我们有一台 WSUS 服务器,由我们以前的高级系统管理员启动,但除了自动批准所有安全和关键更新之外,从未真正用它做过什么。
在检查设置时,我尝试进行以下更改,但不确定需要设置哪些具体设置:
1) 将更新源从本地存储更改为存储在 MS 更新服务器上
2) 让客户端从内部 WSUS 服务器获取更新批准,但从 MS 更新服务器下载更新文件(我们的大多数 Windows 用户都在不同的国家/地区)
我查阅了很多在线资源,但无法弄清楚确切的设置。到目前为止,我有以下设置:
1) 更新源和代理服务器:从 Microsoft Update 同步
2) 更新文件和语言:不本地存储更新文件;计算机从 Microsoft Update 安装
这一切似乎都很好,但在我们的 GPO 中,我们启用了“指定内部网 Microsoft 更新服务位置”,并为“设置用于检测更新的内部网更新服务”和“设置内部网统计服务器”指定了 http://{wsus_server_name:port}。我的问题是这些设置是否足以完成我想要它做的事情?该 GPO 似乎表明客户端将访问我们的内部 WSUS 服务器以获取更新。现在我不知道这是否意味着它将访问内部服务器以查看哪些更新适用于它并被批准安装,然后它将访问 MS 更新服务器以下载更新,或者我是否需要设置 GPO 设置以指向 MS 更新服务器。
我看了这个如何将客户端连接到内部 WSUS 服务器但从 Microsoft 下载批准的更新?但只是想澄清并确认我的设置是否正确。
答案1
该 GPO 似乎表明客户端将访问我们的内部 WSUS 服务器以获取更新。现在我不知道这是否意味着它将访问内部服务器以查看哪些更新适用于它并被批准安装,然后它将访问 MS 更新服务器以下载更新,或者我是否需要将 GPO 设置设置为指向 MS 更新服务器。
这句话的第一部分说得对。您说的一切都对。您将客户端设置为将其更新(在本例中,技术上是批准和控制)发送到内部 WSUS 服务器。您将 WSUS 服务器上的设置设置为“更新文件和语言:不要在本地存储更新文件;计算机从 Microsoft Update 安装“以确保客户端从 Windows 更新服务器下载 BITS,而不是从 WSUS 服务器缓存它们。
现在,话虽如此,您确实可以选择在内部部署 WSUS 代理来保存和缓存文件。但是,是的,您的逻辑是正确的,而且您尝试做的事情是正确的。