六问六答了解Windows Server 2012 R2 WSUS 6.2

Windows Server Update Services（WSUS），是服务器管理员最常使用的一项功能。总地来说，WSUS可以帮助管理员对Windows计算机的关键和重要的更新进行管理和分配。

WSUS服务器推送更新的方式有两种，一种是由微软更新服务器推送，另外一种是由企业网络中配置的根WSUS服务器进行推送。企业网络中配置的WSUS服务器作为更新源，通常叫做上游WSUS服务器。其他与上游服务器进行会话的所有WSUS服务器叫做下游WSUS服务器。下游WSUS服务器一般位于组织分支，作为向Windows客户端计算机分发更新的权威来源。

Nirmal Sharma是一名微软技术人员，获得微软目录服务领域MCSEx3、MCITP和微软MVP证书。他从1994年进入微软技术领域，一直关注微软操作系统和软件的发展。近日他在ServerWatch网站上分享了最新Windows服务器操作系统版本中有关WSUS的六个常见问题。一起来看看：

我需要从微软网站上下载WSUS吗？

在早期Windows版本中，你需要直接从微软网站上下载WSUS软件，但是在Windows Server 2012及之后版本中，WSUS作为一个服务器角色可以从服务器管理器中进行安装。

Windows Server 2012 R2上的WSUS包含了Windows PowerShell cmdlets，可以用来管理WSUS执行，或从命令提示符完成重复任务。

准备在Windows Server 2012或更高版本的操作系统上安装WSUS服务器之前，首先要安装.NET Framework 4.0。另外还要注意到安装WSUS服务器时使用的账户必须是本地管理员组中的成员，同时本地服务器也必须是安装了WSUS服务器角色。

从微软更新服务器上获得更新时必须要将WSUS连接到网络吗？

WSUS服务器可以配置成离线模式，通常叫做离线WSUS服务器。如果因为企业网络政策原因，WSUS无法连接网络直接从微软更新服务器上获得更新，这时候可以安装离线WSUS服务器。

在联网的WSUS服务器上下载和测试更新之后，管理员可以将内容导出到一个外部硬盘，然后导入到离线模式下的WSUS服务器上。

WSUS使用的网络端口是什么？

WSUS通信有两种类型：上游和下游WSUS服务器之间的通信以及上游WSUS服务器与微软更新服务器之间的通信。Windows Server 2012 WSUS 6.2中，微软改变了WSUS服务器之间相互沟通的方式。

在早期WSUS版本，如WSUS 3.2中，下游WSUS服务器通过端口80（HTTP）和443（HTTPS）与上游WSUS服务器进行通信。在WSUS 6.2中，这一情况发生了改变。

上游和下游WSUS服务器现在通过端口8530（HTTP）和端口8531（HTTPS）进行通信。如果你在WSUS服务器上配置了防火墙，一定要确保上述端口的流量流通。

至于上游WSUS服务器和微软更新服务器之间的通信发生在80（HTTP）和443（HTTPS）端口。如果有代理服务器的话，你可能需要改变WSUS来使用代理服务器。

WSUS支持哪些数据库？

WSUS需要一个数据库来存储更新元数据和配置信息。WSUS可以使用以下数据库：Windows内部数据库（Windows Internal Database，WID）或Microsoft SQL Server数据库。

Windows操作系统附带WID，没有额外的许可证费用。大多数组织选择使用WID的目的是降低许可成本，但重要的是要注意，在负载均衡和高可用的环境下安装WSUS后，WID无法正常工作。这种情况下，你必须选择SQL Server数据库选项。

如果你打算在独立于数据库机的计算机上安装WSUS角色，请注意以下事项：

该数据库服务器必须避免配置在域控制器上。

远程桌面服务角色不能安装在已经安装了WSUS服务器角色的计算机上。

如果数据库和WSUS服务器位于不同的活动目录域中，确保这两个活动目录域之间存在信任关系。

WSUS服务器流量可以实现负载平衡吗？

在大型生产环境中，你总是要在网络负载均和集群中设置WSUS来增加WSUS服务器的可靠性和性能。如果你想在NLB集群中设置WSUS，首先必须安装WSUS服务器，并使用微软SQL数据库选项。

重要的是要注意，在WSUS服务器上存储的更新必须可用于共享同一SQL数据库的所有WSUS服务器。

有多少WSUS PowerShell cmdlet可用？

大约有12个PowerShell命令随WSUS服务器角色进行安装。当你想执行WSUS管理或通过命令行执行重复任务时，这些PowerShell非常有用。

例如，你可以使用Approve-WsusUpdate命令批准将更新应用到客户端计算机。同样的，你可以使用Deny-WsusUpdate PowerShell命令来减少更新。例如，下面的命令可以批准所有应用失败的更新：

Get-WsusUpdate -Classification All -Approval Unapproved -Status FailedOrNeeded | Approve-WsusUpdate -Action Install -TargetGroupName "All Computers"

运行以下命令拒绝更新：

Get-WsusUpdate -Classification All -Approval Unapproved -Status FailedOrNeeded | Deny-WsusUpdate