概述 Windows Server Update Services 伺服器部署選項

  • 7 分鐘

在安裝和設定 WSUS (Windows Server Update Services) 伺服器之前,您必須考慮如何在環境中部署 WSUS。 WSUS 實作的大小和設定會根據您的網路環境,以及您想要管理更新的方式而有所不同。 您可以針對整個組織使用單一 WSUS 伺服器、使用會個別執行的多部 WSUS 伺服器,或是階層中彼此連線的多部 WSUS 伺服器。

單一 WSUS 伺服器

WSUS 最基本的實作會在您的網路內使用單一 WSUS 伺服器。 此伺服器會連線到 Microsoft Update,並透過防火牆下載更新。 WSUS 伺服器會使用連接埠 8530 進行 HTTP 通訊,並使用連接埠 8531 進行 HTTPS 通訊,而不是預設的 80 和 443。 您必須確定防火牆具有必要的規則,以允許伺服器連線到 Microsoft Update。 這個基本案例通常適用於具有單一實體位置的小型網路。

多部 WSUS 伺服器

如果您的環境是由數個隔離的實體位置所組成,您可能需要在每個位置實作一部 WSUS 伺服器。 在此案例中,每部 WSUS 伺服器都有自己的網際網路連線,以從 Microsoft Update 下載更新。

雖然這是有效的選項,但其需要更大量的系統管理工作,特別是隨著實體位置數目的成長,因為您必須獨立管理每部個別的 WSUS 伺服器。 您必須個別下載每部伺服器的更新、個別在每部伺服器上核准更新,以及管理 WSUS 用戶端,以使其能從正確的 WSUS 伺服器接收更新。

個別的 WSUS 伺服器適用於擁有少量實體位置的組織,其中每個實體位置都有自己的 IT 管理小組。 您也可以將此案例用於具有單一實體位置,但是用戶端數目多到單一 WSUS 伺服器無法管理的情況,方法是將多部 WSUS 伺服器置於網路負載平衡 (NLB) 叢集中。

中斷連線的 WSUS 伺服器

中斷連線的 WSUS 伺服器是無法透過網際網路連線到 Microsoft Update,或是會從網路中的任何其他伺服器接收更新的伺服器。 相反地,此伺服器會從在另一部 WSUS 伺服器上產生的抽取式媒體接收其更新。

中斷連線的 WSUS 伺服器最常見於沒有網際網路存取的隔離網路環境中,例如某些高安全性環境。 您可以使用位於不同位置的 WSUS 伺服器來與 Microsoft Update 同步處理,將更新匯出至可攜式媒體,然後將可攜式媒體運輸至遠端位置,以匯入已中斷連線的 WSUS 伺服器。

WSUS 伺服器階層

在我們到目前為止討論的所有案例中,WSUS 伺服器都是獨立管理的,並且會直接連線到 Microsoft Update,或是以中斷連線的方式接收其更新。 不過,在具有多個實體位置的較大組織中,建議您使用於單一伺服器上與 Microsoft Update 同步的能力。 也建議您從單一位置透過網路將更新推送到位於不同位置的伺服器,以及核准更新。

  • WSUS 伺服器階層可讓您:

  • 將更新下載至較接近用戶端的伺服器,例如分公司中的伺服器。

  • 將更新單次下載到單一伺服器,然後透過您的網路將更新複寫至其他伺服器。

  • 根據用戶端所使用的語言來分隔 WSUS 伺服器。

  • 針對具有比單一 WSUS 伺服器所能管理的用戶端電腦數量還要更多的大型組織調整 WSUS 伺服器數量。

在 WSUS 伺服器階層中,有兩種類型的伺服器:

  • 上游伺服器。 上游伺服器會直接連線到 Microsoft Update 以擷取更新,或是中斷連線並使用可攜式媒體來接收更新。

  • 下游伺服器。 下游伺服器會從 WSUS 上游伺服器接收更新。

您可以將下游伺服器設定為兩種模式之一:

  • 自動模式。 自發模式 (或稱分散式管理) 可讓下游伺服器接收來自上游伺服器的更新,但可讓系統管理員在本機維護更新的管理。 在此案例中,下游伺服器會維護自己的一組電腦群組,而且能夠以獨立於上游伺服器核准設定的方式核准更新。 這可讓不同的系統管理員群組在自己的位置管理更新,並且只使用上游伺服器作為可下載更新的來源。

  • 複寫模式。 複本模式 (或稱集中式管理) 可讓下游伺服器接收來自上游伺服器的更新、電腦群組成員資格資訊及核准。 在此案例中,單一系統管理員群組可以管理整個組織的更新。 此外,下游伺服器也可以置於不同的實體辦公室,並從上游伺服器接收所有更新和管理資料。

您可以在 WSUS 階層中擁有多個層級。 您可以將某些下游伺服器設定為使用自動模式,同時使用複本模式來設定其他伺服器。 例如,您可以讓單一上游伺服器連線到 Microsoft Update,為整個組織下載更新。 您可以有兩部其他的下游伺服器處於自動模式,一部負責器管理所有執行英文版軟體之電腦的更新,另一部負責管理執行西班牙文軟體的電腦。 最後,您可以有另一組下游伺服器從設定為複本模式的中介層 WSUS 伺服器接收其更新。 這些是用戶端會接收更新的實際來源伺服器,但所有管理都是在中介層完成。

[注意] 您可以將下游伺服器設定為從上游伺服器下載更新資訊中繼資料,但會自行從 Microsoft Update 下載實際更新。 這在下游伺服器具有良好網際網路連線能力,而且您想要減少 WAN 流量時,是個常見的設定。