Windows Server Update Services(WSUS),是服务器管理员最常使用的一项功能。总地来说,WSUS可以帮助管理员对Windows计算机的关键和重要的更新进行管理和分配。
WSUS服务器推送更新的方式有两种,一种是由微软更新服务器推送,另外一种是由企业网络中配置的根WSUS服务器进行推送。企业网络中配置的WSUS服务器作为更新源,通常叫做上游WSUS服务器。其他与上游服务器进行会话的所有WSUS服务器叫做下游WSUS服务器。下游WSUS服务器一般位于组织分支,作为向Windows客户端计算机分发更新的权威来源。
Nirmal Sharma是一名微软技术人员,获得微软目录服务领域MCSEx3、MCITP和微软MVP证书。他从1994年进入微软技术领域,一直关注微软操作系统和软件的发展。近日他在ServerWatch网站上分享了最新Windows服务器操作系统版本中有关WSUS的六个常见问题。一起来看看:
我需要从微软网站上下载WSUS吗?
在早期Windows版本中,你需要直接从微软网站上下载WSUS软件,但是在Windows Server 2012及之后版本中,WSUS作为一个服务器角色可以从服务器管理器中进行安装。
Windows Server 2012 R2上的WSUS包含了Windows PowerShell cmdlets,可以用来管理WSUS执行,或从命令提示符完成重复任务。
准备在Windows Server 2012或更高版本的操作系统上安装WSUS服务器之前,首先要安装.NET Framework 4.0。另外还要注意到安装WSUS服务器时使用的账户必须是本地管理员组中的成员,同时本地服务器也必须是安装了WSUS服务器角色。
从微软更新服务器上获得更新时必须要将WSUS连接到网络吗?
WSUS服务器可以配置成离线模式,通常叫做离线WSUS服务器。如果因为企业网络政策原因,WSUS无法连接网络直接从微软更新服务器上获得更新,这时候可以安装离线WSUS服务器。
在联网的WSUS服务器上下载和测试更新之后,管理员可以将内容导出到一个外部硬盘,然后导入到离线模式下的WSUS服务器上。
WSUS使用的网络端口是什么?
WSUS通信有两种类型:上游和下游WSUS服务器之间的通信以及上游WSUS服务器与微软更新服务器之间的通信。Windows Server 2012 WSUS 6.2中,微软改变了WSUS服务器之间相互沟通的方式。
在早期WSUS版本,如WSUS 3.2中,下游WSUS服务器通过端口80(HTTP)和443(HTTPS)与上游WSUS服务器进行通信。在WSUS 6.2中,这一情况发生了改变。
上游和下游WSUS服务器现在通过端口8530(HTTP)和端口8531(HTTPS)进行通信。如果你在WSUS服务器上配置了防火墙,一定要确保上述端口的流量流通。
至于上游WSUS服务器和微软更新服务器之间的通信发生在80(HTTP)和443(HTTPS)端口。如果有代理服务器的话,你可能需要改变WSUS来使用代理服务器。
WSUS支持哪些数据库?
WSUS需要一个数据库来存储更新元数据和配置信息。WSUS可以使用以下数据库:Windows内部数据库(Windows Internal Database,WID)或Microsoft SQL Server数据库。
Windows操作系统附带WID,没有额外的许可证费用。大多数组织选择使用WID的目的是降低许可成本,但重要的是要注意,在负载均衡和高可用的环境下安装WSUS后,WID无法正常工作。这种情况下,你必须选择SQL Server数据库选项。
如果你打算在独立于数据库机的计算机上安装WSUS角色,请注意以下事项:
该数据库服务器必须避免配置在域控制器上。
远程桌面服务角色不能安装在已经安装了WSUS服务器角色的计算机上。
如果数据库和WSUS服务器位于不同的活动目录域中,确保这两个活动目录域之间存在信任关系。
WSUS服务器流量可以实现负载平衡吗?
在大型生产环境中,你总是要在网络负载均和集群中设置WSUS来增加WSUS服务器的可靠性和性能。如果你想在NLB集群中设置WSUS,首先必须安装WSUS服务器,并使用微软SQL数据库选项。
重要的是要注意,在WSUS服务器上存储的更新必须可用于共享同一SQL数据库的所有WSUS服务器。
有多少WSUS PowerShell cmdlet可用?
大约有12个PowerShell命令随WSUS服务器角色进行安装。当你想执行WSUS管理或通过命令行执行重复任务时,这些PowerShell非常有用。
例如,你可以使用Approve-WsusUpdate命令批准将更新应用到客户端计算机。同样的,你可以使用Deny-WsusUpdate PowerShell命令来减少更新。例如,下面的命令可以批准所有应用失败的更新:
Get-WsusUpdate -Classification All -Approval Unapproved -Status FailedOrNeeded | Approve-WsusUpdate -Action Install -TargetGroupName "All Computers"
运行以下命令拒绝更新:
Get-WsusUpdate -Classification All -Approval Unapproved -Status FailedOrNeeded | Deny-WsusUpdate