Windows Server Update Service-WSUS场景解析

简单说一下微软的WSUS补丁更新服务。简单来说，就是在企业内网自动化更新、审批微软系统和软件补丁的。通过WSUS可以大大提高IT的运维效率，减少因为紧急补丁带来的加班工作量。下面是我画的一个架构图，简单解释一下：

（一）更新源

直白点说就是微软官方的一组服务器，当企业内部部署了WSUS之后，可以选择从微软官方的更新服务器下载补丁到自己的WSUS上，然后再从自己的WSUS下发到内网的客户端。这样好处就是，企业内部的成千上万台客户端就不需要独自联网更新补丁了，一方面效率和速度会更高；另外一方面节省企业互联网带宽资源。

（二）部署场景

第一种：主站点部署（集团总部），一台WSUS支持4000-8000终端没有太大问题，在规划服务器的时候可以考虑使用万兆网卡，内存32G-64G左右，CPU标配即可；

第二种：涉密网络部署，不允许直接连接Internet，导致无法直接连接非涉密网的WSUS进行补丁更新，那这种场景下是可以支持通过离线介质导入的方式进行补丁更新的，具体参考下图最下方“涉密网”部分；

第三种：大型分支机构部署，有些分支机构客户端可能会比较多，比如达到了2000台以上，可以考虑单独部署下游WSUS服务器，下游服务器可以独立管理，也可以由主站点的WSUS统一进行策略上的管控；下游服务器可以自己去Internet拉取补丁，也可以从上游WSUS服务器拉取补丁。

（三）延伸场景介绍

WSUS服务除了独立部署之外，也是可以和微软其他终端管理工具进行整合的，最典型的就是微软的MDT操作系统部署服务和SCCM配置管理服务（现在叫MEM）。与MDT整合，可以在操作系统自动化推送安装阶段，同时安装好所有需要的补丁；与SCCM的整合，可以通过SCCM的客户端agent整合管理补丁的下发。

除了和微软自己的服务进行整合，我也看到过有国内厂商使用微软的WSUS服务，最典型的就是一些安全厂商。