我知道这不安全,但我需要知道如何防止局域网中的所有计算机下载更新。
我有鱿鱼作为 dansguardian 的代理,我使用 OpenDNS ...
我已经在 dansguardian microsoft.com 上加入了黑名单,但看起来还不够。
我在企业 Windows 环境中,该环境部署了自己的 WSUS 服务器。问题是,它似乎几乎从未更新过。
这意味着我几个月都没有收到最新的更新。这是一个安全问题,对其他MS产品不方便。
我知道如何编辑注册表中的 WUServer 和 WUStatusServer 值,但是如果我想使用默认的 Microsoft 服务器,这些值应该是什么?
不确定这是否是超级用户的问题...我是从管理员的角度接近的。
我的一个用户在运行金融交易应用程序的 HP z800 工作站上。该系统包含两个 nVidia 适配器,为 3 x 2 网格中的六个 24" 显示器供电。操作系统是 Vista Business 64 位 SP1,具有 24GB RAM 和 X5570 CPU。这是一个大系统。
我们对工作站的问题之一是 Windows Vista 操作系统更新(现在通过 WSUS 提供,但以前被禁用)导致 NVIDIA 显示器丢失其位置。代替:
[ 1 ] [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ]
我得到:
[ 1 ] [ 4 ] [ 3 ]
[ 5 ] [ 2 ] [ 6 ]
或者:
[ 1 ] [ x ] [ 3 ]
[ 2 …我正在尝试找到一种以编程方式编辑 Windows 更新组策略的方法。我有一个本地 WSUS 服务器,我想将新安装的 Windows 指向该服务器。理想情况下,我只想拥有一个可以执行此操作的脚本,而不是进入 gpedit.msc > 管理工具 > windows 更新 > 设置 Intranet 服务器。
我考虑过编辑注册表作为替代方案,但我遇到了墙。首先,不同操作系统的条目是不同的,这不是一个令人讨厌的问题,但很烦人。不过,主要问题是,在较旧的操作系统配置(如 Windows XP)上,服务器地址会出现在每台计算机的一大堆奇怪的、独特的地方。例如:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{2975F3DE-F18A-9CE1-A731-5E6723AC64FD}Machine\Software\Policies\Microsoft\Windows\WindowsUpdate
据我所知,在安装之前无法确定注册表项名称是什么,因此我无法正确设置这些项。我一般也对在注册表中执行此操作持怀疑态度,因为我不是 100% 确信这是 GPO 中所做的唯一更改(幕后是否还有其他事情发生?)
根据评论更新
@Ben - 我知道这不是使用 GPO 的理想方式,我更受限制,因为我看不到没有注册表问题的任何其他方式来指定我的 WSUS 服务器,而不是希望使用 GPO . 当前没有设置活动目录,所以据我所知,我无法设置每个人都继承的全局 GPO,如果可以避免的话,我不想设置一个。
@Jason - 有两个问题,首先这只是设置注册表值,我已经可以在 cmd 中进行设置,其次我不能 100% 确定我们使用的所有计算机是否都安装了 powershell。而且,在这一点上,它是一个鸡和蛋的问题 - XP 的旧副本需要 WSUS,WSUS 是它获取 Powershell 的地方,它需要设置 WSUS。
@Ryan - 我不认为这些是唯一更改的注册表设置。至少在 Windows 7 帐户中,它会更改您在 HKLM 和 HKEY_USERS 中记录的条目,事实上。但是,仅在 Windows XP 机器上设置这些值不允许计算机连接到 WSUS 服务器,它只是出错了。不过,我会重试。第二次编辑:刚刚在一台空白的 XP SP3 机器上尝试了这个,它无法通过仅设置以下内容连接到服务器:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate /v "WUServer" /t REG_SZ /d …
windows wsus command-line-interface group-policy windows-update
我的老板和我今天坐在我们的服务器机房里,突然听到我们的一台服务器进入超高速状态,表明它正在重新启动。你可以想象一下我们脸上的直接“哦废话”的表情。
我们挖掘了日志,似乎自动安装了一些需要重新启动的更新。AU看到没有人登录,就自动重启了。这是一个生产服务器,所以我们关闭了自动更新(甚至不下载然后等待......它应该等待我们在它做任何事情之前告诉它)。
我同时运行 rsop.msc 和 gpedit.msc 来检查是否存在强制自动更新的流氓组策略。没有。
我们的 windowsupdate.log 显示了这一点:
2011-12-16 09:00:12:092 964 17f4 AU Setting AU scheduled install time to 2011-12-16 20:00:00
(还有更多这样的行,并且在我们听到重新启动前几分钟指向计划安装的行)
所以,在某个地方,AU 得到了一个聪明的主意,即它应该安排自动安装。关于为什么会发生这种情况的任何想法?
一些相关信息:
我们最近(一个月前)安装了 WSUS 服务器,两周前我们所有的服务器都指向它。WSUS 带来了最前沿的客户端安全性,其策略设置为每 6 小时进行一次自动定义更新。这可能是问题所在,但通过检查定义更新它会自动安装其他更新,这似乎是一个主要缺陷。
我还为我们的工作站推出了(我相信是上周四)一个新的 GPO,强制在下午 2:00 自动更新。这适用于公司中的少数几个工作站,并且没有任何服务器。我确认该组策略未通过 rsop.msc 应用
据我所知,这只发生在 2003 年的服务器上,但我不能保证它不会发生在 2008 年的服务器上,我只是没有注意到。
想法?
自昨天安装更新以来,我们的 2008 R2 服务器之一拒绝再次连接到我们的 WSUS,而是报告未知错误0x80244019。连接到官方 Windows 更新存储库没有任何问题。问题只发生在我们本地的 WSUS 上。
如果您在下载更新时收到这些错误之一,最常见的原因是计算机病毒关闭了 Windows 更新或 Windows 更新所需的计算机上的其他服务。
我要投票没有在那一个。
我的WindowsUpdate.log显示如下:
2012-09-13 13:00:52:738 892 5c0 PT +++++++++++ PT: Synchronizing server updates +++++++++++
2012-09-13 13:00:52:738 892 5c0 PT + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = http://SRV-PDC/ClientWebService/client.asmx
2012-09-13 13:00:52:769 892 5c0 PT WARNING: Cached cookie has expired or new PID is available
2012-09-13 13:00:52:769 892 5c0 PT Initializing simple targeting cookie, clientId = a6c96caf-d9ca-4f31-a003-827e7089ff64, target group = …如何检查在 WSUS 中下载的更新大小?
例如,我需要检查 2013 年 4 月 9 日下载的更新大小以获取新的 26 个更新。
以及如何在 HDD 上本地化新更新?注意:我已将 WSUS 配置为自动批准规则。更多信息我在谷歌搜索,我找到了以下网站
但不幸的是,我的问题没有答案!任何建议将不胜感激,谢谢
windows windows-server-2003 wsus active-directory windows-update
我们有一个非常紧张的中断窗口,对于我们的许多系统,必须以正确的顺序重新启动服务器。因此,我想编写我们的更新脚本。
我曾尝试使用Microsoft Script Repository 中的这个Powershell 脚本,但是,对我来说它不能远程工作,并不总是使用 Invoke-Command 工作,它开始安装然后返回而不等待安装完成。我希望在安装完成后重新启动每个系统,这很难在没有安装阻塞或状态信息阻塞的情况下编写脚本。在花了太多时间试图让 CCM_SoftwareUpdate 和 CCM_SoftwareUpdatesManager WMI 类做我需要的事情之后,我想是时候问问其他人可能如何处理类似的情况了。
我的一个朋友说他的公司通过使用Shavlik解决了这个问题,不幸的是,这不是一个选择。
我们使用 SCCM 2012 并混合使用 2003、2008 和 2012 服务器。
scripting configuration-management windows-update sccm sccm-2012
在我的 Windows 8.1 机器上,正如预期的那样,来自 KB2919355 的所谓“四月更新”是由 Windows 更新自动安装的。但是,在我的 2012 R2 服务器上,没有自动安装更新,Windows 更新显示“没有可用更新”。
我知道我可以从 Microsoft 下载中心下载并应用 KB2919355,但是缺少此更新让我担心这台机器可能也缺少其他更新。服务器直接从 Microsoft 更新,而不是从 WSUS 更新,而且我知道没有其他可能会阻止更新的内容。该机器确实具有来自 KB2919442 的先决条件更新。
如何找出缺少此更新的原因?我该怎么做才能确保这不会继续成为其他更新的问题?
(我希望我可以访问另一台 2012 R2 服务器以确认这是否是这台机器特有的问题,但我的其他 Windows 服务器运行的是 2008 R2 或 2012 原始版本,因此此更新不适用于它们。)
稍等片刻,听听。这将是一个漫长的过程。过去几个月,我们在非常特定的 Microsoft Server 2003 R2 机器上的更新遇到了问题。这个问题让我和我们的常驻服务器管理员感到困惑,因为我们无法弄清楚究竟是什么导致了问题。
以下是详细信息:
我们的网络: 该网络是一个中/小型组织,拥有大约 (500) 台计算机和 20 多台服务器。主要 DC 和关键服务都在 Server 2012 (r1) 上,而一些较旧的应用程序/服务在 2008 R2 上运行。此外,还有少量 Server 2003 R2 机器运行主要是遗留应用程序和服务,它们将在明年被替换或过时。
问题: 问题在于,在这几台 2003 R2 服务器中,其中三台表现出奇怪的行为。当他们突然(在同一更新周期中)无法正确安装更新时,我们首先收到了这种行为的警报,我们通过监控软件收到了警报。
Windows 更新: 在有问题的机器上,我们能够很好地连接到 Windows 更新 URL,但任何实际检查更新的尝试都将导致
错误编号:0x80244016
在 Windows 更新页面中。此错误代码对应于无效的 URL。当我们通过 WSUS 时,URL 应该是(我们已经检查了所有服务器)到我们的 WSUS 服务器的 FQDN 和端口 \NOC3.sub.domain.com:8888 。我们发现此时通过 winHTTP 代理设置阻止了流量。所以,当这个问题发生时,我们可以使用
proxycfg -h
并清除代理设置。运行 Windows 更新,它将成功连接。
这就是它变得有趣的地方: 现在,这一切都很好,但它会变得更好。所以下一个 Windows 更新大约在上个月出现,并且仔细观察,完全相同的服务器再次出现完全相同的问题。现在,我们有点怀疑为什么相同的代理设置会重新应用。当然,我们认为这可能是一项没有正确禁用或可能只是错误应用的旧政策。因此,我们都为域控制器上 GPM 中的服务器搜索了所有适用的 GPO,寻找可能与这种奇怪的、现在重复出现的策略(?) ) 代理服务器设置。没有应用任何提及代理服务器的政策。然后,我在机器上运行了 RSOP。
变得陌生: 所以在运行 RSOP 之后,一切似乎都加载好了。直到我尝试打开本地计算机 --> 管理模板文件夹。首先,打开文件夹需要很长时间。然后,当它最终运行时,会出现与 AER_####.adm 相关的错误消息。不仅是错误,而且您还会在同一文件夹中显示多种语言的策略设置。现在,我不太会阅读阿拉伯语、中文、意大利语或日语,但我将假设这些是不同语言的策略设置的副本。我发现通过清除 %root%\system\inf 文件夹中的 .adm 文件,至少可以让 …
wsus proxy group-policy windows-update windows-server-2003-r2
windows-update ×10
wsus ×5
windows ×3
group-policy ×2
block ×1
proxy ×1
sccm ×1
sccm-2012 ×1
scripting ×1