WSUS客户端相关配置和常见异常处理
—风2019/7/2 —WSUS是Windows Server Update Services的简称,使用它可以让局域网中的电脑及时获得微软的升级程序。服务器端安装好后,我们需要在客户端电脑进行相应的设置。
一、运行gpedit.msc打开策略编辑器,编辑windows组件中的windows update,具体设置如下图:
用如上设置,只要WSUS服务器端审批后,WSUS客户端就会在有更新的时候自动安装但不会自动重启电脑。策略编辑器中设置的结果保存在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
Windows\WindowsUpdate],具体如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="192.168.1.218:8530"
"WUStatusServer"="192.168.1.218:8530"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000f
"UseWUServer"=dword:00000001
"NoAUShutdownOption"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001 "NoAutoRebootWithLoggedOnUsers"=dword:00000001 "DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
修改WSUS服务器IP地址后,把上面配置放到文件,然后双击该文件就可以导入注册表,完成上图的配置(每台电脑双击导入注册表就不需要手工配置策略)。如果上面的“配置自动更新”参数选择的是“3-自动下载并通知安装”,就需要手工安装更新。
二、WSUS依赖服务Background Intelligent Transfer Service、Cryptographic Services、Software Protection、Windows Update,可以把启动上述服务的命令放到批处理文件,并设置为开机启动即可保证WSUS客户端自动检测并安装补丁。命令行如下(注意start=后面有空格,再跟着auto):
::启动Background Intelligent Transfer Service
sc config BITS start= auto
sc start BITS
::启动Cryptographic Services
sc config CryptSvc start= auto
sc start CryptSvc
::启动Software Protection
sc config sppsvc start= auto
sc start sppsvc
::启动Windows Update
sc config wuauserv start= auto
sc start wuauserv
::自动检测
wuauclt /resetauthorization /detectnow
三、如果局域网中有批量克隆的电脑,WSUS会把一批电脑识别为一台电脑,解决问题的批处理文件内容如下:
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDo
mainSid /f net start wuauservsoftwaredistribution
wuauclt /resetauthorization /detectnow
克隆电脑的SID (Security Identify安全标识符)一样,所以WSUS服务器端会把一批克隆电脑认做一台电脑。如果上述批处理文件不能解决问题,就需要用重新生成SID(慎用)。
四、加速检测补丁安装情况:先手工停止服务“Windows Update”和“Background Intelligent Transfer Service”,然后删除“C:\Windows\SoftwareDistribution”下面的所有文件和子目录(需要先获得该目录的
完全控制权限),同时清空文件C:\Windows\WindowsUpdate.log,接着手工启动服务“Windows Update”和“Background Intelligent Transfer Service”,最后用控制面板中的Windows Update做一次检查更新(window 10需要用“设置-更新和安全-检查更新”)。
五、如果是Windows XP系统无法从WSUS服务器获得更新,可以尝试安装补丁WindowsXP-KB942288及WindowsUpdateAgent-7.6,并用工具WSUS Client Diagnostic Tool.EXE查原因。
六、客户端电脑在WSUS服务器端的“已安装/不适用的更新比例”如果不是100%,说明存在错误的更新或需要的更新等。
可以尝试把“需要的更新”里面的补丁先取消审批然后再重新审批。