标签: wsus

我正在改进我的 WSUS，并被要求弄清楚如何自动批准“重要”的更新。现在，我们会自动更新关键更新、定义更新或安全更新。

我读到 Microsoft 站点和 WSUS 之间存在语义差异（http://www.winvistatips.com/threads/update-categories-in-wsus-vs-microsoft.748317/）。

我想知道是否有一种方法可以自动批准 Microsoft 网站归类为重要的更新。任何援助将不胜感激。

我有一台 WSUS 服务器在 Windows Server 2012 上运行。我们使用它是因为这里可用的带宽有限

每天凌晨 3 点，它会下载 2 GB 以上的更新，即使白天的“立即同步”事件显示不需要任何新内容

同步报告主要显示 Windows 驱动程序，如下所示：

Advanced Micro Devices, Inc. driver update for AMD
Radeon HD 7500G
Drivers 7/28/2015 3:06 AM
Advanced Micro Devices, Inc. driver update for AMD
Radeon HD 7500M/7600M Series
Drivers 7/28/2015 3:06 AM
Advanced Micro Devices, Inc. driver update for AMD
Radeon HD 7540D
Drivers 7/28/2015 3:06 AM

知道为什么每晚都会发生这种情况吗？肯定不可能每天发布 2 GB 以上的新驱动程序吗？

我只在“产品和分类”中选择了这些产品：

• 办公室 2013
• SQL 2014
• Skype
• 银光
• 视窗 8.1
• 视窗 10
• Windows Defender的
• 视窗服务器 …

因此，我在 2012R2 系统上安装了 WSUS 的新实例。WSUS 服务器将为总共约 350 个系统（服务器+台式机+笔记本电脑）提供服务。它在 Hyper-V VM 中运行，我目前为其分配了 10GB 内存，但不到一天的时间，Windows 内部数据库使用量已跃升至约 6GB。

这个值对我来说似乎过高。如果您搜索 Google，您可以找到大量有关如何限制Windows 内部数据库内存的文章。但我发现的几乎没有一篇文章提供了为什么选择特定内存值的任何理由，该值似乎在 256MB-4GB 之间，具体取决于文章的作者。

WSUS 的内存使用情况正常吗？我没有找到任何关于 2012r2 上的 WSUS 的官方 Microsoft 大小建议，尽管旧版本的文档表明 1GB 对于少于 500 台计算机来说应该足够了。

所以我的问题是

• Microsoft 是否已发布我未找到的 WSUS 服务器大小规格的更新位置？
• 如果我要为内部数据库设置内存限制，应该使用什么方法来选择正确的值？我可以查看一些公式或一些性能指标来设置有用的限制吗？
• 我是否只需要不断添加更多内存，直到 WSUS 停止使用所有内存？
• 我还应该做其他事情来使 WSUS 使用更少的资源吗？

我在 Windows Server 2012 R2 Datacenter 上使用 WSUS 6.3 制作了一个更新服务器。我想使用 powershell 查看更新的状态（例如：KB3035583）。我知道有一些方法可以做到这一点，但我不知道其中任何一种。

我有一个运行 WSUS（WID 数据库）的 Windows Server 2016。我系统上的节点都是Windows 10 Professional。它们通过组策略进行配置以检查 Server 2016 的更新。无论如何，节点和服务器都不在代理后面。

基于 WSUS 控制台，当我按“检查更新”时，它显示所有节点都在签入。当您查看节点时，它会抛出以下消息：

安装更新时出现一些问题，但我们稍后再试。如果您一直看到此内容并想搜索网络或联系支持人员获取信息，这可能会有所帮助：(0x8024401c)

我在谷歌上搜索了这个错误，但我发现这个错误的信息很少或根本没有。我已经尝试了所有我能找到的建议，但没有解决这个问题。当我用 word 打开它时，我可以从最后一个 .ELT 文件中得到的是：

与http://FQDN:8530/ClientWebService/client.asmx处的端点通信时出错。接收 HTTP 回复时出错。操作未在分配的时间内完成。

当我Get-WindowsUpdateLog在 PowerShell 中执行 a 时，我只会得到一长串找不到的更新。没有实际的通信信息。

如果我将它放入浏览器并且防火墙没有阻止 WSUS，我就可以访问该链接。我错过了什么？任何人都可以向我提供任何其他信息。我还在学习如何使用正确的程序实际读取 ELT 文件。

编辑 1：尝试在客户端上运行 Characters 和 WDK10 以更好地解释 ELT 文件。

编辑 2：运行该tracefmt.exe工具给我以下错误：

无法打开日志文件进行阅读

这发生在每个人身上。我确实从 SDK 工具包的 TraceView 中看到，所有事件都显示系统时间并且没有找到格式信息。它是否已连接但未获取此数据，还是只是在寻找所有这些更新？

目前，我在 Windows Server 2012 R2 上安装了 WSUS 角色。它将更新下载到 500GB 磁盘。它将下载的更新大小大于磁盘空间，那么空间耗尽后会发生什么？

操作系统和 WSUS 更新存储在不同的分区上。

我最近将 WSUS 角色部署到了一台 Windows Server 2012 R2 机器上。测试操作成功，它下载并分发了适度的更新选择。

今天，我在我的选择中添加了一些产品。然后，我单击仪表板上的同步超链接并与某人进行了对话。回头一看，仪表盘上写着：

同步状态

状态：空闲
立即
同步 上次同步结果：成功

下载状态

更新所需的文件： 6,667 已
下载 243.00 MB 的4,026,930.930 MB

那是 4 TB 和 26 GB！我不能让它下载 4 TB 和 26 GB！（会有魔鬼付出代价！哦，官僚主义的恐怖......）但是没有停止或取消按钮！

我立即停止了BITS与WsusService服务和恢复服务器上的产品选择，但我必须取消这个下载，没有的摧毁服务器并启动新的！

我在网上读到的关于这个的一切都完全没用。以下命令不起作用。他们十次返回“拒绝访问”错误：

bitsadmin /reset /allusers
Get-BitsTransfer -AllUsers | Remove-BitsTransfer

此外，不可能仅停止 BITS 服务并保持 WsusService 开启。他们相互依赖。

我们的 WSUS 存在两个问题

1. 从 WSUS 安装安全更新时，我们的某些服务器 (2008r2/2012r2) 和 Win 7 出现错误 8000FFFF。对于大多数服务器和台式机来说都运行良好。

2. 从 WSUS 报告中，我可以看到更新已安装在 Win 7 上，但是当我手动检查时，我没有从update history或 中看到它installed updates。

请问有什么想法吗？

更新：

问题已修复。

https://support.microsoft.com/en-us/help/4457145/windows-7-update-kb4457145

我逐渐在用户讨厌 Windows 10 的环境中安装 Windows 10。所以，一切都必须完美。

此环境已使用 WSUS 向 Windows 7 和 Windows 8.1 计算机以及 Windows Server 2008 R2 和 Windows Server 2012 R2 服务器提供更新。没有任何问题。

然后，我在三台计算机上部署了 Windows 10 1703。而现在，每个月它都让我偏头痛！Windows 10 计算机绕过 WSUS 并直接从 Internet 下载更新，尤其是我尚未测试或批准的更新，这几乎违背了拥有 WSUS 的目的。

我试过：

• 使用组策略禁用传递优化
• 延长宽限期
• 一次又一次地在这些计算机上强制更新组策略
• 运行 Windows 更新疑难解答
• 清除 Windows 更新缓存 ( SoftwareDistribution)
• 运行磁盘清理并选择“Windows Update Cleanup”（清理了 8 GB）

这是我的客户端设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"WUServer"="http://evolution-pit:8530"
"WUStatusServer"="http://evolution-pit:8530"
"UpdateServiceUrlAlternate"=""
"SetActiveHours"=dword:1
"ActiveHoursStart"=dword:8
"ActiveHoursEnd"=dword:12
"DeferFeatureUpdates"=dword:1
"BranchReadinessLevel"=dword:20
"DeferFeatureUpdatesPeriodInDays"=dword:b4
"PauseFeatureUpdatesStartTime"=""
"DeferQualityUpdates"=dword:1
"DeferQualityUpdatesPeriodInDays"=dword:f
"PauseQualityUpdatesStartTime"=""
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:0
"AUOptions"=dword:4
"AutomaticMaintenanceEnabled"=dword:1
"ScheduledInstallDay"=dword:0
"ScheduledInstallTime"=dword:11
"AllowMUUpdateService"=dword:1
"UseWUServer"=dword:1
"EnableFeaturedSoftware"=dword:0

我最近将我的基础版本 (WIM) 更新到了 Windows 10 1709。

为了使用 MDT 构建此 WIM，可能有必要阻止 Windows 10 在后台自动更新可选功能，因为此服务活动会破坏构建的创建（参考：https : //deploymentresearch.com/Research/Post /615/Fixing-why-Sysprep-fails-in-Windows-10-due-to-Windows-Store-updates）。

在基本映像创建的最后，恢复上述注册表编辑，以允许部署的设备执行“其设计的”可选功能更新。

然而....

因为我正在构建/部署设置为 en-GB 语言环境的 Windows 10（我认为其他语言环境也会发生这种情况），可选功能之一似乎是“英语（GB）光学字符识别”。因此，一旦用户第一次登录计算机，Windows 10 就会尝试下载和安装该功能，但它一次又一次地失败了，一遍遍地一遍又一遍...... .....再次，一天几十次。每次发生这种情况时，操作系统都会发出声音并弹出一条消息；这是不可接受的！

部署的设备应用了 WSUS GPO 设置，其中之一是防止设备连接到 Microsoft Update（互联网）以自动下载更新 (HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations = 1)。

我相信此注册表项是设备无法下载/安装英文 (GB) 光学字符识别的原因。

坦率地说，我不在乎是否安装了英语 (GB) 光学字符识别，但我必须让这种情况停止发生，我不能让设备直接从 Microsoft 更新。

1）我如何阻止这种情况发生？2) Windows 10 机器上是否有任何日志报告自动可选功能活动，因为我在事件日志或其他任何地方都找不到任何内容。

PS上面的第二段，可能与这篇文章完全无关，就像我说的那样，注册表项更改已恢复（从 1 到 0）。但我会留着以防万一。

更新 2018-01-19

因此，我决定在 MDT 构建 VM 完成（并失败）后让它继续运行：这具有 A) 不在域上并接收 WSUS GPO 和 B) 以本地管理员身份登录（相反）的预期效果到系统帐户）并通过互联网访问它试图执行语言包选项组件强制安装（所以不翻转可选是他们微软！！？？？？？？）。

因此，即使没有 GPO，故障仍然会发生，排除这种情况。

附加信息; 正如您在屏幕截图中看到的，单击选项功能安装失败时会显示错误代码。

实际上有这样的模式：

这两个功能最初都在第一次失败时仅出现代码 0x800F0841，然后所有后续失败的退出代码都为 0x800F0954。

有人有什么好的建议吗？ …