标签: wsus

有人知道完全清除 WSUS 更新并重新开始的方法吗？

似乎我的列表中有大量我们不需要的语言包和各种垃圾。现在删除了所有不需要的产品、分类和语言后，我想要做的是彻底清除 WSUS 数据库并重新开始。似乎卸载重新安装 WSUS 角色并没有帮助他们仍然存在。还尝试了服务器清理向导，这似乎主要是在浪费时间，它没有清理我希望它会删除的任何更新。

我还没有在机器上安装任何这些，所以如果我能弄清楚如何完全擦除所有列出的更新并重新开始，但根据我新的减少产品列表。

谢谢，尼克

我最近在远程站点继承了 Windows 2012 服务器的管理。

我检查了 Windows 更新，它自 3 月以来一直没有更新。当我告诉 Windows 检查更新时，它的行为就像是在检查，但似乎持续了几个小时。如果我尝试重新启动 Windows 更新服务，它似乎永远无法关闭。我唯一的补救措施似乎是重新启动以回到我可以告诉 Windows 更新检查新更新的程度。

最后一次成功检查更新是 3 月 20 日。

上次安装更新的时间是 3 月 17 日（失败）。

更新历史显示 3 月 17 日有一次更新失败，即打印机驱动程序更新，但历史记录显示 2 月 17 日有 13 次更新失败。

不知道还有什么可以尝试的。

我发现大多数用户都忽略了 WSUS 推送的“有更新准备安装，单击此处进行安装”消息。到目前为止，我们还没有强制安装，但我正在考虑更改组策略以每晚强制更新。这有时需要重新启动，我也想通过 GP 强制执行。

我知道用户会反对，但我想知道这是否是可防御的最佳实践。这似乎是确保 PC 保持最新和安全的正确做法。

与其让我的所有计算机都访问 Internet 并下载它们的自动更新，我正在认真考虑构建 WSUS 服务器。即，Windows 更新服务器。我读过一些文章，它们很有帮助，但并不完整。以下是我收集到的我需要采取的步骤：

• 委托一台电脑作为Windows 2003 Server 的服务器。
• 安装 WSUS 包并选择要检查的更新类型。
• 将我的其余计算机配置为该服务器的客户端。
• 将客户端设置为从服务器接收更新。

我的问题如下：

• 服务器是否必须运行 Windows 2003 Server，或者 Windows XP Professional 可以运行？
• 我从哪里下载 WSUS 包？
• 如何配置我的计算机以从我的服务器而不是 Internet 查找更新？

谢谢！！

我们让 WSUS 将更新推送到我们用户的工作站，事情进展得相对顺利，但有一个恼人的警告：似乎有一个问题，一些用户面前会显示一个弹出窗口，通知他们他们的机器将在 15 后重新启动分钟，他们对此无话可说：

这可能是因为他们没有在前一天晚上退出。然而，这有点太多了，对我们的用户来说非常适得其反。

这里有一些关于我们的环境：我们的用户正在运行Windows XP Pro并且是Active Directory Domain. WSUS 正在通过Group Policy. 以下是执行 WSUS 规则的 GPO 的快照：

这是我希望 WSUS 工作的方式（理想情况下 - 我会采取任何可以让我接近的东西）：

我希望每晚自动下载和安装更新。如果用户未登录，我希望机器重新启动。如果用户已登录，我希望他们的机器不要重新启动，而是等到下一个“安装期”，在那里它可以执行任何其他需要的安装，然后重新启动（前提是用户帐户尚未登录）。如果要提示用户重新启动，则应该每天只出现一次（如果可能），但每次提示时，他们都必须有办法推迟重新启动。

我不希望用户在计算机认为应该发生时被迫重新启动他们的计算机（除非是在更新安装之后并且没有登录用户）。在一个人的工作日中强制重启系统似乎没有什么成效。 我可以用 GPO 做些什么来帮助减少 WSUS 的干扰？ 即使它为用户提供了稍后重新启动的选项 - 这也比现在发生的要好。

编辑

目标是能够每晚自动下载和安装更新，并且只有在机器想要重新启动时没有用户登录时才重新启动机器。如果 Windows 不得不唠叨用户重新启动，这完全没问题——只要他们可以选择推迟重新启动。

编辑

事实证明，我们对某些更新（SP3、客户端扩展等）设置了一些截止日期，通过下面的帖子，我们对这种情况有了一些了解：

http://forums.techarena.in/server-update-service/255722.htm

在每个 Microsoft 补丁日，我都有大量的新更新要批准给我的客户。但我不是“批准所有更新并继续”，而是在其知识库文章中收集有关每个更新的信息，以决定这对我们来说是否是重要更新。

这是一项非常乏味的任务，因为我必须在客户端的浏览器中输入相应的 KB 编号并等待网页加载。我想知道为什么 Microsoft 不使用 WSUS 控制面板上的更新描述框来显示真正有用的详细信息。相反，我所有的更新都是：

安装此更新以解决 Windows 中的问题。有关此更新中包含的问题的完整列表，请参阅相关的 Microsoft 知识库文章以获取更多信息。安装此项目后，您可能必须重新启动计算机。

我开始考虑一个小的 Powershell 脚本，它为我添加了必要的信息。但是我在第一步失败了，即手动更改更新描述：

PS C:\Users\Administrator> $wsus = Get-WsusServer

PS C:\Users\Administrator> $update = $wsus.SearchUpdates('KB3013791')

PS C:\Users\Administrator> $update[0].Description
安装此更新以解决 Windows 中的问题。有关此更新中包含的问题的完整列表，请参阅相关的 Microsoft 知识库文章以获取更多信息。安装此项目后，您可能必须重新启动计算机。

PS C:\Users\Administrator> $update[0].Description = '"0x00000133" 当 Windows 8.1 或 Windows Server 2012 R2 中的硬件有故障时停止错误'

PS C:\Users\Administrator> $update[0].Description
"0x00000133" Windows 8.1 或 Windows Server 2012 R2 硬件故障时停止错误

PS C:\Users\Administrator> $update = $wsus.SearchUpdates('KB3013791')

PS C:\Users\Administrator> $update[0].Description
安装此更新以解决 Windows 中的问题。有关此更新中包含的问题的完整列表，请参阅相关的 Microsoft 知识库文章以获取更多信息。安装此项目后，您可能必须重新启动计算机。

似乎我的更改没有提交到数据库。要么我遗漏了某种东西，$wsus.SubmitChanges()要么$wsus.SearchUpdates()命令返回一个“update.Clone()”，这样我的更改就不会被保存到任何地方。 …

我们有一个 WSUS 服务器在 Windows Server 2016 上运行。WSUS 检测并向所有系统发送更新，包括 2012 服务器。WSUS 将检测但不会向任何 2016 服务器发送更新。

它显示需要 0 个更新，所有更新都显示“已安装或不适用”。这些是全新的服务器安装，它们是直接从去年 11 月创建的磁盘映像安装的。

如果我在其中一台服务器上运行报告并将产品过滤器设置为“Windows Server 2016”，我将安装 31 个更新或不适用。

所有 31 个更新都设置为批准“安装”。它们的状态都是“不适用”它们都是关键更新和安全更新。

我已经在其中一台有问题的服务器上手动检查了已安装的更新，并确认未安装这些“不适用”更新。

所有这些服务器都是全新安装的，它们位于一个 OU 中，可防止它们在更新安装后自行重新启动，而我是唯一手动重新启动它们的人。由于它们已安装，因此它们已获得 0 个更新。我很难相信全新的 Windows Server 2016 安装有 0 个适用的更新。

我已确保 BITS 和 Windows 更新服务正在运行。我已经运行了 wuauclt /reportnow 和 wuauclt /detectnow。它似乎没有任何作用。我已经运行清理向导来拒绝并删除所有被取代的更新。我已验证这些计算机在 AD 和 WSUS 中处于正确的组中。我已在受影响机器上的注册表中验证它们指向 WSUS 服务器并且可以 ping 通。可以从 WSUS 服务器 ping 客户端。没有防火墙或端口拦截器或类似的东西。我创建了一个全新的 2016 服务器安装，上面绝对没有安装任何东西；没有角色，没有防火墙，没有病毒扫描程序，什么都没有，只是一个空白服务器并试图强制它连接。WSUS 检测到服务器存在，但仅此而已。

所有其他操作系统都可以正常工作，只有 2016 服务器有这个问题。这绝对是 WSUS 服务器的问题；如果我进入注册表并将其更改回 Microsoft 的服务器，它会找到更新。

有没有人知道可能导致问题的原因以及如何解决？

谢谢。

编辑 - 更新：仍然有问题。尝试安装第二个 2016 WSUS 服务器，同样的问题，仅适用于 2016 服务器。 …

Microsoft 每月通过 WSUS 发布不同版本的汇总/补丁。一个非常奇怪的是“.Net 框架的质量汇总预览”。预览？WTF是什么意思？它看起来像其他的一样是一个可安装的补丁包，但它的名字有预览。如何通过安装来预览安装？因此，还有“.Net 框架的仅安全更新”，我认为还有“.Net 框架的安全和质量汇总”。因此，有“安全和质量汇总”、“仅安全更新”和“质量汇总预览”。微软不能让这更令人困惑。即使有些看起来是其他的一个子集，我也可以选择安装所有这些。如果我这样做会怎样？我点击了“更多信息” 事情，它没有说明这意味着什么。我用谷歌搜索并没有发现任何东西。谁能解释一下（特别是“预览”WTF！？）或给我指点一篇好文章？谢谢！！！

我查看了“自动批准”菜单中的所有设置，但找不到任何有关仅自动批准所需更新的信息。

因为如果我检查，例如，仅自动批准“定义更新”，它将批准任何定义更新，无论我的工作站是否需要它们。

这是因为我不希望我的 WSUS 服务器下载和存储我的任何工作站都不需要的更新。

此外，我们是一个懒惰的 SMB，我们不想浪费时间手动批准更新和其他内容。

这甚至可能吗？

我正在尝试找到一种方法来创建 WSUS 报告，其中包含已批准用于计算机组 A 但尚未批准用于一个或多个其他组的更新。或者，列出每个更新和每个组的批准状态的表格报告，以便可以对其进行处理以提取我需要的内容。WSUS 本身似乎没有这样的报告，或者至少我找不到这样的报告，因此非常欢迎生成此类报告的脚本。