标签: wsus

这已经困扰我一段时间了。我们将我们的服务器设置为仅下载 Windows 更新，以便在我们的双月补丁窗口之一中安装它们。在此期间，我一直在寻找一种在服务器上远程触发安装的方法，这样我就不必登录一百个或更多服务器并单击“立即安装更新”气球。

有人知道远程触发更新安装的方法吗？

我们有一个由 75 个 Win2k3 节点组成的集群在一个粗粒度的计算集群中工作。该集群位于大量防火墙之后，并驻留在其自己的 VLAN 中。各种规模和类型的作业都在集群上运行，并且所有运行的可执行文件都是定制的。

（ed：关于我们的可执行文件的附加说明）这些作业的持续时间从 30 秒到 7 天不等，并且可能包含一个可执行文件或 2000 个子作业（持续时间较短）。显然，我们正在努力避免 IT 在 7 天的生产作业中安排重启的情况。

我们有调度软件，可以容纳粗粒度集群的所有正常任务，我们可以控制哪些机器处于活动状态以进行提交等。如果 WSUS 以某种方式可编写脚本（或者客户端可以声明它可以关闭），我们可以协调两个系统帮帮忙。

目前，补丁时间表是超级星期二之后的星期日，无论集群上运行什么。每次我们想延迟为长时间运行的生产作业修补机器时，我们都必须要求豁免。基本上，虽然我们的团队负责机器，但我们几乎无法控制 IT 的补丁计划。

1. 对于生产 Windows 集群，按 MS 的计划每月修补一次是否合理？
2. WSUS 中是否有软件挂钩可以让我们说“请不要重新启动”？

我最近在 Windows 2008 Std 服务器上安装了 WSUS (v3.2.7600.226)，并配置了 4 台测试 PC 通过组策略连接到它。 WSUS 检测到它们，并且 PC 正在从 WSUS 服务器下载一些更新，但不是全部。

WSUS 控制台所说的 PC 中缺少的更新已获得批准。

如果我运行 wuauclt.exe /detectnow，即使重新启动后也不会发生任何变化。如果我执行以下操作，则没有任何变化：

2. 停止自动更新服务。
3. 重命名 C:\Windows\SoftwareDistribution 文件夹。
4. 重新启动自动更新服务。
5. 进入 Internet Explorer 并删除历史记录、cookies 和临时 Internet 文件。
6. 重新启动，然后从命令提示符运行 wuauclt.exe /detectnow。

我还为过去的软件包设置了截止日期，然后在 PC 上运行 wuauclt.exe /detectnow，但之后检查 Windows Update 显示仍然没有可用更新。

如果我从具有 WSUS 策略的计算机组中删除 PC，并运行 gpupdate /forcenow，则 PC 能够看到 Microsoft Internet 更新提供的更新。

我曾尝试运行此脚本以强制 PC 检索更新，但这表示也没有可用的更新。

更新：在 WSUS 控制台中，如果我右键单击更新并选择文件信息，我会看到它存在于 WSUS 数据目录中，并且文件大小为 2.8 MB。如果我在 WSUS 表示需要此更新的 Win7 PC 上强制进行更新检查，它不会检测到新的更新。此更新已批准用于所有计算机组，包括问题 PC 所属的计算机组。 …

在WSUS ( 3.2.7600.226 ) 中，我指定了我们希望从 Microsoft 下载到 WSUS 服务器的更新。

我们不使用 Microsoft Exchange，因此未在选项 > 产品和分类中选择它。

然而，本周我注意到所有更新中出现了 1000 多个新的（未经批准的）更新，包括特定于 Microsoft Exchange、Lync、Windows Vista 等的更新。所有这些都没有被选为我们想要下载的更新（在选项 > 产品中）和分类）。

我已经运行了选项 > 服务器清理向导，但这些更新仍然存在，等待批准。

WSUS 数据目录的大小最近也增加了约 15 GB。

为什么会发生这种情况？我该如何解决它，并防止它再次发生？

谢谢！

如果我没有为任何寻求帮助的人提供所有必需的信息，请原谅我，但我是一名初级系统管理员，刚刚开始在 Server 2012 上使用和管理 WSUS。基本上，我希望找到将 Lync 客户端升级到 Skype for business 客户端的更新。通过一些研究，似乎将 Lync 客户端升级到 Skype for business 客户端的更新是 KB2889923，但在 WSUS 服务器上搜索该 KB 的“所有更新”时，我似乎无法在任何地方找到它。我们目前在我们的工作站上安装了 Microsoft Office 2010 标准，然后单独安装了 Lync 2013。

奇怪的是，我看到了 Skype for business 和 Lync 的其他更新，但似乎找不到那个更新。不确定这是否与问题相关/部分，但是当浏览“所有更新”部分时，使用“任何除外拒绝”的标准和“任何”作为状态的标准，它会读取显示的 8929 的 8578 个更新，总共 8929 个 - - 到目前为止我只批准了一些更新并且没有拒绝任何更新，所以假设所有 8929 都应该出现是错误的吗？

就我在 WSUS 中获取更新的产品而言，办公室选择了以下产品：

• Microsoft IME 的字典更新
• Microsoft IME 的新词典
• 办公室 2003
• 办公室 2007
• 办公室 2010
• 办公室 2013

我还选择了 Skype 产品（Skype>Skype for Windows）。

对于分类，我选择了以下内容：

• 重要更新
• 定义更新
• 安全更新
• 服务包

很抱歉这篇很长的帖子，但真的很感谢有人可以提供的任何帮助！

我编写了一个脚本，目的是快速管理WSUS进程，我有一些硬编码的东西，但更愿意使用 PowerShell。特别是 Approve-WsusUpdate 的“目标”组。

目前我正在做这样的事情：

#Select Target Group for Update Approval:

$TargetComputerGroups = "All Computers", "Unassigned Computers", "Clients", "Servers", "Test", "View Templates"

$UserPrompt = @"

Please select a Computer Group from the below options:

1) All Computers (Selects all of the below)
2) Unassigned Computers
3) Clients
4) Servers
5) Test
6) View Templates

Enter selection
"@

###Record user selection to varirable
$TargetComputerGroupTemp = Read-Host -Prompt $UserPrompt

###Convert their choice to the correct 0-index array value.
$TargetComputerIndex = …

带有 KB4086143 修补程序汇总的 SCCM 1710，在 Windows Server 2012 R2 上运行，在同一服务器上配置了软件更新点和 WSUS。

SUP 和 WSUS 都没有配置为下载快速更新。客户端策略设置为不使用快速更新。

创建了一个“基准”软件更新组和部署包，其中正确地不包含快速更新。

创建了一个自动部署规则，这是一个持续下载快速更新的规则；上个月的全套更新（仅限！）为 65GB。将其微调为仅包含安全更新为 25GB。

删除和重新创建 ADR 没有区别。

我不准备丢弃和重新创建 SUP 和 WSUS，除非我有合理的保证它会解决；时间就是金钱，我已经浪费得够多了。

我似乎在 TechNet 上有人说这是一个应该在 180x 中修复的错误；我愿意升级到 1802，但我们现在正在进行部署，团队成员会很生气。如果 1802 解决了，我会考虑这个问题，但在发行说明或知识库中找不到任何指示。

一个疯狂的想法是构建和配置另一个 WSUS，将其用作上游，然后击败它，直到它不下载 Express Updates。我不知道它在实践中如何工作，我更喜欢更干净的修复，但我愿意尝试将其作为临时措施。

这些选项中的任何一个是可行的、推荐的，还是有另一种更好的方法来驯服这头野兽？

预期的答案可能假设此环境是正确构建的，并且符合文档和推荐的最佳实践。

我想做什么？

我们有一些 SCCM 客户端，主要是面向公众的网站，运行在 Windows Server 2008 R2 的 IIS 7.5 上，由名为XYmon的系统监控。我们最近注意到这些服务器在提前大约一个小时安装每月的 Windows 更新后重新启动。SCCM 客户端操作和监控系统存在一定的延迟，但 XYmon 就在 19:20-19:30 左右失去与这些机器的连接，而其余的受监控机器似乎在大约 20 小时后重新启动： 20-20:30。

我希望应用的维护时段从 20:00 开始，到 22:00 结束，并且每周四重新出现。

我想弄清楚为什么这些机器提前一小时安装更新。我知道多个维护窗口是“联合”或合并的，所以我怀疑还有另一个维护窗口也适用于这些客户端。

这些机器也位于未加入域的 DMZ 中，因此我也不排除任何时区/时钟偏差问题。

为了实现它，我做了什么尝试？

我认为时区/时钟偏差问题最有可能，但两台机器都在正确的时区，时间同步并设法适当地处理 3 月 8 日发生的夏令时变化。

我的下一个假设是，我们有一个错误的或旧的维护窗口适用于这些机器所在的集合。这对我来说似乎不太可能，因为有另一台机器应该是所有相同的集合，它在正确的时间重新启动20:00 左右。

让我们确保客户端确实在监控系统说它是重新启动时重新启动！

如果我检查客户端，则systeminfo显示启动时间为 19:22。事件日志似乎与此协作：

Log Name:      System
Source:        USER32
Date:          3/12/2015 7:21:02 PM
Event ID:      1074
Task Category: None
Level:         Information
Keywords:      Classic
User:          SYSTEM
Computer:      HOST09
Description:
The process C:\Windows\CCM\CcmExec.exe (HOST09) has initiated …

我们最近为我们的 Windows 工作站（大约 90 个）实施了 WSUS。一些客户端似乎没有问题，而其他客户端在尝试使用 Windows Update 手动检查更新时不断返回错误“80072EE2”。

客户端是Win7 x64 SP1，服务器是Win2008 x86 SP2

我们的工作站使用标准映像，因此系统之间的差异很小。

服务器上的 w3wp.exe 进程会在很长一段时间内达到非常高的 CPU。

在问题客户端的 WindowsUpdate.log 中，我们看到：

2015-12-04  11:12:33:847     968    12ac    PT    Server URL = http://server.domain.com/SimpleAuthWebService/SimpleAuth.asmx
2015-12-04  11:13:37:937     968    12ac    Misc    WARNING: Send failed with hr = 80072ee2.
2015-12-04  11:13:37:937     968    12ac    Misc    WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2015-12-04  11:13:37:937     968    12ac    Misc    FATAL: SOAP/WinHttp - SendRequest: SendRequestUsingProxy failed. …

在 WSUS 配置的“选择产品”屏幕中，Windows 10 GDR-DU和Windows 10都有一个选项：

两者有什么区别？我找不到任何解释产品之间差异的 Microsoft 文档。