步骤 2:配置 WSUS

在服务器上安装 Windows Server Update Services (WSUS) 服务器角色后,你需要正确配置它。 还需要将客户端计算机配置为从 WSUS 服务器接收更新。

本文指导你完成以下过程:

任务 说明
2.1. 配置网络连接 配置防火墙和代理设置,使服务器能够建立所需连接。
2.2. 使用 WSUS 配置向导配置 WSUS。 使用 WSUS 配置向导执行基本 WSUS 配置。
2.3. 使用安全套接字层协议保护 WSUS 配置安全套接字层 (SSL) 协议以帮助保护 WSUS。
2.4. 配置 WSUS 计算机组 在 WSUS 管理控制台中创建计算机组以管理组织中的更新。
2.5. 将客户端计算机配置为与 WSUS 服务器建立 SSL 连接 设置客户端计算机以建立与 WSUS 服务器的安全连接。
2.6. 将客户端计算机配置为从 WSUS 服务器接收更新 设置客户端计算机以从 WSUS 服务器接收更新。

2.1. 配置网络连接

开始配置过程之前,确保你知道以下问题的答案:

  • 是否配置服务器防火墙以便让客户端访问服务器?

  • 该计算机是否连接至上游服务器(例如专为从 Microsoft 更新下载更新而设计的服务器)?

  • 你是否拥有代理服务器的名称以及代理服务器 的用户凭据(如需要)?

然后,你可以开始配置以下 WSUS 网络设置:

  • 更新:指定该服务器获得更新的方式(从 Microsoft 更新或其他 WSUS 服务器)。

  • 代理:如果你确定 WSUS 需要使用代理服务器才能访问 Internet,则必须在 WSUS 服务器中配置代理设置。

  • 防火墙:如果你确定 WSUS 位于企业防火墙后,需要在边缘设备上执行其他步骤来允许 WSUS 流量。

重要

如果你只有一台 WSUS 服务器,它必须具有 Internet 访问,因为它需要从 Microsoft 下载更新。 如果有多台 WSUS 服务器,只有一台服务器需要能访问 Internet。 其他服务器只需要拥有对连接到 Internet 的 WSUS 服务器的网络访问。 客户端计算机不需要 Internet 访问,只需要对 WSUS 服务器的网络访问。

提示

如果网络呈实体隔离(如果网络完全无法访问 Internet),你仍可以使用 WSUS 向网络上的客户端计算机提供更新。 这种方法需要两台 WSUS 服务器。 一台具有 Internet 访问的 WSUS 服务器从 Microsoft 收集更新。 受保护网络上的第二台 WSUS 服务器向客户端计算机提供更新。 更新从第一台服务器导出到可移动媒介上,穿过实体间隔并导入到第二台服务器上。 这是一种高级配置,超出了本文的范围。

2.1.1. 配置防火墙,让第一台 WSUS 服务器可以连接到 Internet 上的 Microsoft 域

如果 WSUS 和 Internet 之间有企业防火墙,你可能必须配置防火墙以确保 WSUS 可获得更新。 为了从 Microsoft 更新获取更新,WSUS 服务器将端口 80 和 443 用于 HTTP 和 HTTPS 协议。 虽然大多数企业防火墙允许此类流量,但由于安全策略,有些公司限制从服务器访问 Internet。 如果你的公司限制访问,你需要将防火墙配置为允许 WSUS 服务器访问 Microsoft 域。

你的第一台 WSUS 服务器必须对以下域中的端口 80 和 443 具有出站访问权限:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

重要

必须将防火墙配置为允许第一台 WSUS 服务器访问这些域中的任何 URL。 与这些域关联的 IP 地址在不断变化,因此不要尝试改用 IP 地址范围。

如果因防火墙配置而导致 WSUS 未能获得更新,请参阅 Microsoft 知识库中的文章 885819

2.1.2. 配置防火墙,让其他 WSUS 服务器可以连接到第一台服务器

如果你有多台 WSUS 服务器,应将其他 WSUS 服务器配置为访问第一台(“最顶层”)服务器。 其他 WSUS 服务器将从最顶层服务器接收所有更新信息。 该配置使你能使用最顶层服务器上的 WSUS 管理控制台来管理整个网络。

其他 WSUS 服务器必须有通过两个端口对最顶层服务器进行出站访问的权限。 默认情况下,这些端口是 8530 和 8531。 你可以按照本文后面的说明对这些端口进行更改。

注意

如果 WSUS 服务器之间的网络连接速度慢或费用昂贵,你可以将一台或多台其他 WSUS 服务器配置为直接从 Microsoft 接收更新有效负载。 在这种情况下,只有少量数据会从这些 WSUS 服务器发送到最顶层服务器。 要使此配置正常运行,其他 WSUS 服务器必须有权访问与最顶层服务器相同的 Internet 域。

注意

如果你有一个大型组织,则可以使用连接的 WSUS 服务器链,而不是让所有其他 WSUS 服务器直接连接到最顶层服务器。 例如,可以将第二台 WSUS 服务器连接到最顶层服务器,然后让其他 WSUS 服务器连接到第二台 WSUS 服务器。

2.1.3. 将 WSUS 服务器配置为使用代理服务器(如果需要)

如果公司网络使用代理服务器,则代理服务器必须支持 HTTP 和 HTTPS 协议。 它们还必须使用基本身份验证或 Windows 身份验证。 你可以使用以下配置之一来满足这些要求:

  • 支持两个协议通道的单台代理服务器。 在这种情况下,将一个通道设置为使用 HTTP,将另一个通道设置为使用 HTTPS。

    注意

    你可以设置一个代理服务器,它在 WSUS 服务器软件的安装过程中为 WSUS 处理这两种协议。

  • 两台代理服务器,各自支持一个协议。 在这种情况下,一台代理服务器配置为使用 HTTP,另一个代理服务器配置为使用 HTTPS。

设置 WSUS 以使用两台代理服务器

  1. 使用“本地管理员”组的成员帐户登录要作为 WSUS 服务器的计算机。

  2. 安装 WSUS 服务器角色的。 在 WSUS 配置向导的操作过程中,不指定代理服务器。

  3. 以管理员身份打开命令提示符 (Cmd.exe):

    1. 转到“开始” 。
    2. 在“开始搜索” 中,键入 Command prompt
    3. 在开始菜单顶部,右键单击“命令提示符”,然后选择“以管理员身份运行” 。
    4. 如果出现了“用户帐户控制”对话框,请输入适当的凭据(如果需要),确认它显示的操作是你要采取的操作,然后单击“继续” 。
  4. 在命令提示符窗口中,转到 C:\Program Files\Update Services\Tools 文件夹。 输入以下命令:

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    在该命令中:

    • proxy_server 是支持 HTTPS 的代理服务器的名称。

    • proxy_port 是代理服务器的端口号。

  5. 关闭命令提示符窗口。

向 WSUS 配置添加代理服务器

  1. 打开 WSUS 管理控制台。

  2. 在左窗格中,展开服务器名称,然后选择“选项”。

  3. 在“选项”窗格中,选择“更新源和更新服务器”,然后选择“代理服务器”选项卡。

  4. 选中“在同步时使用代理服务器”复选框。

  5. 在“代理服务器名称”文本框中,输入代理服务器的名称。

  6. 在“代理端口号”文本框中,输入代理服务器的端口号。 默认端口号为 80。

  7. 如果代理服务器要求你使用特定用户帐户,请选中“使用用户凭据连接到代理服务器”复选框。 向对应的文本框中输入所需用户名、域和密码。

  8. 如果代理服务器支持基本身份验证,请选中“允许基本身份验证(以明文形式发送密码)”复选框。

  9. 选择“确定”。

从 WSUS 配置中删除代理服务器

  1. 清除“在同步时使用代理服务器”复选框。

  2. 选择“确定”。

2.1.4. 配置防火墙,让客户端计算机可以访问 WSUS 服务器

客户端计算机将全部连接到你的一台 WSUS 服务器。 客户端计算机必须对 WSUS 服务器上的两个端口具有出站访问权限。 默认情况下,这些端口是 8530 和 8531。

2.2. 使用 WSUS 配置向导配置 WSUS。

该过程假设你使用首次启动 WSUS 管理控制台时出现的 WSUS 配置向导。 在本主题的后面部分中,你将学习如何使用“选项”页执行这些配置。

配置 WSUS 的步骤

  1. 在服务器管理器的左侧窗格中,选择“仪表板”>“工具”>“Windows Server Update Services” 。

    注意

    如果出现“完整的 WSUS 安装”对话框,请选择“运行” 。 安装成功完成时,在“完整的 WSUS 安装”对话框中,选择“关闭” 。

  2. WSUS 配置向导随即打开。 在“开始之前”页上,查看信息,然后选择“下一步” 。

  3. 阅读“加入 Microsoft 更新改善计划”页上的说明。 如果要参与该计划,请保留默认选择;否则请清除复选框。 然后,选择“下一步” 。

  4. 在“选择上游服务器”页上,从以下两个选项中选择一个:“将更新与 Microsoft 更新同步”或“从另一台 Windows Server Update Services 服务器同步” 。

    如果你选择从另一台 WSUS 服务器同步:

    • 请指定服务器名称以及该服务器与上游服务器通信时所在的端口。

    • 若要使用 SSL,请选中“同步更新信息时使用 SSL”复选框。 服务器将使用端口 443 进行同步。 (确保该服务器和上游服务器支持 SSL。)

    • 如果这是副本服务器,请选择“这是上游服务器的副本”复选框。

  5. 选择部署选项后,选择“下一步”。

  6. 在“指定代理服务器”页上,选中“在同步时使用代理服务器”复选框 。 然后,在相应的框中输入代理服务器的名称和端口号(默认为端口 80)。

    重要

    如果你确定 WSUS 需要代理服务器才能访问 Internet,则必须完成此步骤。

  7. 如果希望使用特定用户凭据连接到代理服务器,请选中“使用用户凭据连接到代理服务器”复选框。 然后在相应的框中输入用户的用户名、域和密码。

    如果希望为连接到代理服务器的用户启用基本身份验证,请选中“允许基本身份验证(以明文形式发送密码)”复选框。

  8. 选择“下一页”。

  9. 在“连接到上游服务器”页上,选择“开始连接” 。

  10. 在 WSUS 连接到服务器时,选择“下一步”。

  11. 在“选择语言”页上,你可选择 WSUS 将收到更新的语言:所有语言或语言子集。 选择语言子集将节省磁盘空间,但务必选择此 WSUS 服务器的所有客户端需要的所有语言。

    如果你选择仅获取特定语言的更新,请选择“仅下载以下语言的更新”,然后选择你希望获得更新的语言。 否则,请保留默认选择。

    警告

    如果你选择 “仅下载这些语言的更新” 选项,且该服务器具有与其连接的下游 WSUS 服务器,该选项将强制下游服务器也仅使用所选的语言。

  12. 为部署选择语言选项后,选择“下一步”。

  13. 可通过“选择产品”页指定希望更新的产品。 选择产品类别(如 Windows)或特定产品(如 Windows Server 2012)。 选择产品类别将选择该类别的所有产品。

  14. 为部署选择产品选项后,选择“下一步”。

  15. 在“选择类别”页上,选择要获取的更新类别。 选择所有类别或它们的子集,然后选择“下一步”。

  16. “设置同步计划” 页使你可以选择手动还是自动执行同步。

    • 如果选择“手动同步”,你必须从 WSUS 管理控制台启动同步过程。

    • 如果选择“自动同步”,WSUS 服务器将按设定的间隔执行同步。

    设置“第一次同步”的时间,然后指定你希望该服务器每天执行的同步次数。 例如,如果你指定每天同步四次,从凌晨 3:00 开始,则同步将在凌晨 3:00、上午 9:00、下午 3:00 和晚上 9:00 发生。

  17. 为部署选择同步选项后,选择“下一步”。

  18. 在“已完成”页上,你可通过选中“开始初始同步”复选框,立即开始同步 。

    如果不选择此选项,你需要使用 WSUS 管理控制台来执行初始同步。 如果你希望阅读有关其他设置的详细信息,请选择“下一步”,或者选择“完成”来结束该向导并完成初始 WSUS 设置 。

  19. 在选择“完成”后,系统显示 WSUS 管理控制台。 使用此控制台管理 WSUS 网络,如稍后所述。

2.3. 使用安全套接字层协议保护 WSUS

你应使用 SSL 协议来帮助保护 WSUS 网络。 WSUS 可以使用 SSL 对连接进行身份验证,并对更新信息进行加密和保护。

警告

使用 SSL 协议保护 WSUS 对网络安全非常重要。 如果 WSUS 服务器未正确使用 SSL 来保护其连接,则在关键更新信息从一台 WSUS 服务器发送到另一台或从 WSUS 服务器发送到客户端计算机时,攻击者也许能够对其进行修改。 这样一来,攻击者就可以在客户端计算机上安装恶意软件。

重要

配置为使用传输层安全性 (TLS) 或 HTTPS 的客户端和下游服务器还必须将配置为将完全限定的域名 (FQDN) 用于其上游 WSUS 服务器。

2.3.1. 在 WSUS 服务器的 IIS 服务上启用 SSL/HTTPS 以使用 SSL/HTTPS

若要开始该过程,必须在 WSUS 服务器的 IIS 服务上启用 SSL 支持。 此操作涉及为服务器创建 SSL 证书。

为服务器获取 SSL 证书所需的步骤不在本文的讨论范围内,将取决于你的网络配置。 有关详细信息以及有关如何安装证书和设置此环境的说明,建议参阅以下文章:

2.3.2. 将 WSUS 服务器的 IIS Web 服务器配置为对某些连接使用 SSL

WSUS 需要两个端口来连接到其他 WSUS 服务器和客户端计算机。 一个端口使用 SSL/HTTPS 发送更新元数据(有关更新的关键信息)。 默认情况下,此端口为 8531。 第二个端口使用 HTTP 发送更新有效负载。 默认情况下,此端口为 8530。

重要

不能将整个 WSUS 网站配置为需要 SSL。 WSUS 旨在仅加密更新元数据。 这与 Windows 更新分发更新的方式相同。

为了防止攻击者篡改更新有效负载,所有更新有效负载均通过一组特定的受信任签名证书进行签名。 此外,还会为每个更新有效负载计算加密哈希。 通过安全的 HTTPS 元数据连接将该哈希与更新的其他元数据一起发送到客户端计算机。 下载更新后,客户端软件会验证有效负载的数字签名和哈希。 如果更新已更改,则不会安装它。

应要求将 SSL 只用于以下 IIS 虚拟根:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

不应要求将 SSL 用于以下虚拟根:

  • 内容

  • Inventory

  • ReportingWebService

  • SelfUpdate

必须将证书颁发机构 (CA) 的证书导入每个 WSUS 服务器的本地计算机受信任的根 CA 存储中,或 WSUS 受信任的根 CA 存储中(如果存在)。

有关如何在 IIS 中使用的 SSL 证书的详细信息,请参阅 需要安全套接字层 (IIS 7)

重要

你必须使用本地计算机的证书存储。 不能使用用户的证书存储。

通常,应将 IIS 配置为使用端口 8531 进行 HTTPS 连接,以及使用端口 8530 进行 HTTP 连接。 如果更改这些端口,必须使用两个相邻的端口号。 用于 HTTP 连接的端口号必须比用于 HTTPS 连接的端口号刚好小 1。

如果服务器名称、SSL 配置或端口号发生了更改,则必须重新初始化 ClientServicingProxy。

2.3.3. 将 WSUS 配置为使用 SSL 签名证书进行其客户端连接

  1. 使用“WSUS 管理员”组或“本地管理员”组的成员帐户登录 WSUS 服务器。

  2. 转到“开始”,输入“CMD”,右键单击“命令提示符”,然后选择“以管理员身份运行” 。

  3. 转到 %ProgramFiles%\Update Services\Tools\ 文件夹。

  4. 在命令提示符窗口中,输入以下命令:

    wsusutil configuressl _certificateName_

    在该命令中,certificateName 是 WSUS 服务器的 DNS 名称。

2.3.4. 保护 SQL Server 连接(如果需要)

如果将 WSUS 与远程 SQL Server 数据库一起使用,WSUS 服务器与数据库服务器之间的连接不通过 SSL 进行保护。 这将创建一个潜在的攻击途径。 若要帮助保护此连接,请考虑以下建议:

  • 将 WSUS 数据库移动到 WSUS 服务器。

  • 将远程数据库服务器和 WSUS 服务器移动到专用网络。

  • 部署 Internet 协议安全性 (IPsec) 以帮助保护网络流量。 有关 IPsec 的详细信息,请参阅创建和使用 IPsec 策略

2.3.5. 创建用于本地发布的代码签名证书(如果需要)

除了分发 Microsoft 提供的更新外,WSUS 还支持本地发布。 通过本地发布,你可以使用自己的有效负载和行为创建和分发自己设计的更新。

启用和配置本地发布不在本文的讨论范围内。 有关完整的详细信息,请参阅本地发布

重要

本地发布是一个复杂的过程,通常是不需要的。 在决定启用本地发布之前,应仔细查看文档,并考虑是否要使用以及如何使用此功能。

2.4. 配置 WSUS 计算机组

计算机组是有效使用 WSUS 的重要组成部分。 计算机组允许你测试更新并将更新作为特定计算机的目标。 有两个默认的计算机组:“所有计算机”和“未分配的计算机”。 默认情况下,当每台客户端计算机首次联系 WSUS 服务器时,服务器会将该客户端计算机添加到这两组。

你可以按需要创建自定义计算机组来管理组织的更新。 根据最佳做法,先至少创建一个计算机组来测试更新,然后再将它们部署给组织中的其他计算机。

2.4.1. 选择将客户端计算机分配到计算机组的方法

有两种方法可以将客户端计算机分配到计算机组。 适合组织的正确方法将取决于你通常管理客户端计算机的方式。

  • 服务器端定位:这是默认方法。 在此方法中,你使用 WSUS 管理控制台将客户端计算机分配给计算机组。

    通过此方法,你可以灵活地随着环境的变化快速地将客户端计算机从一个组移动到另一个组。 但这意味着必须手动将新的客户端计算机从“未分配的计算机”组移动到相应的计算机组。

  • 客户端定位:在此方法中,使用客户端计算机上设置的策略设置将每台客户端计算机分配到计算机组。

    通过此方法,可更轻松地将新的客户端计算机分配给相应的组。 你在将客户端计算机配置为从 WSUS 服务器接收更新的过程中,执行此操作。 但这意味着无法通过 WSUS 管理控制台将客户端计算机分配给计算机组,或从一个计算机组移动到另一个计算机组。 而必须修改客户端计算机的策略。

2.4.2. 启用客户端定位(如果适用)

重要

如果要使用服务器端定位,请跳过此步骤。

  1. 在 WSUS 管理控制台中的“更新服务”下,展开 WSUS 服务器,然后选择“选项” 。

  2. 在“选项”窗格的“常规”选项卡中,选择“在计算机上使用组策略或注册表设置” 。

2.4.3. 创建所需的计算机组

注意

无论你使用服务器端定位还是客户端定位将客户端计算机添加到计算机组,都必须使用 WSUS 管理控制台创建计算机组。

  1. 在 WSUS 管理控制台中,在“更新服务”下,展开 WSUS 服务器,展开“计算机”,右键单击“所有计算机”,然后选择“添加计算机组”。

  2. 在“添加计算机组”对话框中,为“名称”指定新组的名称 。 然后选择“添加” 。

2.5. 将客户端计算机配置为与 WSUS 服务器建立 SSL 连接

假设你已将 WSUS 服务器配置为使用 SSL 帮助保护客户端计算机的连接,则必须将客户端计算机配置为信任这些 SSL 连接。

WSUS 服务器的 SSL 证书必须导入到客户端计算机的受信任根 CA 存储中,或者导入到客户端计算机的自动更新服务受信任根 CA 存储中(如果存在)。

重要

你必须使用本地计算机的证书存储。 不能使用用户的证书存储。

客户端计算机必须信任绑定到 WSUS 服务器的证书。 根据使用的证书类型,可能必须设置服务以使客户端计算机可以信任绑定到 WSUS 服务器的证书。

如果你使用本地发布,则还应将客户端计算机配置为信任 WSUS 服务器的代码签名证书。 有关说明,请参阅本地发布

2.6. 将客户端计算机配置为从 WSUS 服务器接收更新

默认情况下,客户端计算机从 Windows 更新接收更新。 它们必须配置为改从 WSUS 服务器接收更新。

重要

本文介绍了一组使用组策略配置客户端计算机的步骤。 这些步骤适用于很多情况。 但是还有许多其他选项可用于在客户端计算机上配置更新行为,包括使用移动设备管理。 这些选项记录在管理其他 Windows 更新设置中。

2.6.1. 选择要编辑的正确策略集

如果你在网络中设置了 Active Directory,可通过以下方式配置一台或同时配置多台计算机:在组策略对象 (GPO) 中包含它们,然后配置带有 WSUS 设置的 GPO。

我们建议你创建一个仅含有 WSUS 设置的新 GPO。 将该 WSUS GPO 连接到适用于你环境的 Active Directory 容器。

在简单的环境中,你可能将单一 WSUS GPO 连接到域。 在较为复杂的环境中,你可能会将多个 WSUS GPO 链接到几个组织单位 (OU)。 将 GPO 链接到 OU 使你能向不同类型的计算机应用 WSUS 策略设置。

如果不在网络中使用 Active Directory,你将使用本地组策略编辑器配置每台计算机。

2.6.2. 编辑策略以配置客户端计算机

注意

这些说明假定你使用的是策略编辑工具的最新版本。 在较旧版本的工具上,策略的排列方式可能有所不同。

  1. 打开相应的策略对象:

    • 如果使用 Active Directory,请打开组策略管理控制台,浏览到希望对其配置 WSUS 的 GPO,然后选择“编辑”。 然后,依次展开“计算机配置”和“策略” 。
    • 如果未使用 Active Directory,则打开本地组策略编辑器。 系统显示本地计算机策略。 展开“计算机配置”。
  2. 在上一步展开的对象中,依次展开“管理模板”、“Windows 组件”、“Windows 更新”,然后选择“管理最终用户体验” 。

  3. 在详细信息窗格中,双击“配置自动更新”。 “配置自动更新” 策略会打开。

  4. 选择“已启用”,然后在“配置自动更新”设置下选择所需选项,以管理自动更新下载和安装已批准的更新的方式 。

    建议使用“自动下载并计划安装”设置。 这可以确保在 WSUS 中批准的更新被及时下载并安装,而无需用户干预。

  5. 如有必要,请编辑策略的其他部分,如管理其他 Windows 更新设置中所述。

    注意

    “安装其他 Microsoft 产品的更新”复选框对从 WSUS 接收更新的客户端计算机没有影响。 客户端计算机将接收在 WSUS 服务器上为其批准的所有更新。

  6. 选择“确定”来关闭“配置自动更新”策略 。

  7. 返回树的“Windows 更新”节点,选择“管理从 Windows Server Update Services 提供的更新” 。

  8. 在“管理从 Windows Server Update Services 提供的更新”详细信息窗格中,双击“指定 Intranet Microsoft 更新服务位置” 。 随即将打开“指定 Intranet Microsoft 更新服务位置”策略。

  9. 选择“已启用”,然后在“设置检测更新的 Intranet 更新服务”和“设置 Intranet 统计服务器”文本框中输入 WSUS 服务器的 URL 。

    警告

    确保 URL 中包含正确的端口。 假设你按照建议将服务器配置为使用 SSL,则应该指定为 HTTPS 配置的端口。 例如,如果你选择将端口 8531 用于 HTTPS,并且服务器的域名是 wsus.contoso.com,则应在两个文本框中输入 https://wsus.contoso.com:8531

  10. 选择“确定”,关闭“指定 Intranet Microsoft 更新服务位置”策略 。

配置客户端定位(如果适用)

如果已选择使用客户端定位,你现在应该为正在配置的客户端计算机指定相应的计算机组。

注意

这些步骤假定你刚刚完成了编辑策略以配置客户端计算机的步骤。

  1. 在“管理从 Windows Server Update Services 提供的更新”详细信息窗格中,双击“启用客户端定位” 。 随即将打开“启用客户端定位”策略

  2. 选择“已启用”,然后在“此计算机的目标组名称”框中输入要向其中添加客户端计算机的 WSUS 计算机组的名称 。

    如果运行的是当前版本的 WSUS,你可以输入多个计算机组名称(以分号分隔),通过这种方式将客户端计算机添加到多个计算机组。 例如,可以输入“Accounting;Executive”,将客户端计算机添加到 Accounting 和 Executive 计算机组。

  3. 选择“确定”,关闭“启用客户端定位”策略 。

2.6.3. 让客户端计算机连接到 WSUS 服务器

客户端计算机在首次连接到 WSUS 服务器之前不会出现在 WSUS 管理控制台中。

  1. 等待策略更改在客户端计算机上生效。

    如果你使用基于 Active Directory 的 GPO 来配置客户端计算机,则组策略更新机制将需要一些时间才能将更改传递给客户端计算机。 如果想加快速度,可以使用提升的权限打开命令提示符窗口,然后输入命令“gpupdate /force”。

    如果使用了本地组策略编辑器来配置单个客户端计算机,则更改将立即生效。

  2. 重新启动客户端计算机。 此步骤确保计算机上的 Windows 更新软件检测到策略更改。

  3. 让客户端计算机扫描更新。 此扫描通常需要一些时间。

    你可以使用以下选项之一加快该过程:

    • 在 Windows 10 或 11 上,使用应用的 Windows 更新页上的“设置”手动检查更新。
    • 在 Windows 10 之前的 Windows 版本中,使用控制面板中的“Windows 更新”图标手动检查更新。
    • 在 Windows 10 之前的 Windows 版本中,使用提升的权限打开一个命令提示符窗口,然后输入命令“wuauclt /detectnow”。

2.6.4 验证客户端计算机是否成功连接到 WSUS 服务器

如果已成功执行了前面的所有步骤,将看到以下结果:

  • 客户端计算机成功扫描更新。 (它可能找到或找不到任何供下载和安装的适用更新。)

  • 大约 20 分钟内,客户端计算机根据定位类型出现在 WSUS 管理控制台中显示的计算机列表中:

    • 如果使用服务器端定位,客户端计算机出现在“所有计算机”和“未分配的计算机”这两个计算机组中。

    • 如果使用客户端定位,客户端计算机出现在“所有计算机”计算机组中,以及在配置客户端计算机时选择的计算机组中。

2.6.5. 设置客户端计算机的服务器端定位(如果适用)

如果你使用服务器端定位,现在应该将新的客户端计算机添加到相应的计算机组。

  1. 在 WSUS 管理控制台中,找到新的客户端计算机。 它应显示在 WSUS 服务器计算机列表中的“所有计算机”和“未分配的计算机”计算机组中。

  2. 右键单击该客户端计算机,然后选择“更改成员身份”。

  3. 在对话框中,选择相应的计算机组,然后选择“确定”。