Windows Server Update Services(WSUS)是一项更新服务，它使管理员可以在网络上的计算机和服务器上集中管理Microsoft产品的补丁程序和安全更新(Windows，Office，SQL Server，Exchange等)。简要回顾一下WSUS的工作方式。 WSUS服务器计划与Internet上的Microsoft Update服务器同步，并下载选定产品的最新更新。 WSUS管理员选择必须在的工作站和服务器上安装的更新。 WSUS客户端根据配置的策略从更新服务器下载并安装所需的更新。我们自己的WSUS更新服务器使我们可以节省Internet流量并更灵活地管理中的更新安装。

Microsoft还为其产品提供其他更新安装系统，例如SCCM(系统中心配置管理器)。但是，与许多其他产品不同，WSUS服务器是完全免费的(实际上，SCCM SUP中的更新软件"软件更新点"也基于WSUS)。

在Windows Server 2012发行之前，最新版本的Microsoft Update服务器是Windows Server Update Services 3.0 SP2 WSUS 3.2，它不支持现代操作系统(例如Windows 10和Windows Server 2012 R2/2015)。随着新服务器平台的发布，Microsoft推出了新版本的" WSUS 6.0"(这很奇怪，因为从逻辑上讲，此版本应命名为WSUS 4.0)。

Windows Server 2012 R2/2015的新WSUS版本中原则上没有任何新内容。请注意，现在无法从Microsoft网站单独下载WSUS安装包，它已集成到Windows Server发行版中并作为单独的服务器角色进行安装。此外，WSUS 6.0引入了使用PowerShell管理更新安装的功能。

在本文中，我们将介绍Windows Server 2012 R2/Windows Server 2015上WSUS角色安装和配置的基本问题。

如何在Windows Server 2012 R2/2015上安装WSUS角色？

在Windows Server 2008中，WSUS被分配了一个单独的角色，可以通过"服务器管理"控制台进行安装。在Windows Server 2012 R2/2015中，此功能未更改。打开服务器管理控制台，然后选择Windows Server Update Services(Windows服务器更新服务)的角色(系统将自动选择并提供IIS Web服务器的必要组件的安装)。

选中选项" WSUS服务"，然后我们需要选择WSUS将使用的数据库的类型。

Windows Server 2012上的WSUS支持以下数据库：

• Windows内部数据库(WID)；
• 企业版/标准版/快速版中的Microsoft SQL Server2008R2 SP1、2012、2014、2015.

因此，我们可以使用Windows内部数据库WID(Windows内部数据库)，它是免费的，不需要其他许可。或者，我们可以使用专用的本地或者远程SQL Server数据库(在其他服务器上)来存储WSUS数据。

默认的WID库名为SUSDB.mdf，存储在文件夹％windir％\ wid\data中。该数据库仅支持Windows身份验证(不支持SQL)。 WSUS的内部(WID)数据库实例称为server_name\Microsoft ## WID。 WSUS数据库存储更新服务器设置，更新元数据和WSUS客户端信息。

如果满足以下条件，则建议使用内部数据库(Windows内部数据库)：

• 组织没有并且不打算购买SQL Server的许可证；
• 计划不使用WSUS负载平衡(NLB WSUS)；
• 如果我们打算部署子WSUS服务器(例如，在分支机构中)。在这种情况下，建议在辅助服务器上使用内置的WSUS数据库。

如果在以下连接字符串中指定，则可以通过SQL Server Management Studio(SSMS)管理WSUS WID数据库：

\.\pipe\MICROSOFT##WID\tsql\query

。

请注意，在SQL Server 2008/2012 Express的免费版本中，最大数据库大小限制为10 GB。最有可能不会达到此限制(例如，用于3000个客户端的WSUS数据库的大小约为3 GB)。 Windows内部数据库限制为524 GB。

如果将WSUS角色和MS SQL数据库安装在不同的服务器上，则存在一些限制：

• 具有WSUS数据库的SQL Server不能是域控制器；它不能是域控制器。
• WSUS服务器不能同时作为远程桌面服务主机。

如果我们打算使用WID内置数据库(强烈建议使用该选项，即使对于大型基础架构也可以使用)，请选中"数据库"选项。

然后，我们需要指定用于存储更新的目录(建议所选磁盘上至少有10 GB的可用空间)。

WSUS数据库的大小在很大程度上取决于我们打算更新的产品数量和Windows OS版本。在大型组织中，WSUS服务器上的更新文件的大小可以达到数百GB。例如，我的WSUS目录大小约为400 GB(存储Windows 7、8.1、10，Windows Server 2008 R2、2012/R2/2015，Exchange 2013，Office 2010和2015，SQL Server 2008/2012/2015的更新) 。规划WSUS文件的存储空间时，请记住这一点。

如果以前选择使用单独的SQL数据库，则必须指定数据库服务器，数据库实例的名称并检查连接。

然后，将安装具有所有必需组件的WSUS角色。安装结束后，在服务器管理器中运行WSUS管理控制台。

我们还可以使用以下PowerShell命令将WSUS服务器与内部数据库一起安装：

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

Windows Server 2012 R2/2015上的基本WSUS配置

首次启动WSUS控制台时，"更新服务器配置向导"将自动启动。让我们考虑使用向导配置WSUS服务器的基本步骤。

指定WSUS服务器是直接从Microsoft Update网站获取更新，还是应从上游WSUS服务器下载更新。第二个选项通常用于大型网络中，以配置大型区域性部门的WSUS服务器，该服务器从中心办公室中的WSUS接收更新(此配置显着减少了总部和分支机构之间的WAN通道上的负载)。

如果WSUS服务器本身必须从Windows Update服务器下载更新，并且我们通过代理服务器访问Internet，则必须指定代理服务器地址，端口和凭据才能访问它。

接下来，检查与上游更新服务器的连接。点击"开始连接"。

然后，我们需要选择WSUS将为其下载更新的语言。我们选择"英语"(可以从WSUS控制台进一步更改语言列表)。

然后指定WSUS应该为其下载更新的产品列表。我们必须选择网络中使用的所有Microsoft产品。请记住，所有其他更新都占用磁盘空间，因此不应检查其他产品。如果我们确定网络上没有运行Windows XP或者Windows 7的计算机，请不要选中这些OS的复选框。这将大大节省WSUS服务器驱动器上的空间。

如有必要，我们可以将任何更新从Microsoft更新目录手动导入到WSUS服务器。

在"分类页面"上，指定要通过WSUS分发的更新的类型。建议选择：关键更新，定义更新，安全包，Service Pack，更新汇总，更新。

WSUS控制台中的Windows 10内部版本升级(1709、1803、1809等)包含在"升级"类中。

接下来，我们应该指定更新同步计划，建议使用WSUS服务器与Microsoft Update服务器的每日自动同步。 WSUS同步应该在晚上执行，以免在工作时间内使Internet通道过载。

WSUS服务器与上游更新服务器的初始同步可能需要几天的时间，具体取决于我们先前选择的产品数量和ISP。

向导完成后，将启动WSUS控制台。

为了提高Windows Server上WSUS服务器的性能，建议从防病毒扫描中排除以下文件夹：

-\WSUS\WSUSContent;

• ％windir％\ wid\data;
  -\SoftwareDistribution \下载。

客户端现在可以通过连接到端口8530上的WSUS服务器来接收更新(在Windows Server 2003和2008中，默认使用端口80)。对于大量计算机(超过1000台)，可以根据本文配置IIS WsusPoll池的性能，该池用于分发客户端更新。

要在WSUS控制台中查看其他更新报告，必须在服务器上安装可选的" Microsoft Report Viewer 2008 SP1 Redistributable"(或者更高版本)组件。