Windows-Server-2008-R2

此 Windows 更新是如何安裝的?

  • September 21, 2016

我有一堆通過 WSUS 更新的加入 AD 的 Windows 伺服器。您可以在此處查看特定的 WSUS GPO:http: //imgur.com/a/LHjll

6 月安裝的更新 (KB3159398) 導致問題,因此此特定更新在 WSUS 中被拒絕。到現在為止還挺好。

從那以後,我看到這個更新被安裝在多台伺服器上,即使這個特定的更新在 WSUS 中仍然被阻止。根據更新服務 Change.log,更新被阻止,此後一直沒有安裝。

該更新是由 SYSTEM 使用者安裝的,因此安裝該更新的不是管理員。

根據伺服器的 WindowsUpdate.log,伺服器在這一天沒有向 WSUS 伺服器註冊,更新是線上下載的,而不是通過 WSUS:

代理 * WSUS 伺服器:NULL

代理 * WSUS 狀態伺服器:NULL

代理 * 目標組:(未分配的電腦)

代理 * 禁用 Windows 更新訪問:否

如何進一步調試以阻止再次安裝此更新?

經過不同評論的幾次提示和指點,我縮小了問題範圍並找到了解決方案。我已經用相關資訊更新了這個問題。

WindowsUpdate.log 顯示伺服器未正確向 WSUS 註冊,然後圍繞 WSUS 伺服器執行 Windows 更新。

解決方案是阻止 Windows 更新,因此伺服器永遠不會圍繞 WSUS 進行更新。這是通過組策略完成的:

使用者配置 > 管理模板 > Windows 組件 > Windows 更新 > 刪除使用所有 Windows 更新功能的訪問權限

引用自:https://serverfault.com/questions/803916