利用WSUS部署更新程序

WSUS概述

为了让用户的windows系统与其他microsoft产品能够更安全，更稳定，因此microsoft会不定期在网站上推出最新的更新程序供用户下载与安装，而用户可以通过以下方式来取得这些程序：

• 手动连接microsoft update网站
• 通过windows系统的自动更新功能

然而以上两种方式对企业内部来说，都可能会有以下缺点。

• 影响网络效率：如果企业内部每台计算机都自行上网更新，将会增加对外网络的负担。
• 与现有软件相互干扰：如果企业内部使用的软件与更新程序发生冲突，则用户自行下载与安装更新程序可能会影响该软件或更新程序的正常运行。

WSUS是一个可以解决上述问题的产品，企业内部可以通过WSUS服务器集中从Microsoft update网站下载更新程序，并且在完成这些更新程序的测试工作，确定对企业内部计算机没有不良影响后，在通过网管审批程序，将程序部署到客户机上。

WSUS的系统需求

对于基本WSUS架构来说，WSUS服务器与客户端计算机都必须满足适当的条件才能享受WSUS的好处。

可以在windows server 2012内通过新增角色的方式来安装WSUS。安装WSUS之前，需要安装以下组件。

• Microsoft Report Viewer Redistributable 2008：WSUS服务器需要通过他制作各种不同的报告，例如更新程序状态报告，客户端计算机状态报告与同步处理结果报告等。需要到microsoft 官网下载。
• Net framework 2.0: report viewer需要net framework。

注：WSUS服务器的系统分区与安装WSUS的磁盘分区的文件系统都必须是NTFS。

WSUS客户端计算机必须支持自动更新功能，Windows 2000 sp4以后的客户端都支持。

可以利用WSUS服务器内置的WSUS管理控制台执行WSUS服务器的管理工作，还可以在其他计算机上管理WSUS服务器。不过，需要在这些计算机上安装WSUS控制台，但是这些计算机必须已安装下列组件:

• Microsoft .NET Framework 2.0或更新版本
• Microsoft Management Console 3.0或更新版本
• Micrsoft Report Viewer Redistributable 2008或更新版本

WSUS的特性与工作方式

利用计算机组部署更新程序

如果能够将企业内部客户端计算机适当分组，就可以更容易与明确地将更新程序部署到指定计算机上。系统默认内置2个计算机组，即所有计算机与未分配的计算机，客户端计算机在第一次与WSUS服务器接触时，系统默认会见该计算机加入者2个组内。可以在添加更多的组。可以创建测试计算机组，新的补丁部署到测试计算机组，没有问题在应用到业务计算机组内。

WSUS服务器的架构

也可以创建更复杂的WSUS服务器架构，也就是创建多台WSUS服务器，并设置让其中一台WSUS服务器从microsoft 网站获取更新程序，但是其他服务器并不直接连接Microsoft网站，而是从上游的组服务器来获取程序，而下游服务器从上游服务器获得更新程序。

这种将WSUS服务器通过上下游方式串接在一起的模式有两种"

• 自治模式：上游WSUS服务器会与下游服务器共享更新程序，也就是下游服务器会从上游服务器获取更新程序，但是并不包含更新程序的审批状态，计算机组信息。因此下游服务器必须自行决定是否要审批这些更新程序与自行创建所需的计算机组。
• 副本模式：上游服务器会与下游服务器共享更新程序，更新审批与计算机组信息。下游服务器可以获取上游服务器的数据，所有可以在上游服务器管理的项目都无法在下游服务器自行管理，例如不能自行更改新程序的审批状态等。

注意，上述计算机组信息只有计算机组本身而已，并且不包含计算机组的成员，必须自行在下游服务器来管理组成员，而客户端计算机在第一次与下游WSUS服务器接触时，这些计算机会默认被同时加入到所有计算机和未分配计算机组内。

可以根据公司网络环境的需求采用上下游WSUS服务器的串接方式。

采用上下游WSUS服务器串接架构，还需要考虑到不同语言的更新，例如，如果上游服务器在总部，总部需要简体中文的程序，而下游架设在分公司，分公司需要的语言是英文，虽然总公司需要的语言是简体中文，当必须在中公司的上游服务器选择同事下载中文和英文版的更新程序。连接Microsoft网站的上游服务器必须下载所有下游服务器需要的所有语言的更新程序，否则下游服务器将无法获取所需语言的更新程序。