使用 Windows Server Update Services (WSUS) 來部署 Windows 用戶端更新
正在尋找消費者資訊嗎? 請參閱 Windows Update:常見問題集
WSUS 是 Windows Server 作業系統中可用的 Windows Server 角色。 它可以在組織內為 Windows 更新提供單一中樞。 WSUS 不僅可讓公司延遲更新,還可選擇性地核准更新、選擇何時傳遞更新,以及判斷哪些個別裝置或裝置群組會接收更新。 WSUS 可讓您進一步控制商務用 Windows Update,但不會提供 Microsoft Configuration Manager 提供的所有排程選項和部署彈性。
當您選擇 WSUS 作為 Windows 更新的來源時,您會使用 群組原則 將 Windows 用戶端裝置指向 WSUS 伺服器以進行更新。 更新會從該處定期下載至 WSUS 伺服器加以管理、核准,並透過 WSUS 管理主控台或群組原則部署,進而簡化企業更新管理。 如果您目前使用 WSUS 來管理環境中的 Windows 更新,您可以在 Windows 11 中繼續執行此動作。
使用 WSUS 維護 Windows 用戶端的需求
若要能夠使用 WSUS 來管理和部署 Windows 功能更新,您必須使用支援的 WSUS 版本:
- WSUS 10.0.14393 (角色 Windows Server 2016)
- Windows Server 2019 中的 WSUS 10.0.17763 (角色)
- Windows Server 2012 和 Windows Server 2012 R2) 中的 WSUS 6.2 和 6.3 (角色
- KB 3095113和 KB 3159706 (或对等更新) 必須安裝在 WSUS 6.2 和 6.3 上。
重要
從 2017 年 7 月開始,安全性每月品質匯總中包含 KB 3095113 和 KB 3159706。 這表示您可能不會看到 KB 3095113和 KB 3159706為已安裝的更新,因為它們可能已與匯總一起安裝。 不過,如果您需要其中一個更新,建議您安裝 2017 年 10 月之後發行的安全性每月品質匯總,因為它們包含額外的 WSUS 更新,以降低 WSUS 用戶端webservice 上的記憶體使用率。 如果您已在安全性每月品質匯總之前同步其中一個更新,您可能會遇到問題。 若要從中復原,請參閱 如何刪除 WSUS 中的升級。
WSUS 延展性
若要使用 WSUS 管理所有 Windows 更新,某些組織可能需要從周邊網路存取 WSUS,或他們可能有一些其他複雜的案例。 WSUS 具有高度延展性,而且可以針對任何規模或網站配置的組織設定。 如需調整 WSUS 的特定資訊,包括上游和下游伺服器組態、分公司、WSUS 負載平衡和其他複雜的案例,請參閱部署 Windows Server Update Services。
設定自動更新與更新服務位置
使用 WSUS 管理 Windows 用戶端裝置上的更新時,請從為您的環境設定 \[設定自動更新\] 與 \[內部網路 Microsoft 更新服務位置\] 群組原則設定開始。 這樣做會強制受影響的用戶端連絡 WSUS 伺服器,讓該伺服器可以管理這些用戶端。 下列程序描述如何指定這些設定,以及將它們部署到網域中的所有裝置。
為您的環境設定 \[設定自動更新\] 與 \[內部網路 Microsoft 更新服務位置\] 群組原則設定
開啟 群組原則 Management Console (gpmc.msc) 。
展開 [樹系\網域\Your_Domain]。
以滑鼠右鍵按兩下 [Your_Domain],然後選取 [ 在此網域中建立 GPO],然後將它連結到這裡。
注意
在此範例中,為整個網域指定 \[設定自動更新\] 與 \[內部網路 Microsoft 更新服務位置\] 群組原則設定。 這不是必要的;您可以使用 \[安全性篩選\] 或特定 OU,將這些設定的目標設定為任何安全性群組。
在 [新增 GPO] 對話框中,將新的 GPO WSUS - 自動 匯報 和內部網络更新服務位置命名。
以滑鼠右鍵按兩下 [WSUS - 自動 匯報 和內部網路更新服務位置 GPO],然後選取 [編輯]。
在 \[群組原則管理編輯器\] 中,移至 \[電腦設定\原則\系統管理範本\Windows 元件\Windows Update\]。
以滑鼠右鍵按兩下 [設定自動 匯報] 設定,然後選取 [編輯]。
在 \[設定自動更新\] 對話方塊中,選取 \[啟用\]。
在 [ 選項] 底下,從 [ 設定自動更新 ] 列表中,選取 [3 - 自動下載並通知安裝],然後選取 [ 確定]。
![選取 [自動下載並通知] 以在 UI 中安裝。](images/waas-wsus-fig5.png)
重要
使用 Regedit.exe 來檢查下列密鑰是否未啟用,因為它可能會中斷 Windows 市集連線:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations
注意
另外還有三個自動更新下載和安裝日期和時間設定。 這只是此範例所使用的選項。 如需如何控制自動更新及其他相關原則的更多範例,請參閱使用群組原則設定自動更新。
以滑鼠右鍵按兩下 [ 指定內部網络 Microsoft 更新服務位置 ] 設定,然後選取 [ 編輯]。
在 \[指定內部網路 Microsoft 更新服務位置\] 對話方塊中,選取 \[啟用\]。
在 [ 選項] 底下的 [ 設定內部網络更新服務以偵測更新 ] 和 [ 設定內部網路統計數據伺服器 ] 選項中,輸入
http://Your_WSUS_Server_FQDN:PortNumber,然後選取 [ 確定]。注意
下列影像中的 URL
http://CONTOSO-WSUS1.contoso.com:8530只是一個範例。 在您的環境中,請務必使用您 WSUS 執行個體的伺服器名稱與連接埠號碼。
注意
WSUS 的預設 HTTP 連接埠為 8530,而安全通訊端層 (HTTPS) 連接埠上的預設 HTTP 為 8531。 (其他選項為 80 和 443;不支援其他埠。)
當 Windows 用戶端重新整理其電腦原則 (預設的群組原則重新整理設定為 90 分鐘,以及當電腦重新啟動時) 時,電腦就會開始出現在 WSUS 中。 既然用戶端正在與 WSUS 伺服器通訊,請建立符合部署更新步調的電腦群組。
在 WSUS 系統管理主控台中建立電腦群組
注意
下列程式會使用針對 Windows 用戶端更新建置部署更新步調 中表 1 的群組作為範例。
您可以使用電腦群組,以具有特定品質與功能更新的裝置子集做為目標。 這些群組代表您的部署更新步調,如 WSUS 所控制。 您可以使用 WSUS 系統管理主控台手動填入群組,或透過群組原則自動填入。 不論您選擇使用哪種方法,您都必須先在 WSUS 系統管理主控台中建立群組。
在 WSUS 系統管理主控台中建立電腦群組
開啟 WSUS 系統管理主控台。
移至 [Server_Name\Computers\All Computers],然後選取 [ 新增計算機群組]。
輸入 Ring 2 Pilot Business Users 作為名稱,然後選取 [ 新增]。
針對 Ring 3 Broad IT 與 Ring 4 Broad Business Users 群組重複這些步驟。 當您完成時,應該會有三個部署通道群組。
既然已經建立群組,請將電腦新增到符合所需部署更新步調的電腦群組。 您可以透過 群組原則 完成,或使用 WSUS 系統管理主控台手動完成。
使用 WSUS 系統管理主控台填入部署更新步調
在 WSUS 系統管理主控台中,將電腦新增到電腦群組很簡單,但可能需要比透過群組原則管理成員資格還要長的時間,特別是在您有許多要新增的電腦時。 在 WSUS 系統管理主控台中,將電腦新增到電腦群組稱為伺服器端目標設定。
在此範例中,您要以兩種不同的方式,將電腦新增到電腦群組︰手動指派未指派的電腦,以及搜尋多部電腦。
將未指派的電腦手動指派給群組
當新的電腦與 WSUS 通訊時,它們會出現在 \[尚未指派的電腦\] 群組中。 您可以從這裡使用下列程序,將電腦新增到其正確的群組。 如需這些範例,您可以使用兩部 Windows 10 電腦 (WIN10-PC1 與 WIN10-PC2) 新增到電腦群組。
手動指派電腦
在 WSUS 系統管理主控台中,移至 \[伺服器名稱\電腦\所有電腦\尚未指派的電腦\]。
在這裡,您會看到已經收到您在上一節建立之 GPO 並開始與 WSUS 通訊的新電腦。 此範例只有兩部計算機;視您部署原則的寬度而定,此處可能會有許多計算機。
選取這兩部計算機,以滑鼠右鍵按下選取範圍,然後選取 [ 變更成員資格]。
![選取 [變更 UI 中的成員資格]。](images/waas-wsus-fig8.png)
在 [ 設定計算機群組成員資格 ] 對話框中,選取 Ring 2 Pilot Business Users 部署通道,然後選取 [ 確定]。
因為這兩部電腦已指派給群組,因此不會再出現在 \[尚未指派的電腦\] 群組中。 如果您選取 Ring 2 Pilot Business Users 計算機群組,您會在該處看到這兩部電腦。
搜尋要新增到群組的多部電腦
在 WSUS 系統管理主控台中將多部電腦新增到部署更新步調的另一種方式是使用搜尋功能。
搜尋多部電腦
在 WSUS 管理控制台中,移至 [Server_Name\計算機\所有計算機],以滑鼠右鍵按兩下 [ 所有電腦],然後選取 [ 搜尋]。
在搜尋方塊中輸入 WIN10。
在搜尋結果中,選取計算機,以滑鼠右鍵按下選取範圍,然後選取 [ 變更成員資格]。
![選取 [變更成員資格] 以在UI中搜尋多部電腦。](images/waas-wsus-fig9.png)
選取 Ring 3 Broad IT 部署通道,然後選取 [ 確定]。
您現在可以在 Ring 3 Broad IT 電腦群組中看到這些電腦。
使用群組原則填入部署更新步調
WSUS 系統管理主控台提供一個友善的介面,您可以從該介面管理 Windows 10 品質與功能更新。 不過,當您必須將許多電腦新增到其正確的 WSUS 部署更新步調時,在 WSUS 系統管理主控台中手動進行此動作可能很耗時。 對於這些案例,請考慮使用群組原則找出正確的目標電腦,進而根據 Active Directory 安全性群組,將這些電腦自動新增到正確 WSUS 部署更新步調。 此程序稱為用戶端目標鎖定。 在群組原則中啟用用戶端目標鎖定之前,您必須設定 WSUS 以接受群組原則電腦指派。
設定 WSUS 以允許來自群組原則的用戶端目標鎖定
開啟 WSUS 管理控制台,移至 [Server_Name\選項],然後選取 [ 計算機]。
![在 WSUS 管理控制台中選取 [編譯程式]。](images/waas-wsus-fig10.png)
在 [計算機] 對話框中,選取 [在計算機上使用 群組原則 或登錄設定],然後選取 [確定]。
注意
此選項專用於兩者之一。 當您讓 WSUS 使用群組原則進行群組指派時,您無法再透過 WSUS 系統管理主控台手動新增電腦,直到您將選項變更回來為止。
既然 WSUS 已經可用於用戶端目標鎖定,請完成下列步驟,以使用群組原則設定用戶端目標鎖定︰
設定用戶端目標鎖定
提示
使用用戶端目標鎖定時,請考慮為安全性群組提供與部署更新步調相同的名稱。 這樣做可簡化原則建立程式,並協助確保您不會將電腦新增至不正確的通道。
開啟 群組原則 Management Console (gpmc.msc) 。
展開 [樹系\網域\Your_Domain]。
以滑鼠右鍵按兩下 [Your_Domain],然後選取 [ 在此網域中建立 GPO],然後將它連結到這裡。
在 [ 新增 GPO] 對話框中,輸入 WSUS - 客戶端目標 - Ring 4 Broad Business Users 作為新 GPO 的名稱。
以滑鼠右鍵按兩下 WSUS - 客戶端目標 - Ring 4 Broad Business Users GPO,然後選取 [ 編輯]。
在 \[群組原則管理編輯器\] 中,移至 \[電腦設定\原則\系統管理範本\Windows 元件\Windows Update\]。
以滑鼠右鍵按兩下 [啟用客戶端目標],然後選取 [ 編輯]。
在 \[啟用用戶端目標鎖定\] 對話方塊中,選取 \[啟用\]。
在 \[此電腦的目標群組名稱\] 方塊中,輸入 Ring 4 Broad Business Users。 這是將在其中新增這些電腦之部署更新步調 (在 WSUS 中) 的名稱。
警告
目標組名必須符合計算機組名。
- 關閉 \[群組原則管理編輯器\]。
現在您已準備好將此 GPO 部署到 Ring 4 Broad Business Users 部署通道 的正確電腦安全組。
將 GPO 的範圍限制為群組
在 GPMC 中,選取 [WSUS - 客戶端目標 - Ring 4 Broad Business Users] 原則。
選取 [ 範圍] 索引標籤 。
在 \[安全性篩選\] 下,移除預設的 AUTHENTICATED USERS 安全性群組,然後新增 Ring 4 Broad Business Users 群組。
當 Ring 4 Broad Business Users 安全組中的用戶端下次收到其電腦原則並連絡 WSUS 時,會將他們新增至 Ring 4 Broad Business Users 部署通道。
自動核准及部署功能更新
針對應在可用時立即核准其功能更新的用戶端,您可以在 WSUS 中設定自動核准規則。
注意
WSUS 會遵守用戶端裝置的維護分支。 如果您在功能更新仍在一個分支中核准,例如 Insider Preview,WSUS 只會在該維護分支中的裝置上安裝更新。 當 Microsoft 發行一 般可用性通道的組建時,將會安裝該通道的裝置。 Windows Update 商務分支設定不適用於透過 WSUS 的功能更新。
若要設定 Windows 用戶端功能更新的自動核准規則,並針對 Ring 3 Broad IT 部署通道核准它們此範例使用 Windows 10,但程式與 Windows 11 相同。
在 WSUS 管理控制台中,移至 [更新服務]\[Server_Name\選項],然後選取 [ 自動核准]。
在 [ 更新規則] 索引 標籤上,選取 [ 新增規則]。
在 \[新增規則\] 對話方塊中,選取 \[當更新在某個特定分類中時\]、\[當更新在某個特定產品中時\] 與 \[設定核准期限\] 核取方塊。
在 \[編輯內容\] 區域中,選取 \[任何分類\]。 清除 [升級] 以外的所有專案,然後選取 [ 確定]。
在 [ 編輯屬性] 區域中,選取 任何產品 連結。 清除 Windows 10 以外的所有複選框,然後選取 [確定]。
\[Windows 10\] 位於 \[所有產品\Microsoft\Windows\] 下。
在 [ 編輯屬性] 區域中 ,選取 [所有計算機] 連結。 清除 Ring 3 Broad IT 以外的所有電腦群組複選框,然後選取 [ 確定]。
保留針對 \[核准後 7 天的上午 3:00\] 設定的期限。
在 [步驟 3:指定名稱] 方塊中,輸入 Windows 10 Ring 3 Broad IT 的升級自動核准],然後選取 [確定]。
在 [ 自動核准] 對話框中,選取 [ 確定]。
注意
WSUS 不接受任何現有的月/周/日 延遲設定。 也就是說,如果您針對 WSUS 也管理更新的電腦使用商務用 Windows Update,當 WSUS 核准更新時,無論您是否設定 群組原則 等候,它都會安裝在計算機上。
現在,每當 Windows 用戶端功能更新發佈至 WSUS 時,系統就會自動核准安裝期限為 1 周的 Ring 3 Broad IT 部署通道。
警告
自動核准規則會在同步處理之後執行。 這表示每個 Windows 用戶端版本的 下一個 升級都會獲得核准。 如果您選取 [ 執行規則],所有符合準則的可能更新都會獲得核准,可能包括您實際上不想要的較舊更新,這在下載大小非常大時可能會造成問題。
手動核准及部署功能更新
您也可以手動核准更新,並在 WSUS 系統管理主控台內設定安裝的期限。 在您的試驗部署更新之後,最好手動核准更新規則。
若要簡化手動核准程式,請從建立僅包含此範例中 Windows 10 (的軟體更新檢視開始) 更新。 Windows 11 更新的程式相同。
注意
如果您核准計算機的多個功能更新,用戶端可能會產生錯誤。 每部計算機只核准一個功能更新。
手動核准及部署功能更新
在 WSUS 管理控制台中,移至 [更新服務]\[Server_Name\匯報]。 在 [ 動作] 窗格中,選取 [ 新增更新檢視]。
在 \[新增更新檢視\] 對話方塊中,選取 \[更新在特定分類中\] 與 \[更新適用於特定產品\]。
在 [步驟 2:編輯屬性] 下,選取 任何分類。 清除 [ 升級] 以外的所有複選框,然後選取 [ 確定]。
在 [步驟 2:編輯屬性] 底下,選取 任何產品。 清除 Windows 10 以外的所有複選框,然後選取 [確定]。
\[Windows 10\] 位於 \[所有產品\Microsoft\Windows\] 下。
在 [步驟 3:指定名稱] 方塊中,輸入 [所有 Windows 10 升級],然後選取 [確定]。
![在 WSUS 管理控制台中輸入 [所有 Windows 10 升級] 作為名稱。](images/waas-wsus-fig16.png)
現在您已擁有 [所有 Windows 10 升級] 檢視,請完成下列步驟以手動核准 Ring 4 Broad Business Users 部署通道的更新:
在 WSUS 管理控制台中,移至 [更新服務]\[Server_Name\匯報\所有 Windows 10 升級]。
以滑鼠右鍵按下您要部署的功能更新,然後選取 [ 核准]。
在 \[核准更新\] 對話方塊中,從 \[Ring 4 Broad Business Users\] 清單選取 \[已核准安裝\]。
![選取 [核准在 WSUS 管理控制台中安裝]。](images/waas-wsus-fig18.png)
在 [核准 匯報] 對話框中,從 [Ring 4 Broad Business Users] 列表中,選取 [期限],選取 [一周],然後選取 [確定]。
如果 [ Microsoft 軟體授權條款 ] 對話框開啟,請選取 [ 接受]。
如果部署成功,您應該會收到一個成功進度報告。
在 [ 核准進度 ] 對話框中,選取 [ 關閉]。