为 Azure 更新管理器配置 Windows 更新设置

Azure 更新管理器依赖使用 Windows 更新客户端下载和安装 Windows 更新。 有特定的设置,可供 Windows 更新客户端在连接到 Windows Server Update Services (WSUS) 或 Windows 更新时使用。 其中许多设置可以通过以下方式来管理:

  • 本地组策略编辑器
  • 组策略
  • PowerShell
  • 直接编辑注册表

更新管理器遵循许多指定用于控制 Windows 更新客户端的设置。 如果使用设置来启用非 Windows 更新,则更新管理器也将管理这些更新。 若要在更新部署发生前启用下载更新,更新部署可能会更快、更高效,且不太可能会超出维护时段。

有关在 Azure 订阅中设置 WSUS 并安全地不断更新 Windows 虚拟机的其他建议,请查阅计划部署以使用 WSUS 在 Azure 中更新 Windows 虚拟机

预下载更新

若要配置自动下载(而不自动安装)更新,可以使用组策略将“自动更新”设置配置为“3”。 使用此设置,可以在后台下载所需更新,并通知你更新可供安装。 通过此方式,更新管理器仍可控制计划,但允许在维护时段以外下载更新。 此行为可防止更新管理器中出现 Maintenance window exceeded 错误。

可以在 PowerShell 中启用此设置:

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

配置重新启动设置

通过编辑注册表配置自动更新用于管理重启的注册表项中列出的注册表项可能会导致计算机重新启动,即使你在“更新部署”设置中指定了“永不重新启动”,也不例外。 配置这些最适合你环境的注册表项。

启用其他 Microsoft 产品的更新

默认情况下,Windows 更新客户端配置为,只为 Windows 操作系统提供更新。 在 Windows 更新中,选择“联机检查 Windows 更新”。 它将检查其他 Microsoft 产品的更新,以启用“在我更新 Windows 时向我提供其他 Windows 产品的更新”,以便接收其他 Microsoft 产品的更新,包括适用于 Microsoft SQL Server 和其他 Microsoft 软件的安全补丁。

使用以下选项之一执行大规模设置更改:

  • 对于配置为按计划从更新管理器进行修补的服务器(VM PatchSettings 设置为 AutomaticByPlatform = Azure-Orchestrated),以及在 Server 2016 之前的操作系统上运行的所有 Windows Server,请在要更改的服务器上运行以下 PowerShell 脚本。

    $ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
    $ServiceManager.Services
    $ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
    $ServiceManager.AddService2($ServiceId,7,"")
    
  • 运行 Server 2016 或更高版本的服务器未使用更新管理器计划修补(VM PatchSettings 设置为 AutomaticByOS = Azure-Orchestrated),对于此类服务器,可以使用组策略下载和使用最新的组策略管理模板文件来控制此情况。

为 Microsoft 更新配置 Windows 服务器

Windows 服务器上的 Windows 更新客户端可以从以下任一 Microsoft 托管的补丁存储库中获取其补丁:

  • Windows 更新 - 托管操作系统补丁。
  • Microsoft 更新 - 托管操作系统和其他 Microsoft 补丁。 例如 MS Office、SQL Server 等。

注意

对于补丁的应用程序,可以在安装时选择更新客户端,或者以后使用组策略或通过直接编辑注册表来选择更新客户端。 要获取非操作系统 Microsoft 补丁或仅安装 OS 补丁,建议更改补丁存储库,因为这是操作系统设置,而不是可以在 Azure 更新管理器中配置的选项。

编辑注册表

如果使用 Azure 更新管理器在计算机上配置了计划修补,则会禁用客户端上的自动更新。 要编辑注册表并配置设置,请参阅 Windows 上的第一方更新

在 Azure 更新管理器上使用组策略进行修补

如果使用 Azure 更新管理器修补计算机,并在客户端上启用了自动更新,则可以使用组策略来获取完全控制。 要使用组策略进行修补,请执行以下步骤:

  1. 转到“计算机配置”>“管理模板”>“Windows 组件”>“Windows 更新”>“管理最终用户体验”

  2. 选择“配置自动更新”。

  3. 选择或取消选择“安装其他 Microsoft 产品的更新”选项。

    选择或取消选择安装其他 Microsoft 产品更新的屏幕截图。

对于 Windows Server 2022:

  1. 转到“计算机配置”>“管理模板”>“Windows 组件”>“Windows 更新”>“配置自动更新”

  2. 选择“配置自动更新”。

  3. 选择或取消选择“安装其他 Microsoft 产品的更新”选项。

    屏幕截图显示在 Windows Server 2022 中选择或取消选择安装其他 Microsoft 产品更新。

进行 WSUS 配置设置

更新管理器支持 WSUS 设置。 可以按照指定 Intranet Microsoft 更新服务位置中的说明操作,指定用于扫描和下载更新的源。 默认情况下,Windows 更新客户端配置为,从 Windows 更新下载更新。 如果你将 WSUS 服务器指定为计算机的源,但 WSUS 中没有批准更新,则更新部署失败。

若要将计算机限制为使用内部更新服务,请参阅不要连接任何 Windows 更新 Internet 位置

后续步骤

按照部署更新中的说明配置更新部署。