Không phải tất cả các bản sửa lỗi, bản vá và bản cập nhật cho các sản phẩm của Microsoft đều có sẵn để cài đặt trong bảng điều khiển Windows Server Update Services (WSUS). Ví dụ:bạn có thể đã tắt đồng bộ hóa cập nhật cho một sản phẩm cụ thể, phiên bản Windows hoặc lớp cập nhật trong cài đặt WSUS của mình. Ngoài ra, không có bản cập nhật nào trong bảng điều khiển WSUS được thiết kế để giải quyết một vấn đề cụ thể và không ngụ ý cài đặt hàng loạt trên tất cả các thiết bị. Trong những trường hợp này, bạn có thể thêm (nhập) thủ công bất kỳ bản cập nhật nào có sẵn trong Danh mục Microsoft Update vào WSUS hoặc SCCM (Trình quản lý cấu hình) thông qua IE hoặc PowerShell.
Ví dụ:chúng tôi muốn thêm bản cập nhật KB3125574 vào danh sách các bản cập nhật WSUS (bản cập nhật tổng hợp tiện lợi cho phép khắc phục sự cố sử dụng RAM cao của wuauserv).
Nội dung:
- Nhập các bản cập nhật theo cách thủ công vào WSUS với Internet Explorer
- Lỗi khi nhập các bản cập nhật và trình điều khiển vào WSUS
- Thêm các bản cập nhật vào WSUS theo cách thủ công qua PowerShell
Nhập các bản cập nhật vào WSUS theo cách thủ công với Internet Explorer
- Mở WSUS bảng điều khiển;
- Trong cây bảng điều khiển, nhấp chuột phải vào Cập nhật và chọn Nhập cập nhật ;
- Sau đó, Internet Explorer sẽ khởi động và tự động chuyển đến Danh mục Microsoft Update trang web (https://catalog.update.microsoft.com/); Khi bạn truy cập trang web này bằng IE lần đầu tiên, bạn sẽ phải cài đặt một phần mở rộng ActiveX đặc biệt cho WSUS. tốt hơn nên thêm trang Danh mục Microsoft Update vào danh sách các trang web đáng tin cậy. Bạn có thể đăng ký thành phần ActiveX này bằng lệnh:
regsvr32 c:\Windows\SysWOW64\MicrosoftUpdateCatalogWebControl.dll
- Tìm KB bạn cần bằng tìm kiếm và nhấp vào Thêm để thêm chúng vào giỏ. Tốt hơn là không nên chọn nhiều hơn 20-30 bản cập nhật cùng một lúc;
- Sau đó, nhấp vào Xem giỏ để mở nó;
- Chọn tùy chọn Nhập trực tiếp vào Dịch vụ Cập nhật Windows Server (nếu tùy chọn này không khả dụng, hãy đảm bảo bạn có đặc quyền quản trị viên trên máy chủ WSUS của mình) và nhấp vào Nhập ;
- Chờ cho đến khi các bản cập nhật được tải xuống (Nếu quá trình tải xuống bị gián đoạn, hãy thử lại);
- Sau đó, tìm các bản vá đã tải xuống trong Tất cả các bản cập nhật của bảng điều khiển WSUS. Phê duyệt cài đặt các bản cập nhật trên các nhóm máy tính được yêu cầu (cách dễ nhất để nhắm mục tiêu các máy tính vào nhóm WSUS là thông qua GPO).
Do đó, bất kỳ bản cập nhật nào từ danh mục Microsoft đều có thể được nhập vào máy chủ WSUS, bao gồm trình điều khiển, gói dịch vụ, gói tính năng, v.v.
Lỗi khi nhập các bản cập nhật và trình điều khiển vào WSUS
Bạn có thể gặp lỗi khi nhập các bản cập nhật cho WSUS đang chạy trên Windows Server 2019/2016:
This update cannot be imported into Windows Server Update Services. Cause: it is not compatible with your version of WSUS.
Nếu lỗi như vậy xuất hiện, bạn cần thay đổi thủ công URL được tạo sau khi nhấp vào Nhập cập nhật khuy ao. Thay thế trong URL https://catalog.update.microsoft.com/…Protocol=1.20 thành Protocol=1.80 .
Bạn sẽ nhận được một cái gì đó giống như liên kết sau:
https://catalog.update.microsoft.com/v7/site/Home.aspx?SKU=WSUS&Version=10.0.14393.2248&ServerName=yourwsushost&PortNumber=8530&Ssl=False&Protocol=1.80
Nếu bạn nhận được thông báo Không thành công trạng thái (Error Number: 80131509 ) khi nhập các bản cập nhật vào WSUS, hãy bật hỗ trợ mã hóa mạnh TLS 1.2 cho .Net Framework phiên bản 4.0 trên máy chủ WSUS. Để thực hiện việc này, hãy đặt SchUseStrongCrypto tham số thành 1 trong sổ đăng ký. Chạy lệnh sau trong cmd nâng cao:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Thêm bản cập nhật vào WSUS theo cách thủ công qua PowerShell
Bạn có thể thêm các bản cập nhật mới vào máy chủ WSUS bằng PowerShell. Để thực hiện việc này, bạn cần tải xuống tệp cập nhật từ trang web danh mục cập nhật của Microsoft và nhận GUID của nó.
Tìm KB bạn cần trong bảng điều khiển WSUS và nhấp vào tên của nó. Một trang web có mô tả về bản cập nhật sẽ mở ra. Sao chép updateid từ thanh địa chỉ, tải xuống tệp cập nhật MSU vào đĩa cục bộ của bạn.
Kết nối với máy chủ WSUS từ bảng điều khiển PowerShell:
$WsusSrv = Get-WsusServer (nếu bạn chạy bảng điều khiển PowerShell trực tiếp trên máy chủ WSUS)
$WsusSrv = Get-WsusServer -Name mun-wsus1 -PortNumber 8531 –UseSsl (nếu bạn kết nối với máy chủ WSUS từ xa)
Bây giờ bạn có thể thêm bản cập nhật đã tải xuống vào bảng điều khiển WSUS. Lệnh nhập sau được sử dụng:
$WsusSrv.ImportUpdateFromCatalogSite('UpdateGUID', 'Update.msu')
Ví dụ:
$WsusSrv.ImportUpdateFromCatalogSite('a5e40bf9-f1dc-4e6d-93e7-b62c6bf1ce3e', 'C:\Downloads\Updates\kb5005260.msu')
Bạn có thể kiểm tra xem bản cập nhật đã được nhập thành công hay chưa và hiển thị thông tin về nó:
$WsusSrv.SearchUpdates('kb5005260') | fl *
Khi nhập bản cập nhật WSUS qua PowerShell, lỗi có thể xuất hiện:
Exception calling “ImportUpdateFromCatalogSite” with “2” argument(s): “The underlying connection was closed: An unexpected error occurred on a send.” + CategoryInfo : NotSpecified: (:) [], MethodInvocationException + FullyQualifiedErrorId : WebException
Điều này cũng là do PowerShell đang cố gắng thiết lập kết nối qua giao thức TLS 1.0 đang bị máy chủ WSUS chặn. Để giải quyết vấn đề, hãy thêm tham số SchUseStrongCrypto trên máy chủ WSUS (và khởi động lại nó):
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Sau đó, nhập bản cập nhật vào máy chủ WSUS từ PowerShell sẽ hoạt động bình thường.