網管小賈 / sysadm.cc

書接上文，話說我給一哥們小M介紹 WSUS ，可給服務器批量安裝更新補丁，節約時間省去不少麻煩。

但是由于篇幅所限，我們隻說到了 WSUS 服務端的設置，接下來就讓我們趕快進入 WSUS 客戶端的設置說明吧！

前篇：《你時間多也不能那麼糟蹋啊，還挨個給服務器打補丁？趕緊上 WSUS 吧，超簡單哦！（上）》

客戶端如何配置

更新服務器準備就緒後，我們就可以來配置客戶端了。

指向更新服務器的客戶端配置有幾種方法可以做到，但基本原理都是一樣的。

我們可以通過組策略、注冊表，甚至寫個批處理文件導入設置就能實現。

組策略

不管是域組策略還是單機組策略都大同小異。

執行 gpedit.msc 打開組策略編輯器，依次找到 計算機配置 > 管理模闆 > Windows 組件 > Windows 更新 。

在右側設置窗口中找到兩項，一項是 配置自動更新 ，還有一項是 指定 Intranet Microsoft 更新服務位置 。

我們先來看看 配置自動更新 ，打開後選擇 已啟用 ，然後在下方選項中設置自動更新方法、計劃安裝日期和時間即可。

自動更新方法默認為 3 ，在此建議選擇 4 ，也就是自動下載并同時安裝。

因為隻有我們審批過更新才會被安裝，所以不用擔心自動安裝會帶來麻煩。

接着我們再來看看 指定 Intranet Microsoft 更新服務位置 。

在選擇 已啟用 後，在下方選項中隻要填寫服務器信息即可，比如 http://WSUSServer:8530 ，當然也可以用IP地址， 8530 是默認更新端口也可省略。

另外，需要注意是 http 而不是 https 。

注冊表

組策略設置挺簡單的吧？

除了組策略，注冊表其實也可以設置客戶端指向服務器更新。

實際上通過組策略設置，同時注冊表也會生成類似如下的注冊表信息。

大體你可以參考如下，将 x.x.x.x 修改成你的 WSUS 服務器的域名或IP地址即可。

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "ElevateNonAdmins"=dword:00000001 "DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001 "WUServer"="http://x.x.x.x:8530" "WUStatusServer"="http://x.x.x.x:8530" "UpdateServiceUrlAlternate"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] "NoAutoRebootWithLoggedOnUsers"=dword:00000001 "DetectionFrequencyEnabled"=dword:00000001 "DetectionFrequency"=dword:00000001 "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:0000000a "UseWUServer"=dword:00000001

其中有幾項挑出來說明一下，方便各位小夥伴們理解。

• WUServer 和 WUStatusServer ，這個不用多說，就是更新服務器。
• NoAutoRebootWithLoggedOnUsers ，為 1 時當有用戶登錄時更新不自動重啟計算機。
• NoAutoUpdate ，0 啟用自動更新，1 禁用自動更新。
• AUOptions 指的是自動更新的方法（可參考組策略），默認是 3 ，建議 4 。
• ScheduledInstallDay 就是計劃安裝日期，默認是 0 每天都更新，1 到 7 對應周日到周六。
• ScheduledInstallTime 是計劃安裝時間，數字直接對應從一天的 0 點到 23 點。
• UseWUServer 設置為 1 表示使用更新服務器而不是官方的更新服務。

批處理

有了注冊表項，我們還可以編寫批處理程序來給客戶端批量設置更新服務器。

此處僅舉個例子，其他項目可自行補充。

: 添加 WUServer reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUServer /t REG_SZ /d http://x.x.x.x:8530 /f : 添加 WUStatusServer reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUStatusServer /t REG_SZ /d http://x.x.x.x:8530 /f : 設置使用自建的更新服務器 reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer /t REG_DWORD /d 1 /f

确認客戶端是否連接到更新服務器

在确認客戶端是否成功連接之前，我們必須先确保服務器的更新服務是否可以通過防火牆正常訪問。

那麼我們至少需要開放更新服務所用到的 TCP 協議的 8530 和 8531 兩個端口。

我們如何讓客戶端連接更新服務器呢？

很簡單，打開客戶端的 Windows 更新設置界面，點擊 檢查更新 。

之後過了一會兒，檢查更新完成，似乎沒有什麼大的變化，也沒有新的更新出現。

其實不用着急，我們回到更新服務器那邊再看看，OK的話我們就可以在所有計算機中找到剛才的客戶端計算機。

當然，查詢狀态你可能需要改成 任何 ，然後再點刷新。

我們注意到，剛剛添加進來的客戶端計算機前面有個感歎号，這表示客戶端還沒有完成更新，狀态暫時異常。

這個狀态異常并不是十分要緊，它隻是在檢查客戶端計算機有沒有正确安裝了應該安裝的更新。

經過一段時間的檢查，最後它會在下方的信息欄内顯示已安裝和未安裝更新的詳細信息。

一旦出現需要的更新，那麼客戶端就會在計劃内安裝這些更新。

既然客戶端已經連接過來了，那接下來是不是客戶端就直接可以更新了呢？

并不是，我們還需要再做些工作，分三步走！

第一步，将客戶端移動到指定的計算機組中。

這樣有利于我們分門别類地管理不同更新需求的客戶端計算機。

第二步，審批更新。

右鍵點擊需要安裝到客戶端的更新（可多選），然後點擊 審批(A)... 。

在審批更新界面中，點選相應的計算機組，然後點擊 已審批進行安裝(I) ，最後确定退出。

我們回到客戶端所在的計算機組再次查看，就可以看到有我們剛剛審批通過的更新。

第三步，客戶端更新。

我們可以直接去客戶端手動點擊那個檢查更新，也可以暫時不管等它自動啟動檢查更新。

作為測試，我們在這裡就手動更新以方便演示。

如果有适合的更新，那麼客戶端就會從更新服務器上直接下載并安裝了。

安裝信息查看組件

當我們想要查看客戶端具體需要安裝哪些更新時，可以點擊下方狀态信息欄中的項目。

不過如果是第一次這樣操作，系統會提示我們還需要安裝報表查看組件。

這個被稱為 Microsoft Report Viewer 2012 的組件需要有兩個安裝程序。

• ReportViewer
• SQLSysClrTypes(64/32)

我給小夥伴們找好了，都放在這兒，大家就近下載吧，省得再到處找了。

ReportViewer.msi.7z(5.88M)

下載鍊接：https:///s/16kmZT2buQfhCV8RE3h2P7g

提取碼：<關注公衆号，發送000930>

SQLSysClrTypes64.msi.7z(1.18M)

下載鍊接：https:///s/1PH01zoekHlImhVv2ZrcDnQ

提取碼：<關注公衆号，發送000930>

SQLSysClrTypes32.msi.7z(1.04M)

下載鍊接：https:///s/1Ohp7JOfmunui1N7Y6d4cQg

提取碼：<關注公衆号，發送000930>

以上程序注意是有安裝順序的，應該先安裝 SQLSysClrTypes 再安裝 ReportViewer 。

否則會警告缺少組件而無法安裝（我就是來幫忙的，沒想到還要有人來幫我一把啊！）

具體的安裝過程很簡單，就是N個下一步，我就不在這兒啰嗦了。

組件安裝完畢後，需要重啟更新服務器的控制台來加載組件。

通過報告我們可以很清楚地了解到客戶端計算機需要安裝哪些具體的更新，以便我們可以針對性選擇審批适合的更新補丁。

其他設置

由于可能需要審批的更新數量衆多，因此我們可以使用 選項 中的 自動審批 來實現自動化。

另外我們還可以設置 電子郵件通知 ，在經過同步後如果有新的更新需要我們發布就可以第一時間通知到我們。

還有其他一些輔助性的設置，都比較簡單，就不在此贅述了。

至于 SSL 加密，實際上它隻能用來保護元數據而非更新文件的加密傳輸，此外也會增加 10% 左右的傳輸損耗，因此沒有十分必要的情況下也無需設置它。

當然，最近（2022年4月）微軟官宣正式開啟支持以 HTTPS 的方式訪問 Windows Update Catalog ，不知道接下來官方是否會對 WSUS 相關的使用方式做出調整。

寫在最後

由于 WSUS 并不一定需要域環境支持，因此創建起來并不需要太複雜的條件，還是很簡單方便的。

在擁有大量需要安裝更新補丁的計算機時，我們完全可以考慮建立一個 WSUS 服務，這樣可以大大減輕我們的工作量，不僅效率和安全系數提高了，而且安裝質量也有了最大的保證。

我們提高了工作效率節省了大量的時間，就可以做更多有益的事情，當然這些事情并應該不包括996類的事情。

可當我和小M開玩笑地說，現在有空了，除了一起釣魚嗨皮，你也該找個女朋友了吧？

小M一臉惆怅向天仰望，直言現在很多“同學”都被“畢業”了，可謂是躲得了996，躲不過“畢業”啊，哪兒還敢找女朋友！

我一時語塞，頓時說不出話來......

網管小賈 / sysadm.cc

,