我开始使用 WSUS 进行补丁管理,但我的经验还不够丰富。我们的要求很简单,就是每周确保每台服务器都正常运行并准备好打补丁。我们可以自动批准所有补丁,并使用组策略来规范行为,最终在安装后 15 分钟强制重新启动。我为我们的虚拟机创建了几个 OU 以及相应的 GP,可以根据组的需求来规范发生的事情。
现在我意识到,我可能需要以与其他所有服务器略有不同的方式处理运行 WSUS 的服务器,因为我需要在维护时段内启动它。我的想法是创建一个单独的组并计时,以便我可以提前一天或当天晚些时候修补该服务器。
您有什么经验可以教我如何修补实际的 WSUS 机器,让我远离麻烦。欢迎任何想法和建议。谢谢。
答案1
鉴于您的 WSUS 服务器是一台单机服务器(除非您有副本/下游 WSUS 服务器),最简单的方法可能是在您选择的日期和时间在 WSUS 服务器上手动安装更新。WSUS 是否保持最新状态与它向您的 WSUS 客户端提供的更新无关。
答案2
我已启动并运行 WSUS,并使用 GPO 配置服务器上的 WSUS 设置。
我将服务器设置为“4 – 自动下载并安排安装”,这样更新就会在补丁窗口之前提前下载。然后它们将在 GPO 中指定的时间安装,此时它们不需要 WSUS 服务器作为补丁的一部分,并且我的所有服务器都计划与 WSUS 服务器同时进行补丁,并且 WSUS 服务器会安装更新并重新启动。
我还发现服务器不会立即向 WSUS 报告其新更新的状态,但通常会在第二天早上报告。
我认为您的设置不会给您带来任何问题。