活用WSUS服務(wù)，順暢打補(bǔ)丁

規(guī)劃和部署WSUS

在Windows Server 2012中，Windows Server Update Services（WSUS）提供了一些新的功能，例如可以使用服務(wù)管理器進(jìn)行添加和刪除WSUS角色，允許通過(guò)PowerShell管理WSUS中的一些重要任務(wù)，添加了SHA256哈希功能，提高了安全性等。在安裝WSUS之前，建議禁用防病毒軟件，防止在WSUS安裝過(guò)程中鎖定文件。當(dāng)WSUS安裝后，再啟動(dòng)防病毒軟件，為了避免無(wú)關(guān)干擾，需要將WSUS內(nèi)容文件夾，“%windir%widdata”，“SoftwareDistributionDatastore”，“Software DistributionDownload”等相關(guān)文件夾排除在防病毒軟件監(jiān)控范圍外。WSUS部署分為簡(jiǎn)單部署和多臺(tái)部署兩種方案，前者適用于規(guī)模較小的企業(yè)。

對(duì)于大型企業(yè)來(lái)說(shuō)，可能存在眾多的分支機(jī)構(gòu)，分布在不同的位置。這就需要使用多臺(tái)WSUS部署方案，來(lái)提供補(bǔ)丁包的分發(fā)效率。例如，可以在公司總部設(shè)置一臺(tái)上游WSUS服務(wù)器，用來(lái)從微軟網(wǎng)站上下載更新，在各個(gè)分支機(jī)構(gòu)中設(shè)置下游WSUS服務(wù)器，并通過(guò)上游WSUS服務(wù)器執(zhí)行更新操作。這樣，可以為分布在不同地理位置上的客戶機(jī)提供最佳的補(bǔ)丁下載服務(wù)。WSUS支持兩種部署模式，包括自治和副本模式，對(duì)于自治模式（也稱(chēng)分布式管理）來(lái)說(shuō)，下游的WSUS服務(wù)器處于獨(dú)立管理狀態(tài)，不接收來(lái)自上游的WSUS服務(wù)器的更新批準(zhǔn)狀態(tài)或者計(jì)算機(jī)組信息。當(dāng)下游的WSUS服務(wù)器獲得了所需的更新后，其管理員可以獨(dú)立執(zhí)行測(cè)試，分發(fā)，部署等操作，這是最常用的部署模式。

對(duì)于副本模式（也稱(chēng)集中管理），下游的WSUS服務(wù)器可以繼承上游WSUS服務(wù)器的更新批準(zhǔn)，不能脫離上游WSUS服務(wù)器進(jìn)行獨(dú)立管理。如果有多臺(tái)副本服務(wù)器連接到上游WSUS服務(wù)器，不要在其上同時(shí)執(zhí)行同步操作，以避免出現(xiàn)帶寬占用率突然增高的情況。

如果啟用了使用快速安裝文件功能，會(huì)引發(fā)相當(dāng)于實(shí)際更新體積三倍的初始下載容量，但是這可以減少在企業(yè)內(nèi)網(wǎng)上更新客戶端計(jì)算機(jī)所需的帶寬。如果禁用了該功能，初始下載的規(guī)模會(huì)比較小，但是之后必須將所有下載大小分配給企業(yè)內(nèi)網(wǎng)中的每臺(tái)客戶機(jī)。

使用組策略，實(shí)現(xiàn)自動(dòng)更新

在域環(huán)境，可以根據(jù)不同計(jì)算機(jī)組的要求來(lái)配置對(duì)應(yīng)的WSUS自動(dòng)更新策略，實(shí)現(xiàn)靈活管控。在DC域控制器上打開(kāi)“Active Directory用戶和計(jì)算機(jī)”窗口，在左側(cè)選擇“xxx.com”域名項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”、“組織單元”項(xiàng)，創(chuàng)建所需的OU，如“Sales”、“Test”等。 選擇“Computers”容器，在其中選擇對(duì)應(yīng)的主機(jī)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”、“移動(dòng)”項(xiàng)，將其移動(dòng)到上述新建的OU中。打開(kāi)組策略管理器，在左側(cè)的“XXX.com”、“Default Domain Policy”項(xiàng)，右擊“編輯”項(xiàng)，在組策略編輯器左側(cè)選擇“計(jì)算機(jī)配置”、“策略”、“管理模版”、“Windows組 件”、“Windows更新”項(xiàng)，在右側(cè)雙擊“指定Intranet Microsoft更新服務(wù)器位置”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“選項(xiàng)”欄中輸入更新服務(wù)器以及統(tǒng)計(jì)服務(wù)器網(wǎng)址，例如“http://192.168.1.50:8530”。

雙擊 “自動(dòng)更新檢測(cè)頻率”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)并設(shè)置檢測(cè)更新的周期，默認(rèn)為22小時(shí)。雙擊“允許自動(dòng)更新立即安裝”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，可自動(dòng)安裝既不中斷Windows服務(wù)，也無(wú)需重啟系統(tǒng)的更新包。雙擊“對(duì)于有已經(jīng)登錄用戶的計(jì)算機(jī)，計(jì)劃的自動(dòng)更新不執(zhí)行重新啟動(dòng)”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，表示當(dāng)更新完畢后，不會(huì)強(qiáng)制重啟系統(tǒng)。

雙擊“配置自動(dòng)更新”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“配置自動(dòng)更新”列表中尋則更新方式。例如選擇“自動(dòng)下載并計(jì)劃安裝”項(xiàng)，可以自動(dòng)下載并安裝更新，無(wú)需用戶的干預(yù)，在其下設(shè)置計(jì)劃安裝的日期和時(shí)間。這樣，就實(shí)現(xiàn)了針對(duì)默認(rèn)組策略的配置操作。當(dāng)然，也可以針對(duì)不同的OU，來(lái)配置相關(guān)的組策略。

這樣，不同的計(jì)算機(jī)分組，就分別擁有了自己的WSUS更新策略。在DC和相關(guān)主機(jī)上執(zhí)行“gpupdate /force”命令，來(lái)刷新組策略。在客戶機(jī)上執(zhí)行“wuauclt /detectnow”命令，可以立即檢測(cè)WSUS服務(wù)器等。

管理計(jì)算機(jī)組和客戶端目標(biāo)

在更新服務(wù)控制臺(tái)選擇“計(jì)算機(jī)”、“所有的計(jì)算機(jī)”項(xiàng)，右擊“添加計(jì)算機(jī)組”項(xiàng)，輸入組名可以創(chuàng)建新的計(jì)算機(jī)組。在控制臺(tái)左側(cè)選擇“選項(xiàng)”項(xiàng)，在右側(cè)點(diǎn)擊“計(jì)算機(jī)”鏈接，在打開(kāi)窗口中如果選擇“使用Update Service控制臺(tái)”項(xiàng)，表示新連入的客戶機(jī)自動(dòng)添加到“未分配的計(jì)算機(jī)”組中。管理員在該組中需手動(dòng)選擇合適的主機(jī)，在右鍵菜單中點(diǎn)擊“更改成員身份”項(xiàng)，選擇合適的計(jì)算機(jī)組，將其移動(dòng)到該計(jì)算機(jī)組中。如果選擇“使用計(jì)算機(jī)上的組策略或注冊(cè)表設(shè)置”項(xiàng)，那么可以先創(chuàng)建和AD用戶和計(jì)算機(jī)管理窗口中OU同名的組名，例如“Sale”、“Test”等。

之后在DC上打開(kāi)組策略管理器，在其中選擇某個(gè)OU（例如“Sales”），在其下點(diǎn)擊“SalesGPO”項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在“計(jì)算機(jī)配置”、“策略”、“管理模版”、“Windows組 件”、“Windows更新”項(xiàng)，在右側(cè)雙擊“允許客戶端目標(biāo)設(shè)置”項(xiàng)，在彈出窗口中選擇“已啟用”項(xiàng)，在“次計(jì)算機(jī)的目標(biāo)組名稱(chēng)”欄中輸入“Sales”，點(diǎn)擊“確定”保存。注意，如果在該OU中存在多級(jí)的OU結(jié)構(gòu)，例如在“Sales”中包含“Sales01”。“Sales02”等，可以同時(shí)輸入，彼此之間以分號(hào)相隔。

例如，在該OU中存在名為“PC1”的主機(jī)，在該機(jī)上刷新組策略，并執(zhí)行“wuauclt /detectnow”命令后，該機(jī)會(huì)自動(dòng)添加到更新服務(wù)控制臺(tái)對(duì)應(yīng)的計(jì)算機(jī)組中。例如“PC1”屬于“Sales”的OU，那么其就會(huì)存儲(chǔ)到“計(jì)算機(jī)”、“所有的計(jì)算機(jī)”、“Sales”組中。

這樣，就省去了手工移動(dòng)的繁瑣。但AD中的OU組名，WSUS中的計(jì)算機(jī)組名以及組策略中的客戶端目標(biāo)設(shè)置名稱(chēng)三者必須一致。按照以上方法，可以將不同OU中的計(jì)算機(jī)，分別自動(dòng)添加到WSUS的與OU同名的計(jì)算機(jī)組中。

查看更新報(bào)告信息

為查看WSUS更新的報(bào)告信息，需要安裝Microsoft Report Viewer 2008可再分發(fā)組件。當(dāng)然，這需要先安裝.NetFramework 3.5組件。在更新服務(wù)控制臺(tái)左側(cè)選擇“更新”、“所有更新”項(xiàng)，可顯示所有的更新項(xiàng)目。在選定的項(xiàng)目的右鍵菜單上點(diǎn)擊“狀態(tài)報(bào)告”項(xiàng)可查看詳細(xì)報(bào)告信息。在窗口底部“狀態(tài)”欄中點(diǎn)擊“已安裝更更新/更新不適用的計(jì)算機(jī)”鏈接，可查看關(guān)于該更新項(xiàng)目的不適用信息。點(diǎn)擊“需要此計(jì)算機(jī)的更新”鏈接，可查看哪些主機(jī)適用該更新項(xiàng)目。在左側(cè)選擇“報(bào)告”項(xiàng)，在右側(cè)可查看更新報(bào)告、計(jì)算機(jī)報(bào)告、同步報(bào)告等類(lèi)別。如點(diǎn)擊“同步報(bào)告”項(xiàng)，在彈出窗口中設(shè)置合適的日期范圍，點(diǎn)擊“運(yùn)行報(bào)告”項(xiàng)，即可查看該時(shí)間段內(nèi)的同步信息。

配置自動(dòng)審批規(guī)則

對(duì)于一些更新包來(lái)說(shuō)，無(wú)需經(jīng)過(guò)測(cè)試就可以進(jìn)行分發(fā)，例如緊急更新包、高危漏洞補(bǔ)丁、防病毒定義更新等。利用WSUS的自動(dòng)審批規(guī)則，可以自動(dòng)分發(fā)這類(lèi)更新包。在WSUS更新服務(wù)控制臺(tái)左側(cè)選擇“選項(xiàng)”項(xiàng)，在右側(cè)點(diǎn)擊“自動(dòng)審批”項(xiàng)，在彈出窗口中點(diǎn)擊“新建規(guī)則”按鈕，在“添加規(guī)則”窗口中的“步驟1：選擇屬性”列表中選擇“當(dāng)更新屬于特定產(chǎn)品時(shí)”項(xiàng)，在“步驟2：編輯屬性”欄中點(diǎn)擊“任何產(chǎn)品”鏈接，在“打開(kāi)”窗口中只選擇所需的產(chǎn)品類(lèi)型，例如“Windows Defender”。默認(rèn)情況下，可以為所有的計(jì)算機(jī)審批更新，也可點(diǎn)擊“所有計(jì)算機(jī)”，來(lái)針對(duì)特定的計(jì)算機(jī)組中的計(jì)算機(jī)自動(dòng)審批更新。

當(dāng)然，也可以選擇“當(dāng)更新屬于特定的分類(lèi)時(shí)”項(xiàng)，可以在分類(lèi)列表中選擇特定的類(lèi)型。這樣，所有選定類(lèi)別的更新都會(huì)自動(dòng)審批。選擇“設(shè)置審批期限”項(xiàng)，可以精確的設(shè)置自動(dòng)審批的具體期限。在“步驟3：指定名稱(chēng)”欄中輸入名稱(chēng)（如“Autosp”），點(diǎn)擊“應(yīng)用”按鈕保存。選擇該規(guī)則，點(diǎn)擊“運(yùn)行規(guī)則”按鈕，WSUS可以自動(dòng)審批符合條件的更新包。在控制臺(tái)左側(cè)“更新”、“所有更新”項(xiàng)，在右側(cè)的“審批”列表中選擇“已審批”項(xiàng)，在“狀態(tài)”列表中選擇“失敗或需要的”項(xiàng)，點(diǎn)擊“刷新”按鈕，在更新列表中可以顯示已經(jīng)審批的項(xiàng)目，可以看到和上述規(guī)則相關(guān)的更新已經(jīng)添加進(jìn)來(lái)了。

在“狀態(tài)”欄中點(diǎn)擊“需要此更新的計(jì)算機(jī)”鏈接，可以查看需要此更新的客戶機(jī)。在特定的客戶機(jī)上打開(kāi)控制面板并打開(kāi)“Windows Update”項(xiàng)，執(zhí)行檢測(cè)更新操作，就可以從WSUS上檢測(cè)并下載上述自動(dòng)審批的更新包，之后進(jìn)行安裝即可。注意，在列表中可以選擇不想安裝的補(bǔ)丁，再看右鍵菜單上點(diǎn)擊“隱藏更新”項(xiàng)，避免其頻繁出現(xiàn)提示更新。在需要時(shí)點(diǎn)擊“還原隱藏的更新”項(xiàng)，就可以安裝這些更新包了。在WSUS更新控制臺(tái)左側(cè)選擇“選項(xiàng)”項(xiàng)。在右側(cè)點(diǎn)擊“更新源和代理服務(wù)器”項(xiàng)，在彈出窗口中可設(shè)置更新源和代理服務(wù)器信息。點(diǎn)擊“產(chǎn)品和分類(lèi)”項(xiàng)可更改需要更新的產(chǎn)品或類(lèi)型等。

點(diǎn)擊“服務(wù)器清理向?qū)А表?xiàng)，可以從WSUS中清除舊計(jì)算機(jī)。在一般情況下，建議每隔一個(gè)月執(zhí)行一次清理操作。在向?qū)Ы缑嬷羞x擇清理的內(nèi)容，包括未使用的更新和更新續(xù)訂、沒(méi)有連接到服務(wù)器的計(jì)算機(jī)、不需要的更新文件、過(guò)期的更新等，默認(rèn)全部處于選擇狀態(tài)。點(diǎn)擊“下一步”按鈕，執(zhí)行具體的清理操作。在選項(xiàng)欄中點(diǎn)擊“報(bào)告匯總”項(xiàng)，可以設(shè)置是否從下游WSUS服務(wù)器將計(jì)算機(jī)的更新?tīng)顟B(tài)匯總到本W(wǎng)SUS服務(wù)器。點(diǎn)擊“電子郵件通知”項(xiàng)，設(shè)置SMTP服務(wù)器地址、端口號(hào)、發(fā)件人信息等內(nèi)容，可以讓W(xué)SUS服務(wù)器通過(guò)郵件來(lái)向管理員發(fā)送同步更新和狀態(tài)報(bào)告信息。

補(bǔ)丁安裝流程分析

一般來(lái)說(shuō)，安裝補(bǔ)丁需要經(jīng)過(guò)測(cè)試和安裝兩個(gè)環(huán)節(jié)。當(dāng)?shù)玫剿璧难a(bǔ)丁包后，需要先在測(cè)試環(huán)境中執(zhí)行安裝和評(píng)估操作來(lái)檢測(cè)是否對(duì)當(dāng)前正常的操作環(huán)境造成不利影響，當(dāng)測(cè)試通過(guò)后，才可以將其下發(fā)給客戶機(jī)來(lái)執(zhí)行打補(bǔ)丁操作。微軟推薦每個(gè)一次月，執(zhí)行依次補(bǔ)丁的安裝操作。一般微軟會(huì)在每月14號(hào)左右發(fā)送當(dāng)月的安全公告摘要，WSUS服務(wù)器也會(huì)在15號(hào)左右接收到微軟發(fā)放的補(bǔ)丁。通常對(duì)于安全級(jí)別為L(zhǎng)ow以上的各種安全補(bǔ)丁，關(guān)于操作系統(tǒng)的安全補(bǔ)丁，對(duì)于各種版本IE的安全補(bǔ)丁，以及其他常用軟件（如Windows Media Player等）的補(bǔ)丁，狀態(tài)為Updates修訂版本的補(bǔ)丁來(lái)說(shuō)，無(wú)需手工批準(zhǔn)就可以進(jìn)行分發(fā)。

打 開(kāi) 網(wǎng) 址“https://t e c h n e t.m i c r o s o f t.com/zh-cn/security/bulletin”，可以查看微軟當(dāng)月的安全公告。打開(kāi)安全摘要頁(yè)面，可以查看當(dāng)月發(fā)布的所有更新信息。但對(duì)于規(guī)模較大的企業(yè)來(lái)說(shuō)，還需要結(jié)合實(shí)際情況，更加安全和規(guī)范的執(zhí)行補(bǔ)丁更新操作。在WSUS更新服務(wù)控制臺(tái)左側(cè)選擇“更新”、“所有更新”項(xiàng)，在右側(cè)的“審批”列表中選擇“未經(jīng)審批”項(xiàng)，在“狀態(tài)”列表中選擇“失敗或需要的”項(xiàng)，點(diǎn)擊“刷新”按鈕，同樣可以顯示本月的所有更新信息。在列表標(biāo)題欄上點(diǎn)擊右鍵，在彈出菜單上選擇“發(fā)布日期”和“到達(dá)日期”項(xiàng)，可以顯示補(bǔ)丁發(fā)布和到達(dá)的具體日期。選中需要測(cè)試的補(bǔ)丁（可多選），在右鍵菜單上點(diǎn)擊“審批”項(xiàng)，在審批更新窗口中選擇執(zhí)行測(cè)試操作的計(jì)算機(jī)組（如“Test”組），在右鍵菜單上點(diǎn)擊“已審批進(jìn)行安裝”項(xiàng)，將其發(fā)送到選定的組。

之后在“審批”列表中選擇“已審批”項(xiàng)，刷新后可看到所有已審批的補(bǔ)丁。對(duì)于“Test”組中計(jì)算機(jī)來(lái)說(shuō)，操作者可以下載并安裝審批的補(bǔ)丁，當(dāng)安裝測(cè)試沒(méi)問(wèn)題后，可將情況反饋給WSUS服務(wù)器管理員，這樣，管理員就可以在上述列表中選擇這些補(bǔ)丁，在右鍵菜單上點(diǎn)擊“審批”項(xiàng)，在彈出窗口中選中其他計(jì)算機(jī)組（如“Sales”等），使其顯示綠色標(biāo)記，點(diǎn)擊“確定”按鈕就可以下發(fā)給這些組中的計(jì)算機(jī)。當(dāng)然，在實(shí)際操作時(shí)，對(duì)于普通的客戶機(jī)來(lái)說(shuō)，可以通過(guò)組策略設(shè)置自動(dòng)下發(fā)計(jì)劃，無(wú)需用戶干預(yù)就可以安裝補(bǔ)丁，對(duì)于生產(chǎn)服務(wù)器來(lái)說(shuō)，需要提前通過(guò)電子郵件等方法通知補(bǔ)丁安裝事宜，經(jīng)管理員同意后方可為其安裝補(bǔ)丁。通過(guò)設(shè)置計(jì)劃任務(wù)重啟服務(wù)器，并提醒其在服務(wù)器重啟之后，檢測(cè)相關(guān)的應(yīng)用設(shè)置。

管理下游WSUS服務(wù)器

對(duì)于規(guī)模較大的企業(yè)來(lái)說(shuō)，其分支機(jī)構(gòu)分布在各地。在總部設(shè)置了上游WSUS服務(wù)器，來(lái)連接Windows Update下載補(bǔ)丁，在個(gè)分支機(jī)構(gòu)會(huì)配置下游WSUS服務(wù)器，和上游WSUS服務(wù)器連接來(lái)下載所需的補(bǔ)丁。打開(kāi)下游WSUS配置向?qū)Ы缑妫凇斑x擇上游服務(wù)器”窗口中選擇“從其他Windows Server Update Services服務(wù)器中進(jìn)行同步”項(xiàng)，設(shè)置上游WSUS服務(wù)器的地址和端口號(hào)（默認(rèn)為8530）。下游WSUS服務(wù)器可以使用自治和副本兩種模式，默認(rèn)使用的是自治模式，可以根據(jù)實(shí)際需要來(lái)自由的管理更新的審批等操作。如果選擇“這是上游服務(wù)器的副本”項(xiàng)，表示啟用副本模式。

點(diǎn)擊“開(kāi)始連接”按鈕，和上游WSUS服務(wù)器進(jìn)行連接來(lái)獲得可用的更新類(lèi)型、可更新的產(chǎn)品、可用的語(yǔ)言等信息。之后根據(jù)需要選擇語(yǔ)言的更新，設(shè)置同步計(jì)劃，點(diǎn)擊“完成”按鈕，執(zhí)行所需的配置操作，其余的設(shè)置與配置上游上述基本相同，這里就不再贅述。當(dāng)初始同步完成后，可以根據(jù)需要?jiǎng)?chuàng)建新的計(jì)算機(jī)組來(lái)管理該分支機(jī)構(gòu)中的客戶機(jī)，管理方法和上述基本一致。如果采用副本模式，可以從上游服務(wù)器中鏡像更新審批、設(shè)置、計(jì)算機(jī)和組等信息，而且只能在上游WSUS服務(wù)器上執(zhí)行審批更新操作。

當(dāng)選擇補(bǔ)丁項(xiàng)目后，其右鍵菜單中是無(wú)法使用審批和拒絕操作的。并且無(wú)法創(chuàng)建計(jì)算機(jī)組。副本W(wǎng)SUS可以繼承上游服務(wù)器的更新批準(zhǔn)信息，無(wú)法脫離上游服務(wù)器進(jìn)行獨(dú)立的管理。而在自治模式下，所有的管理操作都不會(huì)受到上游服務(wù)器的影響。

排除問(wèn)題，順利執(zhí)行更新操作

在實(shí)際管理中，有時(shí)需要對(duì)客戶端進(jìn)行手動(dòng)調(diào)控。例如，因組策略或刷新周期等原因造成客戶端沒(méi)有收到更新或更新失敗，就需要在客戶端上執(zhí)行手動(dòng)操作來(lái)進(jìn)行排錯(cuò)處理。在客戶端執(zhí)行“gpupdate /force”命令來(lái)刷新組策略，如果刷新失敗，說(shuō)明網(wǎng)絡(luò)配置存在問(wèn)題，否則執(zhí)行“gpresult /h report.html”命令來(lái)收集組策略結(jié)果信息。打開(kāi)生成的報(bào)告文件，可以查看該機(jī)的組策略配置詳細(xì)信息。如果沒(méi)有問(wèn)題，執(zhí)行“wuauclt /detectnow”命令來(lái)手動(dòng)聯(lián)系WSUS服務(wù)器。

之后執(zhí)行“netstat –ano | findstr "8530"”命令，如果找到相關(guān)網(wǎng)絡(luò)連接，說(shuō)明本機(jī)已經(jīng)被添加到了WSUS中的未分配計(jì)算機(jī)組中了。如果以上操作還是無(wú)法聯(lián)系WSUS服務(wù)器，需要在本機(jī)打開(kāi)名為“windowsupdate.log”文件來(lái)查看和更新相關(guān)的日志文件。例如在其中發(fā)現(xiàn)“404（0x194）”之 類(lèi) 的代碼，說(shuō)明無(wú)法連接到WSUS服務(wù)器。該錯(cuò)誤是因?yàn)槎丝谠O(shè)置出錯(cuò)，在WSUS30中端口為80，在WSUS4.0中端口為8530/8531。解決方法是在組策略中打開(kāi)上述“指定Intranet Microsoft更新服務(wù)位置”窗口輸入正確的WSUS地址，例如“http://192.168.1.100:8530”等。如果在WSUS服務(wù)器上配置了SSL加密協(xié)議，需 修 改 為“https://192.168.1.100:8531”。

此外，還可手動(dòng)重啟Windows Update服務(wù)來(lái)嘗試解決問(wèn)題。也可以執(zhí)行微軟提供的“Mats_Run.WindowsUpdate.exe” 工 具對(duì)更新服務(wù)進(jìn)行修復(fù)。如果出現(xiàn)補(bǔ)丁安裝異常的情況，可以先在服務(wù)管理器中停 止“Automaic Updates”（或“自動(dòng)更新”）服務(wù)，之后在“C:Windows”目錄下刪除“SoftwareDistribution”目錄（其中保存補(bǔ)丁包），之后重啟“Automaic Updates”（或“自動(dòng)更新”）服務(wù)，執(zhí)行“wuauclt.exe /detecnow”命令來(lái)聯(lián)系WSUS服務(wù)器獲取補(bǔ)丁包，之后可以手動(dòng)安裝或等待系統(tǒng)自動(dòng)安裝。

WSUS的版本升級(jí)和遷移

有些單位使用的Windows Server 2008系統(tǒng)，在其中部署了WSUS3.0組件。如果想對(duì)Windows 8和Windows Server 2012等客戶端進(jìn)行補(bǔ)丁的更新工作，必須安裝KB2734608de補(bǔ)丁,之后在Windows 8或Windows Server 2012中刷新組策略，獲取WSUS服務(wù)器組策略配置信息。執(zhí)行“wucualt /detectnow”命令來(lái)聯(lián)系WSUS服務(wù)器,在WSUS服務(wù)器更新控制臺(tái)中將這些客戶端添加到對(duì)應(yīng)計(jì)算機(jī)組中來(lái)執(zhí)行補(bǔ)丁分發(fā)操作。

對(duì)于工作組中的計(jì)算機(jī)，可以編寫(xiě)一個(gè)名為“wsusupdate.reg”文件，其中包含“Windows Registry Editor Version 5.00”等內(nèi)容。之后雙擊該文件導(dǎo)入注冊(cè)表，就可以順利聯(lián)系到WSUS服務(wù)器了。