标签: windows-patching

场景是：Server1 和 Server2，两者都在同一补丁级别上运行 Windows Server 2012 R2，当前位于负载平衡群集中。Server1 有应用程序问题，建议更换它。它已从集群中移除，并且 Server3 正在被配置为它的替代品。

在最初构建 Server1 和 Server2 时，没有使用补丁管理解决方案。它们是同时建造的，只是修补到当时的最新水平。

目标是将 Server3 修补到与 Server2 相同的级别。

如前所述，没有可用的补丁管理解决方案。

逐一完成 Server2 上的更新并将它们应用到 Server3 上当然是一种选择，但我们应该能够做比这更好的事情。毕竟是2017年。

可以通过 PowerShell 和 KB 编号检索 Server2 上所有更新的列表，并且此列表可用。

但是如何将这些更新（仅这些更新）下载并应用到 Server3 呢？

初步研究发现了许多 Windows 更新脚本，包括 VBS 和 PowerShell，但它们都未能满足并非所有当前更新都必须应用的关键要求。

将 Server2 的补丁级别设置为当前，然后对 Server3 也是如此，也是一种选择，但由于必须安排停机/维护窗口（集群中没有可行的 Server1），我更愿意避免这种选择，然后是一堆应用测试。让我们把它作为最后的手段。

所以-什么是我在一个合理的方式自动执行此合理的方案，给出了上述约束？

我在 Server 2016 服务器上运行了 Nessus 扫描并收到以下错误：

“远程 Windows 主机缺少安全更新 4571694。”

在对补丁进行一些研究时，我发现了这篇文章

“https://support.microsoft.com/en-us/help/4571694/windows-10-update-kb4571694”

如果您向下滚动到该页面的底部，您将看到“如何获取此更新”部分，它说

“Windows 更新和 Microsoft 更新是无。此更新将从 Windows 更新自动下载和安装。”

从powershell我可以看到它没有安装：

我查看了所有更新设置，但看不到未安装更新的原因。我知道我可以手动下载和安装补丁，但是我很好奇为什么 Windows 更新没有为我安装它。