決定存儲(chǔ)位置 更新程序是計(jì)算機(jī)上所安裝軟件的修補(bǔ)程序或整個(gè)文件的替代，Microsoft Update上的每個(gè)可用更新都由以下兩個(gè)部分構(gòu)成：

• 元數(shù)據(jù)，提供有關(guān)更新的信息，例如有關(guān)更新程序的屬性信息，從而使您能夠了解更新的用處；此外，元數(shù)據(jù)還包括最終用戶許可協(xié)議（EULA）。下載的更新的元數(shù)據(jù)軟件包通常遠(yuǎn)遠(yuǎn)小于實(shí)際的更新文件軟件包。
• 更新文件，是指在計(jì)算機(jī)上安裝更新所需的實(shí)際文件。

將更新同步到WSUS服務(wù)器時(shí)，元數(shù)據(jù)和更新文件將存儲(chǔ)在兩個(gè)不同的位置。元數(shù)據(jù)存儲(chǔ)在WSUS數(shù)據(jù)庫(kù)中；而根據(jù)配置同步選項(xiàng)的方式，更新文件可存儲(chǔ)在WSUS服務(wù)器上，也可存儲(chǔ)在Microsoft Update服務(wù)器上。 1、本地存儲(chǔ) 你可以將更新文件存儲(chǔ)在WSUS服務(wù)器上，這節(jié)省了企業(yè)外部網(wǎng)絡(luò)連接的帶寬，因?yàn)榭蛻舳擞?jì)算機(jī)直接從WSUS服務(wù)器獲取更新，這也是默認(rèn)選項(xiàng)。為了進(jìn)行本地存儲(chǔ)，安裝時(shí)WSUS服務(wù)器至少需要6G的剩余空間來(lái)存儲(chǔ)更新文件，推薦30G，但是根據(jù)不同的產(chǎn)品及分類同步選項(xiàng)，更新文件可能會(huì)超過(guò)30G。 2、遠(yuǎn)程存儲(chǔ) 如果你需要，你可以不進(jìn)行本地存儲(chǔ)。此時(shí)，更新文件遠(yuǎn)程存儲(chǔ)在Microsoft Update上。當(dāng)WSUS服務(wù)器和Microsoft Update進(jìn)行同步時(shí)，將只下載元數(shù)據(jù)；你可以通過(guò)WSUS控制臺(tái)批準(zhǔn)更新，安裝時(shí)客戶端計(jì)算機(jī)直接從Microsoft Update獲取更新文件。 ? 決定性能選項(xiàng) 不用擔(dān)心你所擁有的帶寬，WSUS提供了一些節(jié)省帶寬的特性，你可以根據(jù)你的部署來(lái)進(jìn)行選擇。這些節(jié)省帶寬的特性有： 1、延遲更新下載 WSUS允許你分開(kāi)下載更新程序的元數(shù)據(jù)和更新文件。在這種配置下，只有批準(zhǔn)更新程序安裝時(shí)，才會(huì)觸發(fā)此更新文件的下載，如下圖所示。這種方案同時(shí)節(jié)省了帶寬和WSUS服務(wù)器空間，因?yàn)橹挥行枰惭b的更新程序才會(huì)完全下載到WSUS服務(wù)器。微軟推薦你總是使用這個(gè)配置，因?yàn)樗鼘?shí)現(xiàn)了最優(yōu)化的帶寬使用，當(dāng)對(duì)更新文件進(jìn)行本地存儲(chǔ)時(shí)，這是默認(rèn)選項(xiàng)。 對(duì)于鏈?zhǔn)絎SUS服務(wù)，不推薦你部署超過(guò)三級(jí)的鏈?zhǔn)絎SUS服務(wù)，這是因?yàn)?#xff1a;

• 在鏈?zhǔn)絎SUS服務(wù)中，WSUS自動(dòng)設(shè)置所有下游服務(wù)器使用連接到Microsoft Update的WSUS服務(wù)器的延遲更新下載選項(xiàng)，你不能修改這一配置。因此，完整的WSUS服務(wù)器鏈在同步時(shí)要么延遲更新文件下載，要么同時(shí)下載元數(shù)據(jù)和更新文件；
• 如果你設(shè)置為延遲更新文件下載，當(dāng)下游服務(wù)器請(qǐng)求一個(gè)上游服務(wù)器沒(méi)有批準(zhǔn)的更新程序時(shí)，觸發(fā)了上游服務(wù)器進(jìn)行下載，然后下游服務(wù)器在下次同步時(shí)下載此更新程序，如下圖所示。如果你鏈?zhǔn)絎SUS服務(wù)級(jí)數(shù)過(guò)多，那么從請(qǐng)求此更新程序到完成下載之間，會(huì)經(jīng)歷較長(zhǎng)的時(shí)延。

延遲更新下載和批準(zhǔn)更新進(jìn)行檢測(cè)時(shí)一起工作非常有用，一方面節(jié)省了大量的外部網(wǎng)絡(luò)帶寬，另外一方面，通過(guò)更新程序元數(shù)據(jù)的下載以及批準(zhǔn)進(jìn)行檢測(cè)，就可以知道客戶端計(jì)算機(jī)是否需要此更新程序。只有當(dāng)客戶端計(jì)算機(jī)需要時(shí)，你再批準(zhǔn)此更新程序進(jìn)行安裝，此時(shí)WSUS服務(wù)器才會(huì)進(jìn)行更新文件的下載。 2、更新過(guò)濾 WSUS讓你可以選擇只和Windows Update同步你的企業(yè)中所需要的更新，你可以通過(guò)更新的語(yǔ)言、產(chǎn)品和分類來(lái)對(duì)同步進(jìn)行限制。 在鏈?zhǔn)絎SUS服務(wù)器環(huán)境中，WSUS自動(dòng)設(shè)置所有下游服務(wù)器使用直接連接到Windows Update的WSUS服務(wù)器的更新過(guò)濾選項(xiàng)，從另一方面來(lái)說(shuō)，你不能在任何下游服務(wù)器上設(shè)置過(guò)濾選項(xiàng)。這個(gè)配置是無(wú)法修改的，完整的WSUS鏈必須使用相同的更新過(guò)濾設(shè)置。雖然你不能在下游服務(wù)器上修改更新過(guò)濾設(shè)置，但是你可以通過(guò)延遲更新下載來(lái)實(shí)現(xiàn)下游服務(wù)器只是下載上游WSUS服務(wù)器的更新程序中的子集。 默認(rèn)情況下，WSUS為任何語(yǔ)言的所有Windows產(chǎn)品下載關(guān)鍵更新和安全更新，為了節(jié)省外部網(wǎng)絡(luò)帶寬和服務(wù)器空間，微軟推薦你限制更新程序?yàn)橹皇悄阈枰恼Z(yǔ)言。 3、使用快速安裝文件 快速安裝文件是一種更新分發(fā)機(jī)制，你可以通過(guò)使用快速安裝文件來(lái)節(jié)省你內(nèi)部網(wǎng)絡(luò)中的帶寬，但是卻是以增加你的外部網(wǎng)絡(luò)帶寬消耗為前提。 更新程序通常是由客戶端計(jì)算機(jī)上已經(jīng)安裝的文件的更新版本組成，在文件的二進(jìn)制級(jí)別上來(lái)說(shuō)，它們的區(qū)別并不大。快速安裝文件特性就是精確的識(shí)別不同版本文件的不同的字節(jié)，然后創(chuàng)建和分發(fā)僅僅是包含這些不同字節(jié)的更新程序，然后這些更新程序和客戶端計(jì)算機(jī)上的原始文件進(jìn)行整合，從而完成系統(tǒng)更新。這種特性也稱之為增量分發(fā)，因?yàn)樗皇窍螺d兩個(gè)版本文件的不同或者增加之處。 因?yàn)榭焖侔惭b文件必須考慮每個(gè)文件的任何可能性，所以WSUS服務(wù)器從Microsoft Update下載的快速安裝文件通常比正常的更新文件大，當(dāng)使用快速安裝文件特性時(shí)，它所消耗的外部網(wǎng)絡(luò)帶寬要比正常的更新文件多。只是當(dāng)內(nèi)部網(wǎng)絡(luò)的客戶端計(jì)算機(jī)下載更新文件時(shí)，所下載的更新文件要比正常的更新文件小，如下圖所示。 這只適合內(nèi)部網(wǎng)絡(luò)帶寬更為緊張的網(wǎng)絡(luò)環(huán)境，默認(rèn)情況下，WSUS不使用快速安裝文件特性。 決定計(jì)算機(jī)組分配選項(xiàng) 決定如何將計(jì)算機(jī)分配到計(jì)算機(jī)組具有三個(gè)步驟：首先，你必須選擇計(jì)算機(jī)組分配的選項(xiàng)，你可以選擇服務(wù)器端定位或客戶端定位；其次，在WSUS服務(wù)器中創(chuàng)建對(duì)應(yīng)的計(jì)算機(jī)組；最后，根據(jù)你選擇的分配選項(xiàng)，使用不同的方式來(lái)將計(jì)算機(jī)進(jìn)行分組。 當(dāng)使用服務(wù)器端定位時(shí)，你必須在WSUS管理控制臺(tái)中手動(dòng)將客戶端計(jì)算機(jī)對(duì)象移動(dòng)到不同的計(jì)算機(jī)組中；而使用客戶端定位時(shí)，你必須通過(guò)組策略來(lái)告知客戶端計(jì)算機(jī)所加入的計(jì)算機(jī)組。無(wú)論采用哪種方式，你都必須先在WSUS服務(wù)器中創(chuàng)建相應(yīng)的計(jì)算機(jī)組。 在你可以在WSUS服務(wù)器上管理某個(gè)客戶端計(jì)算機(jī)之前，你必須先讓此客戶端計(jì)算機(jī)和WSUS服務(wù)器進(jìn)行通訊。在客戶端計(jì)算機(jī)沒(méi)有和WSUS服務(wù)器進(jìn)行通訊之前，WSUS服務(wù)器無(wú)法識(shí)別此客戶端計(jì)算機(jī)，也不會(huì)在計(jì)算機(jī)列表中列出此對(duì)象。安裝在域環(huán)境下的WSUS服務(wù)器也可能不能正常識(shí)別非域成員的客戶端計(jì)算機(jī)，就算這些客戶端計(jì)算機(jī)可以正常通過(guò)此WSUS服務(wù)器進(jìn)行更新。 一個(gè)客戶端計(jì)算機(jī)只能設(shè)置為同時(shí)訪問(wèn)一個(gè)WSUS服務(wù)器。如果你修改了客戶端計(jì)算機(jī)更新的WSUS服務(wù)器，那么此客戶端計(jì)算機(jī)將終止和原有WSUS服務(wù)器的通訊，但是此客戶端計(jì)算機(jī)對(duì)象還會(huì)存在于原WSUS服務(wù)器的計(jì)算機(jī)列表中，只是同時(shí)會(huì)列出此計(jì)算機(jī)最后一次和WSUS服務(wù)器進(jìn)行通訊的時(shí)間，你可以手動(dòng)刪除此客戶端計(jì)算機(jī)對(duì)象。 批準(zhǔn)更新 當(dāng)WSUS服務(wù)器同步后，將根據(jù)配置情況獲得相應(yīng)的更新列表。你需要對(duì)更新進(jìn)行批準(zhǔn)，以便進(jìn)行安裝或檢測(cè)；你可以選擇一個(gè)或多個(gè)更新進(jìn)行批準(zhǔn)，如果選擇多個(gè)更新，那么客戶端計(jì)算機(jī)會(huì)一次性進(jìn)行安裝。批準(zhǔn)更新的方式有以下五種： 1、僅檢測(cè) 當(dāng)你批準(zhǔn)更新只是進(jìn)行檢測(cè)時(shí)，更新并不會(huì)在客戶端計(jì)算機(jī)上進(jìn)行安裝。但是，WSUS會(huì)在批準(zhǔn)更新對(duì)話框上所應(yīng)用到的計(jì)算機(jī)組上進(jìn)行檢測(cè)，以確定此更新是否適合客戶端計(jì)算機(jī)或者客戶端計(jì)算機(jī)是否需要。此檢測(cè)動(dòng)作計(jì)劃在當(dāng)客戶端計(jì)算機(jī)下次和WSUS服務(wù)器進(jìn)行通訊時(shí)發(fā)生，你可以通過(guò)更新報(bào)告狀態(tài)或者在更新頁(yè)面點(diǎn)擊更新程序的狀態(tài)標(biāo)簽來(lái)查看結(jié)果。如果顯示為需要，則表明客戶端計(jì)算機(jī)需要此更新。默認(rèn)情況下，關(guān)鍵更新和安全更新將自動(dòng)批準(zhǔn)進(jìn)行檢測(cè)。 2、安裝 批準(zhǔn)更新在批準(zhǔn)更新對(duì)話框所指定的計(jì)算機(jī)組中進(jìn)行安裝。在批準(zhǔn)更新時(shí)，你可以選擇客戶端計(jì)算機(jī)安裝更新的不同方式：

• 使用客戶端計(jì)算機(jī)的設(shè)置來(lái)決定如何安裝更新。當(dāng)你使用此方式時(shí)，批準(zhǔn)更新所應(yīng)用到的計(jì)算機(jī)組中的客戶端計(jì)算機(jī)將根據(jù)自己的設(shè)置來(lái)決定如何安裝更新程序，可能會(huì)提示當(dāng)前的用戶進(jìn)行安裝，也可以根據(jù)組策略的設(shè)置自動(dòng)進(jìn)行安裝。
• 定義自動(dòng)安裝的最后期限。當(dāng)你使用此方式，你可以指定更新程序在客戶端計(jì)算機(jī)上安裝的日期和時(shí)間，此設(shè)置會(huì)覆蓋客戶端計(jì)算機(jī)上的任何設(shè)置。你可以指定一個(gè)過(guò)去的時(shí)間，這樣會(huì)導(dǎo)致客戶端計(jì)算機(jī)在下次訪問(wèn)WSUS服務(wù)器時(shí)立刻進(jìn)行安裝操作。注意，你不能為需要用戶輸入的更新程序進(jìn)行最后期限定義的自動(dòng)安裝，否則安裝會(huì)失敗。你可以在更新程序的詳細(xì)信息中查看可能要求用戶輸入字段來(lái)確定更新程序是否需要用戶輸入，并且在批準(zhǔn)更新時(shí)在批準(zhǔn)更新對(duì)話框上也會(huì)有相應(yīng)的提示。

　

3、拒絕更新

此選項(xiàng)只是存在于更新頁(yè)面的更新任務(wù)列表中。如果你選擇此選項(xiàng)，此更新將從可用更新列表中刪除，而不再進(jìn)行任何其他操作。只有在查看視圖中選擇查看已拒絕或者所有更新時(shí)才可見(jiàn)。

4、刪除

你可以批準(zhǔn)某個(gè)更新進(jìn)行刪除，即從相應(yīng)的客戶端計(jì)算機(jī)上進(jìn)行卸載。此選項(xiàng)只有更新支持刪除時(shí)才會(huì)出現(xiàn)。針對(duì)刪除更新操作，你也同樣可以定義最后期限，當(dāng)你想讓客戶端計(jì)算機(jī)立即執(zhí)行時(shí)，你可以指定一個(gè)過(guò)去時(shí)間為最后期限。

5、未許可

這是默認(rèn)的批準(zhǔn)選項(xiàng)。WSUS服務(wù)器同步更新程序后，更新程序的默認(rèn)狀態(tài)即為未許可。在此狀態(tài)下，WSUS服務(wù)器不會(huì)對(duì)更新程序進(jìn)行任何操作，客戶端計(jì)算機(jī)也不能對(duì)此更新進(jìn)行檢測(cè)或安裝，你必須手動(dòng)批準(zhǔn)更新進(jìn)行安裝或檢測(cè)。 自動(dòng)批準(zhǔn)更新 在自動(dòng)批準(zhǔn)選項(xiàng)中，你可以配置WSUS服務(wù)器在同步時(shí)下載更新程序后自動(dòng)批準(zhǔn)進(jìn)行檢測(cè)或者安裝。你可以通過(guò)更新程序的分類和計(jì)算機(jī)組來(lái)決定自動(dòng)批準(zhǔn)檢測(cè)或自動(dòng)批準(zhǔn)安裝，當(dāng)兩者規(guī)則出現(xiàn)沖突時(shí)，以自動(dòng)批準(zhǔn)安裝的規(guī)則為準(zhǔn)。默認(rèn)情況下，自動(dòng)批準(zhǔn)安全更新和關(guān)鍵更新在所有計(jì)算機(jī)組上進(jìn)行檢測(cè)。 另外，你可以選擇自動(dòng)批準(zhǔn)更新的最新修訂，這也是默認(rèn)選項(xiàng)。修訂是在原有更新基礎(chǔ)上的修改，例如，原有更新可能已經(jīng)過(guò)期或者EULA已經(jīng)不適用。如果你取消此選項(xiàng)，你必須手動(dòng)對(duì)新的更新程序進(jìn)行批準(zhǔn)。另外一個(gè)和修訂類似的概念是取代。某個(gè)更新可能會(huì)取代另外一個(gè)更新，也可能被另外一個(gè)更新所取代。你可以從更新程序的詳細(xì)信息中看到這些信息。對(duì)于取代以前某個(gè)更新的更新程序，WSUS并不是自動(dòng)批準(zhǔn)。這是因?yàn)橐郧斑@個(gè)更新可能適合舊的版本或者使用的對(duì)象不一樣。對(duì)于這種情況，你應(yīng)該批準(zhǔn)此取代更新進(jìn)行檢測(cè)，然后觀察此取代更新檢測(cè)后的狀態(tài)，看客戶端計(jì)算機(jī)是否需要此取代更新，然后再根據(jù)情況進(jìn)行批準(zhǔn)安裝操作。 另外還有一個(gè)默認(rèn)啟用的選項(xiàng)是自動(dòng)批準(zhǔn)WSUS更新，它是針對(duì)WSUS服務(wù)所使用的更新程序進(jìn)行自動(dòng)批準(zhǔn)安裝操作，你應(yīng)該總是使用此選項(xiàng)。
? 配置客戶端計(jì)算機(jī)進(jìn)行自動(dòng)更新 前面所涉及的都是WSUS服務(wù)器的配置，你還需要配置客戶端計(jì)算機(jī)通過(guò)WSUS服務(wù)器來(lái)進(jìn)行自動(dòng)更新。如何配置客戶端計(jì)算機(jī)通過(guò)WSUS服務(wù)器進(jìn)行自動(dòng)更新取決于您的網(wǎng)絡(luò)環(huán)境：在域環(huán)境中，可以使用基于域的組策略對(duì)象 (GPO)；在非域環(huán)境中，可以使用本地組策略對(duì)象或者直接修改注冊(cè)表。當(dāng)你部署組策略用于自動(dòng)更新后，客戶端計(jì)算機(jī)上控制面板中的自動(dòng)更新就會(huì)失效。 在域中通過(guò)組策略進(jìn)行部署時(shí)，微軟建議添加一個(gè)針對(duì)WSUS更新的組策略對(duì)象，而不是修改默認(rèn)域策略或默認(rèn)域控制器策略。自動(dòng)更新是通過(guò)配置組策略中Windows Update管理模板來(lái)實(shí)現(xiàn)的，具體的位置在計(jì)算機(jī)配置->管理模板->Windows組件->Windows Update，如果你沒(méi)有找到此模板，可以右擊管理模板選擇添加/刪除模板再選擇添加%systemroot%infwuau.adm模板。 為了讓客戶端計(jì)算機(jī)從WSUS服務(wù)器獲取更新，你必須在組策略中部署以下選項(xiàng)：

• 配置自動(dòng)更新。必須設(shè)置為已啟用，然后選擇以下方式之一：
  ? 通知下載并通知安裝。該選項(xiàng)會(huì)在下載和安裝更新之前對(duì)已登錄的管理用戶進(jìn)行提醒。
  ? 自動(dòng)下載并通知安裝。該選項(xiàng)會(huì)自動(dòng)開(kāi)始下載更新，然后在安裝更新之前對(duì)已登錄的管理用戶進(jìn)行提醒。
  ? 自動(dòng)下載并計(jì)劃安裝。如果將自動(dòng)更新配置為執(zhí)行計(jì)劃安裝，那么還必須設(shè)置后面的執(zhí)行計(jì)劃安裝的日期和時(shí)間。
  ? 允許本地管理員選擇設(shè)置。如果選擇該選項(xiàng)，則允許本地管理員使用“控制面板”中的“自動(dòng)更新”來(lái)自行選擇配置選項(xiàng)。例如，他們可以選擇自己的計(jì)劃安裝時(shí)間 ，但是不允許本地管理員禁用自動(dòng)更新。此選項(xiàng)只有當(dāng)客戶端計(jì)算機(jī)的自動(dòng)更新組件已自我更新到與WSUS兼容的版本之后，才會(huì)顯示。

• 指定Intranet Microsoft更新服務(wù)位置。必須設(shè)置為已啟用，然后配置為企業(yè)內(nèi)部網(wǎng)絡(luò)中的WSUS服務(wù)器地址。

除此之外，你還可以配置其他選項(xiàng)，例如自動(dòng)更新檢測(cè)頻率、允許自動(dòng)更新立即安裝等等。另外有一個(gè)較為重要的配置選項(xiàng)是允許客戶端目標(biāo)設(shè)置。通過(guò)此選項(xiàng)，當(dāng)你在WSUS服務(wù)器上配置計(jì)算機(jī)分組使用客戶端定位時(shí)，你可以配置應(yīng)用此組策略的客戶端計(jì)算機(jī)自動(dòng)加入到此選項(xiàng)所配置的計(jì)算機(jī)組中。

轉(zhuǎn)載于:https://blog.51cto.com/61735829/22135

與50位技術(shù)專家面對(duì)面20年技術(shù)見(jiàn)證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的WSUS专题之二:部署与规划-参数选择的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。