共用方式為

步驟 2:設定 WSUS

在伺服器上安裝 Windows Server Update Services (WSUS) 伺服器角色後,需要正確設定該角色。 您也需要設定用戶端電腦,以從 WSUS 伺服器接收其更新。

2.1. 設定網路連線

開始設定程序之前,務必確定您知道下列問題的答案:

  • 伺服器防火牆是否設定成允許用戶端存取伺服器?

  • 這部計算機可以連線到上游伺服器(指定從 Microsoft Update 下載更新的伺服器)嗎?

  • 如果需要的話,您有 Proxy 伺服器的名稱和使用者認證嗎?

您然後可以進行下列 WSUS 網路設定:

  • 更新:指定此伺服器應取得更新的方式(從 Microsoft Update 或其他 WSUS 伺服器)。

  • Proxy:如果您識別 WSUS 需要使用 Proxy 伺服器來存取因特網,請在 WSUS 伺服器中設定 Proxy 設定。

  • 防火牆:如果您發現 WSUS 位於公司防火牆後方,請在邊緣設備採取額外措施以允許 WSUS 通訊。

重要

如果您只有一部 WSUS 伺服器,它必須具有因特網存取權,因為它需要從Microsoft下載更新。 如果您有多部 WSUS 伺服器,只要一部伺服器可以存取網際網路即可。 其他伺服器只需要能夠透過網路連線到已連接網際網路的 WSUS 伺服器。 用戶端電腦不需要因特網存取。 它們只需要對 WSUS 伺服器進行網路存取。

小提示

如果您的網路是 物理隔離的——如果它完全無法存取因特網,您仍然可以使用 WSUS 來提供網路上用戶端電腦的更新。 此方法需要兩部 WSUS 伺服器。 一部可以存取網際網路的 WSUS 伺服器負責收集來自 Microsoft 的更新。 在受保護網路上的第二部 WSUS 伺服器提供更新給用戶端電腦。 更新會從第一部伺服器匯出到可移除媒介,通過空氣隔離後,再匯入到第二部伺服器。 此設定是進階的,且超出本文的範圍。

2.1.1. 請設定防火牆,允許第一部 WSUS 伺服器連線到網際網路上的 Microsoft 網域

如果 WSUS 與網際網路之間設有公司防火牆,可能需要設定防火牆以確保 WSUS 可以取得更新。 若要從 Microsoft Update 取得更新,WSUS 伺服器會將連接埠 80 和 443 用於 HTTP 和 HTTPS 通訊協定。 儘管大部分公司防火牆允許這類流量,但是有些公司因為安全性原則的緣故,限制伺服器的網際網路存取。 如果您的公司限制存取,您必須設定防火牆,以允許 WSUS 伺服器存取Microsoft網域。

你的第一部 WSUS 伺服器必須對下列網域擁有連接埠 80 和 443 的向外的連線權限:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

如果您要管理需要Microsoft Configuration Manager 的 Microsoft 365 更新,請參閱 使用 Microsoft Configuration Manager 管理 Microsoft 365 Apps 的更新 ,以取得您需要允許之網域的詳細資訊。

重要

您必須設定防火牆,允許第一部 WSUS 伺服器存取這些網域內的任何 URL。 與這些網域相關的 IP 位址會不斷變更,因此請勿嘗試使用 IP 位址範圍。

2.1.2. 請設定防火牆,允許其他 WSUS 伺服器連線到第一部伺服器

如果您有多個 WSUS 伺服器,您應該設定其他 WSUS 伺服器來存取第一部 (最上層) 伺服器。 您的其他 WSUS 伺服器接著會從最上層的伺服器接收其所有更新資訊。 此設定可讓您使用最頂層伺服器上的 WSUS 管理主控台,來管理整個網路。

您的其他 WSUS 伺服器必須透過兩個連接埠輸出存取最頂層伺服器。 根據預設,這些埠為8530和8531。 您可以變更這些埠,如本文稍後將 WSUS 伺服器的 IIS 網頁伺服器設定為使用 TLS 來進行某些連線 中所述。

備註

如果 WSUS 伺服器之間的網路連線緩慢或昂貴,則可以設定其他一部或多部 WSUS 伺服器直接從 Microsoft 接收更新承載。 在此情況下,只有少量的數據會從這些 WSUS 伺服器傳送到最上層的伺服器。 若要讓此組態運作,其他 WSUS 伺服器必須能夠存取與最頂層伺服器相同的網際網路網域。

備註

如果您擁有大型組織,則可以使用連線的 WSUS 伺服器鏈結,而非讓所有其他 WSUS 伺服器直接連線到最頂層伺服器。 例如,您可以讓第二部 WSUS 伺服器連線到最頂層伺服器,然後讓其他 WSUS 伺服器連線到第二部 WSUS 伺服器。

2.1.3. 必要時請設定 WSUS 伺服器使用 Proxy 伺服器

如果公司網路使用 Proxy 伺服器,Proxy 伺服器必須支援 HTTP 和 HTTPS 通訊協定。 這些伺服器也必須使用基本驗證或 Windows 驗證。 您可以使用下列其中一項設定來滿足這些需求:

  • 支援兩種通訊協定通道的單一 Proxy 伺服器。 在這個情況下,請設定一個通道使用 HTTP,並設定另一個通道使用 HTTPS。

    備註

    您可以設定一個 Proxy 伺服器,在 WSUS 伺服器軟體安裝期間處理 WSUS 的兩個通訊協定。

  • 兩個 Proxy 伺服器,每個伺服器支援單一通訊協定。 在此情況下,請將一部 Proxy 伺服器設定為使用 HTTP,而另一部 Proxy 伺服器則使用 HTTPS。

設定 WSUS 使用兩個 Proxy 伺服器

  1. 使用本機系統管理員群組成員的帳戶,登入您打算用來作為WSUS伺服器的計算機。

  2. 安裝 WSUS 伺服器角色。 當您使用 WSUS 設定精靈時,如 使用 WSUS 設定精靈設定 WSUS 中所述,請勿指定 Proxy 伺服器。

  3. 以系統管理員身分開啟命令提示字元 (Cmd.exe):

    1. [開始] 功能表上,搜尋 命令提示字元
    2. 以滑鼠右鍵按兩下 [命令提示字元],然後選取 [ 以系統管理員身分執行]。
    3. 如果出現 [用戶帳戶控制] 對話框,請輸入適當的認證(如有要求),確認其顯示的動作是您想要的,然後選取 [繼續]。

  4. 在命令提示字元中,移至 C:\Program Files\Update Services\Tools 資料夾。 輸入下列命令:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    在該命令中:

    • proxy_server 是指支援 HTTPS 的 Proxy 伺服器名稱。

    • proxy_port 是指 Proxy 伺服器的連接埠號碼。

  5. 關閉命令提示字元。

在 WSUS 設定中新增 Proxy 伺服器

  1. 開啟 WSUS 系統管理主控台。

  2. [更新服務] 底下,展開伺服器名稱,然後選取 [ 選項]。

  3. 在 [ 選項] 窗格中,選取 [ 更新來源和 Proxy 伺服器],然後移至 [Proxy 伺服器 ] 索引標籤。

  4. 選取 [同步處理時使用 Proxy 伺服器],然後在對應的方塊中輸入 Proxy 伺服器的名稱和埠號碼。 預設連接埠號碼為 80。

  5. 如果 Proxy 伺服器要求您使用特定的用戶帳戶,請選取 [使用使用者認證連線到 Proxy 伺服器]。 在對應的方塊中輸入必要的用戶名稱、網域和密碼。

  6. 如果 Proxy 伺服器支援基本身份驗證,請選取 [允許基本身份驗證](以純文字傳送密碼)。

  7. 選擇確定

將 Proxy 伺服器從 WSUS 設定中移除

  1. 在 WSUS 管理控制台的 [更新服務] 底下,展開伺服器名稱,然後選取 [ 選項]。

  2. 在 [ 選項] 窗格中,選取 [ 更新來源和 Proxy 伺服器],然後移至 [Proxy 伺服器 ] 索引標籤。

  3. 取消勾選 [同步處理時使用代理伺服器] 核取方塊。

  4. 選擇確定

2.1.4. 設定防火牆,允許用戶端電腦存取 WSUS 伺服器

用戶端電腦都需要連線到其中一部 WSUS 伺服器。 每部用戶端計算機都必須具有WSUS伺服器上兩個埠的輸出存取權。 根據預設,這些埠為8530和8531。

2.2. 透過使用 WSUS 設定精靈來設定 WSUS

下列各節中的程式會使用 WSUS 設定精靈來設定 WSUS 設定。 第一次啟動 WSUS 管理控制台時,會出現 WSUS 設定精靈。 您也可以使用 WSUS 管理控制台中的 [ 選項 ] 窗格來設定 WSUS 設定。 如需使用 [選項] 窗格的詳細資訊,請參閱本文其他章節中的下列程式:

啟動精靈並設定初始設定

  1. 在 [伺服器管理員] 儀錶板中,選取 [工具>][Windows Server Update Services]。

    備註

    如果出現 [ 完成 WSUS 安裝 ] 對話框,請選取 [ 執行]。 在 [ 完成 WSUS 安裝 ] 對話框中,選取 [安裝成功完成時 關閉 ]。

    [WSUS 設定精靈] 隨即開啟。

  2. 在您開始前 頁面上檢閱資訊,然後選取 下一步

  3. 在 [ 加入Microsoft更新改進計劃 ] 頁面上,閱讀指示。 如果您想要參加方案,請保留預設選取項目,否則請清除核取方塊。 然後選取下一步

設定上游和 Proxy 伺服器設定

  1. 在 [ 選擇上游伺服器] 頁面上,選取下列其中一個選項:

    • 從 Microsoft Update 同步處理

    • 從另一部 Windows Server Update Services 伺服器同步處理

    如果您選擇從另一部 WSUS 伺服器進行同步處理,請執行下列步驟:

    1. 指定此伺服器應該與上游伺服器通訊的伺服器名稱和埠。

    2. 若要使用 TLS,請在 同步處理更新資訊時選取 [使用 SSL]。 伺服器會使用埠 443 進行同步處理。 (請確定此伺服器和上游伺服器支援 TLS。)

    3. 如果此伺服器是複本伺服器,請選取 [這是上游伺服器的複本]。

  2. 選取部署的選項後,選取 [下一步]

  3. 如果 WSUS 需要 Proxy 伺服器才能存取因特網,請設定下列 Proxy 設定。 否則,請略過此步驟。

    1. 在 [ 指定 Proxy 伺服器 ] 頁面上,選取 [ 同步處理時使用 Proxy 伺服器]。 然後在對應的方塊中輸入 Proxy 伺服器名稱和連接埠號碼 (預設為連接埠 80)。

    2. 如果您想要使用特定使用者認證連線到 Proxy 伺服器,請選取 [使用使用者認證連線到 Proxy 伺服器]。 然後在對應的方塊中輸入使用者名稱、網域和密碼。

      如果您想要為連線到 Proxy 伺服器的使用者啟用基本身份驗證,請選取 [允許基本身份驗證](以純文本傳送密碼)。

  4. 選取 [下一步]

  5. 在 [ 連接到上游伺服器 ] 頁面上,選取 [開始連線]。

  6. WSUS 連線到伺服器時,請選取 [下一步]

選取語言、產品和分類

  1. 在 [ 選擇語言] 頁面上,您可以選取 WSUS 接收更新的語言:所有語言或語言子集。 選取語言子集可節省磁碟空間,但請務必選取此 WSUS 伺服器的所有用戶端所需的所有語言。

    如果您選擇只需特定語言的更新,請選取 [只下載下列語言的更新],然後選取您想要更新的語言。 否則請保留預設選項。

    警告

    如果您選取 僅下載這些語言的更新 選項,而且此伺服器已連線到下游的 WSUS 伺服器,則此選項會強制下游伺服器也只使用選取的語言。

  2. 選取 [下一步]

  3. 在 [ 選擇產品] 頁面上,指定您要更新的產品。 選取產品類別,例如 Windows 或特定產品,例如 Windows Server 2019。 選取產品類別將會選取該類別中的所有產品。

  4. 選取 [下一步]

  5. 在 [選擇分類] 頁面上選取想要取得的更新分類。 選取所有分類或子集,然後選取 [ 下一步]。

設定同步排程

  1. 在 [ 設定同步排程] 頁面上,選取要手動或自動執行同步處理。

    • 如果選取 [手動同步處理],必須從 WSUS 管理主控台啟動同步處理程序。

    • 如果您 選取 [自動同步處理],WSUS 伺服器會以設定的間隔進行同步處理。

      針對 [第一次同步處理],設定時間,然後指定您希望此伺服器執行的每日同步處理數目。 例如,如果您每天指定四個同步處理,從上午 3:00 開始,同步處理會在上午 3:00、上午 9:00、下午 3:00 和下午 9:00 發生。

  2. 選取 [下一步]

完成精靈

  1. 在 [ 完成 ] 頁面上,如果您想要立即啟動同步處理,請選取 [ 開始初始同步處理]。 如果沒有選取這個選項,則需要使用 WSUS 管理主控台執行初始同步處理。

  2. 如果您想要深入瞭解其他設定,請選取 [ 下一步]。 否則,請選取 [完成] 以結束精靈並完成初始 WSUS 設定。

選取 [完成] 後,WSUS 管理主控台隨即出現。 您可以使用此控制台來管理 WSUS 網路,如本文稍後章節所述。

2.3. 使用 TLS 通訊協定保護 WSUS

您應該使用 TLS 通訊協議來協助保護您的 WSUS 網路。 WSUS 可以使用 TLS 來驗證連線,以及加密和保護更新資訊。

警告

使用 TLS 通訊協定保護 WSUS 對於網路的安全性很重要。 如果您的 WSUS 伺服器未正確使用 TLS 來保護其連線,攻擊者可能會在從一部 WSUS 伺服器傳送到另一部 WSUS 伺服器或從 WSUS 伺服器傳送至用戶端電腦時修改重要的更新資訊。 在此情況下,攻擊者可以在用戶端計算機上安裝惡意軟體。

重要

設定為使用 TLS 或 HTTPS 的用戶端和下游伺服器也必須設定為使用其上游 WSUS 伺服器的完全合格的網域名稱(FQDN)。

2.3.1. 在 WSUS 伺服器的 IIS 服務上啟用 TLS/HTTPS,以使用 TLS/HTTPS

若要開始使用 TLS/HTTPS 的程式,您必須在 WSUS 伺服器的 Internet Information Services (IIS) 服務上啟用 TLS 支援。 這項工作牽涉到為伺服器建立 TLS/安全套接字層 (SSL) 憑證。

為伺服器取得 TLS/SSL 憑證所需的步驟超出本文的範圍,並取決於您的網路設定。 如需如何安裝憑證和設定此環境的詳細資訊和指示,請參閱 Active Directory 憑證服務的檔。

2.3.2. 將 WSUS 伺服器的 IIS 網頁伺服器設定為針對某些連線使用 TLS

WSUS 需要兩個連接埠才能連線到其他 WSUS 伺服器和用戶端電腦。 一個埠會使用 TLS/HTTPS 來傳送更新 元數據 (更新的重要資訊)。 根據預設,埠 8531 會用於此用途。 第二個連接埠使用 HTTP 傳送更新承載。 根據預設,埠 8530 會用於此用途。

重要

您無法將整個 WSUS 網站設定為需要 TLS。 WSUS 在設計上僅可加密更新中繼資料。 Windows Update 會以相同方式散發更新。

若要防止攻擊者竄改更新承載,所有更新承載都會透過一組特定的信任簽署憑證進行簽署。 此外,系統會針對每個更新承載計算密碼編譯哈希。 此雜湊與其他用於更新的中繼資料會透過安全的 HTTPS 中繼資料連線傳送至用戶端電腦。 下載更新時,用戶端軟體會驗證承載的數位簽章和雜湊。 如果更新已變更,便不會進行安裝。

您應該只針對下列 IIS 虛擬根目錄要求 TLS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

您不應該針對下列虛擬根目錄要求 TLS:

  • 內容

  • 存貨

  • ReportingWebService

  • 自動更新

憑證授權單位 (CA) 的憑證必須匯入每部 WSUS 伺服器本機電腦的受信任的根 CA 存放區,或 WSUS 的受信任的根 CA 存放區 (如果存在)。

如需如何在 IIS 中使用 TLS/SSL 憑證的詳細資訊,請參閱 如何在 IIS 7 或更新版本上設定 SSL

重要

您必須使用本機電腦的憑證存放區。 您無法使用使用者的憑證存放區。

一般而言,您應設定 IIS 在 HTTPS 連線中使用連接埠 8531,並在 HTTP 連線中使用連接埠 8530。 如果您變更這些連接埠,則需使用兩個相鄰的連接埠號碼。 用於 HTTP 連線的連接埠號碼必須比用於 HTTPS 連線的連接埠號碼少 1。

如果伺服器名稱、TLS 組態或埠號碼變更,您必須重新初始化 ClientServicingProxy 用戶端 Proxy。

2.3.3. 將 WSUS 設定為其用戶端連線使用 TLS/SSL 簽署憑證

  1. 使用屬於 WSUS Administrators 群組或本機系統管理員群組成員的帳戶登入 WSUS 伺服器。

  2. 在 [ 開始] 功能表上,輸入 CMD,以滑鼠右鍵按兩下 [命令提示字元],然後選取 [ 以系統管理員身分執行]。

  3. 移至 C:\Program Files\Update Services\Tools 資料夾。

  4. 在命令提示字元中,輸入下列命令:

    wsusutil configuressl <certificate-name>

    在該命令中, certificate-name 是 WSUS 伺服器的域名系統 (DNS) 名稱。

2.3.4. 視需要保護 SQL Server 連線。

如果您使用 WSUS 搭配遠端 SQL Server 資料庫,則 WSUS 伺服器與資料庫伺服器之間的連線不會透過 TLS 保護。 這種情況會產生潛在的攻擊向量。 若要協助保護此連線,請考慮下列建議:

  • 將 WSUS 資料庫移到 WSUS 伺服器。

  • 將遠端資料庫伺服器與 WSUS 伺服器移到私人網路。

  • 部署網際網路通訊協定安全性 (IPsec) 以協助確保網路流量的安全。 如需有關 IPsec 的詳細資訊,請參閱 建立和使用 IPsec 原則

2.3.5. 視需要建立本機發佈的程式碼簽署憑證。

除了提供由 Microsoft 散發的更新之外,WSUS 還支援本地發佈。 您可以使用本機發佈來建立和分配由您自行設計的更新包,包括您自己的負載和行為。

啟用和設定本機發佈超出本文範圍。 如需完整詳細資料,請參閱本機發佈

重要

本機發佈是一項複雜的程序,常不需要執行。 在決定啟用本機發佈之前,您應該仔細檢閱文件,並考慮是否要使用這項功能,以及如何使用它。

2.4. 設定 WSUS 電腦群組

電腦群組是有效使用 WSUS 的重要環節。 您可以使用計算機群組來測試特定計算機的更新,並將更新設為目標。 預設電腦群組有兩個:[所有電腦] 群組和 [尚未指派的電腦] 群組。 根據預設,當每個用戶端電腦第一次連絡 WSUS 伺服器的時候,伺服器會將這個用戶端電腦新增到這兩個群組中。

您可以依需要的數量建立許多自訂電腦群組,以管理組織中的更新。 最佳做法是至少建立一個電腦群組來測試更新,然後再將這些更新部署到組織的其他電腦。

2.4.1. 選擇將用戶端電腦指派給電腦群組的方法

共有兩種方法可以將用戶端電腦指派給電腦群組。 組織的正確方法取決於您通常如何管理客戶端計算機。

  • 伺服器端目標:此方法是預設的。 在此方法中,您使用 WSUS 管理主控台將用戶端電腦指派給電腦群組。

    您可以透過此方法,在情況變更時靈活地、快速地將用戶端電腦從一個群組移至另一個群組。 但因此,您必須手動將新的用戶端計算機從 [未指派的計算機] 群組移至適當的計算機群組。

  • 以用戶端為目標:在此方法中,您可以使用在用戶端電腦上設定的原則設定,將每部用戶端電腦指派給電腦群組。

    此方法能夠更輕鬆地將新的用戶端電腦指派給合適的群組。 這樣做是設定用戶端電腦從 WSUS 伺服器接收更新的一部分。 但因此,您無法透過 WSUS 管理控制台將用戶端電腦指派給計算機群組,或將它們從一個電腦群組移至另一個電腦群組。 相反地,您必須修改用戶端計算機的原則。

2.4.2. 啟用用戶端目標設定(若適用)

重要

如果您打算使用伺服器端目標,請略過本節中的步驟。

  1. 在 WSUS 管理控制台的 [更新服務] 底下,展開 [WSUS 伺服器],然後選取 [ 選項]。

  2. 在 [ 選項] 窗格中,選取 [ 計算機]。 移至 [ 一般] 索引標籤,然後選取 [ 在計算機上使用組策略或登錄設定]。

2.4.3. 建立所需的電腦群組

備註

無論是使用以伺服器端為目標或以用戶端為目標方法來將用戶端電腦新增到電腦群組,都需要使用 WSUS 管理主控台建立電腦群組。

  1. 在 WSUS 管理主控台中,展開 [更新服務] 下的 WSUS 伺服器,然後展開 [電腦],以滑鼠右鍵按一下 [所有電腦],然後選取 [新增電腦群組]

  2. 在 [新增電腦群組] 對話方塊中,在 [名稱] 中指定新群組的名稱。 然後選取 新增

2.5. 設定客戶端電腦以建立與 WSUS 伺服器的 TLS 連線

假設您設定 WSUS 伺服器以協助使用 TLS 保護用戶端電腦的連線,您必須將用戶端電腦設定為信任這些 TLS 連線。

WSUS 伺服器的 TLS/SSL 憑證必須匯入用戶端電腦的受信任根 CA 存放區,或者匯入用戶端電腦的自動更新服務的受信任根 CA 存放區(如果存在)。

重要

您必須使用本機電腦的憑證存放區。 您無法使用使用者的憑證存放區。

用戶端電腦必須信任您繫結至 WSUS 伺服器的憑證。 根據所使用的憑證類型,您可能需要設定一個服務,以便讓用戶端電腦信任繫結到 WSUS 伺服器的憑證。

如果您使用本機發佈,您也應設定用戶端電腦信任 WSUS 伺服器的程式碼簽署憑證。 如須說明,請參閱本機發佈

2.6. 設定用戶端電腦,以接收來自 WSUS 伺服器的更新

您的用戶端電腦預設為從 Windows Update 接收更新。 這些電腦必須設定為從 WSUS 伺服器接收更新。

重要

本文章提供使用群組原則設定用戶端電腦的一組步驟。 這些步驟在許多情況下都適用。 但許多其他選項仍可用於設定用戶端電腦上的更新行為,包括使用行動裝置管理。 如需這些選項之文件,請參閱 管理其他 Windows Update 設定

2.6.1. 選擇要編輯的正確政策組

如果您的網路中已設定 Active Directory,您可以同時設定一或多部計算機,方法是將它們納入組策略物件 (GPO),然後使用 WSUS 設定來設定該 GPO。

建議您建立只包含 WSUS 設定的新 GPO。 將這個 WSUS GPO 連結到適合您環境的 Active Directory 容器。

在簡單的環境中,您可以將單一 WSUS GPO 連結到網域。 在更複雜的環境中,您可能會將多個 WSUS GPO 連結至數個組織單位 (OU)。 當您將 GPO 連結至 OU 時,您可以將 WSUS 原則設定套用至不同類型的電腦。

如果您未在網路中使用 Active Directory,則必須使用本地組原則編輯器來設定每部電腦。

2.6.2. 編輯政策以配置用戶端電腦

請執行下列各節中的步驟,使用原則設定來設定客戶端計算機。

備註

這些說明假設您使用最新版的原則編輯工具。 在舊版工具上,原則的排列方式可能有所不同。

開啟原則編輯器,並移至 Windows Update 專案

  1. 開啟合適的政策物件:

    • 如果您使用 Active Directory,請開啟組策略管理控制台,移至您要設定 WSUS 的 GPO,然後選取 [ 編輯]。 然後展開 [計算機設定],然後展開 [ 原則]。
    • 如果您不是使用 Active Directory,請開啟本機群組原則編輯器。 本機電腦原則隨即出現。 展開 電腦設定

  2. 在上一個步驟中展開的物件中,展開 [ 系統管理範本>] [Windows 元件>Windows Update]。 如果您的作系統是 Windows 10 或 Windows 11,也請選取 [管理用戶體驗]。

編輯自動更新的設定

  1. 在詳細資料窗格上,按兩下 [設定自動更新] 。 [設定自動更新] 原則隨即開啟。

  2. 選取 [已啟用],然後在 [ 設定自動更新 ] 設定下選取所需的選項,以管理自動更新功能應如何下載並安裝核准的更新。

    建議您使用 [自動下載和排程安裝] 設定。 它可確保您在 WSUS 中核准的更新會以及時的方式下載並安裝,而不需要使用者介入。

  3. 如有需要,請編輯原則的其他部分。 如需詳細資訊,請參閱 管理其他 Windows Update 設定

    備註

    從其他Microsoft產品安裝更新設定不會影響從 WSUS 接收更新的用戶端電腦。 用戶端電腦會收到 WSUS 伺服器上核准的所有更新。

  4. 選取 [確定] 以關閉 [設定自動更新] 原則。

編輯設定,以指定要裝載更新的內部網路伺服器

  1. 在詳細窗格中,按兩下 指定內部網路Microsoft更新服務位置。 如果您的作系統是 Windows 10 或 Windows 11,請先回到樹狀結構的 Windows Update 節點,然後選取 [ 管理從 Windows Server Update Service 提供的更新]。

    指定內部網路 Microsoft 更新服務位置的政策開啟。

  2. 選取 [已啟用],然後在 [ 設定內部網络更新服務以偵測更新 ] 和 [ 設定內部網络統計數據伺服器 ] 方塊中輸入 WSUS 伺服器的 URL。

    警告

    請務必在 URL 中包含正確的連接埠。 假設您已將伺服器設定為如建議使用 TLS,您應該指定針對 HTTPS 設定的埠。 例如,如果您選擇針對 HTTPS 使用埠 8531,而且伺服器的網域名稱是 wsus.contoso.com,您應該在這兩個欄位中輸入 https://wsus.contoso.com:8531

  3. 選取 [確定] 關閉 [指定內部網路 Microsoft 更新服務位置] 原則。

配置客戶端側定位,如適用

如果您選擇使用用戶端目標,請執行本節中的步驟,為您要設定的用戶端電腦指定適當的計算機群組。

備註

這些步驟假設您剛完成編輯原則以設定用戶端計算機的步驟。

  1. 在原則編輯器中,移至 Windows Update 專案。 如果您的作系統是 Windows 10 或 Windows 11,也請選取 [管理從 Windows Server Update Service 提供的更新]。

  2. 在詳細資訊窗格中,按兩下 啟用客戶端目標。 啟用用戶端定位的原則已開啟。

  3. 選取 [啟用] 。 在 [此計算機的目標組名] 下,輸入您要新增用戶端計算機的 WSUS 計算機群組名稱。

    如果您是執行最新版本的 WSUS,則可以輸入多個群組名稱 (以冒號隔開),將用戶端電腦新增到多個電腦群組。 例如,您可以輸入 Accounting;Executive,將用戶端電腦新增到 Accounting 和 Executive 電腦群組。

  4. 選取確定以關閉啟用用戶端目標設定原則。

2.6.3. 讓用戶端電腦連線至 WSUS 伺服器

在用戶端電腦第一次連線到 WSUS 伺服器之前,不會出現在 WSUS 管理控制台中。

  1. 請等候原則變更在用戶端電腦上生效。

    如果您使用 Active Directory 型 GPO 來設定用戶端電腦,組策略更新機制需要一些時間才能將變更傳遞至用戶端電腦。 如果您想要加速此程式,您可以開啟具有更高許可權的命令提示字元,然後輸入命令 gpupdate /force

    如果您使用本地組原則編輯器來設定個別用戶端計算機,變更會立即生效。

  2. 重新啟動用戶端電腦。 此步驟確保電腦上的 Windows Update 軟體可偵測到原則變更。

  3. 讓用戶端電腦掃描更新。 此掃描一般需要一些時間。

    您可以使用下列選項之一來加速程序:

    • 在 Windows 10 或 11 上,使用 [設定] 應用程式 Windows Update 頁面手動檢查更新。
    • 在 Windows 10 之前的 Windows 版本上,使用 [控制台] 中的 [Windows Update] 圖示手動檢查更新。
    • 在 Windows 10 之前的 Windows 版本上,以較高的許可權開啟命令提示字元,然後輸入 wuauclt /detectnow 命令。

2.6.4 驗證用戶端電腦成功連線至 WSUS 伺服器

如果您已成功執行所有先前的步驟,您會看到下列結果:

  • 用戶端電腦成功掃描更新。 (可能會找到或找不到任何可以下載和安裝的更新。)

  • 用戶端電腦約會在 20 分鐘內根據目標類型,出現在 WSUS 管理主控台中顯示的電腦清單內:

    • 如果您正在使用伺服器端的目標設定,用戶端電腦會出現在 [所有電腦] 和 [尚未指派的電腦] 電腦群組中。

    • 如果您使用用戶端端目標設定,客戶端電腦會出現在 [所有電腦] 電腦群組中,以及您在設定客戶端電腦時選取的電腦群組中。

2.6.5. 設定用戶端電腦之伺服器端目標設定 (若適用)

如果您使用伺服器端目標設定,現在應將新的用戶電腦加入到適當的電腦群組。

  1. 在 WSUS 管理主控台中,尋找新的用戶端電腦。 電腦應當出現在 WSUS 伺服器的電腦清單中,包括 [所有電腦] 和 [尚未指派的電腦] 群組。

  2. 以滑鼠右鍵按一下用戶端電腦,然後選取 [變更成員資格]

  3. 在對話方塊中,選取合適的電腦群組,然後選取 [確定]

後續步驟

步驟 3:核准和部署更新