使用 Windows Server Update Services (WSUS) 部署 Windows 客户端更新

查找使用者信息? 请参阅 Windows 更新:常见问题

WSUS 是在 Windows Server 操作系统中提供的 Windows Server 角色。 它为 Windows 更新在组织中提供了一个中心。 WSUS 不仅允许公司延迟更新,还可以有选择地批准更新、选择何时交付更新,并确定哪些设备或设备组接收更新。 WSUS 提供对 Windows 更新 for Business 的额外控制,但不提供Microsoft Configuration Manager提供的所有计划选项和部署灵活性。

选择 WSUS 作为 Windows 更新的源时,可以使用组策略将 Windows 客户端设备指向 WSUS 服务器以获取更新。 更新在此处将定期下载到 WSUS 服务器,并且通过 WSUS 管理控制台或组策略进行管理、批准和部署,这简化了企业更新管理事宜。 如果当前使用 WSUS 管理环境中的 Windows 更新,则可以在Windows 11继续执行此操作。

使用 WSUS 进行 Windows 客户端服务的要求

若要能够使用 WSUS 管理和部署 Windows 功能更新,必须使用受支持的 WSUS 版本:

  • WSUS 10.0.14393 (Windows Server 2016) 中的角色
  • Windows Server 2019 中的 WSUS 10.0.17763 (角色)
  • WSUS 6.2 和 6.3 (Windows Server 2012 和 Windows Server 2012 R2)
  • 必须在 WSUS 6.2 和 6.3 上安装 KB 3095113 和 KB 3159706 (或等效的更新) 。

重要提示

从 2017 年 7 月开始的安全质量月度汇总中包括 KB 3095113KB 3159706。 这意味着你可能看不到 KB 3095113 和 KB 3159706作为已安装的更新,因为它们可能已安装汇总。 但是,如果需要其中任一更新,我们建议安装 2017 年 10 月之后发布的安全质量月度汇总,因为它们包含额外的 WSUS 更新,以降低 WSUS 的 clientwebservice 上的内存利用率。 如果在安全质量月度汇总之前同步了其中任一更新,可能会遇到问题。 若要从中恢复,请参阅 如何在 WSUS 中删除升级

WSUS 可扩展性

为了使用 WSUS 管理所有 Windows 更新,一些组织可能需要从外围网络访问 WSUS,或者它们可能拥有某些其他复杂方案。 WSUS 具有高度可扩展性,并且配置方便,适合任何规模或拥有任何站点布局的组织。 有关缩放 WSUS(包括上游和下游服务器配置、分支机构、WSUS 负载均衡和其他复杂方案)的具体信息,请参阅部署Windows Server Update Services

配置自动更新和更新服务位置

在使用 WSUS 管理 Windows 客户端设备上的更新时,首先为环境配置配置自动更新Intranet Microsoft 更新服务位置组策略设置。 执行此操作将迫使受影响客户端联系 WSUS 服务器,以便服务器可以管理这些客户端。 以下过程介绍了如何指定这些设置和将它们部署到域中的所有设备。

为环境配置“配置自动更新”和“Intranet Microsoft 更新服务位置”组策略设置

  1. 打开 组策略 管理控制台 (gpmc.msc) 。

  2. 展开 “林\域\Your_Domain”。

  3. 右键单击 “Your_Domain”,然后选择“ 在此域中创建 GPO”,并将其链接到此处

    在 UI 的此域示例中创建 GPO。

    注意

    在本示例中,已为整个域指定了配置自动更新Intranet Microsoft 更新服务位置组策略设置。 并不是一定要这样做,可以使用安全筛选或特定 OU 将这些设置指向任何安全组。

  4. 在“新建 GPO”对话框中,将新的 GPO WSUS 命名为“自动汇报”和“Intranet 更新服务位置”。

  5. 右键单击“WSUS - 自动汇报和 Intranet 更新服务位置”GPO,然后选择“编辑”。

  6. 在组策略管理编辑器中,依次转到“计算机配置”\“策略”\“管理模板”\“Windows 组件”\“Windows 更新”。

  7. 右键单击“配置自动汇报”设置,然后选择“编辑”。

    在 UI 中配置自动汇报。

  8. 配置自动更新对话框中,选择启用

  9. “选项”下的 “配置自动更新 ”列表中,选择“ 3 - 自动下载并通知安装”,然后选择“ 确定”。

    在 UI 中选择“自动下载并通知安装”。

    重要提示

    使用 Regedit.exe 检查以下密钥未启用,因为它可能会中断 Windows 应用商店连接:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations

    注意

    自动更新下载和安装日期和时间有三个其他设置。 这只是本示例使用的设置。 有关如何控制自动更新和其他相关策略的更多示例,请参阅使用组策略配置自动更新

  10. 右键单击“ 指定 Intranet Microsoft 更新服务位置 ”设置,然后选择“ 编辑”。

  11. 指定 Intranet Microsoft 更新服务位置对话框中,选择启用

  12. “选项”下的“设置用于检测更新的 Intranet 更新服务”和“设置 Intranet 统计信息服务器选项”中,键入 http://Your_WSUS_Server_FQDN:PortNumber,然后选择“确定”。

    注意

    下图中的 URL http://CONTOSO-WSUS1.contoso.com:8530 只是一个示例。 在你的环境中,确保将服务器名称和端口号用于 WSUS 实例。

    在 UI 中设置 Intranet 统计信息服务器。

    注意

    WSUS 的默认 HTTP 端口是 8530,安全套接字层上的默认 HTTP (HTTPS) 端口是 8531。 (其他选项为 80 和 443;不支持其他端口。)

当 Windows 客户端刷新计算机策略(默认的组策略刷新设置是每隔 90 分钟和重启计算机时刷新一次)时,计算机将开始显示在 WSUS 中。 既然客户端可以与 WSUS 服务器通信,则可以创建与部署圈保持一致的计算机组。

在 WSUS 管理控制台中创建计算机组

注意

以下过程使用 Windows 客户端更新的生成部署圈 中的表 1 中的组作为示例。

可以使用计算机组关注具有特定质量和功能更新的设备的子集。 这些组表示 WSUS 控制的部署圈。 可以使用 WSUS 管理控制台手动填充这些组,或者通过组策略自动填充。 无论选择什么方法,都必须首先在 WSUS 管理控制台中创建组。

在 WSUS 管理控制台中创建计算机组

  1. 打开 WSUS 管理控制台。

  2. 转到 “Server_Name\计算机\所有计算机”,然后选择“ 添加计算机组”。

    在 WSUS 管理 UI 中添加计算机组。

  3. 键入 Ring 2 Pilot Business Users(圈 2 试点企业用户 )的名称,然后选择“ 添加”。

  4. 圈 3 广泛的 IT圈 4 广泛的商业用户组重复这些步骤。 完成后,应有三个部署环组。

既然已经创建了组,那就将计算机添加到与所需部署圈相一致的计算机组。 可以通过组策略或使用 WSUS 管理控制台手动执行此操作。

使用 WSUS 管理控制台填充部署圈

在 WSUS 管理控制台中将计算机添加到计算机组很简单,但花费的时间要比通过组策略管理成员身份的时间要长,特别在添加多台计算机的时候就更是如此。 在 WSUS 管理控制台中将计算机添加到计算机组称为服务器端目标

在本示例中,使用两种不同的方法将计算机添加到计算机组:手动分配未分配的计算机和搜索多台计算机。

将未分配的计算机分配到组

当新计算机与 WSUS 通信时,它们将显示在未分配的计算机组中。 在此处可以使用以下步骤将计算机添加到正确的组。 对于这些示例,可以使用两台 Windows 10 电脑(WIN10-PC1 和 WIN10-PC2)添加到计算机组。

手动分配计算机

  1. 在 WSUS 管理控制台中,依次转到 Server_Name\“计算机”\“所有计算机”\“未分配的计算机”。

    在这里,你可以看到接收了在之前部分中创建的 GPO 并且开始与 WSUS 通信的新计算机。 此示例只有两台计算机:根据策略的部署范围,此处可能有许多计算机。

  2. 选择这两台计算机,右键单击所选内容,然后选择“ 更改成员身份”。

    在 UI 中选择“更改成员身份”。

  3. “设置计算机组成员身份 ”对话框中,选择“ 圈 2 试点业务用户 ”部署圈,然后选择“ 确定”。

    因为计算机已分配到某个组,所以它们不再处于未分配的计算机组中。 如果选择“ 圈 2 试点商业用户” 计算机组,你将看到这两台计算机。

搜索多台要添加到组的计算机

在 WSUS 管理控制台中将多台计算机添加到部署圈的另一种方法是使用搜索功能。

搜索多台计算机

  1. 在 WSUS 管理控制台中,转到 “Server_Name\计算机\所有计算机”,右键单击“ 所有计算机”,然后选择“ 搜索”。

  2. 在搜索框中,键入 WIN10

  3. 在搜索结果中,选择计算机,右键单击所选内容,然后选择“ 更改成员身份”。

    选择“更改成员身份”,在 UI 中搜索多台计算机。

  4. 选择“ 圈 3 广泛 IT 部署圈”,然后选择“ 确定”。

此时在圈 3 广泛的 IT计算机组中可以看到这些计算机。

使用组策略填充部署圈

WSUS 管理控制台提供友好界面,可以在此处管理 Windows 10 质量和功能更新。 但是,当需要将许多计算机添加到正确的 WSUS 部署圈时,在 WSUS 管理控制台中手动操作将耗费许多时间。 对于这些情况,请考虑使用组策略指向正确的计算机,并根据 Active Directory 安全组自动将这些计算机添加到正确的 WSUS 部署圈。 此过程称为客户端目标。 在组策略中启用客户端目标前,必须配置 WSUS 才能接受组策略计算机分配。

配置 WSUS 以在组策略中支持客户端目标

  1. 打开 WSUS 管理控制台,转到 “Server_Name\选项”,然后选择“ 计算机”。

    在 WSUS 管理控制台中选择“Comptuers”。

  2. 在“计算机”对话框中,选择“在计算机上使用组策略或注册表设置”,然后选择“确定”。

    注意

    此选项只能二选一。 如果启用了 WSUS 将组策略用于分配组,则在将选项更改回原来的设置之前都无法通过 WSUS 管理控制台手动添加计算机。

既然 WSUS 已准备好用于客户端目标,则完成以下步骤以使用组策略配置客户端目标:

配置客户端目标

提示

在使用客户端目标时,请考虑为安全组取一个与部署圈相同的名称。 这样做可以简化策略创建过程,并有助于确保不会将计算机添加到错误的通道。

  1. 打开 组策略 管理控制台 (gpmc.msc) 。

  2. 展开“林\域\Your_Domain”。

  3. 右键单击 “Your_Domain”,然后选择“ 在此域中创建 GPO”,并将其链接到此处

  4. 在“ 新建 GPO ”对话框中,键入 WSUS - 客户端目标 - 圈 4 广泛业务用户 ,以获取新 GPO 的名称。

  5. 右键单击 WSUS - 客户端目标 - 圈 4 广泛商业用户 GPO,然后选择 编辑

    选择 WSUS 环 4 并在组策略中编辑。

  6. 在组策略管理编辑器中,依次转到“计算机配置”\“策略”\“管理模板”\“Windows 组件”\“Windows 更新”。

  7. 右键单击“ 启用客户端目标”,然后选择“ 编辑”。

  8. 启用客户端目标对话框中,选择启用

  9. 此计算机的目标组名称框中,键入圈 4 广泛的商业用户。 这是 WSUS 中部署圈的名称,这些计算机将添加到此处。

    输入 WSUS 部署环名称。

警告

目标组名称必须与计算机组名称匹配。

  1. 关闭“组策略管理编辑器”。

现在,你已准备好将此 GPO 部署到 圈 4 广泛商业用户 部署圈的正确计算机安全组。

将 GPO 范围设定在某个组

  1. 在 GPMC 中,选择 “WSUS - 客户端目标 - 圈 4 广泛业务用户” 策略。

  2. 选择“ 范围 ”选项卡。

  3. 安全筛选中,删除默认的已经过身份验证的用户安全组,然后添加圈 4 广泛的商业用户组。

    删除组策略中默认的“经过身份验证的用户”安全组。

下一次,当 圈 4 广泛商业用户 安全组中的客户端收到其计算机策略并联系 WSUS 时,它们将添加到 圈 4 广泛商业用户 部署圈。

自动批准和部署功能更新

对于应在功能更新可用后立即批准的客户端,可以在 WSUS 中配置自动审批规则。

注意

WSUS 尊重客户端设备的服务分支。 如果在某个功能更新仍在一个分支(例如 Insider Preview)中时批准该功能更新,WSUS 将仅在该服务分支中的设备上安装更新。 当 Microsoft 发布 正式发布频道的内部版本时,将安装它的设备。 Windows 更新 for Business 分支设置不适用于通过 WSUS 进行的功能更新。

为 Windows 客户端功能更新配置自动审批规则,并为圈 3 广泛 IT 部署圈批准这些规则此示例使用 Windows 10,但Windows 11的过程相同。

  1. 在 WSUS 管理控制台中,转到“更新服务\Server_Name\选项”,然后选择“ 自动批准”。

  2. 在“ 更新规则 ”选项卡上,选择“ 新建规则”。

  3. 添加规则对话框中,选中当更新属于特定分类时当更新属于特定产品时以及设置审批期限复选框。

    在 WSUS 管理控制台中选择更新和截止时间检查框。

  4. 编辑属性区域中,选择任意分类。 清除除 “升级”以外的所有内容,然后选择“ 确定”。

  5. “编辑属性”区域中,选择 任何产品 链接。 清除除Windows 10之外的所有检查框,然后选择“确定”。

    Windows 10 位于“所有产品”\“Microsoft”\“Windows”下。

  6. “编辑属性” 区域中,选择“ 所有计算机” 链接。 清除除圈 3 广泛 IT 之外的所有计算机组检查框,然后选择“确定”。

  7. 将截止时间设置保留为审批后第 7 天凌晨 3 点前

  8. “步骤 3: 指定名称”框中,键入“Windows 10升级圈 3 Broad IT 的自动审批”,然后选择“确定”。

    输入环 3 部署名称。

  9. 在“ 自动审批 ”对话框中,选择“ 确定”。

    注意

    WSUS 不遵循任何现有的月/周/日 延迟设置。 也就是说,如果将 Windows 更新 for Business 用于 WSUS 同时管理更新的计算机,则当 WSUS 批准更新时,无论是否配置组策略等待,它都将安装在计算机上。

现在,每当 Windows 客户端功能更新发布到 WSUS 时,它们将自动获得环 3 广泛 IT 部署圈的批准,安装截止时间为 1 周。

警告

自动审批规则在同步后运行。 这意味着将批准每个 Windows 客户端版本的 下一次 升级。 如果选择“ 运行规则”,则会批准所有符合条件的可能更新,包括你实际上不需要的旧更新,当下载大小非常大时,这可能会造成问题。

手动批准并部署功能更新

你也可以在 WSUS 管理控制台中手动批准更新,并设置安装截止时间。 更新试点部署后,最好手动批准更新规则。

若要简化手动审批过程,请首先创建一个仅包含本示例中Windows 10 () 更新的软件更新视图。 此过程与Windows 11更新相同。

注意

如果批准一台计算机的多个功能更新,则客户端可能会出错。 每台计算机仅批准一个功能更新。

手动批准并部署功能更新

  1. 在 WSUS 管理控制台中,转到“更新服务\Server_Name\汇报”。 在“ 操作 ”窗格中,选择“ 新建更新视图”。

  2. 添加更新视图对话框中,选择更新属于特定分类更新适用于特定产品

  3. “步骤 2:编辑属性”下,选择 任何分类。 清除除升级之外的所有检查框,然后选择“确定”。

  4. “步骤 2:编辑属性”下,选择 任何产品。 清除除Windows 10之外的所有检查框,然后选择“确定”。

    Windows 10 位于“所有产品”\“Microsoft”\“Windows”下。

  5. “步骤 3:指定名称”框中,键入“所有Windows 10升级”,然后选择“确定”。

    在 WSUS 管理控制台中输入名称的“所有Windows 10升级”。

现在,你已获得“所有Windows 10升级”视图,请完成以下步骤,手动批准圈 4 广泛商业用户部署圈的更新:

  1. 在 WSUS 管理控制台中,转到“更新服务\Server_Name\汇报\所有Windows 10升级”。

  2. 右键单击要部署的功能更新,然后选择“ 批准”。

    批准要在 WSUS 管理控制台中部署的功能。

  3. 批准更新对话框的圈 4 广泛的商业用户列表中,选择已审批进行安装

    在 WSUS 管理控制台中选择“批准”进行安装。

  4. “批准汇报”对话框中,从“圈 4 广泛商业用户”列表中,选择“截止时间”,选择“一周”,然后选择“确定”。

    在 WSUS 管理控制台中选择一周的截止时间。

  5. 如果“ Microsoft 软件许可条款 ”对话框打开,请选择“ 接受”。

    如果部署成功,将收到成功过程报告。

    成功部署的示例。

  6. 在“ 审批进度 ”对话框中,选择“ 关闭”。