理论知识

WSUS，Windows Server Update Service，Windows服务器更新服务，用途是统一下载更新并分发给企业网内部的计算机，适用于Windows Server和桌面操作系统。

微软官方文档说WSUS服务需要额外的至少2G内存，推荐多一些，测试的时候内存过少会出现各种问题。

域环境非必需，但是推荐基于域环境。

如果需要在WSUS服务器上查看更新统计报告需要安装Microsoft Report Viewer 运行时 2012，Microsoft System CLR Types for SQL Server 2012，点击查看报告时会给予提示，可以从以下位置下载。Microsoft System CLR Types for SQL Server 2012在Microsoft® SQL Server® 2012 SP4 Feature Pack其中包含，下载完成后单独安装即可。

https://www.microsoft.com/en-us/download/details.aspx?id=56041

https://www.microsoft.com/en-us/download/details.aspx?id=35747

更新的分类

安全更新，通常是必须安装的，用于修复系统漏洞、防止黑客攻击、病毒入侵的安全威胁。

关键更新，一般也是需要安装的，可以修复影响系统稳定性、性能和功能的问题，保障系统正常允许。

功能更新，根据需求选择性安装，用于添加新功能。

驱动程序更新，根据需求选择性安装，用于硬件的驱动程序。

部署方案

简单部署，一台可以访问互联网的WSUS服务器用于整个企业网内的更新下载和分发。

多台部署，一般是分级的，一台用于访问互联网下载更新，其他的再从它获取更新。

隔离部署，在常规的简单或多台部署之外，还有一台WSUS处于隔离网络中，需要使用移动存储从其他WSUS服务器拷贝更新到其上，再通过它分发给隔离网络中的计算机。

配置方法

拓扑图

简单部署，一台可以访问互联网的WSUS服务器为内网计算机提供更新服务，基于域环境使用组策略自动下发更新配置。

添加WSUS角色和基本配置

WSUS服务器上，服务器管理器，添加角色和功能，服务器角色，勾选Windows Server更新服务

选择WSUS的角色服务，默认即可。WID是Windows 内部数据库，SQLServer支持WSUS服务器和数据库服务器分离。

自定义更新文件的存储位置，可以使用WSUS服务器的本地位置，也可以使用网络上的共享存储。无需设置共享也无需额外设置访问权限，默认即可。

其他选项保持默认安装。

单击启动安装后任务，自动开始配置服务器。

完成后关闭窗口。服务器管理器，工具，Windows Server更新服务。首次运行会弹出配置向导。也可以通过Windows Server更新服务控制台中的选项中的配置向导进行配置。

无需勾选

Sync from Miscroft Update，直接通过互联网从Microsoft获取更新。如果是多台WSUS服务器分级部署，请选择第二项去连接内网中的其他WSUS服务器。

单击开始连接，需要很长时间，请耐心等待。

根据客户端计算机的系统语言选择将下载的语言的更新

根据需要勾选指定需要更新的产品

更新分类，根据需要勾选。

设置同步计划，WSUS服务器将于指定时间向Microsoft获取更新列表

根据需要选择是否立即同步，需要非常漫长的同步时间，请耐心等待。同步只是同步更新列表，不会自动下载更新文件，更新文件需要在管理员审批后才会下载。

使用组策略配置自动更新

在域控制器上配置组策略可以实现大规模自动设置客户端计算机的更新选项。以下是一些常用的设置，其中部分设置非必需，请根据需求选择设置。

(必需的)计算机配置，策略，管理模板，Windows组件，Windows更新，配置自动更新为已启用，4 - 自动下载并计划安装，取消勾选自动维护期间执行安装，可以指定安装更新的具体时间，系统会在指定时间自动安装已下载的更新。

(必需的)配置指定Intranet Microsoft更新服务位置为已启用，设置内部WSUS服务器的位置。

配置不要连接任何Windows更新的Internet位置为已启用。

配置允许自动更新立即安装为已启用。

配置为更新配置自动重新启动提醒通知为已启用

配置允许非管理员接收更新通知为已启用。

配置删除使用所有 Windows 更新功能的访问权限为已启用。

配置自动更新检测频率为已启用，根据需要设置值。

组策略，计算机配置，策略，Windows设置，脚本(启动/关机)。添加启动脚本，内容如下。

usoclient.exe startinteractivescan

此开机脚本既用于加速客户端和WSUS服务器建立连接，也可以用于每次开机时强制检查更新。

防火墙放行端口

Windows系统防火墙无需手动额外放行端口，请根据需要在硬件防护墙上放行端口。

WSUS服务器使用本地的TCP动态端口访问远程微软更新服务器的TCP80和443端口。可以参考微软官方文档做更精细的限制，只允许访问微软的指定域名。

内网客户端计算机和其他WSUS服务器使用本地的TCP动态端口访问本地WSUS服务器的TCP 8530和TCP 8531端口。

手动审批更新

推荐先在测试机上验证更新没有问题后再审批给客户端计算机安装，可以使用自动审批，但推荐使用手动审批来精细的控制更新范围。

添加计算机组，将客户端计算机分类。

查看客户端计算机需要的更新，点击可以查看详细信息。

也可以查看需要此更新的客户端计算机

右键一个更新，审批。

选择需要安装此更新的计算机组，已审批进行安装。

还可以再次右键该计算机组，根据需要设置最后期限。

审批已完成后，关闭。

WSUS服务器此时才会开始下载该更新文件，并根据设置的时间安排安装更新。

再次右键该更新，文件信息。

可以看到该更新文件的下载存放路径。

可以在如下本地路径找到下载完成的更新文件，其中C:\WSUS是我们在添加WSUS角色时自定义的更新文件存放位置。

经过漫长的等待，客户端计算机将会自动下载并在组策略中设置的时间开始安装。