我有一大堆通过WSUS更新的ADjoin的Windows服务器。 你可以在这里看到具体的WSUS GPO: http : //imgur.com/a/LHjll
在6月份安装了一个更新(KB3159398),导致问题,所以这个特定的更新在WSUS中被拒绝了。 到现在为止还挺好。
从那以后,我看到这个更新在以后安装在多个服务器上,即使这个特定更新在WSUS中仍然被阻止。 根据更新服务Change.log,该更新被阻止,并且自那之后未安装。
更新由SYSTEM用户安装,因此它不是安装更新的pipe理员。
根据服务器的WindowsUpdate.log,服务器在此特定date没有向WSUS服务器注册,并且更新在线下载,而不是通过WSUS:
代理* WSUS服务器:NULL
代理* WSUS状态服务器:NULL
代理*目标组:(未分配的计算机)
代理*禁用Windows Update访问:否
如何进一步debugging,以阻止再次安装此更新?
经过不同评论的几个提示和指针,我缩小了问题的范围,find了一个解决scheme。 我已经用相关资料更新了这个问题。
WindowsUpdate.log显示服务器没有正确注册到WSUS,然后在WSUS服务器周围进行了Windows更新。
解决scheme是阻止Windows更新,所以服务器永远不会更新WSUS。 这是通过组策略完成的:
用户configuration>pipe理模板> Windows组件> Windows Update>删除访问权限以使用所有Windows更新function
如果您明确阻止了WSUS中的更新,则不应从WSUS服务器下载。 在WindowsUpdate.log日志中,您是否确实看到客户端正在连接到您的WSUS服务器(而不是与Internet完全不同的地方)并下载问题更新? 如果更新未被下载,但仍在安装,更新可能会滞留在更新caching中。 尝试使用以下命令清除caching:
net stop wuauserv CD\ CD %Windir% CD SoftwareDistribution DEL /F /S /Q Download net start wuauserv wuauclt /detectnow