WSUS概述
为了让用户的windows系统与其他microsoft产品能够更安全，更稳定，因此microsoft会不定期在网站上推出最新的更新程序供用户下载与安装，而用户可以通过以下方式来取得这些程序：

• 手动连接microsoft update网站
• 通过windows系统的自动更新功能

然而以上两种方式对企业内部来说，都可能会有以下缺点。

• 影响网络效率：如果企业内部每台计算机都自行上网更新，将会增加对外网络的负担。
• 与现有软件相互干扰：如果企业内部使用的软件与更新程序发生冲突，则用户自行下载与安装更新程序可能会影响该软件或更新程序的正常运行。
  WSUS是一个可以解决上述问题的产品，企业内部可以通过WSUS服务器集中从Microsoft update网站下载更新程序，并且在完成这些更新程序的测试工作，确定对企业内部计算机没有不良影响后，在通过网管审批程序，将程序部署到客户机上。

实验环境：
1.hyper-v下的虚拟机进行
2.DC域控制器一台
3.WSUS补丁服务器一台
4.win10客户端一台

实验目的:
1.WSUS获取Microsoft 更新
2.WSUS下发更新到客户端
3.客户端更新成功

拓步.jpg

1、 WSUS服务器角色的安装，安装的整个过程还是比较简单的，只需要一直下一步下一步即可，使用作为本地 Administrators 组成员的帐户登录到你计划安装 WSUS 服务器角色的服务器。

1.png 2.png

• 选择数据库。使用内置数据库，如果要使用SQL数据库，勾选数据库
• WID connectivity: wsus需要数据库的支持，使用内置数据库。
• WSUS服务：包含了更新服务、web服务、服务器同步数据等wsus的角色
• SQL Server：使wsus连接SQL server数据，适合大规模部署或高可靠性

3.png 4.png 5.png 6.png 7.png

2、 WSUS服务器角色之后，第一次使用WSUS的时候会进入WSUS的配置向导，对WSUS做一个基本的设置。

1.png 2.png 3.png 4.png

在“选择上游服务器”页上，你可选择将更新与 Microsoft 更新或其他 WSUS 服务器同步。

• 如果你选择从其他 WSUS 服务器同步，请指定服务器名称以及该服务器与上游服务器通信时所在的端口。

• 若要使用 SSL，请选中“同步更新信息时使用 SSL”复选框。

• 如果这是副本服务器，请选择“这是上游服务器的副本”复选框。

因为我这里是第一个wsus服务器，如果你是二级wsus，这里就需要填第二个选项。

5.png

在“指定代理服务器”页上，选中“同步时使用代理服务器”复选框，然后在对应的框中键入代理服务器名称和端口号（默认是端口80）。

如果你确定 WSUS 需要代理服务器才能访问 Internet，则必须完成上一步骤。

如果你希望通过使用特定用户凭据来连接代理服务器，请选择“使用用户凭据连接代理服务器”复选框，然后在对应的框中键入用户名称、域和用户密码。如果你希望启用已连接代理服务器的用户的基本身份验证，请选择“允许基本身份验证（以明文形式发送密码）”对话框。

这里我就默认下一步了

6.png

这里要求必须有internet链接。

7.png 8.png 9.png 10.png

选择手动或自动同步。选择自动同步，需要设置第一次同步的时间与每天同步的次数。

11.png 12.png 13.png

WSUS 管理控制台

14.png

设置客户端的自动更新

我们要让客户端计算机能够通过WSUS服务器下载更新程序，而这个设置可以通过以下两种方法来完成。

• 组策略:在AD域环境下，可以通过组策略进行设置。

• 本地计算机策略：如果没有AD域环境，或客户端计算机未加入域，则可以通过本地计算机策略进行设置。

我们利用组策略来进行说明。在域中创建一个GPO，WSUS策略，然后通过这个GPO来设置域内的所有客户端计算机的自动更新配置。

1.png

在组策略管理编辑器中，依次转到“计算机配置”\“策略”\“管理模板”\“Windows 组件”\“Windows 更新”

2.png

• 通知下载并通知安装：在下载更新程序前会通知已登录的系统管理员，由他自行决定是否现在下载；下载完成后和准备安装前也会通知系统管理员，然后由他自行决定是否现在安装。
• 自动下载并通知安装：自动下载更新程序，下载完成后和准备安装前会通知已登录的系统管理员，然后由他自行决定是否现在安装。
• 自动下载并计划安装：自动下载更新程序，并且会在指定的时间自动安装。需要指定安装时间。
• 允许本地管理员选择设置：此选项让在客户端的本地管理员可以通过控制面板自行选择更新方式。

3.png 4.png

在 "选项" 下，在 "设置用于检测更新和设置 intranet 统计信息的 intranet 更新服务" 服务器选项中，键入，然后 http://Your_WSUS_Server_FQDN:PortNumber 选择 "确定"。

http://192.168.137.98:8530 #这是我WSUS服务器的ip地址，这里需要填自己wsus服务器地址。
WSUS 的默认 HTTP 端口是 8530，安全套接字层上的默认 HTTP (HTTPS) 端口是 8531。 (其他选项为80和 443;不支持任何其他端口。 )

5.png

• 可以设置“自动更新检测的频率”，默认是22小时，我们可以根据实际的需要来调整间隔。如图。

6.png 7.png

• 可以启用“对于已登录用户的计算机，计划的自动更新安装不执行重新启动”，这样的话，当计算机存在已登录的用户的时候，装完更新是否重启取决于用户的行为，计算机不会强制重启，

8.png 9.png

• 对于某些不会中断windows服务，也不会需要重启服务器才生效的更新，我们可以配置启用“允许自动更新立即安装”。

10.png 11.png

设置完成后，必须等域内的客户端应用这个策略才能有效，而客户端计算机默认每隔90-120分钟应用一次。到客户端计算机上执行gpupdate/force命令。

应用完成后，还必须等客户机与wsus服务器接触后，在wsus管理控制台才能看到这些客户机。不过需要等待20分钟才会主动联系WSUS服务器。在客户机上执行wuauclt/detectnow 命令。

配置自动审批规则

• 可以设置当WSUS服务器与Windows Update同步时，自动审批下载的更新程序。例如，如果希望所有下载的安全更新与重要更新都能够自动审批给所有计算机:单击选项中的自动审批，在前景图中勾选默认的自动审批规则。如果还要将此规则应用到已经同步的更新程序，请单击允许规则。

1.png 2.png 5.png 6.png 7.png 8.png 9.png

手动批准并部署功能更新

1.png 2.png 3.png 4.png

参考
 [https://blog.51cto.com/search/user?uid=639838&q=WSUS] 
[https://docs.microsoft.com/zh-cn/windows/deployment/update/waas-manage-updates-wsus#%E7%AE%A1%E7%90%86-windows-10-%E6%9B%B4%E6%96%B0%E7%9A%84%E6%AD%A5%E9%AA%A4steps-to-manage-updates-for-windows-10](https://docs.microsoft.com/zh-cn/windows/deployment/update/waas-manage-updates-wsus#%E7%AE%A1%E7%90%86-windows-10-%E6%9B%B4%E6%96%B0%E7%9A%84%E6%AD%A5%E9%AA%A4steps-to-manage-updates-for-windows-10)