規劃 WSUS 部署

適用于: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

做出重要決定是部署 Windows Server Update Services (WSUS) 的第一步,例如決定 WSUS 部署案例、選擇網路拓撲以及了解系統需求。 下列檢查清單摘要準備部署時所需的步驟。

工作 說明
1.1.檢查考量及系統需求 檢查考量及系統需求清單,確保您已準備好部署 WSUS 所需的所有硬體及軟體。
1.2.選擇 WSUS 部署案例 決定要使用哪個 WSUS 部署案例。
1.3.選擇 WSUS 儲存策略 決定哪個 WSUS 儲存策略最適合您的部署。
1.4.選擇 WSUS 更新語言 決定要安裝哪種 WSUS 更新語言。
1.5.規劃 WSUS 電腦群組 規劃部署將使用的 WSUS 電腦群組方式。
1.6.規劃 WSUS 效能考量:背景智慧型傳送服務 規劃 WSUS 設計以取得最佳效能。
1.7.規劃自動更新設定 規劃如何針對您的案例設定自動更新設定。

1.1. 檢查考量及系統需求

系統需求

硬體和資料庫軟體需求是由貴組織中要更新的用戶端電腦數目所驅動。 啟用 WSUS 伺服器角色之前,請依據下列指導方針,確認伺服器符合系統需求,並確認具有完成安裝的必要權限:

  • 啟用 WSUS 角色的伺服器硬體需求會與硬體需求合併在一起。 WSUS 的最小硬體需求:

    • 處理器: 1.4 GHz x64 處理器 (建議使用 2 Ghz 或更快的處理器)

    • 記憶體: 除了伺服器和其他所有服務或軟體所需的 RAM,WSUS 還需要額外的 2 GB。

    • 可用磁碟空間: 建議 40 GB 或以上

    • 網路介面卡: 每秒 100 Mbps 或以上 (建議 1GB)

注意

這些指導方針假設 WSUS 用戶端會為總計 30000 個用戶端,每隔八小時與伺服器進行同步處理。 如果同步處理頻率較高,伺服器負載就會有相對應的增量。

  • 軟體需求:

  • 如果您安裝的角色或軟體更新需要在安裝完成時重新啟動伺服器,請重新啟動伺服器,然後再啟用 WSUS 伺服器角色。

  • Microsoft .NET Framework 4.0 必須安裝在要安裝 WSUS 伺服器角色的伺服器上。

  • NT Authority\Network Service 帳戶必須具有下列資料夾的完整控制權,這樣 WSUS 系統管理嵌入式管理單元才能正常顯示:

    • %windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files

      注意

      安裝包含網際網路資訊服務 (IIS) 的網頁伺服器角色之前,這個路徑可能不存在。

    • %windir%\Temp

  • 確認計劃用來安裝 WSUS 的帳戶是本機 Administrators 群組的成員。

安裝考量

安裝期間,WSUS 預設將安裝下列物件:

  • .NET API 和 Windows PowerShell Cmdlet

  • WSUS 使用的 Windows 內部資料庫 (WID)

  • WSUS 使用的服務,包括:

    • 更新服務

    • 報告 Web 服務

    • 用戶端 Web 服務

    • 簡單 Web 驗證 Web 服務

    • 伺服器同步處理服務

    • DSS 驗證 Web 服務

功能隨選安裝的考量

請注意,設定用戶端電腦 (包括伺服器) 使用 WSUS 進行更新時會產生下列限制:

  1. 無法視需要從 Microsoft Update 安裝已使用功能隨選安裝移除其裝載的伺服器角色。 您必須在嘗試安裝此類伺服器角色時提供安裝來源,或在群組原則中設定功能隨選安裝的來源。

  2. Windows 用戶端版本無法視需要從網站上安裝 .NET 3.5。 伺服器角色的考量同樣適用於 .NET 3.5。

    注意

    設定功能隨選安裝的安裝來源並不會影響 WSUS。 如需如何設定功能的相關資訊,請參閱設定 Windows Server 中的功能隨選安裝

  3. 執行 Windows 10 版本 1709 或版本 1803 的企業裝置,無法直接從 WSUS 安裝任何功能隨選安裝。 若要安裝功能隨選安裝,請建立功能檔案 (並列存放),或從下列其中一個來源取得功能隨選安裝套件:

    • 大量授權服務中心 (VLSC) - 需要 VL 存取權

    • OEM 入口網站 - 需要 OEM 存取權

    • MSDN 下載 - 需要 MSDN 訂用帳戶

      您可以使用 DISM 命令列選項來安裝個別取得的功能隨選安裝套件。

WSUS 資料庫需求

WSUS 需要下列其中一個資料庫:

  • Windows 內部資料庫 (WID)

  • 任何支援的 Microsoft SQL Server 軟體版本。 如需詳細資訊,請參閱 Microsoft 支援週期原則

WSUS 支援下列 SQL Server 版本:

  • Standard

  • 企業

  • Express

注意

SQL Server Express 2008 R2 的資料庫大小限制為 10 GB。 這個資料庫大小對 WSUS 而言應該很足夠,但是使用這個資料庫並沒有比使用 WID 有任何明顯的好處。 除了標準 Windows Server 系統需求之外,WID 資料庫還需要最少 2 GB 的 RAM 記憶體。

您可以在與資料庫伺服器電腦不同的電腦上安裝 WSUS 角色。 在這種情況下,必須遵守下列額外的條件:

  1. 不可以將資料庫伺服器設定為網域控制站。

  2. WSUS 伺服器不可以執行遠端桌面服務。

  3. 資料庫伺服器必須與 WSUS 伺服器位於相同的 Active Directory 網域,或者它必須與 WSUS 伺服器的 Active Directory 網域具有信任關係。

  4. WSUS 伺服器與資料庫伺服器必須位於相同的時區,或者同步化為相同的國際標準時間 (格林威治標準時間) 來源。

1.2. 選擇 WSUS 部署案例

本節描述所有 WSUS 部署的基本功能。 閱讀本節內容以熟悉使用單一 WSUS 伺服器的簡單部署,以及更為複雜的案例,例如 WSUS 伺服器階層或隔離網路片段上的 WSUS 伺服器。

簡單 WSUS 部署

最基本的 WSUS 部署是由公司防火牆內的一部伺服器組成,可在私人內部網路上服務用戶端電腦。 WSUS 伺服器會連線到 Microsoft Update 下載更新。 這稱為「同步處理」 。 在同步處理期間,WSUS 會判斷上次同步處理後是否有任何新的更新。 如果您是第一次同步處理 WSUS,所有更新都可以下載。

注意

第一次同步處理可能需要 1 小時。 後續的所有同步處理都會快速許多。

根據預設,WSUS 伺服器會為 HTTP 通訊協定使用連接埠 80、為 HTTPS 通訊協定使用連接埠 443,從 Microsoft 取得更新。 如果您的網路與網際網路之間設有公司防火牆,您必須在與 Microsoft Update 直接通訊的伺服器上開啟這些連接埠。 如果您計劃在這個通訊使用自訂連接埠,您必須改為開啟這些連接埠。 您可以設定多部 WSUS 伺服器與父 WSUS 伺服器進行同步處理。 根據預設,WSUS 伺服器會為 HTTP 通訊協定使用連接埠 8530、為 HTTPS 通訊協定使用連接埠 8531,提供用戶端工作站的更新。

多部 WSUS 伺服器

系統管理員可以部署多部執行 WSUS 的伺服器,以同步處理組織內部網路中的所有內容。 您可以只將一部伺服器公開到網際網路,這是從 Microsoft Update 下載更新的唯一伺服器。 這部伺服器被設定為上游伺服器,也就是同步處理下游伺服器的來源。 在適用的情況下,伺服器可以位於地理位置分散的各個網路,為所有用戶端電腦提供最佳的連線能力。

已中斷連線的 WSUS 伺服器

如果公司原則或其他條件限制電腦存取網際網路,系統管理員可以設定一個內部伺服器來執行 WSUS。 其中一個範例是將伺服器連線到內部網路,但與網際網路隔離。 在這部伺服器上下載、測試並核准更新之後,系統管理員會將更新中繼資料及內容匯出到 DVD。 接著,更新中繼資料及內容會從 DVD 匯入到內部網路中執行 WSUS 的伺服器。

WSUS 伺服器階層

您可以建立複雜的 WSUS 伺服器階層。 因為您可以同步處理一部 WSUS 伺服器與另一部 WSUS 伺服器而不是 Microsoft Update,所以您只需要一個連線到 Microsoft Update 的 WSUS 伺服器就可以了。 當您將 WSUS 伺服器連結在一起的時候,會有一個上游 WSUS 伺服器和一個下游 WSUS 伺服器。 WSUS 伺服器階層部署提供下列好處:

  • 您可以從網際網路下載更新一次,然後使用下游伺服器將更新散佈到用戶端電腦。 這種方法可以節省公司網際網路連線的頻寬。

  • 例如,您可以將更新下載到實體位置離用戶端電腦較近的 WSUS 伺服器,例如位於分公司。

  • 您可以設定不同的 WSUS 伺服器來服務使用不同語言之 Microsoft 產品的用戶端電腦。

  • 您可以針對擁有較多用戶端電腦而無法由一部 WSUS 伺服器有效管理的大型組織來擴展 WSUS。

注意

建議您不要建立三層以上的 WSUS 伺服器階層。 每增加一個階層,就會增加在連線的伺服器上傳播更新的時間。 雖然理論上沒有階層的限制,但是 Microsoft 僅測試到五個階層的部署。

此外,下游伺服器必須具備與上游伺服器同步處理來源相同版本或舊版的 WSUS。

您可以自發模式 (分散式管理) 或複寫模式 (集中式管理) 連線 WSUS 伺服器。 您不一定只能使用一種模式來部署伺服器階層:您可以部署同時使用自發和複寫 WSUS 伺服器的 WSUS 解決方案。

自發模式

自發模式也稱為分散式管理,是 WSUS 的預設安裝選項。 在自發模式中,上游 WSUS 伺服器會在同步處理期間與下游伺服器共用更新。 下游 WSUS 伺服器是個別管理的,而且不會從上游伺服器收到更新核准狀態或電腦群組資訊。 透過使用分散式管理模型,每個 WSUS 伺服器系統管理員可以選取更新語言、建立電腦群組、指派電腦給群組、測試和核准更新,以及確認已在適當的電腦群組安裝正確的更新。

複寫模式

複寫模式也稱為集中式管理,運作方式是由上游 WSUS 伺服器與下游伺服器共用更新、核准狀態以及電腦群組。 複本伺服器會繼承更新核准,而且不會與上游 WSUS 伺服器分開管理。

注意

如果您設定讓數個複本伺服器連線單一上游 WSUS 伺服器,請不要在每個複本伺服器上排定相同的同步處理時間。 這種做法可以避免突然大量使用頻寬。

分公司

您可以利用 Windows 的分公司功能來最佳化 WSUS 部署。 這種部署類型提供下列優點:

  1. 有助於降低 WAN 連結的使用並改善應用程式的回應。 若要啟用 WSUS 伺服器服務的內容 BranchCache 加速功能,請在伺服器和用戶端上安裝 BranchCache 功能,並確認 BranchCache 服務已經啟動。 不需要其他任何步驟。

  2. 如果分公司與總公司之間是低頻寬連線但與網際網路有高頻寬連線,那麼也可以使用分公司功能。 在這種情況下,您可能想要設定下游 WSUS 伺服器從中央 WSUS 伺服器取得要安裝之更新的相關資訊,但直接從 Microsoft Update 下載更新。

Network Load Balancing

網路負載平衡 (NLB) 提高了 WSUS 網路的可靠性及效能。 您可以設定多部 WSUS 伺服器共用執行 SQL Server (例如 SQL Server 2008 R2 SP1) 的單一容錯移轉叢集。 在這個設定中,您必須使用完整的 SQL Server 安裝而不是 WSUS 提供的 Windows 內部資料庫安裝,而且必須在所有 WSUS 前端伺服器安裝資料庫角色。 您也可以讓所有 WSUS 伺服器使用分散式檔案系統 (DFS) 儲存內容。

適用於 NLB 的 WSUS 設定: 與適用於 NLB 的 WSUS 3.2 設定相較之下,已不再需要特殊的安裝程式呼叫和參數來設定 NLB 的 WSUS。 您只需要設定每部 WSUS 伺服器,請記住以下幾點。

  • WSUS 必須透過 SQL 資料庫選項 (而不是 WID) 進行安裝。

  • 如果在本機儲存更新,則相同的 [內容] 資料夾必須在共用相同 SQL 資料庫的 WSUS 伺服器之間進行共用。

  • 必須以序列模式進行 WSUS 設定。 共用相同 SQL 資料庫時,您無法同時在多部伺服器上執行後續安裝工作。

包含漫遊用戶端電腦的 WSUS 部署

如果網路包含從其他位置登入網路的行動使用者,您可以設定 WSUS 讓漫遊使用者從地理位置最靠近他們的 WSUS 伺服器更新用戶端電腦。 例如,您可以在每個區域部署一部 WSUS 伺服器,並針對每個區域使用不同的 DNS 子網路。 所有用戶端電腦都會導向同一部 WSUS 伺服器,它將每個子網路解析到最近的實體 WSUS 伺服器。

1.3. 選擇 WSUS 儲存策略

Windows Server Update Services (WSUS) 使用兩種類型的儲存系統:儲存 WSUS 設定和更新中繼資料的資料庫,以及儲存更新檔案的選用本機檔案系統。 安裝 WSUS 之前,應該先決定實作儲存的方式。

更新由兩個部分組成:描述更新的中繼資料,以及安裝更新的必要檔案。 更新中繼資料通常比實際更新小很多,而且儲存在 WSUS 資料庫。 更新檔案則儲存在本機 WSUS 伺服器或 Microsoft Update 網頁伺服器上。

WSUS 資料庫

WSUS 要求每個 WSUS 伺服器都要有一個資料庫。 WSUS 支援使用位於 WSUS 伺服器以外不同電腦上的資料庫,但有一些限制。 如需支援的資料庫清單和遠端資料庫限制,請參閱本指南中的<1.1 檢閱初始考量和系統需求>一節。

WSUS 資料庫儲存下列資訊:

  • WSUS 伺服器設定資訊

  • 描述每個更新的中繼資料

  • 用戶端電腦、更新以及互動的相關資訊

如果您安裝多部 WSUS 伺服器,必須為每個 WSUS 伺服器維護個別的資料庫,無論是自發或複本伺服器。 您不能在單一 SQL Server 執行個體上儲存多個 WSUS 資料庫,但使用 SQL Server 容錯移轉的網路負載平衡 (NLB) 叢集不在此限。

SQL Server、SQL Server Express 以及 Windows 內部資料庫為單一伺服器設定提供相同的效能特性,其中資料庫與 WSUS 服務是位於同一台電腦上。 單一伺服器設定可以支援數千部 WSUS 用戶端電腦。

注意

請不要透過直接存取資料庫的方式來管理 WSUS。 直接操控資料庫可能會造成資料庫毀損。 這種毀損不一定馬上看得出來,但是將無法升級到下一版產品。 您可以使用 WSUS 主控台或 WSUS 應用程式開發介面 (API) 來管理 WSUS。

使用 Windows 內部資料庫的 WSUS

根據預設,安裝精靈會建立並使用名為 SUSDB.mdf 的 Windows 內部資料庫。 這個資料庫位於 %windir%\wid\data\ 資料夾,其中 %windir% 是安裝 WSUS 伺服器軟體的本機磁碟機。

注意

Windows 內部資料庫 (WID) 是在 Windows Server 2008 中引進。

WSUS 僅支援資料庫的 Windows 驗證。 您不能在 WSUS 使用 SQL Server 驗證。 如果使用 WSUS 資料庫的 Windows 內部資料庫,WSUS 安裝程式會建立一個 SQL Server 執行個體,名為 server\Microsoft##WID,其中 server 是電腦的名稱。 無論使用哪個資料庫選項,WSUS 安裝程式都會建立名為 SUSDB 的資料庫。 這個資料庫的名稱是不能設定的。

建議您在下列情況下使用 Windows 內部資料庫:

  • 組織尚未購買且任何其他應用程式都不需要 SQL Server 產品。

  • 組織不需要 NLB WSUS 解決方案。

  • 您想要部署多部 WSUS 伺服器 (例如在分公司)。 在這個情況下,即使您要在根 WSUS 伺服器使用 SQL Server,還是應該考慮在次要伺服器上使用 Windows 內部資料庫。 因為每個 WSUS 伺服器需要個別的 SQL Server 執行個體,如果只用一個 SQL Server 執行個體處理多部 WSUS 伺服器,很快就會發生資料庫效能問題。

Windows 內部資料庫不提供使用者介面或任何資料庫管理工具。 如果您為 WSUS 選用這個資料庫,必須使用外部工具來管理資料庫。 如需詳細資訊,請參閱:

WSUS 搭配 SQL Server

建議您在下列情況下使用 SQL Server 搭配 WSUS:

  1. 您需要 NLB WSUS 解決方案。

  2. 您已經安裝至少一個 SQL Server 執行個體。

  3. 您無法在本機非系統帳戶下或使用 SQL Server 驗證執行 SQL Server 服務。 WSUS 只支援 Windows 驗證。

WSUS 更新儲存

當將更新同步處理至 WSUS 伺服器時,中繼資料和更新檔案會儲存在兩個不同的位置。 中繼資料會儲存在 WSUS 資料庫中。 根據同步處理選項的設定方式,更新檔案可以儲存在您的 WSUS 伺服器或 Microsoft Update 伺服器上。 如果您選擇將更新檔案儲存在 WSUS 伺服器上,則用戶端電腦會從本機 WSUS 伺服器下載核准的更新。 如果不是的話,用戶端電腦會直接從 Microsoft Update 下載核准的更新。 最適合您組織的選項取決於網際網路連線的網路頻寬、內部網路的網路頻寬,以及本機儲存的可用性。

您可以為部署的每個 WSUS 伺服器選取不同的更新儲存解決方案。

本機 WSUS 伺服器儲存

本機儲存更新檔案是安裝和設定 WSUS 時的預設選項。 這個選項可以節省公司對網際網路連線的頻寬,因為用戶端會直接從本機 WSUS 伺服器下載更新。

這個選項需要伺服器擁有足夠的磁碟空間以儲存所需的所有更新。 WSUS 在本機上至少需要 20 GB 來儲存更新;不過,根據已測試的變化值,建議至少具有 30 GB 的空間。

Microsoft Update 伺服器遠端儲存

您可以將更新遠端儲存在 Microsoft Update 伺服器上。 如果大部分的用戶端電腦經由慢速 WAN 連線到 WSUS 伺服器,但是透過高頻寬連線連線到網際網路時,這個選項很有用。

在這種情況下,根 WSUS 伺服器會與 Microsoft Update 同步化並接收更新中繼資料。 核准更新之後,用戶端電腦會從 Microsoft Update 伺服器下載核准的更新。

1.4. 選擇 WSUS 更新語言

以階層方式部署 WSUS 伺服器的時候,應決定整個組織需要的語言更新。 您應該設定根 WSUS 伺服器,下載整個組織使用的所有語言更新。

例如,總公司可能需要英文和法文更新,但是其中一個分公司需要英文、法文及德文更新,而另一個分公司需要英文和西班牙文更新。 在這種情況下,您要設定根 WSUS 伺服器下載英文、法文、德文以及西班牙文更新。 接著,將第一個分公司 WSUS 伺服器設定為只下載英文、法文及德文更新,並將第二個分公司伺服器設定為只下載英文和西班牙文更新。

WSUS 組態精靈中的 [選擇語言] 頁面能讓您取得所有語言或語言子集的更新。 選取語言子集可以節省磁碟空間,但是選擇 WSUS 伺服器的所有下游伺服器及用戶端電腦需要的所有語言是非常重要的。

下面是一些設定這個選項來選擇更新語言前必須謹記在心的一些重要事項:

  • 除了整個組織所需的任何其他語言之外,還必須包含英文。 所有的更新都是以英文語言套件為基礎。

  • 如果您沒有為上游伺服器選取所有必需的語言,下游伺服器和用戶端電腦將不會收到需要的所有更新。 確定您選取了與所有下游伺服器關聯的所有用戶端電腦需要的所有語言。

  • 您通常應該在與 Microsoft Update 同步化的根 WSUS 伺服器上,下載所有語言的更新。 這個選項保證所有下游伺服器及用戶端電腦都可以接收他們所需的語言更新。

如果將更新儲存在本機,而且 WSUS 伺服器設定下載的更新語言有限,您可能會發現有些更新是指定語言以外的語言。 許多更新檔案是數種不同語言的組合,其中包含至少一種在伺服器上指定的語言。

上游伺服器

注意

設定上游伺服器在下游複本伺服器所需的所有語言中同步處理更新。 您不會在未同步處理的語言中收到需要更新的通知。

在要求語言的用戶端電腦上,更新將會顯示為 [不適用] 。 若要避免這個情況,請確定您的 WSUS 伺服器同步處理選項中已包含所有的作業系統語言。 透過移至 WSUS 管理主控台的 [電腦] 檢視,並根據作業系統語言排序電腦,您便可以看到所有的作業系統語言。 不過,如果 Microsoft 應用程式有多種語言 (例如,如果在某些使用英文版的 Windows 8 電腦上安裝法文版的 Microsoft Word),您可能會想要包含更多語言。

選擇上游伺服器的語言與選擇下游伺服器的語言不同。 下列程序說明其中的差異。

選擇從 Microsoft Update 同步處理伺服器的更新語言

  1. 在 WSUS 設定精靈中:

    • 若要取得所有語言的更新,請按一下 [下載所有語言的更新,包括新語言] 。

    • 如果只需特定語言的更新,請按一下 [只下載下列語言的更新] ,然後選取您想要更新的語言。

選擇下游伺服器的更新語言

  1. 如果已設定上游伺服器下載語言子集內的更新檔案:在 [WSUS 設定精靈] 中,按一下 [只下載下列語言的更新 (上游伺服器只支援以星號標示的語言)] ,然後選取您要更新的語言。

注意

即使您希望下游伺服器下載與上游伺服器相同的語言,您仍然應該執行這個動作。

  1. 如果已設定上游伺服器下載所有語言的更新檔案:在 [WSUS 設定精靈] 中,按一下 [下載上游伺服器支援的所有語言的更新] 。

注意

即使您希望下游伺服器下載與上游伺服器相同的語言,您仍然應該執行這個動作。 這項設定會導致上游伺服器下載所有語言的更新,包括不是上游伺服器最初設定的語言。 如果您在上游伺服器中新增語言,您應該將新增更新複製到其複本伺服器。

單單變更上游伺服器本身的語言選項可能會導致中央伺服器所核准的更新數目與複本伺服器所核准的更新數目不相符。

1.5. 規劃 WSUS 電腦群組

WSUS 允許您針對用戶端電腦選擇更新,這樣就可以確保特定電腦永遠可以在最便利的時間取得正確的更新。 例如,如果一個部門 (例如會計部門) 中所有的電腦都有特定的設定,您可以為該部門設定一個群組,決定這些電腦需要哪些更新以及安裝更新的時間,然後使用 WSUS 報告來評估部門的更新。

注意

如果 WSUS 伺服器是在複寫模式中執行,這部伺服器上就不能建立電腦群組。 複本伺服器用戶端電腦需要的所有電腦群組,必須在 WSUS 伺服器階層的根 WSUS 伺服器上建立。 如需有關複本模式的詳細資訊,請參閱《WSUS 3.0 SP2 操作指南》中的管理 WSUS 複本伺服器管理 WSUS 複本伺服器

電腦一律指派到 [所有電腦] 群組,而且在指派到另一個群組前,都會持續指派到 [尚未指派的電腦] 群組。 電腦可以屬於多個群組。

您可以階層方式設定電腦群組 (例如,在「會計」群組下方放置「薪資」群組和「應付帳款」群組)。 針對較高群組核准的更新,除了部署至較高群組以外,還會自動部署至較低群組。 在這個範例中,如果核准「會計」群組的 Update1,這個更新會被部署到「會計」群組、「薪資」群組及「應付帳款」群組的所有電腦上。

因為可以將電腦指派到多個群組,所以可能為相同的電腦多次核准單一更新。 不過,只能部署更新一次,而且 WSUS 伺服器會解決任何衝突。 繼續前面的範例,如果將 ComputerA 指派到「薪資」群組和「應付帳款」群組,而且已經針對這兩個群組核准 Update1,這個更新將僅能部署一次。

您可以使用下列其中一種方法,將電腦指派給電腦群組:以伺服器端為目標或以用戶端為目標。 下面是每個方法的定義:

  • 以伺服器端為目標:手動將一或多個用戶端電腦同時指派給多個群組。

  • 以用戶端為目標:使用用戶端電腦上的群組原則或編輯登錄設定,讓這些電腦自動新增到先前建立的電腦群組。

衝突解決方法

伺服器會套用下列規則來解決衝突,並判斷用戶端的結果動作:

  1. 優先順序

  2. 安裝/解除安裝

  3. 期限

優先順序

與優先順序最高的群組相關的動作會覆寫其他群組的動作。 位於群組階層越深層的群組,其優先順序就越高。 指派優先順序的唯一依據是其深度,而所有分支的優先順序都是相同的。 例如,桌面分支下兩層的群組的優先順序高於伺服器分支下一層的群組。

在下列 Update Services 主控台階層窗格的文字範例中,於名為 WSUS-01 的 WSUS 伺服器底下,將名為桌上型電腦和伺服器的電腦群組新增到預設的 [所有電腦] 群組。 桌上型電腦和伺服器群組兩者位在同一個階層。

  • Update Services

    • WSUS-01

      • 更新

      • 電腦

        • 所有電腦

          • 尚未指派的電腦

          • 桌上型電腦

            • Desktops-L1

              • Desktops-L2
          • 伺服器

            • Servers-L1
      • 下游伺服器

      • 同步處理

      • 報告

      • 選項

在這個範例中,桌上型電腦分支下兩層的群組 (Desktops L2) 的優先順序高於伺服器分支下一層的群組 (Servers L1)。 因此,若電腦在 Desktops-L2 和 Servers-L1 群組皆具有成員資格,則 Desktops-L2 群組的所有動作皆優先於為 Servers-L1 群組指定的動作。

安裝和解除安裝的優先順序

安裝動作覆寫解除安裝動作。 必要安裝會覆寫選用安裝 (只能透過 API 使用選用安裝,而且使用 WSUS 管理主控台改變更新的核准狀態將會清除所有選用核准)。

期限的優先順序

有期限的動作會覆寫沒有期限的動作。 期限較早的動作會覆寫期限較晚的動作。

1.6. 規劃 WSUS 效能考量

部署 WSUS 之前有一些方面必須審慎規劃以便擁有最佳化的效能。 這些重要的方面包括:

  • 網路設定

  • 延後下載

  • 篩選器

  • 安裝

  • 大型更新部署

  • 背景智慧型傳送服務 (BITS)

網路設定

為了最佳化 WSUS 網路的效能,請考慮下列建議:

  1. 在中樞和支點拓撲而不是階層式拓撲中設定 WSUS 網路。

  2. 在漫遊用戶端電腦使用 DNS 網路遮罩順序,並設定漫遊用戶端電腦從本機 WSUS 伺服器取得更新。

延後下載

您可以核准更新,並在下載更新檔案前先下載更新中繼資料,這個方法就稱為「延後下載」 。 延後下載只會在核准之後才下載更新。 建議您使用延後下載,因為可以最佳化網路頻寬及磁碟空間。

在 WSUS 伺服器階層中,WSUS 會自動設定所有下游伺服器使用根 WSUS 伺服器的延後下載設定。 您可以變更這個預設設定。 例如,您可以設定上游伺服器執行完整立即的同步處理,然後設定下游伺服器延後下載。

如果部署連線的 WSUS 伺服器階層,建議不要建立太多層的巢狀伺服器。 如果啟用延後下載且下游伺服器要求上游伺服器沒有核准的更新,那麼下游伺服器的要求會強制上游伺服器下載。 接著下游伺服器會在後續同步處理中下載更新。 在層數過多的 WSUS 伺服器階層中,會在要求、下載,然後透過伺服器階層傳遞更新時,發生延遲。 根據預設,將更新儲存在本機時會啟用延後下載。 您可以手動變更這個選項。

篩選器

WSUS 可讓您依語言、產品及分類篩選更新同步處理。 在 WSUS 伺服器階層中,WSUS 會自動設定所有下游伺服器使用根 WSUS 伺服器上選取的更新篩選選項。 您可以將下載伺服器重新設定為只接收語言子集。

根據預設,要更新的產品為 Windows 和 Office,而預設分類則為重要更新、安全性更新以及定義更新。 為了節省寬頻和磁碟空間,建議您將語言限定在實際使用的語言。

安裝

更新通常是由要更新電腦上已經存在檔案的新版本組成。 在二進位層級上,這些現有的檔案可能與更新版檔案沒有太大的差異。 快速安裝檔案功能可識別不同版本的確實位元組、只針對這些差異建立和散佈更新,然後將現有檔案與更新的位元組合併。

這個功能有時候稱為差異傳送,因為只會下載兩個檔案版本之間的差異資料。 快速安裝檔案大於散佈到用戶端電腦的更新,因為快速安裝檔案包含每個檔案要更新的所有可能版本。

因為 WSUS 只會傳輸適用於更新元件特定版本的差異,您可以使用快速安裝檔案來限制本機網路上消耗的頻寬。 不過,這其實會佔用 WSUS 伺服器、任何上游 WSUS 伺服器和 Microsoft Update 之間的額外頻寬,而且會需要額外本機磁碟空間。 根據預設,WSUS 不會使用快速安裝檔案。

並非所有更新都適合使用快速安裝檔案進行散佈。 如果選取這個選項,您會取得所有更新的快速安裝檔案。 如果您不在本機儲存更新,則 Windows Update 代理程式會決定是要下載快速安裝檔案還是完整檔案更新散發套件。

大型更新部署

在您部署大型更新 (例如 Service Pack) 的時候,可以使用下列做法避免讓網路飽和:

  1. 使用背景智慧型傳送服務 (BITS) 節流。 BITS 頻寬限制可以日期時間進行控制,但是它們會套用到所有使用 BITS 的應用程式。 若要了解如何控制 BITS 節流,請參閱群組原則

  2. 使用網際網路資訊服務 (IIS) 節流來限制一或多個 Web 服務的節流。

  3. 使用電腦群組控制首次發行。 用戶端電腦傳送資訊到 WSUS 伺服器的時候,會將自己識別為特定電腦群組的成員。 WSUS 伺服器會使用這項資訊來判斷這部電腦應該部署的更新。 您可以設定多個電腦群組,接著為這些群組子集核准大型 Service Pack 下載。

背景智慧型傳送服務

WSUS 會在所有的檔案傳送工作使用背景智慧型傳送服務 (BITS) 通訊協定。 這包括用戶端電腦下載及伺服器同步處理。 BITS 可讓程式使用閒置的頻寬下載檔案。 BITS 透過網路中斷連線及電腦重新啟動來維持檔案的傳送。 如需詳細資訊,請參閱:背景智慧型傳送服務

1.7. 規劃自動更新設定

您可以指定在 WSUS 伺服器核准更新的截止日期。 截止日期可讓用戶端電腦在特定時間安裝更新,但是這有各種不同的情況,取決於截止日期是否到期、佇列中是否有電腦可以安裝的其他更新,以及更新 (或佇列中的其他更新) 是否需要重新啟動。

根據預設,自動更新會輪詢 WSUS 伺服器以取得核准的更新,間隔為每 22 小時減去隨機差距。 如果有需要安裝的新更新,就會下載它們。 每個偵測週期的間隔可以設定為 1 到 22 個小時。

您可以使用下列方法操作通知選項:

  1. 如果將自動更新設定為通知使用者已經準備好安裝的更新,這個通知會傳送到系統記錄檔以及用戶端電腦的通知區域。

  2. 當具有適當認證的使用者按一下通知區域的圖示時,自動更新會顯示可以安裝的更新。 使用者必須按一下 [安裝] 才會開始安裝。 如果更新需要重新啟動電腦才能完成,會出現一則訊息。 如果需要重新啟動,自動更新必須等到電腦重新啟動之後,才能繼續偵測其他的更新。

如果將自動更新設定為依設定好的排程安裝更新,則會下載適用的更新並標示為準備安裝。 自動更新會使用通知區域圖示通知具有適當認證的使用者,並在系統記錄檔記錄事件。

在排定的日期和時間,即使沒有本機系統管理員登入電腦,自動更新仍會安裝更新及重新啟動電腦 (如有必要)。 如果本機系統管理員登入且電腦需要重新啟動,自動更新會顯示警告訊息,並倒數計時重新啟動的時間。 否則,安裝只會在背景進行。

如果必須重新啟動電腦且有使用者登入,則會顯示類似的倒數計時對話方塊,警告使用者正在等待重新啟動。 您可以使用群組原則來操作電腦重新啟動的設定。

下載新的更新之後,自動更新會輪詢 WSUS 伺服器檢查核准的套件清單,確認下載的套件仍是有效且已核准。 這表示如果自動更新正在下載更新,而 WSUS 系統管理員從核准的更新清單中移除更新,則實際上只會安裝仍是核准狀態的更新。