标签: windows-update

当您单击 WSUS 中已被取代的更新时，您会收到一条警告，提示您在拒绝更新之前应确认不再需要该更新。根据 Microsoft 的说法，您应该首先批准取代更新，等待计算机接受它们，确认客户不再需要旧的更新，然后您可以安全地拒绝被取代的更新。是的，嗯……这不太实用，微软。

多年来，我一直拒绝被取代的更新，但我最近看到一篇文章说你不应该这样做。

所以我的问题是：为什么不呢？

是否存在特定更新不适用于客户端但它取代的更新适用的情况？谁能给我一个令人信服的理由，为什么盲目拒绝被取代的更新不是一个好主意？

由于在 Win 7.1 Pro 桌面和运行 SQL 2014 的 Windows 2012 R2 Datacenter Azure 服务器上应用全套补丁，SQL Management Studio（2008 和 2014 版本）将无法连接到 SQL 2014 Azure 服务器。客户端连接尝试超时并失败，并显示 SQL 服务器错误 5。

SQL Server 事务复制继续在本地 SQL 2008 实例和远程 SQL 2014 实例之间正常工作。此外，远程（Azure）服务器上的 SQL Management Studio 2014 可以毫无问题地连接到本地（现场）SQL 2008 实例，以及远程（Azure）SQL 2014 服务器。两个方向的 DNS 解析和 IP 连接都正常。我可以看到远程 SQL 2014 实例在启动时正确创建了它的 SPN。SQL 2014 上有一条警告，指出某些客户端正在使用 NTLM 回退。

我没有 SQL 2014 的本地实例，也没有 SQL 2008 的远程实例。所以我不确定服务器远程、Azure、VPN 是否是相关因素，或者我是否会看到相同的情况打补丁的本地客户端和打补丁的本地 SQL 服务器的问题。

我注意到远程 SQL 2014 服务器上的 SQL Browser 服务已停止并禁用。我不确定这是不是补丁前的情况。但是我在默认端口上运行一个实例，而不是一个命名实例，所以我希望我不需要 SQL Browser 服务？

已报告此补丁星期二的身份验证问题与 Server 2003 网络文件共享有关。我还没有看到有关一般 …

想以编程方式将 Windows 10 十一月升级应用到我的 Windows 10 专业版机器。由于这要在大量机器上完成，因此必须以编程方式完成。

为此使用以下脚本执行升级 - https://msdn.microsoft.com/en-us/library/aa387102(VS.85).aspx

输出：

Installation Result: 3
Reboot Required: True
Listing of updates installed and individual installation results:
1> Update for Windows 10 for x64-based Systems (KB3106932): 2
2> Upgrade to Windows 10 Pro, version 1511, 10586: 4
3> Cumulative Update for Windows 10 for x64-based Systems (KB3116869): 2
4> Windows Malicious Software Removal Tool for Windows 8, 8.1, 10 and Windows Server 2012, 2012 R2 x64 Edition - December 2015 (KB890830): 2 …

是否可以将 Windows 更新配置为也通过组策略更新其他 Microsoft 产品？

换句话说，如何检查“在更新 Windows 时为我提供其他 Microsoft 产品的更新”。通过 GPO 框？

我知道Windows 10 中的“延迟升级”选项的作用 - 它允许您在“当前分支”和“当前业务分支”之间进行选择。

另一方面，Windows Server 2016始终使用“长期服务分支”。

因此，我很惊讶地在我新安装的 Windows Server 2016 Standard 的高级 Windows 更新选项中发现了以下选项：

它有什么作用？我试图点击“了解更多”，但它只是链接到bing 搜索defer upgrades in Windows 10，这显然不适用于 Windows Server 2016。

场景是：Server1 和 Server2，两者都在同一补丁级别上运行 Windows Server 2012 R2，当前位于负载平衡群集中。Server1 有应用程序问题，建议更换它。它已从集群中移除，并且 Server3 正在被配置为它的替代品。

在最初构建 Server1 和 Server2 时，没有使用补丁管理解决方案。它们是同时建造的，只是修补到当时的最新水平。

目标是将 Server3 修补到与 Server2 相同的级别。

如前所述，没有可用的补丁管理解决方案。

逐一完成 Server2 上的更新并将它们应用到 Server3 上当然是一种选择，但我们应该能够做比这更好的事情。毕竟是2017年。

可以通过 PowerShell 和 KB 编号检索 Server2 上所有更新的列表，并且此列表可用。

但是如何将这些更新（仅这些更新）下载并应用到 Server3 呢？

初步研究发现了许多 Windows 更新脚本，包括 VBS 和 PowerShell，但它们都未能满足并非所有当前更新都必须应用的关键要求。

将 Server2 的补丁级别设置为当前，然后对 Server3 也是如此，也是一种选择，但由于必须安排停机/维护窗口（集群中没有可行的 Server1），我更愿意避免这种选择，然后是一堆应用测试。让我们把它作为最后的手段。

所以-什么是我在一个合理的方式自动执行此合理的方案，给出了上述约束？

【Windows Server 2012 标准版】

我的任务是更新办公室的一些服务器，其中之一给我带来了问题。Windows Update 现在已经处于“检查更新...”阶段 5 天，没有完成的迹象。（它已经一年多没有应用更新了，所以它肯定需要补丁。）到目前为止完成的故障排除任务：

• 重新启动了服务器
• 停止WU服务，删除Software Distribution文件夹内容，重启服务
• 查看 Windows 日志；看不到任何明显的东西

服务器也在运行（当前未使用的安装）SharePoint 2013 - 不确定这是否是这种卡住状态的一个因素。感谢您的指点。

几个月来，每次我们的 3 个 Windows Server 2012 R2 域控制器中的任何一个重新启动时，根据我们的网络监控软件 (PRTG)，它们在一个小时内都无法访问。

我可以从事件日志中看到，安全帐户管理器服务未正确启动，事件 ID 为 7044（以下服务启动时间超过 16 分钟，可能已停止响应：安全帐户管理器）。

然后将近一个小时后，我看到事件 ID 7043（Windows 模块安装程序服务在收到预关闭控制后没有正确关闭。）

我们还有很多其他 2012 R2 成员服务器都及时安装了 Windows 更新 - 只有那些安装了 Active Directory 和 DHCP 角色的服务器需要一个小时才能重新启动。

我已经在谷歌上搜索过好几次了，还没有遇到其他人遇到同样的情况。

我逐渐在用户讨厌 Windows 10 的环境中安装 Windows 10。所以，一切都必须完美。

此环境已使用 WSUS 向 Windows 7 和 Windows 8.1 计算机以及 Windows Server 2008 R2 和 Windows Server 2012 R2 服务器提供更新。没有任何问题。

然后，我在三台计算机上部署了 Windows 10 1703。而现在，每个月它都让我偏头痛！Windows 10 计算机绕过 WSUS 并直接从 Internet 下载更新，尤其是我尚未测试或批准的更新，这几乎违背了拥有 WSUS 的目的。

我试过：

• 使用组策略禁用传递优化
• 延长宽限期
• 一次又一次地在这些计算机上强制更新组策略
• 运行 Windows 更新疑难解答
• 清除 Windows 更新缓存 ( SoftwareDistribution)
• 运行磁盘清理并选择“Windows Update Cleanup”（清理了 8 GB）

这是我的客户端设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"WUServer"="http://evolution-pit:8530"
"WUStatusServer"="http://evolution-pit:8530"
"UpdateServiceUrlAlternate"=""
"SetActiveHours"=dword:1
"ActiveHoursStart"=dword:8
"ActiveHoursEnd"=dword:12
"DeferFeatureUpdates"=dword:1
"BranchReadinessLevel"=dword:20
"DeferFeatureUpdatesPeriodInDays"=dword:b4
"PauseFeatureUpdatesStartTime"=""
"DeferQualityUpdates"=dword:1
"DeferQualityUpdatesPeriodInDays"=dword:f
"PauseQualityUpdatesStartTime"=""
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:0
"AUOptions"=dword:4
"AutomaticMaintenanceEnabled"=dword:1
"ScheduledInstallDay"=dword:0
"ScheduledInstallTime"=dword:11
"AllowMUUpdateService"=dword:1
"UseWUServer"=dword:1
"EnableFeaturedSoftware"=dword:0

我最近将我的基础版本 (WIM) 更新到了 Windows 10 1709。

为了使用 MDT 构建此 WIM，可能有必要阻止 Windows 10 在后台自动更新可选功能，因为此服务活动会破坏构建的创建（参考：https : //deploymentresearch.com/Research/Post /615/Fixing-why-Sysprep-fails-in-Windows-10-due-to-Windows-Store-updates）。

在基本映像创建的最后，恢复上述注册表编辑，以允许部署的设备执行“其设计的”可选功能更新。

然而....

因为我正在构建/部署设置为 en-GB 语言环境的 Windows 10（我认为其他语言环境也会发生这种情况），可选功能之一似乎是“英语（GB）光学字符识别”。因此，一旦用户第一次登录计算机，Windows 10 就会尝试下载和安装该功能，但它一次又一次地失败了，一遍遍地一遍又一遍...... .....再次，一天几十次。每次发生这种情况时，操作系统都会发出声音并弹出一条消息；这是不可接受的！

部署的设备应用了 WSUS GPO 设置，其中之一是防止设备连接到 Microsoft Update（互联网）以自动下载更新 (HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations = 1)。

我相信此注册表项是设备无法下载/安装英文 (GB) 光学字符识别的原因。

坦率地说，我不在乎是否安装了英语 (GB) 光学字符识别，但我必须让这种情况停止发生，我不能让设备直接从 Microsoft 更新。

1）我如何阻止这种情况发生？2) Windows 10 机器上是否有任何日志报告自动可选功能活动，因为我在事件日志或其他任何地方都找不到任何内容。

PS上面的第二段，可能与这篇文章完全无关，就像我说的那样，注册表项更改已恢复（从 1 到 0）。但我会留着以防万一。

更新 2018-01-19

因此，我决定在 MDT 构建 VM 完成（并失败）后让它继续运行：这具有 A) 不在域上并接收 WSUS GPO 和 B) 以本地管理员身份登录（相反）的预期效果到系统帐户）并通过互联网访问它试图执行语言包选项组件强制安装（所以不翻转可选是他们微软！！？？？？？？）。

因此，即使没有 GPO，故障仍然会发生，排除这种情况。

附加信息; 正如您在屏幕截图中看到的，单击选项功能安装失败时会显示错误代码。

实际上有这样的模式：

这两个功能最初都在第一次失败时仅出现代码 0x800F0841，然后所有后续失败的退出代码都为 0x800F0954。

有人有什么好的建议吗？ …