微软是这样说的: https://msdn.microsoft.com/zh-cn/library/gg712696.aspx 规划软件更新点安装
在 配置管理器 中创建软件更新点站点系统角色之前,你必须根据 配置管理器 基础结构考虑一些要求。 将软件更新点配置为使用 SSL 进行通信时,查看本部分特别重要,因为你必须执行其他步骤,层次结构中的软件更新点才能正常工作。 本部分提供有关成功规划和准备软件更新点安装所必须执行的步骤的信息。 软件更新点的要求
必须在满足 WSUS 的最低要求且达到 配置管理器 站点系统的支持配置的站点系统上安装软件更新点站点系统角色。 有关 WSUS 3.0 SP2 的最低要求的详细信息,请参阅 Windows Server Update Services 3.0 SP2 文档库中的 Confirm WSUS 3.0 SP2 installation requirements(确认 WSUS 3.0 SP2 安装要求)。 有关 Windows Server 2012 中 WSUS 服务器角色的最低要求的详细信息,请参阅 Windows Server 2012 文档库中的步骤 1:为你的 WSUS 部署做好准备。 有关 配置管理器 站点系统的受支持的配置的详细信息,请参阅受支持的配置的配置管理器主题中的站点系统要求部分。
规划 WSUS 安装
软件更新要求在为软件更新点站点系统角色配置的所有站点系统服务器上安装 WSUS 的支持版本。 此外,如果你未在站点服务器上安装软件更新点,则必须在站点服务器计算机上安装 WSUS 管理控制台(如果尚未安装该控制台)。 这允许站点服务器与软件更新点上运行的 WSUS 通信。 在 Windows Server 2012 上使用 WSUS 时,必须将其他权限配置为允许 配置管理器 中的 WSUS Configuration Manager 连接到 WSUS 以执行定期健康状况检查。 选择下列选项之一以配置权限: 将“SYSTEM”帐户添加到“WSUS 管理员”组 将“NT AUTHORITY/SYSTEM”帐户添加为 WSUS 数据库 (SUSDB) 的用户,并配置最低的 webService 数据库角色成员资格 有关如何安装 WSUS 3.0 SP2 的详细信息,请参阅 Windows Server Update Services 3.0 SP2 文档库中的 Install WSUS Server or Administration Console(安装 WSUS 服务器或管理控制台)。 有关如何在 Windows Server 2012 上安装 WSUS 的详细信息,请参阅 Windows Server 2012 文档库中的 Install the WSUS Server Role(安装 WSUS 服务器角色)。 适用于 System Center 2012 Configuration Manager SP1 和更高版本: 在主站点上安装多个软件更新点时,请为同一 Active Directory 林中的每个软件更新点使用同一 WSUS 数据库。 如果共享相同的数据库,则可以极大程度地进行缓解,但不完全排除在客户端切换到新软件更新点时可能会遇到的客户端和网络性能影响。 当客户端切换到与旧软件更新点共享数据库的新软件更新点时,仍然会进行增量扫描,但与 WSUS 服务器具有其自己的数据库的情况相比,扫描工作要少得多。 将 WSUS 配置为使用自定义的网站
在安装 WSUS 时,可以选择使用现有的 IIS 默认网站或创建自定义的 WSUS 网站。 为 WSUS 创建自定义网站,以便 IIS 在专用的虚拟网站中承载 WSUS 服务,而不是共享由其他 配置管理器 站点系统或其他应用程序使用的同一个网站。 尤其是在站点服务器上安装软件更新点站点系统角色时。 在 Windows Server 2012 中运行 WSUS 或为 WSUS 3.0 SP2 配置自定义网站时,WSUS 默认情况下被配置为针对 HTTP 使用端口 8530,针对 HTTPS 使用端口 8531。 在站点上创建软件更新点时,必须指定这些端口设置。 使用现有的 WSUS 基础结构
安装 配置管理器 之前,你可以使用在环境中处于活动状态的 WSUS 服务器。 配置软件更新点时,必须指定同步设置。配置管理器 连接至在软件更新点运行的 WSUS 并使用相同设置配置 WSUS 服务器。 如果 WSUS 服务器以前与未配置为软件更新点同步设置的产品或分类同步,则会对 WSUS 数据库中的所有软件更新元数据同步产品和分类的软件更新元数据,而与软件更新点的同步设置无关。 这可能会导致站点数据库中出现意外的软件更新元数据。 直接在 WSUS 管理控制台中添加产品或分类然后立即启动同步时,你将遇到相同的行为方式。 默认情况下,配置管理器 每小时会连接到软件更新点上运行的 WSUS,并重置在 配置管理器 外修改的任何设置。 从 配置管理器 SP1 开始,未满足你在同步设置中指定的产品和分类要求的软件更新被设置为过期,然后会从站点数据库中删除。 将 WSUS 配置为副本服务器
在主站点服务器上创建软件更新点站点系统角色时,你无法使用配置为副本的 WSUS 服务器。 将 WSUS 服务器配置为副本时,配置管理器 无法配置 WSUS 服务器,WSUS 同步也会失败。 在辅助站点上创建软件更新点时,配置管理器 会将 WSUS 配置为在父主站点中软件更新点上运行的 WSUS 的副本服务器。 从 配置管理器 SP1 开始,在主站点中安装的第一个软件更新点为默认的软件更新点。 站点中的其他软件更新点被配置为默认软件更新点的副本。 决定是否将 WSUS 配置为使用 SSL
你可以使用 SSL 协议帮助保护软件更新点上运行的 WSUS。 WSUS 使用 SSL 向 WSUS 服务器验证客户端计算机和下游 WSUS 服务器的身份。 WSUS 还使用 SSL 来加密软件更新元数据。 如果选择使用 SSL 保护 WSUS,则必须在安装软件更新点之前准备 WSUS 服务器。 有关如何针对 SSL 配置 WSUS 的详细信息,请参阅 WSUS 3.0 SP2 文档库中的 Secure WSUS with the Secure Sockets Layer PRotocol(使用安全套接字层保护 WSUS)。 在安装和配置软件更新点时,必须选择“为 WSUS 服务器启用 SSL 通信”设置。 否则,配置管理器 会将 WSUS 配置为不使用 SSL。 为软件更新点上运行的 WSUS 启用 SSL 时,也必须将在任何子站点的软件更新点上运行的 WSUS 配置为使用 SSL。
新闻热点
疑难解答