通过

步骤 2:配置 WSUS

在服务器上安装 Windows Server Update Services (WSUS) 服务器角色后,你需要正确配置它。 还需要将客户端计算机配置为从 WSUS 服务器接收更新。

2.1. 配置网络连接

开始配置过程之前,确保你知道以下问题的答案:

  • 是否配置服务器防火墙以便让客户端访问服务器?

  • 该计算机是否连接至上游服务器(专为从 Microsoft 更新下载更新而设计的服务器)?

  • 你是否拥有代理服务器的名称以及代理服务器 的用户凭据(如需要)?

然后,你可以开始配置以下 WSUS 网络设置:

  • 更新:指定此服务器应获取更新的方式(从Microsoft更新或其他 WSUS 服务器)。

  • 代理:如果确定 WSUS 需要使用代理服务器访问 Internet,请在 WSUS 服务器中配置代理设置。

  • 防火墙:如果确定 WSUS 位于企业防火墙后面,请在边缘设备上执行额外的步骤以允许 WSUS 流量。

重要

如果只有一台 WSUS 服务器,则必须具有 Internet 访问权限,因为它需要从Microsoft下载更新。 如果有多台 WSUS 服务器,只有一台服务器需要能访问 Internet。 其他服务器只需要拥有对连接到 Internet 的 WSUS 服务器的网络访问。 客户端计算机不需要 Internet 访问。 他们只需要对 WSUS 服务器进行网络访问。

提示

如果您的网络是物理隔离的,也就是说,它根本无法访问互联网,您仍然可以使用 WSUS 向网络上的客户端计算机发布更新。 这种方法需要两台 WSUS 服务器。 一台具有 Internet 访问的 WSUS 服务器从 Microsoft 收集更新。 受保护网络上的第二台 WSUS 服务器向客户端计算机提供更新。 更新从第一台服务器导出到可移动媒体上,跨空隙传输,并导入到第二台服务器。 此配置是高级配置,超出了本文的范围。

2.1.1. 配置防火墙,让第一台 WSUS 服务器可以连接到 Internet 上的 Microsoft 域

如果 WSUS 和 Internet 之间有企业防火墙,你可能必须配置防火墙以确保 WSUS 可获得更新。 为了从 Microsoft 更新获取更新,WSUS 服务器将端口 80 和 443 用于 HTTP 和 HTTPS 协议。 虽然大多数企业防火墙允许此类流量,但由于安全策略,有些公司限制从服务器访问 Internet。 如果公司限制访问,则需要将防火墙配置为允许 WSUS 服务器访问Microsoft域。

你的第一台 WSUS 服务器必须对以下域中的端口 80 和 443 具有出站访问权限:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

如果要管理Microsoft 365 更新(需要Microsoft Configuration Manager),请参阅 使用 Microsoft Configuration Manager Microsoft 365 应用管理更新 ,了解有关需要允许的域的详细信息。

重要

必须将防火墙配置为允许第一台 WSUS 服务器访问这些域中的任何 URL。 与这些域关联的 IP 地址在不断变化,因此不要尝试改用 IP 地址范围。

2.1.2. 配置防火墙,让其他 WSUS 服务器可以连接到第一台服务器

如果有多个 WSUS 服务器,则应将其他 WSUS 服务器配置为访问第一个(最顶层)的服务器。 然后,其他 WSUS 服务器从最顶层的服务器接收其所有更新信息。 该配置使你能使用最顶层服务器上的 WSUS 管理控制台来管理整个网络。

其他 WSUS 服务器必须有通过两个端口对最顶层服务器进行出站访问的权限。 默认情况下,这些端口为 8530 和 8531。 可以如本文后面的配置 WSUS 服务器的 IIS Web 服务器以将 TLS 用于某些连接中所述,更改这些端口。

注意

如果 WSUS 服务器之间的网络连接速度慢或费用昂贵,你可以将一台或多台其他 WSUS 服务器配置为直接从 Microsoft 接收更新有效负载。 在这种情况下,只有少量数据从这些 WSUS 服务器发送到最顶层的服务器。 要使此配置正常运行,其他 WSUS 服务器必须有权访问与最顶层服务器相同的 Internet 域。

注意

如果你有一个大型组织,则可以使用连接的 WSUS 服务器链,而不是让所有其他 WSUS 服务器直接连接到最顶层服务器。 例如,可以将第二台 WSUS 服务器连接到最顶层服务器,然后让其他 WSUS 服务器连接到第二台 WSUS 服务器。

2.1.3. 将 WSUS 服务器配置为使用代理服务器(如果需要)

如果公司网络使用代理服务器,则代理服务器必须支持 HTTP 和 HTTPS 协议。 它们还必须使用基本身份验证或 Windows 身份验证。 你可以使用以下配置之一来满足这些要求:

  • 支持两个协议通道的单台代理服务器。 在这种情况下,将一个通道设置为使用 HTTP,将另一个通道设置为使用 HTTPS。

    注意

    你可以设置一个代理服务器,它在 WSUS 服务器软件的安装过程中为 WSUS 处理这两种协议。

  • 两台代理服务器,各自支持一个协议。 在这种情况下,请将一个代理服务器配置为使用 HTTP,另一个代理服务器用于使用 HTTPS。

设置 WSUS 以使用两台代理服务器

  1. 使用作为本地管理员组成员的帐户登录到计划用作 WSUS 服务器的计算机。

  2. 安装 WSUS 服务器角色的。 使用 WSUS 配置向导时,如 使用 WSUS 配置向导配置 WSUS 中所述,请不要指定代理服务器。

  3. 以管理员身份打开命令提示符(Cmd.exe):

    1. “开始” 菜单上,搜索 命令提示符
    2. 右键单击 命令提示符,然后选择“ 以管理员身份运行”。
    3. 如果出现 “用户帐户控制 ”对话框,请输入相应的凭据(如果已请求),确认它显示的作是所需作,然后选择“ 继续”。

  4. 在命令提示符中,转到 C:\Program Files\Update Services\Tools 文件夹。 输入以下命令:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    在该命令中:

    • proxy_server 是支持 HTTPS 的代理服务器的名称。

    • proxy_port 是代理服务器的端口号。

  5. 关闭命令提示符。

向 WSUS 配置添加代理服务器

  1. 打开 WSUS 管理控制台。

  2. “更新服务”下,展开服务器名称,然后选择“ 选项”。

  3. “选项 ”窗格中,选择“ 更新源和代理服务器”,然后转到 “代理服务器 ”选项卡。

  4. 同步时选择“使用代理服务器”,然后在相应的框中输入代理服务器的名称和端口号。 默认端口号为 80。

  5. 如果代理服务器要求使用特定用户帐户,请选择 “使用用户凭据连接到代理服务器”。 在相应的框中输入所需的用户名、域和密码。

  6. 如果代理服务器支持基本身份验证,请选择“允许基本身份验证”(密码以明文形式发送)。

  7. 选择“确定”。

从 WSUS 配置中删除代理服务器

  1. 在 WSUS 管理控制台的 “更新服务”下,展开服务器名称,然后选择“ 选项”。

  2. “选项 ”窗格中,选择“ 更新源和代理服务器”,然后转到 “代理服务器 ”选项卡。

  3. 清除“在同步时使用代理服务器”复选框。

  4. 选择“确定”。

2.1.4. 配置防火墙,让客户端计算机可以访问 WSUS 服务器

客户端计算机都需要连接到其中一个 WSUS 服务器。 每个客户端计算机必须对 WSUS 服务器上的两个端口具有出站访问权限。 默认情况下,这些端口为 8530 和 8531。

2.2. 使用 WSUS 配置向导配置 WSUS。

以下部分中的过程使用 WSUS 配置向导来配置 WSUS 设置。 首次启动 WSUS 管理控制台时,将显示 WSUS 配置向导。 还可以使用 WSUS 管理控制台中的 “选项 ”窗格来配置 WSUS 设置。 有关使用 “选项 ”窗格的详细信息,请参阅本文其他部分中的以下过程:

启动向导并配置初始设置

  1. 在“服务器管理器”仪表板中,选择 “工具>Windows Server 更新服务”。

    注意

    如果出现“ 完成 WSUS 安装 ”对话框,请选择“ 运行”。 在“ 完成 WSUS 安装 ”对话框中,选择安装成功完成时 关闭

    WSUS 配置向导随即打开。

  2. 在“开始之前”页上,查看信息,然后选择“下一步” 。

  3. “加入Microsoft更新改进计划 ”页上,阅读说明。 如果要参与该计划,请保留默认选择;否则请清除复选框。 然后,选择“下一步” 。

配置上游和代理服务器设置

  1. 在“ 选择上游服务器 ”页上,选择以下选项之一:

    • 从 Microsoft 更新同步

    • 从另一台 Windows Server Update Services 服务器同步

    如果选择从其他 WSUS 服务器同步,请执行以下步骤:

    1. 指定此服务器应与上游服务器通信的服务器名称和端口。

    2. 若要使用 TLS,请在 同步更新信息时选择“使用 SSL”。 服务器使用端口 443 进行同步。 (确保此服务器和上游服务器支持 TLS。)

    3. 如果此服务器是副本服务器,请选择 “这是上游服务器的副本”。

  2. 选择部署选项后,选择“下一步”。

  3. 如果 WSUS 需要代理服务器才能访问 Internet,请配置以下代理设置。 否则,请跳过此步骤。

    1. 在“ 指定代理服务器 ”页上,选择 “同步时使用代理服务器”。 然后,在相应的框中输入代理服务器的名称和端口号(默认为端口 80)。

    2. 如果要使用特定用户凭据连接到代理服务器,请选择 “使用用户凭据连接到代理服务器”。 然后在相应的框中输入用户的用户名、域和密码。

      如果要为连接到代理服务器的用户启用基本身份验证,请选择“允许基本身份验证”(密码以明文形式发送)。

  4. 选择“下一页”。

  5. 在“ 连接到上游服务器 ”页上,选择“ 开始连接”。

  6. 在 WSUS 连接到服务器时,选择“下一步”。

选择语言、产品和分类

  1. 在“ 选择语言 ”页上,可以选择 WSUS 接收更新的语言:所有语言或一部分语言。 选择一部分语言会节省磁盘空间,但必须选择此 WSUS 服务器的所有客户端所需的所有语言。

    如果你选择仅获取特定语言的更新,请选择“仅下载以下语言的更新”,然后选择你希望获得更新的语言。 否则,请保留默认选择。

    警告

    如果 仅选择这些语言选项中的“下载更新 ”,并且此服务器具有连接到它的下游 WSUS 服务器,则此选项将强制下游服务器也仅使用所选语言。

  2. 选择“下一页”。

  3. “选择产品 ”页上,指定要更新的产品。 选择产品类别(如 Windows)或特定产品,例如 Windows Server 2019。 选择产品类别将选择该类别的所有产品。

  4. 选择“下一页”。

  5. 在“选择类别”页上,选择要获取的更新类别。 选择所有分类或部分分类,然后选择“ 下一步”。

配置同步计划

  1. “设置同步计划 ”页上,选择是手动执行同步还是自动执行同步。

    • 如果选择“手动同步”,你必须从 WSUS 管理控制台启动同步过程。

    • 如果选择 “自动同步”,WSUS 服务器会按设置间隔同步。

      对于 “第一次同步”,请设置时间,然后指定希望此服务器执行的每天同步数。 例如,如果每天指定四次同步,从凌晨 3:00 开始,同步发生在凌晨 3:00、上午 9:00、下午 3:00 和晚上 9:00。

  2. 选择“下一页”。

完成向导

  1. “完成 ”页上,如果要立即启动同步,请选择“ 开始初始同步”。 如果不选择此选项,你需要使用 WSUS 管理控制台来执行初始同步。

  2. 若要详细了解其他设置,请选择“ 下一步”。 否则,请选择 “完成 ”以结束向导并完成初始 WSUS 设置。

在选择“完成”后,系统显示 WSUS 管理控制台。 使用此控制台管理 WSUS 网络,如本文后面的部分所述。

2.3. 使用 TLS 协议保护 WSUS

应使用 TLS 协议来帮助保护 WSUS 网络。 WSUS 可以使用 TLS 对连接进行身份验证,并加密和保护更新信息。

警告

使用 TLS 协议保护 WSUS 对于网络的安全性非常重要。 如果 WSUS 服务器未正确使用 TLS 来保护其连接,攻击者可能会在从一台 WSUS 服务器发送到另一台 WSUS 服务器或从 WSUS 服务器发送到客户端计算机时修改关键更新信息。 在这种情况下,攻击者可以在客户端计算机上安装恶意软件。

重要

配置为使用 TLS 或 HTTPS 的客户端和下游服务器还必须将配置为将完全限定的域名 (FQDN) 用于其上游 WSUS 服务器。

2.3.1. 在 WSUS 服务器的 IIS 服务上启用 TLS/HTTPS 以使用 TLS/HTTPS

若要开始使用 TLS/HTTPS 的过程,必须在 WSUS 服务器的 Internet Information Services (IIS) 服务上启用 TLS 支持。 这一努力涉及为服务器创建 TLS/安全套接字层 (SSL) 证书。

获取服务器的 TLS/SSL 证书所需的步骤超出了本文的范围,具体取决于网络配置。 有关如何安装证书和设置此环境的详细信息和说明,请参阅 Active Directory 证书服务的文档。

2.3.2. 将 WSUS 服务器的 IIS Web 服务器配置为对某些连接使用 TLS

WSUS 需要两个端口来连接到其他 WSUS 服务器和客户端计算机。 一个端口使用 TLS/HTTPS 发送更新 元数据 (有关更新的重要信息)。 默认情况下,端口 8531 用于此目的。 第二个端口使用 HTTP 发送更新有效负载。 默认情况下,端口 8530 用于此目的。

重要

无法将整个 WSUS 网站配置为要求 TLS。 WSUS 旨在仅加密更新元数据。 Windows 更新以相同的方式分发更新。

为了防止攻击者篡改更新有效负载,所有更新有效负载均通过一组特定的受信任签名证书进行签名。 此外,为每个更新数据包计算加密哈希。 通过安全的 HTTPS 元数据连接将该哈希与更新的其他元数据一起发送到客户端计算机。 下载更新后,客户端软件会验证有效负载的数字签名和哈希。 如果更新被修改,就不会被安装。

您应该仅对以下 IIS 虚拟根目录要求使用 TLS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

不应要求对以下虚拟根使用 TLS:

  • 内容

  • 库存

  • ReportingWebService

  • SelfUpdate

必须将证书颁发机构 (CA) 的证书导入每个 WSUS 服务器的本地计算机受信任的根 CA 存储中,或 WSUS 受信任的根 CA 存储中(如果存在)。

有关如何在 IIS 中使用 TLS/SSL 证书的详细信息,请参阅 如何在 IIS 7 或更高版本上设置 SSL

重要

你必须使用本地计算机的证书存储。 不能使用用户的证书存储区。

通常,应将 IIS 配置为使用端口 8531 进行 HTTPS 连接,以及使用端口 8530 进行 HTTP 连接。 如果更改这些端口,必须使用两个相邻的端口号。 用于 HTTP 连接的端口号必须比用于 HTTPS 连接的端口号刚好小 1。

如果服务器名称、TLS 配置或端口号发生更改,则必须重新初始化 ClientServicingProxy 客户端代理。

2.3.3. 将 WSUS 配置为使用 TLS/SSL 签名证书进行客户端连接

  1. 使用作为 WSUS 管理员组或本地管理员组成员的帐户登录到 WSUS 服务器。

  2. “开始 ”菜单上,输入 CMD,右键单击 命令提示符,然后选择“ 以管理员身份运行”。

  3. 转到 C:\Program Files\Update Services\Tools 文件夹。

  4. 在命令提示符中,输入以下命令:

    wsusutil configuressl <certificate-name>

    在该命令中, 证书名称 是 WSUS 服务器的域名系统 (DNS) 名称。

2.3.4. 保护 SQL Server 连接(如果需要)

如果将 WSUS 与远程 SQL Server 数据库配合使用,则 WSUS 服务器与数据库服务器之间的连接不会通过 TLS 进行保护。 这种情况会产生潜在的攻击途径。 若要帮助保护此连接,请考虑以下建议:

  • 将 WSUS 数据库移动到 WSUS 服务器。

  • 将远程数据库服务器和 WSUS 服务器移动到专用网络。

  • 部署 Internet 协议安全性 (IPsec) 以帮助保护网络流量。 有关 IPsec 的详细信息,请参阅创建和使用 IPsec 策略

2.3.5. 创建用于本地发布的代码签名证书(如果需要)

除了分发Microsoft提供的更新之外,WSUS 还支持本地发布。 可以通过本地发布来创建和分发由您自行设计的更新,这些更新包括您自己定义的负载和行为。

启用和配置本地发布不在本文的讨论范围内。 有关完整的详细信息,请参阅本地发布

重要

本地发布是一个复杂的过程,通常是不需要的。 在决定启用本地发布之前,应仔细查看文档,并考虑是否要使用此功能以及如何使用它。

2.4. 配置 WSUS 计算机组

计算机组是有效使用 WSUS 的重要组成部分。 可以使用计算机组来测试和定位对特定计算机的更新。 有两个默认的计算机组:“所有计算机”和“未分配的计算机”。 默认情况下,当每台客户端计算机首次联系 WSUS 服务器时,服务器会将该客户端计算机添加到这两组。

你可以按需要创建自定义计算机组来管理组织的更新。 根据最佳做法,先至少创建一个计算机组来测试更新,然后再将它们部署给组织中的其他计算机。

2.4.1. 选择将客户端计算机分配到计算机组的方法

有两种方法可以将客户端计算机分配到计算机组。 为组织选择合适的方法取决于您通常如何管理客户端计算机。

  • 服务器端目标:此方法是默认目标。 在此方法中,你使用 WSUS 管理控制台将客户端计算机分配给计算机组。

    通过此方法,你可以灵活地随着环境的变化快速地将客户端计算机从一个组移动到另一个组。 但因此,必须将新客户端计算机从“未分配的计算机”组手动移动到相应的计算机组。

  • 客户端定位:在此方法中,使用客户端计算机上设置的策略设置将每台客户端计算机分配到计算机组。

    通过此方法,可更轻松地将新的客户端计算机分配给相应的组。 你在将客户端计算机配置为从 WSUS 服务器接收更新的过程中,执行此操作。 但是,因此,不能通过 WSUS 管理控制台将客户端计算机分配到计算机组,也不能将它们从一个计算机组移到另一个计算机组。 相反,必须修改客户端计算机的策略。

2.4.2. 启用客户端定位(如果适用)

重要

如果计划使用服务器端目标,请跳过本部分中的步骤。

  1. 在 WSUS 管理控制台的 “更新服务”下,展开 WSUS 服务器,然后选择“ 选项”。

  2. 在“ 选项 ”窗格中,选择“ 计算机”。 转到“ 常规 ”选项卡,然后选择 “在计算机上使用组策略或注册表设置”。

2.4.3. 创建所需的计算机组

注意

无论你使用服务器端定位还是客户端定位将客户端计算机添加到计算机组,都必须使用 WSUS 管理控制台创建计算机组。

  1. 在 WSUS 管理控制台中,在“更新服务”下,展开 WSUS 服务器,展开“计算机”,右键单击“所有计算机”,然后选择“添加计算机组”。

  2. 在“添加计算机组”对话框中,为“名称”指定新组的名称 。 然后选择“添加” 。

2.5. 将客户端计算机配置为与 WSUS 服务器建立 TLS 连接

假设将 WSUS 服务器配置为使用 TLS 帮助保护客户端计算机的连接,则必须将客户端计算机配置为信任这些 TLS 连接。

WSUS 服务器的 TLS/SSL 证书必须导入客户端计算机的受信任根 CA 存储,或者导入客户端计算机的自动更新服务受信任的根 CA 存储(如果存在)。

重要

你必须使用本地计算机的证书存储。 不能使用用户的证书存储区。

客户端计算机必须信任绑定到 WSUS 服务器的证书。 根据使用的证书类型,可能必须设置服务以使客户端计算机可以信任绑定到 WSUS 服务器的证书。

如果你使用本地发布,则还应将客户端计算机配置为信任 WSUS 服务器的代码签名证书。 有关说明,请参阅本地发布

2.6. 将客户端计算机配置为从 WSUS 服务器接收更新

默认情况下,客户端计算机从 Windows 更新接收更新。 它们必须配置为改从 WSUS 服务器接收更新。

重要

本文介绍了一组使用组策略配置客户端计算机的步骤。 这些步骤适用于很多情况。 但是还有许多其他选项可用于在客户端计算机上配置更新行为,包括使用移动设备管理。 有关这些选项的文档,请参阅 “管理其他 Windows 更新设置”。

2.6.1. 选择要编辑的正确策略集

如果在网络中设置了 Active Directory,则可以同时配置一台或多台计算机,方法是将它们包含在组策略对象(GPO),然后使用 WSUS 设置配置该 GPO。

我们建议你创建一个仅含有 WSUS 设置的新 GPO。 将该 WSUS GPO 连接到适用于你环境的 Active Directory 容器。

在简单的环境中,你可能将单一 WSUS GPO 连接到域。 在较为复杂的环境中,你可能会将多个 WSUS GPO 链接到几个组织单位 (OU)。 将 GPO 链接到 OU 时,可以将 WSUS 策略设置应用到不同类型的计算机。

如果不在网络中使用 Active Directory,则需要使用本地组策略编辑器来配置每台计算机。

2.6.2. 编辑策略以配置客户端计算机

执行以下部分中的步骤,使用策略设置配置客户端计算机。

注意

这些说明假定你使用的是策略编辑工具的最新版本。 在较旧版本的工具上,策略的排列方式可能有所不同。

打开策略编辑器并转到 Windows 更新项

  1. 打开相应的策略对象:

    • 如果使用 Active Directory,请打开组策略管理控制台,转到要在其中配置 WSUS 的 GPO,然后选择“ 编辑”。 然后展开 “计算机配置”,然后展开 “策略”。
    • 如果未使用 Active Directory,则打开本地组策略编辑器。 系统显示本地计算机策略。 展开“计算机配置”

  2. 在上一步中展开的对象中,展开 管理模板>Windows 组件>Windows 更新。 如果作系统是 Windows 10 或 Windows 11,则还选择“ 管理最终用户体验”。

编辑自动更新的设置

  1. 在详细信息窗格中,双击“配置自动更新”。 “配置自动更新”策略已打开。

  2. 选择“ 已启用”,然后在“ 配置自动更新 ”设置下选择所需选项,以管理自动更新功能应如何下载和安装批准的更新。

    建议使用“自动下载并计划安装”设置。 它可确保及时下载和安装 WSUS 中批准的更新,而无需用户干预。

  3. 如果您愿意,您可以编辑政策的其他部分。 有关详细信息,请参阅 “管理其他 Windows 更新设置”。

    注意

    安装其他 Microsoft 产品更新的设置不影响从 WSUS 接收更新的客户端计算机。 客户端计算机在 WSUS 服务器上接收已批准的所有更新。

  4. 选择“确定”来关闭“配置自动更新”策略 。

编辑用于指定内部网服务器以托管更新的设置

  1. 在详细信息窗格中,双击“指定内部网 Microsoft 更新服务位置”。 如果作系统是 Windows 10 或 Windows 11,请先返回到树的 Windows 更新 节点,然后选择“ 管理从 Windows Server 更新服务提供的更新”。

    随即将打开“指定 Intranet Microsoft 更新服务位置”策略

  2. 选择 “已启用”,然后在 “设置 Intranet 更新服务” 中输入 WSUS 服务器的 URL,以检测更新并 设置 Intranet 统计信息服务器 框。

    警告

    确保 URL 中包含正确的端口。 假设将服务器配置为按建议使用 TLS,则应指定为 HTTPS 配置的端口。 例如,如果选择将端口 8531 用于 HTTPS,并且服务器的域名 wsus.contoso.com,则应在这两个框中输入 https://wsus.contoso.com:8531

  3. 选择“确定”,关闭“指定 Intranet Microsoft 更新服务位置”策略 。

配置客户端定位(如果适用)

如果选择使用客户端目标,请执行本部分中的步骤,为要配置的客户端计算机指定适当的计算机组。

注意

这些步骤假定你刚刚完成了编辑策略以配置客户端计算机的步骤。

  1. 在策略编辑器中,转到 Windows 更新 项。 如果你的操作系统是 Windows 10 或 Windows 11,则还选择“管理从 Windows Server 更新服务提供的更新”。

  2. 在详细信息窗格中,双击“ 启用客户端目标”。 随即将打开“启用客户端定位”策略

  3. 选择启用。 在此 计算机的目标组名称下,输入要向其添加客户端计算机的 WSUS 计算机组的名称。

    如果运行的是当前版本的 WSUS,你可以输入多个计算机组名称(以分号分隔),通过这种方式将客户端计算机添加到多个计算机组。 例如,可以输入“Accounting;Executive”,将客户端计算机添加到 Accounting 和 Executive 计算机组。

  4. 选择“确定”,关闭“启用客户端定位”策略 。

2.6.3. 让客户端计算机连接到 WSUS 服务器

客户端计算机在首次连接到 WSUS 服务器之前不会显示在 WSUS 管理控制台中。

  1. 等待策略更改在客户端计算机上生效。

    如果使用基于 Active Directory 的 GPO 配置客户端计算机,组策略更新机制需要一些时间才能将更改传递到客户端计算机。 若要加快此过程的速度,可以使用提升的权限打开命令提示符,然后输入命令 gpupdate /force

    如果使用本地组策略编辑器配置单个客户端计算机,更改将立即生效。

  2. 重新启动客户端计算机。 此步骤确保计算机上的 Windows 更新软件检测到策略更改。

  3. 让客户端计算机扫描以获取更新。 此扫描通常需要一些时间。

    你可以使用以下选项之一加快该过程:

    • 在 Windows 10 或 11 上,使用“设置”应用 Windows 更新 页手动检查更新。
    • 在 Windows 10 之前的 Windows 版本中,使用控制面板中的“Windows 更新”图标手动检查更新。
    • 在 Windows 10 之前的 Windows 版本中,使用提升的权限打开命令提示符,并输入命令 wuauclt /detectnow

2.6.4 验证客户端计算机是否成功连接到 WSUS 服务器

如果成功执行上述所有步骤,将看到以下结果:

  • 客户端计算机成功扫描更新。 (它可能找到或找不到任何供下载和安装的适用更新。)

  • 大约 20 分钟内,客户端计算机根据定位类型出现在 WSUS 管理控制台中显示的计算机列表中:

    • 如果使用服务器端定位,客户端计算机出现在“所有计算机”和“未分配的计算机”这两个计算机组中。

    • 如果您使用客户端侧目标定位,客户端计算机将显示在“所有计算机”组和配置该客户端计算机时所选择的计算机组中。

2.6.5. 设置客户端计算机的服务器端定位(如果适用)

如果你使用服务器端定位,现在应该将新的客户端计算机添加到相应的计算机组。

  1. 在 WSUS 管理控制台中,找到新的客户端计算机。 它应显示在 WSUS 服务器计算机列表中的“所有计算机”和“未分配的计算机”计算机组中。

  2. 右键单击该客户端计算机,然后选择“更改成员身份”。

  3. 在对话框中,选择相应的计算机组,然后选择“确定”。

后续步骤

步骤 3:批准和部署更新