标签: wsus

因此，我在 2012R2 系统上安装了 WSUS 的新实例。WSUS 服务器将为总共约 350 个系统（服务器+台式机+笔记本电脑）提供服务。它在 Hyper-V VM 中运行，我目前为其分配了 10GB 内存，但不到一天的时间，Windows 内部数据库使用量已跃升至约 6GB。

这个值对我来说似乎过高。如果您搜索 Google，您可以找到大量有关如何限制Windows 内部数据库内存的文章。但我发现的几乎没有一篇文章提供了为什么选择特定内存值的任何理由，该值似乎在 256MB-4GB 之间，具体取决于文章的作者。

WSUS 的内存使用情况正常吗？我没有找到任何关于 2012r2 上的 WSUS 的官方 Microsoft 大小建议，尽管旧版本的文档表明 1GB 对于少于 500 台计算机来说应该足够了。

所以我的问题是

• Microsoft 是否已发布我未找到的 WSUS 服务器大小规格的更新位置？
• 如果我要为内部数据库设置内存限制，应该使用什么方法来选择正确的值？我可以查看一些公式或一些性能指标来设置有用的限制吗？
• 我是否只需要不断添加更多内存，直到 WSUS 停止使用所有内存？
• 我还应该做其他事情来使 WSUS 使用更少的资源吗？

目前，我在 Windows Server 2012 R2 上安装了 WSUS 角色。它将更新下载到 500GB 磁盘。它将下载的更新大小大于磁盘空间，那么空间耗尽后会发生什么？

操作系统和 WSUS 更新存储在不同的分区上。

我最近将 WSUS 角色部署到了一台 Windows Server 2012 R2 机器上。测试操作成功，它下载并分发了适度的更新选择。

今天，我在我的选择中添加了一些产品。然后，我单击仪表板上的同步超链接并与某人进行了对话。回头一看，仪表盘上写着：

同步状态

状态：空闲
立即
同步 上次同步结果：成功

下载状态

更新所需的文件： 6,667 已
下载 243.00 MB 的4,026,930.930 MB

那是 4 TB 和 26 GB！我不能让它下载 4 TB 和 26 GB！（会有魔鬼付出代价！哦，官僚主义的恐怖......）但是没有停止或取消按钮！

我立即停止了BITS与WsusService服务和恢复服务器上的产品选择，但我必须取消这个下载，没有的摧毁服务器并启动新的！

我在网上读到的关于这个的一切都完全没用。以下命令不起作用。他们十次返回“拒绝访问”错误：

bitsadmin /reset /allusers
Get-BitsTransfer -AllUsers | Remove-BitsTransfer

此外，不可能仅停止 BITS 服务并保持 WsusService 开启。他们相互依赖。

我们的 WSUS 存在两个问题

1. 从 WSUS 安装安全更新时，我们的某些服务器 (2008r2/2012r2) 和 Win 7 出现错误 8000FFFF。对于大多数服务器和台式机来说都运行良好。

2. 从 WSUS 报告中，我可以看到更新已安装在 Win 7 上，但是当我手动检查时，我没有从update history或 中看到它installed updates。

请问有什么想法吗？

更新：

问题已修复。

https://support.microsoft.com/en-us/help/4457145/windows-7-update-kb4457145

我逐渐在用户讨厌 Windows 10 的环境中安装 Windows 10。所以，一切都必须完美。

此环境已使用 WSUS 向 Windows 7 和 Windows 8.1 计算机以及 Windows Server 2008 R2 和 Windows Server 2012 R2 服务器提供更新。没有任何问题。

然后，我在三台计算机上部署了 Windows 10 1703。而现在，每个月它都让我偏头痛！Windows 10 计算机绕过 WSUS 并直接从 Internet 下载更新，尤其是我尚未测试或批准的更新，这几乎违背了拥有 WSUS 的目的。

我试过：

• 使用组策略禁用传递优化
• 延长宽限期
• 一次又一次地在这些计算机上强制更新组策略
• 运行 Windows 更新疑难解答
• 清除 Windows 更新缓存 ( SoftwareDistribution)
• 运行磁盘清理并选择“Windows Update Cleanup”（清理了 8 GB）

这是我的客户端设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"WUServer"="http://evolution-pit:8530"
"WUStatusServer"="http://evolution-pit:8530"
"UpdateServiceUrlAlternate"=""
"SetActiveHours"=dword:1
"ActiveHoursStart"=dword:8
"ActiveHoursEnd"=dword:12
"DeferFeatureUpdates"=dword:1
"BranchReadinessLevel"=dword:20
"DeferFeatureUpdatesPeriodInDays"=dword:b4
"PauseFeatureUpdatesStartTime"=""
"DeferQualityUpdates"=dword:1
"DeferQualityUpdatesPeriodInDays"=dword:f
"PauseQualityUpdatesStartTime"=""
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:0
"AUOptions"=dword:4
"AutomaticMaintenanceEnabled"=dword:1
"ScheduledInstallDay"=dword:0
"ScheduledInstallTime"=dword:11
"AllowMUUpdateService"=dword:1
"UseWUServer"=dword:1
"EnableFeaturedSoftware"=dword:0

我最近将我的基础版本 (WIM) 更新到了 Windows 10 1709。

为了使用 MDT 构建此 WIM，可能有必要阻止 Windows 10 在后台自动更新可选功能，因为此服务活动会破坏构建的创建（参考：https : //deploymentresearch.com/Research/Post /615/Fixing-why-Sysprep-fails-in-Windows-10-due-to-Windows-Store-updates）。

在基本映像创建的最后，恢复上述注册表编辑，以允许部署的设备执行“其设计的”可选功能更新。

然而....

因为我正在构建/部署设置为 en-GB 语言环境的 Windows 10（我认为其他语言环境也会发生这种情况），可选功能之一似乎是“英语（GB）光学字符识别”。因此，一旦用户第一次登录计算机，Windows 10 就会尝试下载和安装该功能，但它一次又一次地失败了，一遍遍地一遍又一遍...... .....再次，一天几十次。每次发生这种情况时，操作系统都会发出声音并弹出一条消息；这是不可接受的！

部署的设备应用了 WSUS GPO 设置，其中之一是防止设备连接到 Microsoft Update（互联网）以自动下载更新 (HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations = 1)。

我相信此注册表项是设备无法下载/安装英文 (GB) 光学字符识别的原因。

坦率地说，我不在乎是否安装了英语 (GB) 光学字符识别，但我必须让这种情况停止发生，我不能让设备直接从 Microsoft 更新。

1）我如何阻止这种情况发生？2) Windows 10 机器上是否有任何日志报告自动可选功能活动，因为我在事件日志或其他任何地方都找不到任何内容。

PS上面的第二段，可能与这篇文章完全无关，就像我说的那样，注册表项更改已恢复（从 1 到 0）。但我会留着以防万一。

更新 2018-01-19

因此，我决定在 MDT 构建 VM 完成（并失败）后让它继续运行：这具有 A) 不在域上并接收 WSUS GPO 和 B) 以本地管理员身份登录（相反）的预期效果到系统帐户）并通过互联网访问它试图执行语言包选项组件强制安装（所以不翻转可选是他们微软！！？？？？？？）。

因此，即使没有 GPO，故障仍然会发生，排除这种情况。

附加信息; 正如您在屏幕截图中看到的，单击选项功能安装失败时会显示错误代码。

实际上有这样的模式：

这两个功能最初都在第一次失败时仅出现代码 0x800F0841，然后所有后续失败的退出代码都为 0x800F0954。

有人有什么好的建议吗？ …

WSUS 管理控制台显示未安装（关键）更新的计算机。

要清楚：

• 计算机每天报告它们的状态。
• 这些更新确实有一个已经过去的截止日期。

我假设这些更新在计算机加入活动目录之前已在本地隐藏（加入 AD 后，没有用户可以拒绝/隐藏具有截止日期的更新）。

有没有办法强制安装更新？

WSUS 版本是3.1.6001.65。

我听说过 WSUS，但这是最好的解决方案吗？我有技术人员在工作时间打扰我们的客户进行 Windows 更新。我需要一个能够减少客户干扰且可靠的解决方案。

是否有任何产品不仅可以执行 Windows 更新，还可以做更多的事情？

我们的办公室有一个小型的“安全网络”。小我的意思是它是连接到防火墙的 Windows 7 PC，该防火墙连接到 Internet 连接。它用于处理符合 PCI DSS 的卡交易。

PCI DSS 的要求之一是安全网络中的任何机器都定期打补丁并保持最新状态。另一个是防火墙必须锁定以只允许与授权服务器的出站连接。防火墙仅通过 IP 地址进行出站例外。

由此我们可以得出以下事实：

• 服务器必须是最新的补丁
• 必须允许服务器连接到 Windows 更新
• 防火墙只能允许它通过 IP 做到这一点
• Windows 更新似乎没有一致的 IP 范围
• Win 7 盒子上没有 Small Business Server
• 因此该框将不会运行 WSUS

我们真的没有办法让盒子接收更新吗？或者我们缺少什么？

我们的 IT 部门将在本周末通过 WSUS 推出一组补丁，并将在周日重启我们所有的 Win2k3 服务器。由于生产工作必须不受限制地继续，我们不能允许这种重启发生。我们得到的确切线路是：

下载补丁并在周日重启的命令已由 WSUS 发送，无法收回。服务器将在周日自动重启。

我们怎样才能阻止这种情况发生？它设置了一些标志说它应该重新启动，那么我们取消设置什么标志？提出的一种策略是回滚系统时钟，但是，这可能会导致某些进程失败。