我们现有的企业有大约 200 台 PC。我们已经安装了一段时间的 SUS 服务器,但我认为数据库有问题。所有机器都显示已安装 99%,但我们的“更新”概览和“计算机”概览中的“已安装/不适用”显示为灰色,旁边有一个 0。
如果系统已安装了 99% 的更新,则更新下不应有 0 个已安装/不适用的更新。
浏览了一些论坛后,有人认为数据库可能有问题。我已经建立了一个具有 SUS 角色的 2012 R2 服务器。我有一个指向新测试服务器的单独 GPO,并且这个 GPO 已应用于我的工作台式机和工作笔记本电脑。到目前为止,它们都已检查完毕。
我的问题是(我是一名正在努力学习的桌面支持人员) - 我是否需要立即拒绝任何被取代的更新?
在仅配置为产品的 Windows 7 和 Office 2010/2013 的全新 SUS 服务器上,有 1300 个安全更新和 1197 个关键更新需要批准。
你们是全部拒绝被取代的更新,还是全部批准,让所有机器报告并逐一解决?当然,目标是让我的所有系统都完全修补。来自微软:
WSUS 不会自动拒绝被取代的更新,建议您不要认为应该拒绝被取代的更新而采用新的取代更新。在拒绝被取代的更新之前,请确保您的任何客户端计算机都不再需要它。以下是您可能需要安装被取代的更新的三种可能情况:如果取代更新仅支持较新版本的操作系统,而您的某些客户端计算机运行的是较早版本的操作系统。
如果取代更新比被取代的更新具有更严格的适用性限制,这将使其不适合某些客户端计算机。
如果由于新的更改而导致更新不再取代以前发布的更新。有可能,通过每次发布中的更改,更新不再取代其在早期版本中取代的更新。
我只想用最新的更新修补我的系统。听起来我必须按照预设的顺序批准和安装更新。(或者我可能在心理上把事情复杂化了,这种情况确实会发生)。
我希望我能批准一切,并让系统和 SUS 弄清楚每台电脑需要什么并将其推出。
答案1
当我设置新的 WSUS 服务器时,我通常
- 选择我的类别(仅我们使用的 Windows 版本、仅我们使用的 Office 版本等)和分类(关键和安全等)。
- 设置我的自动批准(关键和安全更新以及定义更新 - 我通常不会自动批准汇总或服务包,因为它们过去曾给我带来问题)。
- 运行服务器清理向导,它会拒绝被取代的更新并删除未使用的文件。不过,我这样做主要是为了节省空间。(此外,如果有大量更新,除非您一次运行一个,否则向导可能会崩溃。)
- 安排运行 SUSDB 的 SQL Server 执行定期维护(如果您使用的是 Windows 内部数据库,您仍然可以使用任务计划程序执行此操作。如果您像我一样将其移动到完整的 SQL 安装,请使用代理。)我也经常备份 SUSDB。
- 使用任务计划程序定期通过 PowerShell 运行清理向导任务——我使用这个脚本。
- 使用组策略设置 WSUS 设置。如果可能的话,我通常会先将服务器补丁应用于开发/测试,为此创建一个 OU(例如:在 OU 中
SQL Servers,会有一个名为 的 OUPatch Test。它将设置为在通常的维护时段内安装更新,而补丁本身的截止日期为七天之后,因此生产将在维护期间的下一周自动修补。您可以根据需要在自动批准中设置此日期,也可以手动设置)。 - 然后,我阅读 WSUS 发送给我的电子邮件并观察是否存在错误。
换句话说:不,我不会阅读 1300 更新的描述来决定是否批准它们。没人有时间这么做。
我宁可减少类别数量,减少被取代的更新数量。另一方面,我觉得我可以这样做,因为我们是一家小公司,我们的台式机和服务器在版本方面相当统一。如果我要支持一个疯狂的庞大企业,我可能会对拒绝被取代的更新更加谨慎。(我可能还有多个 WSUS 服务器和更多的磁盘空间。)如果你不能自信地说出你支持什么软件,你可能希望宁可增加更新数量。