Windows Server 2012 R2 WSUS-2：部署前的規劃工作

其實在technet library裡面對部署要做的準備工作已經說明的很詳細了，但是實際部署過程中還是存在一些需要考量的規劃問題、需要注意的細節問題。

那麼，在本文的場景下，我要部署的是一個包含一級wsus和二級wsus的環境，下面就以這個環境為例來看看我們都要做哪些準備工作。

（一）系統要求

其實wsus對系統的硬體要求不是特别高，就目前來說，如果企業的wsus用戶端的數量在4000台以下，8g記憶體足夠了。對于作業系統，則可以選擇windows server 2008 r2 sp1（wsus 3.0 sp2），也可以選擇windows server 2012系統。同時，對于wsus的部署來說，可以選擇刀片伺服器、機架伺服器，也可以選擇部署在虛拟化平台上面。本文的demo環境是在vmware的虛拟化平台上部署的wsus。對于系統要求來說，有一些注意事項如下。

1、必須在将安裝 wsus 伺服器角色的伺服器上安裝 microsoft .net framework 4.0。這個條件已經具備了，對于windows server 2012 r2作業系統來說，預設是安裝的。

2、nt authority\network service 帳戶必須擁有以下檔案夾的完全控制權限，以便 wsus 管理管理單元正确顯示：%windir%\microsoft.net\framework\v4.0.30319\temporary asp.net files。這個條件需要在部署完成wsus後，去手動調整，在未部署wsus之前，由于沒有安裝iis，是以是沒有這個檔案夾的。

添加相應的權限。

（二）資料庫要求

對于資料庫來說，可以選擇内部資料庫，本文的部署場景選擇的就是内部資料庫。也可以選擇sql server資料庫，對于sql server的版本來說，隻要是sql server 2008 r2 sp1以上版本都可以支援。如果選擇sql server，則會多一個選擇資料庫執行個體的步驟，如圖。

wsus 資料庫存儲以下資訊：

wsus 伺服器配置資訊

描述各個更新的中繼資料

有關用戶端計算機、更新和互動的資訊

（三）防病毒排除要求

某些廠商的防病毒軟體，可能會對wsus産生一定的影響，是以在部署wsus之前，最好能對wsus的防病毒排除做一個規劃；在部署之後，立馬進行防病毒的排除操作。微軟建議的防病毒排除項目如下圖。

（四）部署架構準備工作

在部署wsus之前，我們最好針對整個公司的實際情況，進行架構的規劃工作，不能盲目的去部署，導緻一些後期的維護難題。

wsus的部署分為簡單部署和多台部署兩種方式，如果企業的用戶端不是特别多，那麼就放一台wsus就夠了，如果總部用戶端比較多，而且存在用戶端數量比較多的分公司或者辦事處，可以考慮多台部署的方式，來提高更新檔分發的效率。下圖是微軟的多台wsus伺服器部署架構圖。

（五）wsus伺服器層次結構規劃

wsus 伺服器層次結構部署具有以下幾個優點：

你可以一次從 internet 下載下傳更新，然後使用下遊伺服器将更新配置設定給用戶端計算機。該方法将節約企業 internet 連接配接上的帶寬。

你可将更新下載下傳到接近實際的用戶端計算機（例如在分支機構）的 wsus 伺服器。

你可設定獨立的 wsus 伺服器以服務使用 microsoft 産品不同語言的用戶端計算機。

對于用戶端計算機數量超出一台 wsus 伺服器有效管理範圍的大型組織而言，你可以擴充 wsus。

我們建議你不要建立三個級别以上的 wsus 伺服器層次結構。每個級别将增加向整個連接配接的伺服器傳播更新的時間。雖然在理論上層次結構沒有受到限制，但 microsoft corporation 隻對五個級别的層次結構部署進行了測試。

你可在“自治”模式（旨在實作分布式管理）或“副本”模式（旨在實作集中管理）下連接配接 wsus 伺服器。

本例中，我們選擇的是自治模式，在“自治”模式中，上遊 wsus 伺服器與下遊伺服器在同步期間分享更新。獨立管理下遊 wsus 伺服器，它們不接收來自上遊伺服器的更新準許狀态或計算機組資訊。使用分布式管理模式，每個 wsus 伺服器管理者選擇更新語言、建立計算機組、将計算機配置設定給各組、測試和準許更新，并確定将正确的更新安裝到适當的計算機組。以下圖像顯示你可能在分支機構環境中部署自治 wsus 伺服器的方式：

（六）防火牆配置

如果公司在wsus與internet之間存在防火牆，那麼要確定防火牆已經打開了wsus到如下microsoft站點的通信。而且如果wsus放置在專用的伺服器dmz區的話，要打開相應的更新端口，在windows server  2012中，wsus 4.0使用端口8530和8531。

以上簡單介紹了部署wsus前需要考慮的一些主要的準備工作，如果想了解更多關于準備工作的資訊，可以通路wsus的library文檔，其他的一些需要考慮的事項例如：分支機構帶寬的優化、更新檔下載下傳模式等等。

本文出自 “” 部落格，謝絕轉載！