公司最近有需求搭建WSUS服务器，那么今天咱们就来进行WSUS服务器搭建。 首先说下WSUS服务器是干嘛的。WSUS服务器主要用于解决，部分生产环境网络中服务器组限制访问互联网，但同时需要得到系统补丁更新的问题。通过架设WSUS服务器可以使内网服务器通过WSUS服务器进行系统更新，在不开放外网访问权限的同时保障系统安全。 网络拓扑图如下：

图中WSUS服务器具有两块网卡，其中一块网卡连接外网交换机，另一块网卡连接内网交换机。AD服务器和需要接受更新的内网服务器与内网交换机连接。现假设AD服务器内网IP地址为192.168.1.1，WSUS服务器内网IP地址为192.168.1.2，内网服务器内网IP地址为192.168.1.3。WSUS服务器在内网需要配置相应的安全策略，这里不做说明。 首先需要准备AD域环境，并且将WSUS服务器和内网待更新服务器加入域环境。如何加入域环境以及如何搭建域环境请参考相关资料，在此不做说明。同时检查WSUS服务器和内网待更新服务器是否已在DNS服务器中进行了注册。 登陆WSUS服务器，打卡服务器管理器，选择管理-添加角色和功能。在其中选择“Window Server 更新服务”，如图：

系统会提示需要安装必要组建IIS服务器，确认安装即可，按照提示直至WSUS角色服务环节，保持默认前两个选项。可以选择第三项，但不可与WID同时安装。如图：

在内容环节填入更新数据的保存路径，如图：

下一步配置IIS服务器，IIS服务器部分保持默认继续下一步，直至安装完成即可。安装后可打卡WSUS控制台进行配置，如图：

点击下一步继续，选择是否加入微软的改善计划。再下一步开始选择上游服务器。如图：

除非已经有WSUS服务器，否则保持默认选项下一步进入代理服务器设置，如图：

除非需要使用代理服务器，否则保持默认下一步，下一步系统将进行与微软端的连接，如图：

点击开始连接需要等待一段时间，时间长短取决于网络速度。同时需要保证WSUS服务器能访问以下URL地址： https://windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

https://*.update.microsoft.com

https://*.update.microsoft.com

https://*.windowsupdate.com

https://download.windowsupdate.com

https://download.microsoft.com

https://*.download.windowsupdate.com

https://wustat.windows.com

https://ntservicepack.microsoft.com

待下一步按钮可点击，即说明连接已经完成，如图：

下一步进行语言选择，一般保持默认即可。如图：

语言选择后下一步，将进行产品更新选择，选择需要的产品更新。如图：

产品更新选择后下一步，将进行更新级别选择，选择需要的更新级别。如图：

继续下一步，进行更新计划配置，如图：

继续下一步，完成配置，选择是否需要进行初始同步。如图：

直至完成即可。 登录AD服务器打开AD用户和计算机管理，添加一个组织单位，架设名称为UpdateServers，并且将需要更新的内网服务器加入此组织单位中。在AD添加组织单位UpdateServers并打开组策略管理，在UpdateServers组织上右键选择第一项。如图：

右键编辑新加的组策略，并依次展开选项：计算机配置--策略--管理模板--Windows组件--Windows更新。修改“配置自动更新”。如图：

修改“指定Intranet Microsoft更新服务位置”，如图：

在本例中填入地址https://192.168.1.2。针对Server 2016以上版本服务器需要加8530端口号，否则WSUS端将无法发现客户机。 修改“自动更新检测频率”。如图：

修改“允许客户端目标设置”。填入在AD中创建的组织单位名称，本例中为UpdateServers。如图：

至此组策略配置完成。 一般情况AD需要20 分钟才能将新的策略设置应用于客户端计算机，所以为了加快策略下发速度，可在客户端手动执行策略更新命令。如图：

等待数分钟后，客户端将出现在WSUS控制台计算机列表中。如图：

至此WSUS部署完成。WSUS可以不依赖于域环境，区别在于需要在每台客户端上进行本地组策略配置。