none
如何禁止客户端电脑从Internet更新,只从wsus服务器更新 RRS feed

  • 问题

  • 我司在Windows server 2019上搭建了WSUS服务,之后把客户端加入了WSUS服务器,

    发现以下奇怪的问题:

    1、部分客户端无法从WSUS上下载补丁。

    2、客户端上显示补丁下载进度为0%

    3、客户端还会通过Internet下载补丁,而不经过WSUS服务器(已经指定了更新服务器地址,禁用了所有Windows更新访问功能组策略)

    4、客户端一直尝试连接此地址:slscr.update.microsoft.com:443,每隔几分钟就访问一次。这样大量浪费公司带宽。

    麻烦给出建议和提供禁止客户端从Internet获取更新的方法。谢谢

    2021年7月13日 7:44

全部回复

  • hi Jason,

    感谢你到此论坛上贴。

    首先我想跟您确认一下基本信息。首先计算机从WSUS获取更新,我们要首先在WSUS控制台上审批相应的更新,等WSUS服务器下载完成了相应的更新包以后,计算机(客户端windows代理)会在下一次扫描周期内从WSUS扫描需要安装的更新,然后评估此更新是不是我需要的,然后根据组策略设置,在指定的方式下载和安装更新。

    你当前的问题是:你在WSUS控制台上审批了更新,但是客户端显示更新下载进度为0%。对吗?

    3、客户端还会通过Internet下载补丁,而不经过WSUS服务器(已经指定了更新服务器地址,禁用了所有Windows更新访问功能组策略)

    我们可以给客户端应用一下组策略:

    这个问题主要是双扫描导致的,双扫描的意思是计算机即可以从WSUS扫描需要的更新又可以从Windows Update 扫描需要更新,应用此更新可以禁止计算机禁止从Windows Update扫描。

    4、客户端一直尝试连接此地址:slscr.update.microsoft.com:443,每隔几分钟就访问一次。这样大量浪费公司带宽。

    其实我也不确定计算机访问这个站点的目的是做什么,如果你想计算机完全禁止访问Windows Update, 建议你应用一下策略:

    希望以上会对你帮助,感谢你的时间。



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月14日 6:45
  • Hi Rita,

    首先非常感谢你提供的建议和方法。

    关于你提供的禁止Internet下载更新的方法我会去测试。

    1、现在又很多客户端都提示从WSUS服务器中下载更新进度为0%,这个要怎么处理。

    2、还有如何检查客户端和服务器的通信是正常的。有部分客户端显示10多天没有与服务器联系,但是这台客户端天天开机,还能访问WSUS服务器的共享。

    3、客户端的列表如何导出,可以自动清理10天以上不联系的客户端吗?清理后,服务器会对局域网内的客户端进行搜索再重新添加吗?

    盼复!


    2021年7月14日 9:34
  • 1、现在又很多客户端都提示从WSUS服务器中下载更新进度为0%,这个要怎么处理。

    请问你发现这种状况有多久了?

    2、还有如何检查客户端和服务器的通信是正常的。有部分客户端显示10多天没有与服务器联系,但是这台客户端天天开机,还能访问WSUS服务器的共享

    我们一般是在客户端上打开IE浏览器,然后输入 http://WSUS 服务器的名称:8530/selfupdate/iuident.cab 这个URL,如果连接正常的话,会有.cab的包下在客户端。 根据你的环境填写WSUS的服务器名称

    3、客户端的列表如何导出,可以自动清理10天以上不联系的客户端吗?清理后,服务器会对局域网内的客户端进行搜索再重新添加吗?

    盼复!

    这个功能可能要通过脚本实现,WSUS暂时没有内置的功能可以实现。



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月14日 10:10
  • Rita,

    1、出现无法下载的情况已经有好久一段时间了。使用以下代码都无法解决。

    net stop wuauserv
    rd C:\Windows\SoftwareDistribution /s /q
    net start wuauserv

    这个有没有更好的方法解决?

    2、那个文件可以下载,下载了有什么作用?

    2021年7月15日 9:31
  • 你好,

    我们应该首先确认一下,审批的更新在WSUS服务器上有没有被成功的下载下来。请参考以下图片:

    文件下载表示客户端与WSUS服务器的网络连接是正常的,那我们可以排除网络不正常导致更新下载失败。其实这个也有可能是客户端的问题,如果WSUS服务器显示更新下载正常的话,这边建议先在客户端上重置一下WIndows组件。具体操作步骤,请参考以下链接:

    https://docs.microsoft.com/en-us/windows/deployment/update/windows-update-resources

    如果关于此case有任何跟进,请及时与我保持沟通。如果以上步骤对您有帮助的话,记得标记答案。

    感谢你的支持,祝您生活愉快。

    诚挚问候,

    Rita



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月16日 2:37
  • Rita,

    我检查了WSUS服务器上面的补丁都是已经下载完成的。

    请查看下图:

    那个重置WSUS组件的命令,我前一个回复的命令是一样的。没有效果。有没有别的办法处理?谢谢

    2021年7月16日 8:00
  • 请问你是启用了自动审批规则吗?感觉像是卡住了。这些是驱动的相关更新吧?一下审批了有几万个更新

    就我个人而言,我并不建议启用自动审批规则。所有的显示需要的更新都会被审批,一来是有很大一部分更新是被取代的,对WSUS服务器来说负载挺大的。其次是一次性审批多个更新,客户端的bits可能会出错。



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.




    2021年7月16日 8:20
  • Hello Jason.MrC,

    请问当前的case进展如何?请问你是否启用了自动审批规则审批了驱动更新?

    如果关于此case有任何跟进,请及时与我保持联系。

    诚挚问候,

    Rita



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月19日 5:55
  • Rita,你好!

    是启用了自动审批规则审批了驱动更新,如果不启用的话,公司那么多型号的电脑怎么确认哪些驱动是合适的,再进行审批?而且手工审批的增加太多的工作量了。

    有更好的方法吗?

    2021年7月22日 0:29
  • Rita,你好!

    我今天把自动审批规则取消了审批驱动更新,再通过选项中的服务器清理程序,进行补丁清理。

    但出现以下情况,我有什么办法可以把被替代、过期的更新清理呢?

    错误截图:

    2021年7月22日 1:56
  • 你好,

    我建议先进行以管理员身份打开SSMS, 然后参照此链接然后reindex WSUS database. 然后再尝试重新打开WSUS控制台,运行清理向导。

    如果你之前没有配置过IIS站点,建议参考此链接重新配置IIS站点。

    WSUS并不是部署驱动更新的最好方式,我研究了微软的官方文档,最好的部署方式Microsoft Intune, 具体请参考此链接

    希望以上对你有帮助。

    诚挚问候,

    Rita



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月23日 1:54
  • Rita,

    你好!

    谢谢提出建议。我这边会进行测试。谢谢

    2021年7月27日 0:04
  • 不客气。如果有任何问题,请及时与我保持沟通。

    诚挚问候,

    Rita



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月27日 0:13
  • 你好!

    我司的WSUS使用的是内部数据库,没办法运行SMSS,reindex WSUS database.有别的方法可以解决清理补丁的问题吗?

    现在存放更新补丁的磁盘都满了,非常紧急。

    盼复!

    2021年7月29日 7:08
  • 有没有使用powershell或者CMD下面输入命令对WSUS服务器不用、过期、被取代的补丁进行删除?
    2021年7月29日 7:10
  • 这边有个链接,链接里的脚本可能能帮助到你。


    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年7月29日 8:12
  • 你好!

    我使用你提供的连接上的WSUS-Decline-Superseded-Updates.ps1 脚本,在powershell 中输入了以下命令。

    但是都没有帮忙删除相应的补丁。

    .\WSUS-Decline-Superseded-Updates.ps1 -UpdateServer SERVERNAME -Port 8530 –SkipDecline

    .\WSUS-Decline-Superseded-Updates.ps1 -UpdateServer SERVERNAME -Port 8530 –ExclusionPeriod 60

    .\WSUS-Decline-Superseded-Updates.ps1 -UpdateServer SERVERNAME -Port 8530

    想问下还有别的方法可以删除已过期和没有审批的补丁?

    以下是powershell运行截图:

    2021年7月30日 2:41
  • 因为有一部分更新即使你拒绝了也不能清理掉,因为实际清理还是会调用清理向导。实际即使是被取代的更新,但是计算机仍然显示需要,也是不会拒绝和清理掉的。

    这边建议你可以参考此链接先卸载WSUS ,然后尝试重装。

    重装请参考此链接



    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年8月2日 2:29