我有一堆加入 AD 的 Windows 服务器,它们通过 WSUS 进行更新。您可以在此处查看特定的 WSUS GPO:https://i.stack.imgur.com/Q42ds.jpg
6 月份安装的更新 (KB3159398) 导致出现问题,因此 WSUS 拒绝了此特定更新。到目前为止一切顺利。
从那时起,我看到此更新随后安装在多台服务器上,尽管此特定更新在 WSUS 中仍被阻止。根据更新服务 Change.log,该更新已被阻止,此后再未安装。
该更新是由 SYSTEM 用户安装的,因此安装该更新的人不是管理员。
根据服务器的 WindowsUpdate.log,服务器在这一天没有向 WSUS 服务器注册,并且更新是在线下载的,而不是通过 WSUS 下载的:
代理 * WSUS 服务器:NULL
代理 * WSUS 状态服务器:NULL
代理 * 目标组:(未分配的计算机)
代理 * Windows 更新访问已禁用:否
我该如何进一步调试以阻止再次安装此更新?
答案1
在不同评论中给出一些提示和指点后,我缩小了问题范围并找到了解决方案。我已用相关信息更新了问题。
WindowsUpdate.log 显示服务器未正确向 WSUS 注册,然后围绕 WSUS 服务器进行了 Windows 更新。
解决方案是阻止 Windows 更新,这样服务器就永远不会在 WSUS 周围更新。这是通过组策略完成的:
用户配置 > 管理模板 > Windows 组件 > Windows 更新 > 删除使用所有 Windows 更新功能的访问权限
答案2
如果您明确阻止了 WSUS 中的更新,则不应从 WSUS 服务器下载该更新。在 WindowsUpdate.log 日志中,您是否真的看到客户端正在连接到您的 WSUS 服务器(而不是完全不同的地方,例如互联网)并下载有问题的更新?如果未下载更新但仍在安装,则可能是更新卡在更新缓存中。尝试使用以下命令清除缓存:
net stop wuauserv
CD\
CD %Windir%
CD SoftwareDistribution
DEL /F /S /Q Download
net start wuauserv
wuauclt /detectnow