none
下游副本WSUS无法从主WSUS获取更新 RRS feed

答案

  • 您好
     
    感谢您的上贴。
     
    基于您现在的情况,建议检查客户端连接指向WSUS服务器的GPO是否启用组策略-使用组策略来管理更新位置
    具体详情请参考以下链接: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/manage-protection-updates-microsoft-defender-antivirus
     
    如果对于此case有任何跟进,请联系我。我将尽我所能为您服务。
     
    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GBL_Ray 2020年6月10日 6:06
    2020年6月9日 1:56
  • 你好
     
    为了避免误解,请协助确认你上述提及的“更新列表”是指什么?是WSUS控制台的更新列表还是更新视图。请注意,更新视图在下游WSUS服务器是不继承的,需要手动自己创建。下图是WSUS控制台更新列表的参考图:
     
    请参考以下图片来创建更新视图:

     
    Regards,
    Rita


    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GBL_Ray 2020年6月10日 6:07
    2020年6月9日 8:49
  • Hi GBL_Ray,
     
    首先,很高兴你的问题得到了解决,感谢你的不断跟进。接下来就你提及的问题,就我个人的经验做如下回复:

    1. 就你提及的客户端获取Windows Defender相关更新的问题,其实这要看你的客户端指向的WSUS服务器。如果你的客户端指向下游副本WSUS服务器,则相关更新在主WSUS服务器进行正常审批,下游副本WSUS服务器正常同步就可以在副本WSUS服务器上看见这些更新;如果你的客户端是直接指向主WSUS服务器,则相关更新就不会正常同步到下游副本WSUS服务器上。
     
    2. 之前应用的签名跟新组策略就是用来设置Windows Defender相关更新的更新源的,默认设置顺序是:InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, 不清楚你说的“更新的时间间隔”是指什么,但是自动审批规则里可以定义自动审批最后期限,任何更新只有审批以后才会下载到本地的。
     
    3. 不就知道你的WSUS服务器有没有正常同步。同步的意思是WSUS服务器与微软站点拿更新的过程,如果你有正常同步的话,以我的经验客户端应该就不会丢失相关更新。关于审批的步骤,你可以选择自动审批或者手动审批两种选择,以下图片供你参考:
     

    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GBL_Ray 2020年6月10日 6:10
    2020年6月10日 1:56

全部回复

  • Hi GBL_Ray,
     
    感谢你的上贴。这里是Rita为您服务。
     
    为了分析您的问题,请协助确认以下信息。
     
    当前情况:您之前在主WSUS服务器审批defender病毒库更新,您现在的情况是下游WSUS服务器没有同步到相关defender更新

    1. 请协助检查主WSUS服务器与副WSUS服务器网络连接。您可以通过以下步骤进行检查:
    在副WSUS服务器打开IE浏览器,通过以下链接检查网络连接:
    http://wsusname:portname/ClientWebService/client.asmx
     
    2. 请协助检查主WSUS服务器和副WSUS服务器的Windows版本
     
    3. 请协助检查其他的更新在副本WSUS服务器上是否正常同步

    如果你有任何更新,请联系我。
     
    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月5日 1:39
  • 感谢您的回复!

    目前的情况就是下游副本WSUS无法获取到defender到更新列表,也就是defender到病毒库更新:定义更新;

    1.在下游副本服务器可以打开链接,如下图:

    并且,下游副本是可以在设置-更新处获取到defender的病毒库更新补丁的,如下图:

    2.主WSUS服务器和副本WSUS服务器的Windows版本均是windows server 2016 datacenter版,当初安装的时候仅此一个镜像;

    3.我这几天基本天天看同步,都是正常的,并且每天的各下游副本的报告在主WSUS也是正常的,如下图:

    这个情况从上周到现在了,仍是没有获取列表,还请帮忙看下应该是哪到问题,再次感谢!

    2020年6月5日 3:59
  •    

    你好,

    不清楚在审批windows defender相关更新时是否启用自动审批规则,如果是的话,建议检查审批给客户端规则中客户端指向哪一个WSUS服务器。客户端是否正常安装相应windows defender更新。
    参考图片:


    Regards,
    Rita 


    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月5日 7:53
  • 感谢帮忙查看和排除问题!

    刚才看了主WSUS的自动审批,如下,是向所有计算机下发的

    同时发现个问题,主WSUS的分类只有安全和定义两类,但是副本那边却多了个关键更新,这个为什么呢?最开始可能勾选了,但是时间不长,从主WSUS那边就取消了,但是副本这边却没有

    那作为主WSUS只勾选这俩分类是可以的么?之前查看的资料里还有个rollups,但是我不清楚中文应该是哪个  -_-!!!


    • 已编辑 GBL_Ray 2020年6月5日 9:17 补充
    2020年6月5日 9:07
  • 您好
     
    感谢您的上贴。
     
    基于您现在的情况,建议检查客户端连接指向WSUS服务器的GPO是否启用组策略-使用组策略来管理更新位置
    具体详情请参考以下链接: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/manage-protection-updates-microsoft-defender-antivirus
     
    如果对于此case有任何跟进,请联系我。我将尽我所能为您服务。
     
    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GBL_Ray 2020年6月10日 6:06
    2020年6月9日 1:56
  • 你好,是有组策略来管理的,刚看了下定义更新源这个确实没有设置,如下图

    那如果像我这种情况,各服务器均是副本WSUS,只是从主WSUS下载定义更新,那是不是在源处就只写MicrosoftUpdateServer就可以了?感谢您的回复!

    2020年6月9日 3:42
  • 你好 GBL_Ray,
     
    感谢你的上贴。
     
    此组策略是用于设置客户端获取Windows Defender相关更新更新源的设置,默认设置是:InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC。如果此处输入MicrosoftUpdateServer,则客户端获取Windows Defender相关更新源是MicrosoftUpdate
     


    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月9日 7:20
  • 好的,非常感谢,我设置下看看是否可以正常更新列表了,再次感谢
    2020年6月9日 7:51
  • 你好
     
    为了避免误解,请协助确认你上述提及的“更新列表”是指什么?是WSUS控制台的更新列表还是更新视图。请注意,更新视图在下游WSUS服务器是不继承的,需要手动自己创建。下图是WSUS控制台更新列表的参考图:
     
    请参考以下图片来创建更新视图:

     
    Regards,
    Rita


    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GBL_Ray 2020年6月10日 6:07
    2020年6月9日 8:49
  • 原来需要手动创建啊.........我手动创建了定义更新,直接就有上游已审批的defender更新了,非常感谢

    那最后我重新捋下:

    1.在下游副本WSUS内手动创建更新视图,视图列表内已经出现defender病毒更新,那么客户端那边是否就可以正常更新了?在主WSUS已经设置为自动审批;

    2.客户端那边是不是也必须下发签名更新的组策略,比如更新源/下载定义更新时间间隔等等;

    3.之前更新视图也有WSUS更新(截图中已显示),但是这一年多以来从没见过有过补丁更新,是不是也需要开启什么设置才能正常更新?还是说确实没有更新呢?

    非常感谢您的回复!

    2020年6月9日 10:15
  • Hi GBL_Ray,
     
    首先,很高兴你的问题得到了解决,感谢你的不断跟进。接下来就你提及的问题,就我个人的经验做如下回复:

    1. 就你提及的客户端获取Windows Defender相关更新的问题,其实这要看你的客户端指向的WSUS服务器。如果你的客户端指向下游副本WSUS服务器,则相关更新在主WSUS服务器进行正常审批,下游副本WSUS服务器正常同步就可以在副本WSUS服务器上看见这些更新;如果你的客户端是直接指向主WSUS服务器,则相关更新就不会正常同步到下游副本WSUS服务器上。
     
    2. 之前应用的签名跟新组策略就是用来设置Windows Defender相关更新的更新源的,默认设置顺序是:InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, 不清楚你说的“更新的时间间隔”是指什么,但是自动审批规则里可以定义自动审批最后期限,任何更新只有审批以后才会下载到本地的。
     
    3. 不就知道你的WSUS服务器有没有正常同步。同步的意思是WSUS服务器与微软站点拿更新的过程,如果你有正常同步的话,以我的经验客户端应该就不会丢失相关更新。关于审批的步骤,你可以选择自动审批或者手动审批两种选择,以下图片供你参考:
     

    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 GBL_Ray 2020年6月10日 6:10
    2020年6月10日 1:56
  • 非常好,我收藏了!
    2020年6月10日 2:26
  • 非常感谢,可能我还没表达清楚;

    1.首先我们的主WSUS和十台副本WSUS,已经用了大概一年半的时间了,所以相对审批/架构/客户端策略来说,应该可以说是比较符合我们实际情况,无需做其他改动了,只是最近新加了defender病毒库的定义更新;

    看目前定义更新的情况,在下游副本WSUS中,与其他视图列表里的Windows更新是一样的,每个更新后面都已经是安装状态,说明主WSUS已经自动审批了defender的定义更新,并且下游副本WSUS也已经同步并且应该是已经下载,可以提供客户端正常下载了,是这样的吧?

    2.我在下游副本WSUS所在ou的策略中,设置了签名更新的更新源是InternalDefinitionUpdateServer,而我不希望他们从其他源下载,所以没有写其他两个源,也就是他们只能从主WSUS内下载,这样是可以的吧?

    至于我说的"更新源间隔时间"那些,是我在设置签名更新的时候给下游副本设置了,而且还在考虑是否需要设置其他几个策略,也就是说这些是否有必要给客户端也设置,如下图:

    3.关于自动审批,我是这样设置的,之前的win10/Windowsserver2016等安全更新,我设置的是25天后自动审批,至于新添加的defender定义更新,我没有设置的期限,也就是自动立刻审批,这样设置也是合理的吧?

    Windows的更新,如下图:

    defender的定义更新,如下图:

    我之前说的没有WSUS更新,是指的视图列表这块儿,当初在搭建WSUS时,需求除了供客户端win10使用,还有服务器的Windowsserver2016,我们都是只下载安装安全补丁,而作为其中一项服务的WSUS,也添加了更新,但是自从添加上就从没见过有过更新,所以怀疑是不是和defender一样,哪个地方设置还是有问题?如下图:

    非常感谢您的耐心解答!

    2020年6月10日 2:45
  • Rita讲解的非常详细呢
    2020年6月10日 3:35
  • 你好
     
    感谢您的肯定,谢谢您的支持与配合。
     
    我检查了您的设置,以我的经验应该是没有问题,您可以在客户端检查检查相应审批的Windows Defender更新来检查设置。至于您说的为客户端设置“更新源间隔时间”组策略设置,由于我也没进行设置过,也不能给您有用的建议。
     
    关于自动审批Windows Defender期限设置没有确切的要求,还是根据自己的环境来进行设置,当然你不设置自动审批最后期限也是可以的。
     
    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月10日 4:09
  • 再次感谢您的回复,Rita!

    您的回复解答的又快又准确,棒极了!

    2020年6月10日 6:14
  • Hi GBL_Ray,
     
    感谢你的肯定。如果下次有任何问题,欢迎继续上贴。我将尽我最大的努力为您服务。
     
    Regards,
    Rita

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月10日 7:42
  • 你好 GBL_Ray,
     
    非常感谢GBL_Ray的支持与配合。以下是对此case的一个简短的总结,以供其他人参考。
     
    问题症状:更新导入以后在下游WSUS服务器没有检查到更新
     
    原     因: 没有新建更新视图,更新没有筛选出来
     
    解决方法:新建更新视图进行筛查
     
    诚挚问候,
    Rita

    "WSUS" forum will be migrating to a new home on Microsoft Q&A!
    We invite you to post new questions in the "WSUS" forum's new home on Microsoft Q&A!
    For more information, please refer to the sticky post.

    Please remember to mark as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月16日 3:17