Table of Contents
Toggle部署 WSUS 服务端配置更新客户端常见问题cpm
部署 WSUS 服务端
服务器IP:192.168.100.20
注:WSUS 服务器和接收更新的客户端,不一定需要相同版本的 Windows
打开 Powershell,执行以下命令安装 WSUS 服务以及相关的管理工具,等待安装
Install-WindowsFeature -Name UpdateServices,UpdateServices-WidDB,UpdateServices-Services -IncludeManagementTools
开始执行初始化,最后的参数为存放补丁的目录,可自行更改
cd "C:\Program Files\Update Services\Tools"
.\wsusutil postinstall CONTENT_DIR=C:\WSUS
初始化完成,可以开始配置 WSUS 了
打开服务器管理器-工具-更新服务
首次运行自动弹出向导,开始配置,没有特别的直接下一步即可,到了选择上游服务器,选中从 Microsoft 更新中进行同步
代理服务器可根据情况配置,也可以配置科学上网以加快同步和下载速度
确保网络通畅,点击开始连接,等待下载产品列表,这一步可能需要很长时间
下载产品列表完成后,选择语言,这里只选择简体中文版本的更新
根据需要选择需要同步补丁的产品类别和版本,哪些版本的 Windows 需要从本服务器下载补丁,就要选中哪些产品。本例选择 win2019 以及更高版本
选择更新类型,本例只选择安全更新程序,只包含累积更新和服务堆栈更新
设置自动同步更新的时间
暂时不要开始初始同步,先下一步结束向导
然后我们启用一下自动审批,这样以后同步到了新的更新,都会自动批准,这样才能分发给客户端
到同步页面,点击立即同步,同步可能需要花很长时间
同步完成后,可以看到补丁列表。这样一来,WSUS 服务器就部署完成了,接下来要配置客户端(即需要获取更新的其他主机)
配置更新客户端
假设我们要配置一台 windows server 2019 的自动更新,先确保客户端访问服务器网络通畅。浏览器测试访问一下 WSUS 服务器的 8530 端口,如果页面加载完一片空白,就说明网络正常。
开始-运行-gpedit.msc,打开本地组策略编辑器,定位到计算机配置-管理模板-Windows 组件-Windows 更新里面的指定 Intranet Microsoft 更新服务位置
将两个地址都改成 WSUS 服务器的地址
这时候就可以去 windows 更新里手动点击检查更新了。不过我们还是想把客户端配置成自动更新。双击组策略的配置自动更新,这里选择3,自动下载但不要自动安装。可根据需要选择。
其他组策略配置可根据需要更改,在域环境下还可以通过域控制器下发策略。客户端手动检查一次更新后,可以在 WSUS 管理面板,看到对应的计算机信息。
至此配置完成
常见问题
有时候会遇到配置多个系统连接 WSUS 后,在列表里只看到一个计算机的问题,这是由于某种原因(比如系统是通过克隆的方式部署的),这些系统的 SusClientId 相同所以冲突了,需要修改。
注意有冲突的系统都需要逐个修改,先停止客户端的服务
net stop wuauserv
删除注册表里的相关表项
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId /f
reg Delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientIDValidation /f
再重启服务,这时候 SusClientId 会重新随机生成
net start wuauserv
再检查更新就不会出现此问题了