概述 Windows Server Update Services 服务器部署选项

  • 7 分钟

在安装和配置 WSUS (Windows Server Update Services) 服务器之前,必须考虑如何在环境中部署 WSUS。 WSUS 实现的大小和配置有所不同,具体取决于你的网络环境以及你希望如何管理更新。 你可以将一台 WSUS 服务器用于整个组织,多台 WSUS 服务器独立运行,或者在一个层次结构中实现多台 WSUS 服务器相互连接。

单个 WSUS 服务器

WSUS 的最基本实现使用网络中的一台 WSUS 服务器。 此服务器通过防火墙连接到 Microsoft 更新并下载更新。 WSUS 服务器将端口 8530 用于 HTTP 通信,将端口 8531 用于 HTTPS 通信,而不是将默认的端口 80 和 443 分别用于 HTTP 通信和 HTTPS 通信。 你需要确保你的防火墙具有允许服务器连接到 Microsoft 更新所需的规则。 此基本方案通常用于具有一个物理位置的小型网络。

多台 WSUS 服务器

如果你的环境由多个独立的物理位置组成,则你可能需要在每个位置实现 WSUS 服务器。 在这种情况下,每台 WSUS 服务器都有自己的 Internet 连接,以便从 Microsoft 更新下载更新。

尽管这是一种有效的方式,但它需要更多的管理工作(尤其当物理位置数量增加时),因为你必须独立管理每台 WSUS 服务器。 必须单独下载、单独批准每台服务器的更新,并管理 WSUS 客户端,使它们从正确的 WSUS 服务器接收更新。

单独的 WSUS 服务器适用于具有少量物理位置的组织,其中每个物理位置都有自己的 IT 管理团队。 还可以将此方案用于具有需要单个 WSUS 服务器管理的过多客户端的一个物理位置,方法是将多个 WSUS 服务器置于网络负载均衡 (NLB) 群集中。

断开连接的 WSUS 服务器

断开连接的 WSUS 服务器是指不通过 Internet 连接到 Microsoft 更新或不从网络中的任何其他服务器接收其更新的服务器。 此服务器从另一台 WSUS 服务器上生成的可移动媒体接收其更新。

在没有 Internet 访问的独立网络环境中(例如在某些高安全性环境中),WSUS 服务器断开连接是最常见的情况。 你可以使用位于其他位置的 WSUS 服务器与 Microsoft 更新同步,然后将更新导出到便携式媒体,然后将便携式媒体运送到要导入到断开连接的 WSUS 服务器的远程位置。

WSUS 服务器层次结构

到目前为止,我们讨论的所有方案都涉及到独立管理的 WSUS 服务器,该服务器直接连接到 Microsoft 更新或在断开连接时接收其更新。 但是,在拥有多个物理位置的大型组织中,你可能希望能够在一台服务器上与 Microsoft 更新同步。 你可能还希望通过网络将更新推送到不同位置的服务器,然后从一个位置批准更新。

  • 使用 WSUS 服务器层次结构,你可以:
  • 将更新下载到距客户端较近的服务器,例如分支机构中的服务器。
  • 将更新一次性下载到一台服务器,然后通过网络将更新复制到其他服务器。
  • 根据 WSUS 服务器的客户端所使用的语言分隔服务器。
  • 如果大型组织的客户端计算机数目超过单台 WSUS 服务器可管理的数目,则扩展 WSUS 服务器。

WSUS 服务器层次结构中有两种类型的服务器:

  • 上游服务器。 上游服务器直接连接到 Microsoft 更新以检索更新,或处于断开连接状态并通过使用便携式媒体接收更新。
  • 下游服务器。 下游服务器从 WSUS 上游服务器接收更新。

可以采用以下两种模式之一配置下游服务器:

  • 自治模式。 采用自治模式或分布式管理,下游服务器可接收来自上游服务器的更新,但管理员在本地维护更新管理。 在这种情况下,下游服务器维护自己的计算机组,更新可以独立于上游服务器中的审批设置之外获得批准。 这使得其他管理员组可在自己的位置管理更新,且只将上游服务器用作可下载更新的源。
  • 副本模式。 采用副本模式或集中管理,下游服务器可接收来自上游服务器的更新、计算机组成员身份信息和审批。 在此场景中,一个管理员组可管理整个组织的更新。 此外,下游服务器可以放置在不同的物理办公室中,并接收来自上游服务器的所有更新和管理数据。

WSUS 层次结构中可以有多个层。 可以将一些下游服务器配置为使用自治模式,而你可使用副本模式来配置其他服务器。 例如,可以将一个上游服务器连接到 Microsoft 更新,为整个组织下载更新。 自治模式下可以有两个其他的下游服务器,分别用来管理所有运行英语软件的计算机的更新和所有运行西班牙语软件的计算机的更新。 最后,你可以使用另一组下游服务器从副本模式下配置的中间层 WSUS 服务器接收更新。 虽然这些是客户端接收更新的实际服务器,但所有管理都在中间层完成。

[注意] 可将下游服务器配置为从上游服务器下载更新信息元数据,从 Microsoft 更新下载实际更新。 当下游服务器具有良好的 Internet 连接并且你希望减少 WAN 流量时,这是一种常见配置。