我有一堆通过 WSUS 更新的加入 AD 的 Windows 服务器。您可以在此处查看特定的 WSUS GPO:http: //imgur.com/a/LHjll
6 月安装的更新 (KB3159398) 导致问题,因此此特定更新在 WSUS 中被拒绝。到目前为止,一切都很好。
从那以后,我看到这个更新被安装在多台服务器上,即使这个特定的更新在 WSUS 中仍然被阻止。根据更新服务 Change.log,更新被阻止,此后一直没有安装。
该更新是由 SYSTEM 用户安装的,因此安装该更新的不是管理员。
根据服务器的 WindowsUpdate.log,服务器在这一天没有向 WSUS 服务器注册,更新是在线下载的,而不是通过 WSUS:
代理 * WSUS 服务器:NULL
代理 * WSUS 状态服务器:NULL
代理 * 目标组:(未分配的计算机)
代理 * 禁用 Windows 更新访问:否
如何进一步调试以阻止再次安装此更新?
经过不同评论的几次提示和指点,我缩小了问题范围并找到了解决方案。我已经用相关信息更新了这个问题。
WindowsUpdate.log 显示服务器未正确向 WSUS 注册,然后围绕 WSUS 服务器执行 Windows 更新。
解决方案是阻止 Windows 更新,因此服务器永远不会围绕 WSUS 进行更新。这是通过组策略完成的:
用户配置 > 管理模板 > Windows 组件 > Windows 更新 > 删除使用所有 Windows 更新功能的访问权限
如果您明确阻止了 WSUS 中的更新,则不应从 WSUS 服务器下载它。在 WindowsUpdate.log 日志中,您是否真的看到客户端正在连接到您的 WSUS 服务器(而不是完全不同的地方,例如互联网)并下载问题更新?如果更新未下载但仍在安装,则更新可能卡在更新缓存中。尝试使用以下命令清除缓存: