配置工作是区分域与工作组环境的，在域的前提下，可以通过设置域的组策略来实现，比较简单。

在工作组的环境里，因为配置是需要用到管理员权限，于是就变成了逐台配置。

对单机的配置也可以用单机的组策略配置来实现，也可以采用修改注册表的方式来实现。因为单机的组策略配置反而麻烦，所以还不如修改注册表来的方便。（通过使用也发现，配置组策略实际也是修改注册表。所以这2种方案实际是一样的。）

注册表的修改项包括：

[HKEY_LOCAL_MACHINE

RescheduleWaitTime 重新计划自动更新计划后的等待时间

NoAutoRebootWithLoggedOnUsers　计划的自动更新安装后是否重新启动

NoAutoUpdate 启停自动更新

AUOptions　配置自动更新

ScheduledInstallDay　计划安装日期

ScheduledInstallTime 计划安装时间

UseWUServer 是否起用WSUS服务器

WUServer WSUS服务器

WUStatusServer 统计服务器

ElevateNonAdmins 是否允许普通用户审批更新

TargetGroupEnabled 是否设置目标组

TargetGroup　目标组名称

这上面简单的列举了些重要的注册表项。可能有些名称有些拗口。不过，这基本是从组策略里摘出来的，主要是为了引起一些简单的联想。实际上一看WSUS文档也就差不多了解了。

修改注册表的工作方式，完全可以采用形成一个注册表文件，然后放在单位内部网站上要求大家下载即可。在WSUS推出后的这么长的时间里，很多单位都采用了WSUS（随便搜一下网络，我们发现云南大学、清华大学和北京大学等很多学校都采用了这样的方案，并且在学校的有关网站上有很详细的说明。）但是仍然有很多单位不清楚怎么来解决补丁的管理难题，并且也很为之困惑。这是个有趣的现象，足以说明咱们国家是个非常辽阔的国家，所以信息并不是那么流畅。

对工作组的环境，考虑到希望更简单和可靠的使用的用户，也可以使用清扬内网管理系统，里面有辅助的全网配置工具，也可以防止各终端用户的无意中破坏。

WSUS还有非常清晰的对从微软网站上的下载补丁的状态的描述，你可以看到哪些补丁没有下载完毕，并且 容易的恢复下载。

WSUS也有非常清晰的对各终端的下载补丁情况的描述，这也可以用来查看有关补丁分发的情况。微软也提供了SMS等更加高级的企业网络使用工具，不过，说实在的，为了打补丁去考虑这样的软件，实在是浪费。因为WSUS已经足够好用，并且是免费的。

像补丁管理这样的工作，其实完全是微软的应尽的义务，毕竟是Windows需要打补丁。作为软件巨无霸，它应该承担这样的职责，才能更长久的建立软件厂商的信誉。从WSUS上， 我们看到它是这样做的。

对于多达 500 个客户端的服务器，建议使用以下硬件：

* 1 GHz 的处理器

* 1 GB 的 RAM

要使用默认选项安装 WSUS，必须在计算机上安装以下软件。

* Microsoft Internet 信息服务 (IIS) 6.0。

* 用于 Windows Server 2003 的 Microsoft .NET Framework1.1 Service Pack 1。

* Background Intelligent Transfer Service (BITS) 2.0。

要安装 WSUS，服务器上的文件系统必须满足以下要求：

* 系统分区和安装 WSUS 的分区都必须使用 NTFS 文件系统进行格式化。

* 系统分区至少需要 1 GB 的可用空间。

* WSUS 用于存储内容的卷至少需要 6 GB 的可用空间，建议预留空间为 30 GB。

* WSUS 安装程序用于安装 Windows SQL Server 2000 Desktop Engine (WMSDE) 的卷至少需要 2 GB 的可用空间。

自动更新是 WSUS 的客户端组件。除了需要连接到网络外，自动更新没有其他的硬件要求。您可以针对运行以下任一操作系统的计算机上的 WSUS 使用自动更新：

* 带有 Service Pack 3 (SP3) 或 Service Pack 4 (SP4) 的 Microsoft Windows 2000 Professional、带有 SP3 或 SP4 的 Windows 2000 Server 或带有 SP3 或 SP4 的 Windows 2000 Advanced Server。

* 带有或不带 Service Pack 1 或 Service Pack 2 的 Microsoft Windows XP Professional。

* Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 或 Windows Server 2003 Web Edition。

以在Windows Server 2003系统中安装WSUS服务器为例介绍方法：

第1步，运行WSUS安装程序，自动解压缩后进入安装向导。在欢迎对话框中单击“下一步”按钮。

第2步，打开“许可协议”对话框，选中“我接受许可协议中的条款”单选框，并单击“下一步”按钮。

第3步，在打开的“选择更新源”对话框中需要指定用于保存补丁程序的目录，该目录所在分区必须为NTFS文件系统，并且至少拥有6GB的剩余空间。选中“本地存储更新”复选框，单击“浏览”按钮选择目标位置，并单击“下一步”按钮。

第4步，打开“数据库选项”对话框，如果当前系统中没有安装SQL Server，则安装向导会提示用户将安装SQL Server桌面引擎。单击“浏览”按钮选择SQL Server桌面引擎的安装目录，并单击“下一步”按钮。

第5步，在打开的“网站选择”对话框中，选中“使用现有IIS默认网站（推荐）”单选框，并单击“下一步”按钮。

如果当前服务器中部署了其他Web站点，则必须选中“创建Microsoft Windows Server Update Services网站”单选框。否则将由于80端口被占用使WSUS站点无法启用。

第6步，打开“镜像更新设置”对话框，一般情况下，用户部署的是独立的更新服务器，并非其他服务器的镜像站点。因此无需选中“该服务器应继承来自以下服务器的设置”复选框，直接单击“下一步”按钮。

第7步，在打开的“准备安装Microsoft Windows Server Update Services”对话框中，显示出WSUS的安装设置。确认设置正确无误，并单击“下一步”按钮。

第8步，安装向导开始安装WSUS，完成安装后直接单击“完成”按钮即可。

我们在之前文章中介绍过WSUS，服务器管理员最常使用的一项功能。总地来说，Windows Server Update Services（WSUS）可以帮助管理员对Windows计算机的关键和重要的更新进行管理和分配。

WSUS服务器推送更新的方式有两种，一种是由微软更新服务器推送，另外一种是由企业网络中配置的根WSUS服务器进行推送。企业网络中配置的WSUS服务器作为更新源，通常叫做上游WSUS服务器。其他与上游服务器进行会话的所有WSUS服务器叫做下游WSUS服务器。下游WSUS服务器一般位于组织分支，作为向Windows客户端计算机分发更新的权威来源。

Nirmal Sharma是一名微软技术人员，获得微软目录服务领域MCSEx3、MCITP和微软MVP证书。他从1994年进入微软技术领域，一直关注微软操作系统和软件的发展。近日他在ServerWatch网站上分享了最新Windows服务器操作系统版本中有关WSUS的六个常见问题。一起来看看：

需要从微软网站上下载WSUS吗

在早期Windows版本中，你需要直接从微软网站上下载WSUS软件，但是在Windows Server 2012及之后版本中，WSUS作为一个服务器角色可以从服务器管理器中进行安装。

Windows Server 2012 R2上的WSUS包含了Windows PowerShell cmdlets，可以用来管理WSUS执行，或从命令提示符完成重复任务。

准备在Windows Server 2012或更高版本的操作系统上安装WSUS服务器之前，首先要安装.NET Framework 4.0。另外还要注意到安装WSUS服务器时使用的账户必须是本地管理员组中的成员，同时本地服务器也必须是安装了WSUS服务器角色。

更新时要将WSUS连接到网络吗

WSUS服务器可以配置成离线模式，通常叫做离线WSUS服务器。如果因为企业网络政策原因，WSUS无法连接网络直接从微软更新服务器上获得更新，这时候可以安装离线WSUS服务器。

在联网的WSUS服务器上下载和测试更新之后，管理员可以将内容导出到一个外部硬盘，然后导入到离线模式下的WSUS服务器上。

WSUS使用的网络端口是什么

WSUS通信有两种类型：上游和下游WSUS服务器之间的通信以及上游WSUS服务器与微软更新服务器之间的通信。Windows Server 2012 WSUS 6.2中，微软改变了WSUS服务器之间相互沟通的方式。

在早期WSUS版本，如WSUS 3.2中，下游WSUS服务器通过端口80（HTTP）和443（HTTPS）与上游WSUS服务器进行通信。在WSUS 6.2中，这一情况发生了改变。

上游和下游WSUS服务器通过端口8530（HTTP）和端口8531（HTTPS）进行通信。如果你在WSUS服务器上配置了防火墙，一定要确保上述端口的流量流通。

至于上游WSUS服务器和微软更新服务器之间的通信发生在80（HTTP）和443（HTTPS）端口。如果有代理服务器的话，你可能需要改变WSUS来使用代理服务器。

WSUS支持哪些数据库

WSUS需要一个数据库来存储更新元数据和配置信息。WSUS可以使用以下数据库：Windows内部数据库（Windows Internal Database，WID）或Microsoft SQL Server数据库。

Windows操作系统附带WID，没有额外的许可证费用。大多数组织选择使用WID的目的是降低许可成本，但重要的是要注意，在负载均衡和高可用的环境下安装WSUS后，WID无法正常工作。这种情况下，你必须选择SQL Server数据库选项。

如果你打算在独立于数据库机的计算机上安装WSUS角色，请注意以下事项：

该WSUS数据库服务器必须避免配置在域控制器上。

远程桌面服务角色不能安装在已经安装了WSUS服务器角色的计算机上。

如果数据库和WSUS服务器位于不同的活动目录域中，确保这两个活动目录域之间存在信任关系。

WSUS服务器流量可以实现负载平衡吗

在大型生产环境中，你总是要在网络负载均和集群中设置WSUS来增加WSUS服务器的可靠性和性能。如果你想在NLB集群中设置WSUS，首先必须安装WSUS服务器，并使用微软SQL数据库选项。

重要的是要注意，在WSUS服务器上存储的更新必须可用于共享同一SQL数据库的所有WSUS服务器。