如何获取并安装 Windows Server 2019 最新离线安全补丁包？

Windows Server 2019（版本 1809，构建号 10.0.17763）的离线补丁安装可通过 Microsoft Update Catalog 获取独立 .msu 包，使用 DISM 命令安装可避免在线更新失败问题，完整安装过程通常耗时 20-30 分钟。

原因分析

离线安装补丁的主要原因是服务器环境通常无法直接连接互联网，或在线更新组件出现故障。根据 Microsoft Q&A 的技术支持记录，常见问题包括更新后重启依旧提示"需要重启才能完成安装"，甚至出现安装更新后回滚的情况。这通常是由于 Windows 更新组件挂起的会话任务未清除，或组件存储基线需要重置。微软从 Windows 2004 版开始在离线补丁包中集成必需的前置补丁，解决了依赖问题，但 Windows Server 2019（基于 1809 版本）仍需手动处理补丁依赖关系。

解决方案

第一步：获取离线补丁包

访问 Microsoft Update Catalog 网站（www.catalog.update.microsoft.com），搜索关键字"servicing stack Windows Server 2019"或具体 KB 编号（如 .NET Framework 4.8 对应 KB4486153）。在搜索结果页面右击下载链接，选择"链接另存为"下载 .msu 补丁包。注意区分 x64 版本，Windows Server 2019 仅支持 64 位架构。对于 2020 年 9 月之后的补丁包，微软已集成前置依赖，可减少安装失败概率。

第二步：重置更新组件（解决安装卡住问题）

以管理员身份打开命令提示符，依次运行以下命令停止更新服务：

net stop wuauserv

net stop cryptsvc

net stop bits

net stop msiserver

然后重新启动服务：

net start wuauserv

net start cryptsvc

net start bits

net start msiserver

接着清理组件存储并重置基线：

dism /cleanup-image /startcomponentcleanup /resetbase

第三步：使用 DISM 手动安装补丁

使用 7-Zip 或其他工具解压 .msu 更新包，提取出 .cab 文件。在命令提示符中运行：

dism /online /add-package /packagepath:"x:\path\to\update.cab"

将"x:\path\to\update.cab"替换为实际文件路径。为提高效率，可将多个补丁文件复制到非系统分区（如 D:\build），创建 update.bat 批处理文件批量安装。

第四步：验证安装结果

安装完成后重启服务器。在"控制面板"→"已安装的更新"中查看补丁列表，.NET Framework 4.8 在 Windows Server 2019 中显示为"Microsoft Windows 更新 (KB4486153)"。可通过系统管理员控制台验证补丁是否生效。

注意事项

1. 安装前务必备份重要数据和文件，补丁安装过程中可能导致数据丢失或损坏。

2. 部分补丁需要卸载已安装的软件才能正常运行，安装前需查看补丁的具体安装要求。

3. 遇到"需要重启才能完成安装"提示时，不要反复重启，应先清除挂起的会话任务。

4. 对于有重大安全漏洞的补丁（可通过 CVE 官网查询对应公告），建议及时使用在线升级或下载指定离线补丁包，离线安装和在线安装存在时间差。

5. 企业环境中可通过 WSUS 集中管理补丁，WSUS 服务器可勾选"WID Connectivity"和"WSUS 服务"角色，补丁存放位置需提前规划。

6. 系统分区建议至少 60GB 容量，确保有足够空间存放补丁文件和临时安装文件。

参考来源

来源：Microsoft Q&A - windows server 2019 更新离线补丁，重启依旧提示"需要重启才能完成安装"

来源：Microsoft 下载中心 - 适用于 Windows 的 Microsoft .NET Framework 4.8 脱机安装程序

来源：Microsoft Update Catalog - 如何获取和安装更新

来源：WindowsServer2019 WSUS 安装详细步骤图解教程 - 服务器管理器角色部署指南