決定存儲位置 更新程序是計(jì)算機(jī)上所安裝軟件的修補(bǔ)程序或整個文件的替代，Microsoft Update上的每個可用更新都由以下兩個部分構(gòu)成：

• 元數(shù)據(jù)，提供有關(guān)更新的信息，例如有關(guān)更新程序的屬性信息，從而使您能夠了解更新的用處；此外，元數(shù)據(jù)還包括最終用戶許可協(xié)議（EULA）。下載的更新的元數(shù)據(jù)軟件包通常遠(yuǎn)遠(yuǎn)小于實(shí)際的更新文件軟件包。
• 更新文件，是指在計(jì)算機(jī)上安裝更新所需的實(shí)際文件。

將更新同步到WSUS服務(wù)器時，元數(shù)據(jù)和更新文件將存儲在兩個不同的位置。元數(shù)據(jù)存儲在WSUS數(shù)據(jù)庫中；而根據(jù)配置同步選項(xiàng)的方式，更新文件可存儲在WSUS服務(wù)器上，也可存儲在Microsoft Update服務(wù)器上。 1、本地存儲 你可以將更新文件存儲在WSUS服務(wù)器上，這節(jié)省了企業(yè)外部網(wǎng)絡(luò)連接的帶寬，因?yàn)榭蛻舳擞?jì)算機(jī)直接從WSUS服務(wù)器獲取更新，這也是默認(rèn)選項(xiàng)。為了進(jìn)行本地存儲，安裝時WSUS服務(wù)器至少需要6G的剩余空間來存儲更新文件，推薦30G，但是根據(jù)不同的產(chǎn)品及分類同步選項(xiàng)，更新文件可能會超過30G。 2、遠(yuǎn)程存儲 如果你需要，你可以不進(jìn)行本地存儲。此時，更新文件遠(yuǎn)程存儲在Microsoft Update上。當(dāng)WSUS服務(wù)器和Microsoft Update進(jìn)行同步時，將只下載元數(shù)據(jù)；你可以通過WSUS控制臺批準(zhǔn)更新，安裝時客戶端計(jì)算機(jī)直接從Microsoft Update獲取更新文件。 ? 決定性能選項(xiàng) 不用擔(dān)心你所擁有的帶寬，WSUS提供了一些節(jié)省帶寬的特性，你可以根據(jù)你的部署來進(jìn)行選擇。這些節(jié)省帶寬的特性有： 1、延遲更新下載 WSUS允許你分開下載更新程序的元數(shù)據(jù)和更新文件。在這種配置下，只有批準(zhǔn)更新程序安裝時，才會觸發(fā)此更新文件的下載，如下圖所示。這種方案同時節(jié)省了帶寬和WSUS服務(wù)器空間，因?yàn)橹挥行枰惭b的更新程序才會完全下載到WSUS服務(wù)器。微軟推薦你總是使用這個配置，因?yàn)樗鼘?shí)現(xiàn)了最優(yōu)化的帶寬使用，當(dāng)對更新文件進(jìn)行本地存儲時，這是默認(rèn)選項(xiàng)。 對于鏈?zhǔn)絎SUS服務(wù)，不推薦你部署超過三級的鏈?zhǔn)絎SUS服務(wù)，這是因?yàn)?#xff1a;

• 在鏈?zhǔn)絎SUS服務(wù)中，WSUS自動設(shè)置所有下游服務(wù)器使用連接到Microsoft Update的WSUS服務(wù)器的延遲更新下載選項(xiàng)，你不能修改這一配置。因此，完整的WSUS服務(wù)器鏈在同步時要么延遲更新文件下載，要么同時下載元數(shù)據(jù)和更新文件；
• 如果你設(shè)置為延遲更新文件下載，當(dāng)下游服務(wù)器請求一個上游服務(wù)器沒有批準(zhǔn)的更新程序時，觸發(fā)了上游服務(wù)器進(jìn)行下載，然后下游服務(wù)器在下次同步時下載此更新程序，如下圖所示。如果你鏈?zhǔn)絎SUS服務(wù)級數(shù)過多，那么從請求此更新程序到完成下載之間，會經(jīng)歷較長的時延。

延遲更新下載和批準(zhǔn)更新進(jìn)行檢測時一起工作非常有用，一方面節(jié)省了大量的外部網(wǎng)絡(luò)帶寬，另外一方面，通過更新程序元數(shù)據(jù)的下載以及批準(zhǔn)進(jìn)行檢測，就可以知道客戶端計(jì)算機(jī)是否需要此更新程序。只有當(dāng)客戶端計(jì)算機(jī)需要時，你再批準(zhǔn)此更新程序進(jìn)行安裝，此時WSUS服務(wù)器才會進(jìn)行更新文件的下載。 2、更新過濾 WSUS讓你可以選擇只和Windows Update同步你的企業(yè)中所需要的更新，你可以通過更新的語言、產(chǎn)品和分類來對同步進(jìn)行限制。 在鏈?zhǔn)絎SUS服務(wù)器環(huán)境中，WSUS自動設(shè)置所有下游服務(wù)器使用直接連接到Windows Update的WSUS服務(wù)器的更新過濾選項(xiàng)，從另一方面來說，你不能在任何下游服務(wù)器上設(shè)置過濾選項(xiàng)。這個配置是無法修改的，完整的WSUS鏈必須使用相同的更新過濾設(shè)置。雖然你不能在下游服務(wù)器上修改更新過濾設(shè)置，但是你可以通過延遲更新下載來實(shí)現(xiàn)下游服務(wù)器只是下載上游WSUS服務(wù)器的更新程序中的子集。 默認(rèn)情況下，WSUS為任何語言的所有Windows產(chǎn)品下載關(guān)鍵更新和安全更新，為了節(jié)省外部網(wǎng)絡(luò)帶寬和服務(wù)器空間，微軟推薦你限制更新程序?yàn)橹皇悄阈枰恼Z言。 3、使用快速安裝文件 快速安裝文件是一種更新分發(fā)機(jī)制，你可以通過使用快速安裝文件來節(jié)省你內(nèi)部網(wǎng)絡(luò)中的帶寬，但是卻是以增加你的外部網(wǎng)絡(luò)帶寬消耗為前提。 更新程序通常是由客戶端計(jì)算機(jī)上已經(jīng)安裝的文件的更新版本組成，在文件的二進(jìn)制級別上來說，它們的區(qū)別并不大。快速安裝文件特性就是精確的識別不同版本文件的不同的字節(jié)，然后創(chuàng)建和分發(fā)僅僅是包含這些不同字節(jié)的更新程序，然后這些更新程序和客戶端計(jì)算機(jī)上的原始文件進(jìn)行整合，從而完成系統(tǒng)更新。這種特性也稱之為增量分發(fā)，因?yàn)樗皇窍螺d兩個版本文件的不同或者增加之處。 因?yàn)榭焖侔惭b文件必須考慮每個文件的任何可能性，所以WSUS服務(wù)器從Microsoft Update下載的快速安裝文件通常比正常的更新文件大，當(dāng)使用快速安裝文件特性時，它所消耗的外部網(wǎng)絡(luò)帶寬要比正常的更新文件多。只是當(dāng)內(nèi)部網(wǎng)絡(luò)的客戶端計(jì)算機(jī)下載更新文件時，所下載的更新文件要比正常的更新文件小，如下圖所示。 這只適合內(nèi)部網(wǎng)絡(luò)帶寬更為緊張的網(wǎng)絡(luò)環(huán)境，默認(rèn)情況下，WSUS不使用快速安裝文件特性。 決定計(jì)算機(jī)組分配選項(xiàng) 決定如何將計(jì)算機(jī)分配到計(jì)算機(jī)組具有三個步驟：首先，你必須選擇計(jì)算機(jī)組分配的選項(xiàng)，你可以選擇服務(wù)器端定位或客戶端定位；其次，在WSUS服務(wù)器中創(chuàng)建對應(yīng)的計(jì)算機(jī)組；最后，根據(jù)你選擇的分配選項(xiàng)，使用不同的方式來將計(jì)算機(jī)進(jìn)行分組。 當(dāng)使用服務(wù)器端定位時，你必須在WSUS管理控制臺中手動將客戶端計(jì)算機(jī)對象移動到不同的計(jì)算機(jī)組中；而使用客戶端定位時，你必須通過組策略來告知客戶端計(jì)算機(jī)所加入的計(jì)算機(jī)組。無論采用哪種方式，你都必須先在WSUS服務(wù)器中創(chuàng)建相應(yīng)的計(jì)算機(jī)組。 在你可以在WSUS服務(wù)器上管理某個客戶端計(jì)算機(jī)之前，你必須先讓此客戶端計(jì)算機(jī)和WSUS服務(wù)器進(jìn)行通訊。在客戶端計(jì)算機(jī)沒有和WSUS服務(wù)器進(jìn)行通訊之前，WSUS服務(wù)器無法識別此客戶端計(jì)算機(jī)，也不會在計(jì)算機(jī)列表中列出此對象。安裝在域環(huán)境下的WSUS服務(wù)器也可能不能正常識別非域成員的客戶端計(jì)算機(jī)，就算這些客戶端計(jì)算機(jī)可以正常通過此WSUS服務(wù)器進(jìn)行更新。 一個客戶端計(jì)算機(jī)只能設(shè)置為同時訪問一個WSUS服務(wù)器。如果你修改了客戶端計(jì)算機(jī)更新的WSUS服務(wù)器，那么此客戶端計(jì)算機(jī)將終止和原有WSUS服務(wù)器的通訊，但是此客戶端計(jì)算機(jī)對象還會存在于原WSUS服務(wù)器的計(jì)算機(jī)列表中，只是同時會列出此計(jì)算機(jī)最后一次和WSUS服務(wù)器進(jìn)行通訊的時間，你可以手動刪除此客戶端計(jì)算機(jī)對象。 批準(zhǔn)更新 當(dāng)WSUS服務(wù)器同步后，將根據(jù)配置情況獲得相應(yīng)的更新列表。你需要對更新進(jìn)行批準(zhǔn)，以便進(jìn)行安裝或檢測；你可以選擇一個或多個更新進(jìn)行批準(zhǔn)，如果選擇多個更新，那么客戶端計(jì)算機(jī)會一次性進(jìn)行安裝。批準(zhǔn)更新的方式有以下五種： 1、僅檢測 當(dāng)你批準(zhǔn)更新只是進(jìn)行檢測時，更新并不會在客戶端計(jì)算機(jī)上進(jìn)行安裝。但是，WSUS會在批準(zhǔn)更新對話框上所應(yīng)用到的計(jì)算機(jī)組上進(jìn)行檢測，以確定此更新是否適合客戶端計(jì)算機(jī)或者客戶端計(jì)算機(jī)是否需要。此檢測動作計(jì)劃在當(dāng)客戶端計(jì)算機(jī)下次和WSUS服務(wù)器進(jìn)行通訊時發(fā)生，你可以通過更新報告狀態(tài)或者在更新頁面點(diǎn)擊更新程序的狀態(tài)標(biāo)簽來查看結(jié)果。如果顯示為需要，則表明客戶端計(jì)算機(jī)需要此更新。默認(rèn)情況下，關(guān)鍵更新和安全更新將自動批準(zhǔn)進(jìn)行檢測。 2、安裝 批準(zhǔn)更新在批準(zhǔn)更新對話框所指定的計(jì)算機(jī)組中進(jìn)行安裝。在批準(zhǔn)更新時，你可以選擇客戶端計(jì)算機(jī)安裝更新的不同方式：

• 使用客戶端計(jì)算機(jī)的設(shè)置來決定如何安裝更新。當(dāng)你使用此方式時，批準(zhǔn)更新所應(yīng)用到的計(jì)算機(jī)組中的客戶端計(jì)算機(jī)將根據(jù)自己的設(shè)置來決定如何安裝更新程序，可能會提示當(dāng)前的用戶進(jìn)行安裝，也可以根據(jù)組策略的設(shè)置自動進(jìn)行安裝。
• 定義自動安裝的最后期限。當(dāng)你使用此方式，你可以指定更新程序在客戶端計(jì)算機(jī)上安裝的日期和時間，此設(shè)置會覆蓋客戶端計(jì)算機(jī)上的任何設(shè)置。你可以指定一個過去的時間，這樣會導(dǎo)致客戶端計(jì)算機(jī)在下次訪問WSUS服務(wù)器時立刻進(jìn)行安裝操作。注意，你不能為需要用戶輸入的更新程序進(jìn)行最后期限定義的自動安裝，否則安裝會失敗。你可以在更新程序的詳細(xì)信息中查看可能要求用戶輸入字段來確定更新程序是否需要用戶輸入，并且在批準(zhǔn)更新時在批準(zhǔn)更新對話框上也會有相應(yīng)的提示。

　

3、拒絕更新

此選項(xiàng)只是存在于更新頁面的更新任務(wù)列表中。如果你選擇此選項(xiàng)，此更新將從可用更新列表中刪除，而不再進(jìn)行任何其他操作。只有在查看視圖中選擇查看已拒絕或者所有更新時才可見。

4、刪除

你可以批準(zhǔn)某個更新進(jìn)行刪除，即從相應(yīng)的客戶端計(jì)算機(jī)上進(jìn)行卸載。此選項(xiàng)只有更新支持刪除時才會出現(xiàn)。針對刪除更新操作，你也同樣可以定義最后期限，當(dāng)你想讓客戶端計(jì)算機(jī)立即執(zhí)行時，你可以指定一個過去時間為最后期限。

5、未許可

這是默認(rèn)的批準(zhǔn)選項(xiàng)。WSUS服務(wù)器同步更新程序后，更新程序的默認(rèn)狀態(tài)即為未許可。在此狀態(tài)下，WSUS服務(wù)器不會對更新程序進(jìn)行任何操作，客戶端計(jì)算機(jī)也不能對此更新進(jìn)行檢測或安裝，你必須手動批準(zhǔn)更新進(jìn)行安裝或檢測。 自動批準(zhǔn)更新 在自動批準(zhǔn)選項(xiàng)中，你可以配置WSUS服務(wù)器在同步時下載更新程序后自動批準(zhǔn)進(jìn)行檢測或者安裝。你可以通過更新程序的分類和計(jì)算機(jī)組來決定自動批準(zhǔn)檢測或自動批準(zhǔn)安裝，當(dāng)兩者規(guī)則出現(xiàn)沖突時，以自動批準(zhǔn)安裝的規(guī)則為準(zhǔn)。默認(rèn)情況下，自動批準(zhǔn)安全更新和關(guān)鍵更新在所有計(jì)算機(jī)組上進(jìn)行檢測。 另外，你可以選擇自動批準(zhǔn)更新的最新修訂，這也是默認(rèn)選項(xiàng)。修訂是在原有更新基礎(chǔ)上的修改，例如，原有更新可能已經(jīng)過期或者EULA已經(jīng)不適用。如果你取消此選項(xiàng)，你必須手動對新的更新程序進(jìn)行批準(zhǔn)。另外一個和修訂類似的概念是取代。某個更新可能會取代另外一個更新，也可能被另外一個更新所取代。你可以從更新程序的詳細(xì)信息中看到這些信息。對于取代以前某個更新的更新程序，WSUS并不是自動批準(zhǔn)。這是因?yàn)橐郧斑@個更新可能適合舊的版本或者使用的對象不一樣。對于這種情況，你應(yīng)該批準(zhǔn)此取代更新進(jìn)行檢測，然后觀察此取代更新檢測后的狀態(tài)，看客戶端計(jì)算機(jī)是否需要此取代更新，然后再根據(jù)情況進(jìn)行批準(zhǔn)安裝操作。 另外還有一個默認(rèn)啟用的選項(xiàng)是自動批準(zhǔn)WSUS更新，它是針對WSUS服務(wù)所使用的更新程序進(jìn)行自動批準(zhǔn)安裝操作，你應(yīng)該總是使用此選項(xiàng)。
? 配置客戶端計(jì)算機(jī)進(jìn)行自動更新 前面所涉及的都是WSUS服務(wù)器的配置，你還需要配置客戶端計(jì)算機(jī)通過WSUS服務(wù)器來進(jìn)行自動更新。如何配置客戶端計(jì)算機(jī)通過WSUS服務(wù)器進(jìn)行自動更新取決于您的網(wǎng)絡(luò)環(huán)境：在域環(huán)境中，可以使用基于域的組策略對象 (GPO)；在非域環(huán)境中，可以使用本地組策略對象或者直接修改注冊表。當(dāng)你部署組策略用于自動更新后，客戶端計(jì)算機(jī)上控制面板中的自動更新就會失效。 在域中通過組策略進(jìn)行部署時，微軟建議添加一個針對WSUS更新的組策略對象，而不是修改默認(rèn)域策略或默認(rèn)域控制器策略。自動更新是通過配置組策略中Windows Update管理模板來實(shí)現(xiàn)的，具體的位置在計(jì)算機(jī)配置->管理模板->Windows組件->Windows Update，如果你沒有找到此模板，可以右擊管理模板選擇添加/刪除模板再選擇添加%systemroot%infwuau.adm模板。 為了讓客戶端計(jì)算機(jī)從WSUS服務(wù)器獲取更新，你必須在組策略中部署以下選項(xiàng)：

• 配置自動更新。必須設(shè)置為已啟用，然后選擇以下方式之一：
  ? 通知下載并通知安裝。該選項(xiàng)會在下載和安裝更新之前對已登錄的管理用戶進(jìn)行提醒。
  ? 自動下載并通知安裝。該選項(xiàng)會自動開始下載更新，然后在安裝更新之前對已登錄的管理用戶進(jìn)行提醒。
  ? 自動下載并計(jì)劃安裝。如果將自動更新配置為執(zhí)行計(jì)劃安裝，那么還必須設(shè)置后面的執(zhí)行計(jì)劃安裝的日期和時間。
  ? 允許本地管理員選擇設(shè)置。如果選擇該選項(xiàng)，則允許本地管理員使用“控制面板”中的“自動更新”來自行選擇配置選項(xiàng)。例如，他們可以選擇自己的計(jì)劃安裝時間 ，但是不允許本地管理員禁用自動更新。此選項(xiàng)只有當(dāng)客戶端計(jì)算機(jī)的自動更新組件已自我更新到與WSUS兼容的版本之后，才會顯示。

• 指定Intranet Microsoft更新服務(wù)位置。必須設(shè)置為已啟用，然后配置為企業(yè)內(nèi)部網(wǎng)絡(luò)中的WSUS服務(wù)器地址。

除此之外，你還可以配置其他選項(xiàng)，例如自動更新檢測頻率、允許自動更新立即安裝等等。另外有一個較為重要的配置選項(xiàng)是允許客戶端目標(biāo)設(shè)置。通過此選項(xiàng)，當(dāng)你在WSUS服務(wù)器上配置計(jì)算機(jī)分組使用客戶端定位時，你可以配置應(yīng)用此組策略的客戶端計(jì)算機(jī)自動加入到此選項(xiàng)所配置的計(jì)算機(jī)組中。

轉(zhuǎn)載于:https://blog.51cto.com/61735829/22135

與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的WSUS专题之二:部署与规划-参数选择的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。