(内网环境:192.168.100.0/24,AD 域 iehang.cn,适用于域内统一更新管理)
一、环境说明
- 系统:Windows Server 2025(可与 DC 同机,建议独立服务器)
- 本机 IP:192.168.100.11(示例 WSUS IP)
- 内网网段:192.168.100.0/24
- 域名:iehang.cn(AD 域环境)
- WSUS 存储路径:D:\WSUS(建议单独分区,空间 ≥ 200GB)
- 端口:默认 8530(HTTP) / 8531(HTTPS)
二、前置准备
- 设置 静态 IP:192.168.100.11/24,网关 192.168.100.1,DNS 指向 DC(192.168.100.10)
- 准备 NTFS 分区,新建文件夹
D:\WSUS - 服务器能访问外网(用于第一次同步补丁)
- 以 域管理员(Domain Admin) 登录
三、安装 WSUS 角色(图形界面)
- 打开 服务器管理器 → 管理 → 添加角色和功能
- 下一步到【服务器角色】
- 勾选 Windows Server 更新服务
- 弹出提示 → 添加功能 → 下一步
- 角色服务默认勾选:
- WID 数据库(默认,小型网络够用)
- WSUS 服务
- 下一步 → 安装
- 安装完成后,点击 启动后期部署配置
四、WSUS 配置向导
- 开始前任务 → 下一步
- 加入 Microsoft 更新改善计划 → 取消勾选 → 下一步
- 上游服务器
- 选择 从 Microsoft 更新同步
- 下一步
- 代理服务器 → 不设置 → 下一步
- 应用设置 → 等待完成
- 运行 初始同步(可选,时间很长,可先取消后续手动同步)
五、WSUS 基本配置(关键)
打开:服务器管理器 → 工具 → Windows Server 更新服务
1. 设置更新文件位置
- 左侧 选项 → 更新文件和语言
- 勾选
- 仅当客户端请求时下载更新
- 选择 高级
- 勾选 下载快速安装文件
- 确定
2. 语言设置
- 选项 → 语言
- 仅勾选 中文(简体)
- 确定
3. 产品和分类
- 选项 → 产品和分类
- 产品 勾选:
- Windows 11
- Windows 10
- Windows Server 2022/2025
- Office 2021/2024/365(按需)
- 分类 勾选:
- 关键更新
- 安全更新
- 汇总包
- 服务包
- 定义更新(Defender)
- 确定
4. 同步计划
- 选项 → 同步计划
- 手动同步:每天 1 次
- 设置同步时间(如凌晨 2:00)
- 确定
六、创建计算机组(按部门 / 用途)
- 左侧 所有计算机 → 右键 添加计算机组
- 建议创建:
- 域控制器
- 服务器组
- 财务部
- 销售部
- 技术部
- 测试组
七、配置自动审批规则
- 选项 → 自动审批
- 新建规则
- 规则名称:
自动审批安全更新 - 条件:
- 更新分类为 安全更新
- 更新分类为 关键更新
- 操作:
- 审批到 所有计算机 或指定组
- 确定
八、域客户端通过 GPO 自动配置 WSUS(最常用)
在 域控制器(DC01.iehang.cn) 上操作:
- 打开 组策略管理 gpmc.msc
- 新建或编辑域策略(如
WSUS客户端策略) - 编辑策略 → 计算机配置 → 管理模板 → Windows 组件 → Windows 更新
关键策略配置
-
配置自动更新
- 启用
- 配置:自动下载并计划安装
- 计划时间:每天 3:00
-
指定 Intranet Microsoft 更新服务位置
- 启用
- 服务检测位置:
http://192.168.100.11:8530 - 统计服务器位置:
http://192.168.100.11:8530
-
允许客户端目标设置
- 启用
- 填写计算机组名称(如:
技术部)
-
接收其他 Microsoft 产品更新
- 启用
-
链接 GPO 到对应 OU(技术部、销售部等)
九、客户端生效与测试
客户端 CMD 执行:
cmd
gpupdate /force
wuauclt /detectnow
wuauclt /reportnow
在 WSUS 控制台 所有计算机 中可看到上线的客户端。
十、PowerShell 快速安装 WSUS(可选)
powershell
# 安装 WSUS 角色
Install-WindowsFeature -Name UpdateServices,UpdateServices-WidDB,UpdateServices-Services -IncludeManagementTools
# 初始化 WSUS(指定存储路径 D:\WSUS)
& "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall CONTENT_DIR=D:\WSUS
十一、WSUS 维护建议
- WSUS 目录建议 200GB+ 空间
- 每月执行 服务器清理向导(选项 → 服务器清理向导)
- 拒绝过期、被取代的旧更新
- 测试组先验证更新,再批量部署
- 定期备份 WSUS 数据库与目录
十二、常见问题
- 客户端不显示:检查 GPO、端口 8530、防火墙、DNS
- 无法同步:检查外网连通性
- 空间暴涨:开启 “仅客户端请求下载”+ 定期清理
- 更新安装失败:查看事件日志,检查被取代更新
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
