange Server、Microsoft SQL Server、Microsoft SharePoint、Microsoft .NET Framework、Microsoft Visual Studio、Windows Defender 等。

使用 Microsoft Update 首次同步 WSUS 服务器后，支持的产品列表将扩展，其中也包括 Azure。

第五章、支持更新类型

您可以指定要同步的更新分类，然后将其分发到客户端计算机（如果适用）。您可以选择关键更新、定义更新、驱动程序集、驱动程序、功能包、安全更新、Service Pack、工具、更新汇总和标准更新。

此外，如果您运行的产品使用的语言与英语不同的语言，则可以选择是要下载所有语言的更新，还是仅下载特定语言的更新。

第六章、系统要求

在基础结构中安装 WSUS 之前，您需要确保满足系统要求。

Windows Server 2022（推荐）或更早版本支持的操作系统，具有 2个 vCPU、2GB RAM、40 GB 磁盘、1 Gbit 网卡，已安装 Microsoft Report Viewer Redistributable 2008 和 Microsoft .NET Framework 4.0。所有这些要求都位于操作系统之上。（视情况而定）

如果要在本地存储更新，则需要确保 WSUS 具有具有足够容量的磁盘。磁盘的大小取决于要在本地存储上下载的产品和语言类型的数量。它的范围可以从 100 GB 到几 TB 不等。您的 WSUS 服务器和要更新的客户端计算机都必须加入您的公司域（Active Directory 域）。

在下一篇文章中，我们将在 Windows Server 2022 上安装 WSUS。

【以上内容均属虚拟化时代君整理，大家仅供参考！】