在 Windows Server 2016 上配置 WSUS 批量推送安全更新，核心是安装 WSUS 角色并通过组策略指定客户端更新源。适用场景为内网环境需要统一管控补丁版本，风险边界在于错误批准更新可能导致业务中断，需先在测试组验证。

命令速用版

使用 PowerShell 快速安装 WSUS 角色及管理工具，避免手动点击服务器管理器。

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

安装完成后需运行 wsusutil.exe 进行 post-install 配置，指定内容存储路径。

cd "C:\Program Files\Update Services\Tools" .\wsusutil.exe postinstall /contentdir:D:\WSUSContent

为什么会这样

WSUS 通过本地缓存更新文件减少外网带宽消耗，并允许管理员审核更新内容。Windows Server 2016 默认不安装该角色，需手动添加。客户端默认连接微软公网更新服务器，必须通过组策略修改注册表指向内网 WSUS 地址才能生效。

分步处理

步骤 1：完成 WSUS 向导配置
打开 WSUS 控制台，运行配置向导。选择从 Microsoft Update 同步（需服务器能上网）或上游服务器。存储位置建议选择非系统盘。产品选择 Windows Server 2016 及相关客户端版本，分类勾选安全更新、关键更新。

步骤 2：配置客户端组策略
在域控制器打开组策略管理，创建或编辑策略。路径：计算机配置 - 策略 - 管理模板 - Windows 组件 - Windows 更新。启用“指定 Intranet Microsoft 更新服务位置”，填入 WSUS 服务器 HTTP 地址，例如 http://wsus-server:8530。

步骤 3：批准更新
在 WSUS 控制台“更新”节点，筛选“安全更新”且状态为“所需”。右键批准更新，目标组选择“测试计算机组”。观察测试组客户端安装情况，确认无业务冲突后再批准给“所有计算机”。

怎么验证是否生效

客户端运行命令触发检测：usoclient StartScan。查看事件查看器，路径：应用程序和服务日志 - Microsoft - Windows - WindowsUpdateClient - Operational。事件 ID 41 表示成功联系 WSUS 服务器。WSUS 控制台“计算机”节点应能看到客户端上报状态。

常见坑

1. 客户端不显示：检查组策略是否生效，运行gpupdate /force，确认防火墙放行 8530 端口。
2. 更新下载失败：确认 WSUS 服务器磁盘空间充足，IIS 应用程序池默认设置可能限制请求大小，需调整 maxAllowedContentLength。
3. SSL 证书问题：若启用 SSL，客户端必须信任服务器证书，否则汇报失败。

常见问题

客户端一直显示“未报告”怎么办？

检查客户端 Windows Update 服务是否运行，并确认组策略地址无误。可在客户端运行net stop wuauserv后删除C:\Windows\SoftwareDistribution文件夹再重启服务重置更新组件。

WSUS 同步速度很慢是否正常？

首次同步需要下载元数据和大量文件，耗时较长属于正常现象。后续增量同步速度会显著提升，可在 WSUS 选项中调整同步计划避开业务高峰。

参考来源

• Microsoft Learn - Get started with Windows Server Update Services
• Microsoft Learn - Configure Windows Update Client by using Group Policy