我需要在断开连接的环境中构建 WSUS 服务器。此环境与我们的办公室域没有任何关系。因此,我构建了 WSUS 服务器并按照 Microsoft 的说明进行配置,说明如下 -https://docs.microsoft.com/de-de/security-updates/windowsupdateservices/18127442
基本上建议执行以下操作:
- 使用“Windows Server Backup”从我们的办公室 WSUS 服务器备份 WSUSContent 文件夹,然后使用“Windows Server Backup”“恢复”断开连接的服务器上的数据。请注意,我已复制办公室网络 WSUS 服务器的文件结构,因此数据将进入断开连接的 WSUS 服务器上的相同路径。
- 然后,我使用“WSUSUtil.exe”从办公室网络 WSUS 服务器导出元数据,然后将其导入断开连接的 WSUS 服务器。
完成此操作后,我实际上可以看到 WSUS 管理控制台中列出的所有更新(超过 7000 个),并且我选择了所有更新并批准下载和安装。
但是,即使 WSUS 服务器看到了更新,它也会报告需要下载更新。因此,所有更新都停留在尝试下载的状态,但实际上并没有下载。当然,由于我已经手动复制了更新,因此系统不应该认为需要下载它们。
在断开连接的环境中,WSUS 服务器应该与自身通信以获取更新,但即使服务器在控制台中的“计算机”下列出,状态也报告它需要 48 个更新。
我查看了本地组策略,有一项名为“指定内部网 Microsoft 更新服务位置”的计算机策略,在其中,我输入了服务器本身的地址,以便希望它指向自身,但是当我转到“检查更新”时,它说它是最新的。
我认为这里的核心问题是 WSUS 本身认为它需要下载更新,但实际上并不需要,因为我手动复制了它们。我假设在手动复制更新后,导入元数据会让系统看到更新已经是本地的。
有人知道我这里遗漏了什么吗?提前致谢。
答案1
好的,我一直在使用 Windows Server 2022 构建类似的解决方案,尽管我仍然遇到大量问题并且对 WSUS 产生了深深的仇恨,但在过去一个月左右的时间里,我已经面对了您的问题并“解决”了它们。
您无法在断开连接的 WSUS 服务器上批准任何未在面向互联网的服务器上批准的更新。此外,如果您在面向互联网的服务器上批准了 6999 个更新,但在断开连接的服务器上批准了 7000 个更新,WSUS 可能会无限期地挂起任何您已在断开连接的服务器上批准了单个更新,但尚未批准其他更新,这使得看起来所有 7000 个更新都“需要下载”。
但是修复此问题时,您可能会发现某些更新在您取消批准时会导致 WSUS 控制台崩溃。如果您收到此错误,恭喜,您现在需要完全重新安装 WSUS(不是简单地删除 WSUS 功能并重新添加 - 请按照在线指南操作)。
最后,您需要确保两个 WSUS 控制台中的更新文件和语言设置匹配。例如,您不能在连接的控制台上使用所有语言,而在断开连接的控制台上只能使用英语。
断开连接的 WSUS 是一场噩梦,欢迎体验这种痛苦。此外,我拒绝为让 WSUS 正常工作而购买 Overdrive 的脚本。我们已经为 Microsoft 服务器许可证付费了,为什么解决 95% 的 WSUS 在线问题的唯一方法是使用某个家伙的脚本,而该脚本现在采用付费订阅模式。/rant