步驟 2:設定 WSUS

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

在伺服器上安裝 Windows Server Update Services (WSUS) 伺服器角色後,需要正確設定該角色。 您也需要設定用戶端電腦,以從 WSUS 伺服器接收其更新。

本文將引導您進行下列程序:

Task 描述
2.1. 設定網路連線 設定防火牆和 Proxy 設定,以便伺服器建立所需的連線。
2.2. 使用 WSUS 設定精靈設定 WSUS 使用 [WSUS 設定精靈] 執行基本 WSUS 設定。
2.3. 使用安全通訊端層通訊協定來確保 WSUS 的安全 設定安全通訊端層 (SSL) 通訊協定,以協助保護 WSUS。
2.4. 設定 WSUS 電腦群組 在 WSUS 系統管理主控台中建立電腦群組,以管理組織中的更新。
2.5. 設定用戶端電腦,以建立與 WSUS 伺服器的 SSL 連線 設定用戶端電腦,以建立與 WSUS 伺服器的安全連線。
2.6. 設定用戶端電腦,以接收來自 WSUS 伺服器的更新 設定用戶端電腦,以接收其來自 WSUS 伺服器的更新。

2.1. 設定網路連線

開始設定程序之前,務必確定您知道下列問題的答案:

  • 伺服器防火牆是否設定成允許用戶端存取伺服器?

  • 這部電腦可以連線到上游伺服器 (例如指定從 Microsoft Update 下載更新的伺服器) 嗎?

  • 如果需要的話,您有 Proxy 伺服器的名稱和使用者認證嗎?

您然後可以進行下列 WSUS 網路設定:

  • 更新:指定這部伺服器取得更新的方式 (從 Microsoft Update 或其他 WSUS 伺服器)。

  • Proxy:如果您發現 WSUS 需要使用 Proxy 伺服器才能存取網際網路,則必須在 WSUS 伺服器設定 Proxy 設定。

  • 防火牆:如果您發現 WSUS 在公司防火牆後方,您必須在邊緣裝置採取其他步驟,以允許 WSUS 流量。

重要

如果您只有一部 WSUS 伺服器,由於該伺服器需要從 Microsoft 下載更新,因此必須可以存取網際網路。 如果您有多部 WSUS 伺服器,只要一部伺服器可以存取網際網路即可。 其他伺服器僅需透過網路存取已連線到網際網路的 WSUS 伺服器。 您的用戶端電腦不需要存取網際網路;它們僅需透過網路存取 WSUS 伺服器。

提示

如果您的網路是「實體隔離 (air gapped)」(完全無法存取網際網路),則仍可使用 WSUS 提供更新給網路上的用戶端電腦。 此方法需要兩部 WSUS 伺服器。 一部可以存取網際網路的 WSUS 伺服器負責收集來自 Microsoft 的更新。 在受保護網路上的第二部 WSUS 伺服器提供更新給用戶端電腦。 更新會從第一部伺服器匯出至卸除式媒體、通過實體隔離傳輸,然後匯入至第二部伺服器。 這是超出本文章討論範圍的進階組態。

2.1.1. 請設定防火牆,允許第一部 WSUS 伺服器連線到網際網路上的 Microsoft 網域

如果 WSUS 與網際網路之間設有公司防火牆,可能需要設定防火牆以確保 WSUS 可以取得更新。 若要從 Microsoft Update 取得更新,WSUS 伺服器會將連接埠 80 和 443 用於 HTTP 和 HTTPS 通訊協定。 儘管大部分公司防火牆允許這類流量,但是有些公司因為安全性原則的緣故,限制伺服器的網際網路存取。 如果貴公司限制存取,則需要設定防火牆,允許 WSUS 伺服器存取 Microsoft 網域。

第一部 WSUS 伺服器必須在下列網域擁有連接埠 80 和 443 的輸出存取權:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

重要

您必須設定防火牆,允許第一部 WSUS 伺服器存取這些網域內的任何 URL。 與這些網域相關的 IP 位址會不斷變更,因此請勿嘗試使用 IP 位址範圍。

如需 WSUS 因為防火牆設定而無法取得更新的案例,請參閱 Microsoft 知識庫文章 885819

2.1.2. 請設定防火牆,允許其他 WSUS 伺服器連線到第一部伺服器

如果您擁有多部 WSUS 伺服器,您應設定其他 WSUS 伺服器存取第一部 (「最頂層」) 伺服器。 您的其他 WSUS 伺服器將從最頂層的伺服器接收其所有更新資訊。 此設定可讓您使用最頂層伺服器上的 WSUS 管理主控台,來管理整個網路。

您的其他 WSUS 伺服器必須透過兩個連接埠輸出存取最頂層伺服器。 這些預設連接埠為連接埠 8530 和 8531。 您可以如本文稍後所述變更這些連接埠。

注意

如果 WSUS 伺服器之間的網路連線緩慢或昂貴,則可以設定其他一部或多部 WSUS 伺服器直接從 Microsoft 接收更新承載。 在此情況下,僅少量資料會從 WSUS 伺服器傳送至最頂層伺服器。 若要讓此組態運作,其他 WSUS 伺服器必須能夠存取與最頂層伺服器相同的網際網路網域。

注意

如果您擁有大型組織,則可以使用連線的 WSUS 伺服器鏈結,而非讓所有其他 WSUS 伺服器直接連線到最頂層伺服器。 例如,您可以讓第二部 WSUS 伺服器連線到最頂層伺服器,然後讓其他 WSUS 伺服器連線到第二部 WSUS 伺服器。

2.1.3. 必要時請設定 WSUS 伺服器使用 Proxy 伺服器

如果公司網路使用 Proxy 伺服器,Proxy 伺服器必須支援 HTTP 和 HTTPS 通訊協定。 這些伺服器也必須使用基本驗證或 Windows 驗證。 您可以使用下列其中一項設定來滿足這些需求:

  • 支援兩種通訊協定通道的單一 Proxy 伺服器。 在這個情況下,請設定一個通道使用 HTTP,並設定另一個通道使用 HTTPS。

    注意

    您可以設定一個 Proxy 伺服器,在 WSUS 伺服器軟體安裝期間處理 WSUS 的兩個通訊協定。

  • 兩個 Proxy 伺服器,每個伺服器支援單一通訊協定。 在這種情況下,一個 Proxy 伺服器會設定為使用 HTTP,另一個 Proxy 伺服器會設定為使用 HTTPS。

設定 WSUS 使用兩個 Proxy 伺服器

  1. 使用本機 Administrators 群組成員的帳戶登入即將成為 WSUS 伺服器的電腦。

  2. 安裝 WSUS 伺服器角色。 在 [WSUS 設定精靈] 期間,請勿指定 Proxy 伺服器。

  3. 以系統管理員身分開啟命令提示字元 (Cmd.exe):

    1. 移至 [開始]
    2. 在 [開始搜尋] 中,輸入 Command Prompt
    3. 在 [開始] 功能表的頂端,以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]
    4. 如果出現 [使用者帳戶控制] 對話方塊,請輸入適當的認證 (如有要求),確認它所顯示的動作就是您所需的動作,然後選取 [繼續]

  4. 在 [命令提示字元] 視窗中,移至 C:\Program Files\Update Services\Tools 資料夾。 輸入下列命令:

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    在該命令中:

    • proxy_server 是指支援 HTTPS 的 Proxy 伺服器名稱。

    • proxy_port 是指 Proxy 伺服器的連接埠號碼。

  5. 關閉 [命令提示字元] 視窗。

在 WSUS 設定中新增 Proxy 伺服器

  1. 開啟 WSUS 系統管理主控台。

  2. 在左窗格上,展開伺服器名稱,然後選取 [選項]

  3. 在 [選項] 窗格上,請選取 [更新來源和更新伺服器] ,然後選取 [Proxy 伺服器] 索引標籤。

  4. 選取 [同步處理時使用 Proxy 伺服器] 核取方塊。

  5. 在 [Proxy 伺服器名稱] 文字方塊中,輸入 Proxy 伺服器的名稱。

  6. 在 [Proxy 連接埠號碼] 文字方塊中,輸入 Proxy 伺服器的連接埠號碼。 預設連接埠號碼為 80。

  7. 如果 Proxy 伺服器要求您使用特定的使用者帳戶,請選取 [使用使用者認證連線到 Proxy 伺服器] 核取方塊。 在對應的文字方塊中輸入必要的使用者名稱、網域及密碼。

  8. 如果 Proxy 伺服器支援基本驗證,請選取 [允許基本驗證 (密碼會以純文字傳送)] 核取方塊。

  9. 選取 [確定]

將 Proxy 伺服器從 WSUS 設定中移除

  1. 清除 [同步處理時使用 Proxy 伺服器] 核取方塊。

  2. 選取 [確定]

2.1.4. 設定防火牆,允許用戶端電腦存取 WSUS 伺服器

您的用戶端電腦全都會連線到其中一部 WSUS 伺服器。 用戶端電腦必須具有 WSUS 伺服器上兩個連接埠的輸出存取權。 這些預設連接埠為連接埠 8530 和 8531。

2.2. 使用 WSUS 設定精靈設定 WSUS

這個程序假設您使用 [WSUS 設定精靈],該設定精靈會在第一次啟動 WSUS 管理主控台時出現。 這個主題稍後將會說明如何使用 [選項] 頁面進行這些設定。

設定 WSUS

  1. 在伺服器管理員的左窗格上,請選取 [儀表板]>[工具]>[Windows Server Update Services]

    注意

    如果出現 [完整 WSUS 安裝] 對話方塊,請選取 [執行]。 當安裝成功完成時,在 [完整 WSUS 安裝] 對話方塊中選取 [關閉]

  2. [WSUS 設定精靈] 隨即開啟。 檢閱 [在您開始前] 頁面上的資訊,然後選取 [下一步]

  3. 閱讀 [參加 Microsoft Update 改進方案] 頁面中的內容。 如果您想要參加方案,請保留預設選取項目,否則請清除核取方塊。 然後選取下一步

  4. 在 [選擇上游伺服器] 頁面上,請選取兩個選項的其中一個:[使用 Microsoft Update 同步處理更新] 或 [從另一部 Windows Server Update Services 伺服器進行同步處理]

    如果您選擇從另一部 WSUS 伺服器進行同步處理:

    • 請指定伺服器名稱及此伺服器將用於與上游伺服器進行通訊的連接埠。

    • 若要使用 SSL,請選取 [同步處理更新資訊時使用 SSL] 核取方塊。 伺服器將會使用連接埠 443 進行同步處理 (確定這部伺服器與上游伺服器支援 SSL。)

    • 如果這是複本伺服器,選取 [這是上游伺服器的複本] 核取方塊。

  5. 選取部署的選項後,選取 [下一步]

  6. 在 [指定 Proxy 伺服器] 頁面上,選取 [同步處理軟體更新時使用 Proxy 伺服器] 核取方塊。 然後在對應的方塊中輸入 Proxy 伺服器名稱和連接埠號碼 (預設為連接埠 80)。

    重要

    如果您發現 WSUS 需要有 Proxy 伺服器才能存取網際網路,則必須完成此步驟。

  7. 如果您想要使用特定使用者認證連線到 Proxy 伺服器,請選取 [使用使用者認證連線到 Proxy 伺服器] 核取方塊。 然後在對應的方塊中輸入使用者名稱、網域和密碼。

    如果您要為連線到 Proxy 伺服器的使用者啟用基本驗證,選取 [允許基本驗證 (密碼會以純文字傳送)] 核取方塊。

  8. 選取 [下一步]

  9. 在 [連線到上游伺服器] 頁面,選取 [開始連線]

  10. WSUS 連線到伺服器時,請選取 [下一步]

  11. 在 [選擇語言] 頁面上,您可以選擇 WSUS 接收的更新語言,也就是所有語言或語言子集。 選取語言子集可以節省磁碟空間,但是針對這個 WSUS 伺服器的所有用戶端選擇需要的所有語言是非常重要的。

    如果您選擇只需特定語言的更新,請選取 [只下載下列語言的更新],然後選取您想要更新的語言。 否則請保留預設選項。

    警告

    如果選取 [只下載下列語言的更新] 選項,而且這部伺服器有連線的下游 WSUS 伺服器,這個選項將會強制下游伺服器只使用選取的語言。

  12. 選取部署的語言選項後,請選取 [下一步]

  13. [選擇產品] 頁面可以讓您指定想要更新的產品。 選取產品類別 (如 Windows) 或選取特定產品 (如 Windows Server 2012)。 選取產品類別將會選取該類別中的所有產品。

  14. 選取部署的產品選項後,請選取 [下一步]

  15. 在 [選擇分類] 頁面上選取想要取得的更新分類。 選擇所有的分類或子分類,然後選取 [下一步]

  16. [設定同步處理排程] 頁面可讓您選擇要手動或自動執行同步處理。

    • 如果選取 [手動同步處理],必須從 WSUS 管理主控台啟動同步處理程序。

    • 如果選取 [自動同步處理],WSUS 伺服器會依設定的間隔進行同步處理。

    設定 [第一次同步處理] 的時間,然後指定您要這部伺服器執行的每天同步處理次數。 例如,如果指定每天同步處理 4 次,從上午 3:00 開始,那麼同步處理的時間會在上午 3:00、上午 9:00、下午 3:00 以及下午 9:00。

  17. 選取部署的同步處理選項後,請選取 [下一步]

  18. 在 [完成] 頁面上,您可以選取 [開始初始同步處理] 核取方塊,立即開始同步處理。

    如果沒有選取這個選項,則需要使用 WSUS 管理主控台執行初始同步處理。 如果想要讀取更多其他設定,選取 [下一步] ;或者,選取 [完成] 結束這個精靈並完成初始 WSUS 設定。

  19. 選取 [完成] 後,WSUS 管理主控台隨即出現。 如稍後所述,您將使用此主控台管理 WSUS 網路。

2.3. 使用安全通訊端層通訊協定來確保 WSUS 的安全

您應使用 SSL 通訊協定協助保護 WSUS 網路。 WSUS 可以使用 SSL 驗證連線並加密和保護更新資訊。

警告

使用 SSL 通訊協定保護 WSUS 對於網路安全性十分重要。 由於關鍵的更新資訊會從一部 WSUS 伺服器傳送至另一部伺服器,或從 WSUS 伺服器傳送至用戶端電腦,因此如果您的 WSUS 伺服器未正確使用 SSL 保護其連線,攻擊者可能能夠修改關鍵的更新資訊。 這將會讓攻擊者在用戶端電腦上安裝惡意軟體。

重要

設定使用傳輸層安全性 (TLS) 或 HTTPS 的用戶端和下游伺服器也必須設定使用完整網域名稱 (FQDN),以供其上游 WSUS 伺服器使用。

2.3.1. 在 WSUS 伺服器的 IIS 服務上啟用 SSL/HTTPS,以使用 SSL/HTTPS

若要開始此程序,您必須在 WSUS 伺服器的 IIS 服務上啟用 SSL 支援。 此工作包含建立伺服器的 SSL 憑證。

需要取得伺服器的 SSL 憑證的步驟已超出本文的範圍,而且將取決於您的網路組態。 如需詳細資訊和如何安裝憑證及設定此環境的相關指示,我們建議參閱下列文章:

2.3.2. 設定 WSUS 伺服器的 IIS 網頁伺服器,以將 SSL 用於某些連線

WSUS 需要兩個連接埠才能連線到其他 WSUS 伺服器和用戶端電腦。 一個連接埠使用 SSL/HTTPS 傳送更新中繼資料 (關鍵的更新資訊)。 根據預設,此連接埠是 8531。 第二個連接埠使用 HTTP 傳送更新承載。 根據預設,此連接埠是 8530。

重要

您無法將整個 WSUS 網站設定為需要使用 SSL。 WSUS 在設計上僅可加密更新中繼資料。 這是 Windows Update 散佈更新的相同方式。

若要防止攻擊者竄改更新承載,所有更新承載都會透過一組特定的信任簽署憑證進行簽署。 此外,每個更新承載都會計算密碼編譯雜湊。 此雜湊會隨著用於更新的其他中繼資料,透過安全 HTTPS 中繼資料連線傳送至用戶端電腦。 下載更新時,用戶端軟體會驗證承載的數位簽章和雜湊。 如果更新已變更,便不會進行安裝。

您應該僅在這些 IIS 虛擬根目錄中要求使用 SSL:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

您不應該在這些虛擬根目錄中要求使用 SSL:

  • 內容

  • 存貨

  • ReportingWebService

  • SelfUpdate

憑證授權單位 (CA) 的憑證必須匯入每部 WSUS 伺服器本機電腦的受信任的根 CA 存放區,或 WSUS 的受信任的根 CA 存放區 (如果存在)。

如需有關如何在 IIS 中使用 SSL 憑證的詳細資訊,請參閱 需要安全通訊端層 (IIS 7)

重要

您必須使用本機電腦的憑證存放區。 您無法使用使用者的憑證存放區。

一般而言,您應設定 IIS 在 HTTPS 連線中使用連接埠 8531,並在 HTTP 連線中使用連接埠 8530。 如果您變更這些連接埠,則需使用兩個相鄰的連接埠號碼。 用於 HTTP 連線的連接埠號碼必須比用於 HTTPS 連線的連接埠號碼少 1。

如果變更了伺服器名稱、SSL 設定或連接埠號碼,則必須重新初始化ClientServicingProxy

2.3.3. 設定 WSUS 在用戶端連線中使用 SSL 簽署憑證

  1. 使用 WSUS Administrators 群組或本機 Administrators 群組成員的帳戶登入 WSUS 伺服器。

  2. 移至 [開始] 並輸入 CMD,於 [命令提示字元] 上按一下滑鼠右鍵,然後選取 [以系統管理員身分執行]

  3. 移至 %ProgramFiles%\Update Services\Tools\ 資料夾。

  4. 在 [命令提示字元] 視窗中輸入下列命令:

    wsusutil configuressl _certificateName_

    在該命令中,certificateName 是 WSUS 伺服器的 DNS 名稱。

2.3.4. 視需要保護 SQL Server 連線。

如果使用 WSUS 搭配遠端 SQL Server 資料庫,則 WSUS 伺服器與資料庫伺服器之間的連線不會受到 SSL 的保護。 這會建立潛在攻擊媒介。 若要協助保護此連線,請考慮下列建議:

  • 將 WSUS 資料庫移到 WSUS 伺服器。

  • 將遠端資料庫伺服器與 WSUS 伺服器移到私人網路。

  • 部署網際網路通訊協定安全性 (IPsec) 以協助確保網路流量的安全。 如需有關 IPsec 的詳細資訊,請參閱 建立和使用 IPsec 原則

2.3.5. 視需要建立本機發佈的程式碼簽署憑證。

除了散發 Microsoft 提供的更新之外,WSUS 也支援本機發佈。 本機發佈可讓您使用自己的承載和行為,建立和散發自行設計的更新。

啟用和設定本機發佈超出本文範圍。 如需完整詳細資料,請參閱本機發佈

重要

本機發佈是一項複雜的程序,常不需要執行。 決定啟用本機發佈後,您應仔細檢閱文件並思考您是否要與如何使用此功能。

2.4. 設定 WSUS 電腦群組

電腦群組是有效使用 WSUS 的重要環節。 電腦群組允許您測試並將更新對應到特定的電腦。 預設電腦群組有兩個:[所有電腦] 群組和 [尚未指派的電腦] 群組。 根據預設,當每個用戶端電腦第一次連絡 WSUS 伺服器的時候,伺服器會將這個用戶端電腦新增到這兩個群組中。

您可以依需要的數量建立許多自訂電腦群組,以管理組織中的更新。 最佳做法是至少建立一個電腦群組來測試更新,然後再將這些更新部署到組織的其他電腦。

2.4.1. 選擇將用戶端電腦指派給電腦群組的方法

共有兩種方法可以將用戶端電腦指派給電腦群組。 適合您組織的正確方法取決於您一般如何管理用戶端電腦。

  • 以伺服器端為目標:這是預設方法。 在此方法中,您使用 WSUS 管理主控台將用戶端電腦指派給電腦群組。

    您可以透過此方法,在情況變更時靈活地、快速地將用戶端電腦從一個群組移至另一個群組。 但這表示新的用戶端電腦都必須手動從 [尚未指派的電腦] 群組移至合適的電腦群組。

  • 以用戶端為目標:在此方法中,您可以使用在用戶端電腦上設定的原則設定,將每部用戶端電腦指派給電腦群組。

    此方法能夠更輕鬆地將新的用戶端電腦指派給合適的群組。 這樣做是設定用戶端電腦從 WSUS 伺服器接收更新的一部分。 但這表示無法透過 WSUS 管理主控台,將用戶端電腦指派給電腦群組或從一個電腦群組移至另一個電腦群組。 反而必須修改用戶端電腦的原則。

2.4.2. 啟用以用戶端為目標 (如果適用)

重要

如果您使用以伺服器端為目標,請略過此步驟。

  1. 開啟 WSUS 管理主控台,在 [Update Services] 下展開 WSUS 伺服器,然後選取 [選項]

  2. 在 [選項] 窗格的 [一般] 索引標籤上,選取 [使用電腦上的群組原則或登錄設定]

2.4.3. 建立所需的電腦群組

注意

無論是使用以伺服器端為目標或以用戶端為目標方法來將用戶端電腦新增到電腦群組,都需要使用 WSUS 管理主控台建立電腦群組。

  1. 在 WSUS 管理主控台中,展開 [更新服務] 下的 WSUS 伺服器,然後展開 [電腦],以滑鼠右鍵按一下 [所有電腦],然後選取 [新增電腦群組]

  2. 在 [新增電腦群組] 對話方塊中,在 [名稱] 中指定新群組的名稱。 然後選取 [新增]

2.5. 設定用戶端電腦,以建立與 WSUS 伺服器的 SSL 連線

假設您已設定 WSUS 伺服器使用 SSL 協助保護用戶端電腦的連線,您需要設定用戶端電腦信任這些 SSL 連線。

WSUS 伺服器的 SSL 憑證必須匯入用戶端電腦的受信任的根 CA 存放區,或匯入用戶端電腦的自動更新服務受信任的根 CA 存放區 (如果存在)。

重要

您必須使用本機電腦的憑證存放區。 您無法使用使用者的憑證存放區。

用戶端電腦必須信任您繫結至 WSUS 伺服器的憑證。 根據使用的憑證類型,您可能必須設定可啟用用戶端電腦的服務,進而信任繫結至 WSUS 伺服器的憑證。

如果您使用本機發佈,您也應設定用戶端電腦信任 WSUS 伺服器的程式碼簽署憑證。 如須說明,請參閱本機發佈

2.6. 設定用戶端電腦,以接收來自 WSUS 伺服器的更新

您的用戶端電腦預設為從 Windows Update 接收更新。 這些電腦必須設定為從 WSUS 伺服器接收更新。

重要

本文章提供使用群組原則設定用戶端電腦的一組步驟。 這些步驟在許多情況下都適用。 但許多其他選項仍可用於設定用戶端電腦上的更新行為,包括使用行動裝置管理。 這些選項記載於管理其他 Windows Update 設定

2.6.1. 選擇要編輯的正確原則集

如果您已經在網路中設定 Active Directory,可以在群組原則物件 (GPO) 中包含一或多部電腦,然後使用 WSUS 設定來設定這個 GPO,這樣就可以同時設定這些電腦。

建議您建立只包含 WSUS 設定的新 GPO。 將這個 WSUS GPO 連結到適合您環境的 Active Directory 容器。

在簡單的環境中,您可以將單一 WSUS GPO 連結到網域。 在更複雜的環境中,您可能會將多個 WSUS GPO 連結至數個組織單位 (OU)。 將 GPO 連結至 OU 後,即可將 WSUS 原則設定套用至不同類型的電腦。

如果您未在網路中使用 Active Directory,則可以使用本機群組原則編輯器設定每部電腦。

2.6.2. 編輯原則以設定用戶端電腦

注意

這些說明假設您使用最新版的原則編輯工具。 在舊版工具上,原則的排列方式可能有所不同。

  1. 開啟合適的原則物件:

    • 如果您使用 Active Directory,請開啟群組原則管理主控台、瀏覽至您要設定 WSUS 的 GPO,然後選取 [編輯]。 然後展開 [電腦設定],再展開 [原則]
    • 如果您不是使用 Active Directory,請開啟本機群組原則編輯器。 本機電腦原則隨即出現。 展開 [電腦設定]

  2. 在上一個步驟中已展開的物件中,請依序展開 [系統管理範本]、[Windows 元件]、[Windows Update],然後選取 [管理使用者體驗]

  3. 在詳細資料窗格上,按兩下 [設定自動更新] 。 [設定自動更新] 原則隨即開啟。

  4. 選取 [啟用],然後選取 [設定自動更新] 設定下方的所需選項,以管理自動更新將如何下載和安裝核准的更新。

    建議您使用 [自動下載和排程安裝] 設定。 這可確保您在 WSUS 中的更新將適時下載並安裝,而無需使用者介入。

  5. 必要時,請如管理其他 Windows Update 設定所記載編輯原則的其他部分。

    注意

    [從其他 Microsoft 產品安裝更新] 核取方塊對於從 WSUS 接收更新的用戶端電腦並無任何影響。 用戶端電腦將接收在 WSUS 伺服器上其已核准的所有更新。

  6. 選取 [確定] 以關閉 [設定自動更新] 原則。

  7. 回到樹狀目錄的 [Windows Update] 節點,選取 [管理從 Windows Server Update Service 提供的更新]

  8. 在 [管理從 Windows Server Update Service 提供的更新] 詳細資料窗格上,按兩下 [指定近端內部網路 Microsoft 更新服務的位置]。 [指定近端內部網路 Microsoft 更新服務的位置] 原則隨即開啟。

  9. 選取 [啟用] ,然後在 [設定偵測更新的近端內部網路更新服務] 和 [設定近端內部網路統計伺服器] 文字方塊中,都輸入 WSUS 伺服器的 URL。

    警告

    請務必在 URL 中包含正確的連接埠。 假設您已如建議設定伺服器使用 SSL,您應指定為 HTTPS 設定的連接埠。 例如,如果您選擇將連接埠 8531 用於 HTTPS,且伺服器的網域名稱是 wsus.contoso.com,您應在這兩個文字方塊中輸入 https://wsus.contoso.com:8531

  10. 選取 [確定],以關閉 [指定近端內部網路 Microsoft 更新服務的位置] 原則。

設定以用戶端為目標 (如果適用)

如果您已選擇使用以用戶端為目標,現在應為您要設定的用戶端電腦指定適當的電腦群組。

注意

這些步驟假設您剛完成設定用戶端電腦的編輯原則步驟。

  1. 在 [管理從 Windows Server Update Service 提供的更新] 詳細資料窗格上,按兩下 [啟用以用戶端為目標]。 [啟用以用戶端為目標] 原則隨即開啟。

  2. 選取 [啟用],然後在 [此電腦的目標群組名稱] 方塊中,輸入您要新增用戶端電腦的 WSUS 電腦群組名稱。

    如果您是執行最新版本的 WSUS,則可以輸入多個群組名稱 (以冒號隔開),將用戶端電腦新增到多個電腦群組。 例如,您可以輸入 Accounting;Executive,將用戶端電腦新增到 Accounting 和 Executive 電腦群組。

  3. 選取 [確定],以關閉 [啟用以用戶端為目標] 原則。

2.6.3. 讓用戶端電腦連線至 WSUS 伺服器

用戶端電腦在第一次連線至 WSUS 伺服器前,不會在 WSUS 管理主控台中出現。

  1. 請等候原則變更在用戶端電腦上生效。

    如果您使用 Active Directory 型 GPO 設定用戶端電腦,群組原則更新機制需要一些時間才能將變更傳遞至用戶端電腦。 如果您想要加速此過程,則可以使用提升權限開啟 [命令提示字元] 視窗,然後輸入 gpupdate /force 命令。

    如果您使用本機群組原則編輯器設定個別用戶端電腦,變更會立即生效。

  2. 重新啟動用戶端電腦。 此步驟確保電腦上的 Windows Update 軟體可偵測到原則變更。

  3. 讓用戶端電腦掃描更新。 此掃描一般需要一些時間。

    您可以使用下列選項之一來加速程序:

    • 在 Windows 10 或 11 上,使用 [設定] 應用程式的 Windows Update 頁面手動檢查更新。
    • 在 Windows 10 之前的 Windows 版本上,使用 [控制台] 中的 [Windows Update] 圖示手動檢查更新。
    • 在 Windows 10 之前的 Windows 版本上,請使用提升權限開啟 [命令提示字元] 視窗,然後輸入 wuauclt /detectnow 命令。

2.6.4 驗證用戶端電腦成功連線至 WSUS 伺服器

如果您已成功執行上述所有步驟,將看到下列結果:

  • 用戶端電腦成功掃描更新。 (可能找到或找不到可以下載和安裝的任何適用更新。)

  • 用戶端電腦約會在 20 分鐘內根據目標類型,出現在 WSUS 管理主控台中顯示的電腦清單內:

    • 如果您是使用以伺服器端為目標,用戶端電腦會在 [所有電腦] 和 [尚未指派的電腦] 電腦群組中出現。

    • 如果您是使用以用戶端為目標,用戶端電腦會在 [所有電腦] 電腦群組及您在設定用戶端電腦時所選的電腦群組中出現。

2.6.5. 設定用戶端電腦的以伺服器端為目標 (如果適用)

如果您是使用以伺服器端為目標,現在應將新的用戶端電腦新增到合適的電腦群組。

  1. 在 WSUS 管理主控台中,尋找新的用戶端電腦。 用戶端電腦應在 WSUS 伺服器電腦清單中的 [所有電腦] 和 [尚未指派的電腦] 電腦群組中出現。

  2. 以滑鼠右鍵按一下用戶端電腦,然後選取 [變更成員資格]

  3. 在對話方塊中,選取合適的電腦群組,然後選取 [確定]