Windows WSUS更新服务配置操作步骤

(含服务器部署、客户端配置及排错指南),整合微软官方文档及最佳实践:
一、服务器端配置(Windows Server 2019/2022/2025)
- 安装WSUS角色
- 打开服务器管理器 → 管理 → 添加角色和功能
- 勾选 Windows Server Update Services → 安装 WID数据库 和 WSUS服务(默认端口8530)
- 指定内容存储路径(如 D:\WSUSContent,需NTFS格式且预留100GB+空间)
- 初始化配置向导
powershellCopy Code
# 完成后启动配置向导(自动弹出)
Get-WindowsFeature *Update* | Where Installed
- 上游服务器:选择 从Microsoft Update同步
- 产品选择:勾选 Windows 10、Windows 11、Office 等关键产品
- 更新分类:全选 安全更新、关键更新、定义更新(建议跳过驱动程序)
- 同步计划:设置每日 凌晨2:00 自动同步
- 防火墙与端口配置
powershellCopy Code
# 开放WSUS专用端口
New-NetFirewallRule -Name “WSUS_HTTP” -Protocol TCP -LocalPort 8530,8531 -Action Allow
- 若已有IIS占用80端口,需在WSUS控制台 选项→更新源和代理服务器 中确认端口为8530
二、客户端配置(Win10/Win11)
▶ 无域环境(单台配置)
- 注册表配置
- 管理员运行 regedit
- 创建注册表项:
textCopy Code
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
- 新建字符串值:
- WUServer → 值:http://WSUS_IP:8530
- WUStatusServer → 值同上
- AUOptions → 值:4(自动下载并安装)
- 强制生效命令
cmdCopy Code
net stop wuauserv
net stop bits
del /q /f /s C:\Windows\SoftwareDistribution\*
net start bits
net start wuauserv
wuauclt /detectnow /reportnow
▶ 域环境(组策略集中部署)
- 创建GPO策略
- 域控制器打开 组策略管理(GPMC)
- 新建GPO → 命名 WSUS_Client_Policy
- 编辑策略路径:
计算机配置→策略→管理模板→Windows组件→Windows更新- 启用 指定Intranet更新服务位置 → 输入 http://WSUS_IP:853017
- 启用 配置自动更新 → 选择 4-自动下载并安装
- 启用 允许客户端目标设置 → 输入计算机组名(如 Win11_Workstations)
- 策略应用与验证
cmd Code:
gpupdate /force # 客户端执行
- 事件查看器查看日志:
应用程序和服务日志→Microsoft→Windows→WindowsUpdateClient→Operational
(事件ID 19表示成功连接WSUS)
三、WSUS服务器管理
- 计算机分组管理
- WSUS控制台 → 选项 → 计算机 → 选择 使用组策略或注册表设置5
- 右键 所有计算机 → 添加计算机组(如 Win10_Secure、Win11_Test)
- 更新审批流程
- 同步完成后 → 更新 → 筛选 所需审批的更新
- 右键目标更新 → 审批 → 选择计算机组(如 Win11_Workstations)
- 启用自动审批规则:
选项→自动审批 → 创建规则(如自动审批安全更新)
四、关键维护与排错
- 磁盘空间维护
- 每月运行 选项→服务器清理向导
→ 勾选 未使用的更新文件、过期的更新6
- 每月运行 选项→服务器清理向导
- 端口连通性测试
Powershell Copy Code
Test-NetConnection WSUS_IP -Port 8530 # 从客户端执行
- 若不通:检查服务器防火墙、IIS站点绑定端口(默认8530)
- 旧版本兼容性
- Win10 1809以下版本需安装 KB296958 补丁
附:排错工具箱
Powershell Copy Code
# 重置WSUS服务器组件(管理员运行)
& “C:\Program Files\Update Services\Tools\wsusutil.exe” reset
Cmd Copy Code
:: 客户端诊断日志
Get-WindowsUpdateLog -LogPath C:\wsus.log # Win10/11专用
配置要点总结
环节 | 无域环境 | 域环境 |
配置方式 | 本地组策略/注册表 | 域组策略(GPO) |
审批粒度 | 单台审批 | 按计算机组批量审批 |
更新策略 | 每台独立设置 | OU层级统一控制 |
适用规模 | <50台 | ≥50台 |
注:首次同步后需等待2-4小时更新元数据完成,再执行审批操作。域环境推荐结合 组策略首选项 动态分配计算机组,实现多分支差异化更新。