WSUS trong môi trường bị ngắt kết nối

Tôi cần xây dựng máy chủ WSUS trong môi trường bị ngắt kết nối. Môi trường này không liên quan đến miền văn phòng của chúng tôi theo bất kỳ cách nào. Vì vậy, tôi đã xây dựng máy chủ WSUS và làm theo hướng dẫn của Microsoft về cách định cấu hình, hướng dẫn tại đây - https://docs.microsoft.com/de-de/security-updates/windowsupdateservices/18127442

Về cơ bản hướng dẫn nên làm như sau:

1. Sử dụng 'Sao lưu máy chủ Windows' để sao lưu thư mục WSUSContent từ máy chủ WSUS văn phòng của chúng tôi, sau đó sử dụng 'Sao lưu máy chủ Windows' để 'Khôi phục' dữ liệu trên máy chủ bị ngắt kết nối. Lưu ý rằng tôi đã sao chép cấu trúc tệp của máy chủ WSUS mạng văn phòng để dữ liệu sẽ đi vào cùng một đường dẫn trên máy chủ WSUS bị ngắt kết nối.
2. Sau đó, tôi đã sử dụng 'WSUSUtil.exe' để xuất siêu dữ liệu từ máy chủ WSUS của mạng văn phòng rồi nhập siêu dữ liệu đó vào máy chủ WSUS đã bị ngắt kết nối.

Sau khi làm điều đó, tôi thực sự có thể thấy tất cả các bản cập nhật (hơn 7000) được liệt kê trong bảng điều khiển quản trị WSUS và tôi đã chọn tất cả chúng và phê duyệt để tải xuống và cài đặt.

Tuy nhiên, ngay cả khi máy chủ WSUS nhìn thấy các bản cập nhật, nó vẫn báo cáo rằng nó cần tải xuống các bản cập nhật. Vì vậy, tất cả các bản cập nhật đều bị kẹt khi cố tải xuống mà chúng không thực hiện được. Tất nhiên, vì tôi đã sao chép các bản cập nhật theo cách thủ công, nên hệ thống không nghĩ rằng nó cần tải chúng xuống.

Và là một môi trường bị ngắt kết nối, máy chủ WSUS sẽ tự giao tiếp để nhận các bản cập nhật nhưng mặc dù máy chủ được liệt kê trong 'Máy tính' trong bảng điều khiển, trạng thái báo cáo rằng nó cần 48 bản cập nhật.

Tôi đã xem chính sách nhóm cục bộ và có một chính sách máy tính có tên là 'Chỉ định vị trí dịch vụ cập nhật của mạng nội bộ Microsoft' và trong đó, tôi đặt địa chỉ của chính máy chủ để hy vọng nó sẽ trỏ đến chính nó nhưng khi tôi đi 'Kiểm tra các bản cập nhật', nó nói nó được cập nhật.

Tôi nghĩ vấn đề cốt lõi ở đây là bản thân WSUS nghĩ rằng nó cần tải xuống các bản cập nhật, nhưng thực tế không phải vậy vì tôi đã sao chép chúng theo cách thủ công. Tôi cho rằng sau khi sao chép các bản cập nhật theo cách thủ công, việc nhập siêu dữ liệu sẽ cho phép hệ thống thấy các bản cập nhật đã có sẵn.

Có ai có manh mối những gì tôi đang thiếu ở đây? Cảm ơn trước.

Được rồi, tôi đang xây dựng một giải pháp tương tự với Windows Server 2022 và mặc dù tôi vẫn đang gặp rất nhiều vấn đề và đã nảy sinh lòng căm thù sâu sắc đối với WSUS, nhưng tôi đã gặp phải các vấn đề của bạn và "giải quyết" chúng trong khoảng một tháng trước.

Bạn không thể phê duyệt bất kỳ bản cập nhật nào trên máy chủ WSUS bị ngắt kết nối mà cũng không được phê duyệt trên máy chủ truy cập internet. Ngoài ra, nếu bạn đã phê duyệt 6999 bản cập nhật trên máy chủ đối mặt với internet nhưng sau đó phê duyệt 7000 bản cập nhật trên máy chủ bị ngắt kết nối, thì WSUS chỉ thích treo vô hạn không tí nào một bản cập nhật mà bạn đã phê duyệt trên máy chủ bị ngắt kết nối chứ không phải trên máy chủ khác, khiến có vẻ như tất cả 7000 bản cập nhật đang "cần tải xuống".

Nhưng khi khắc phục sự cố này, bạn có thể thấy rằng một số bản cập nhật nhất định, khi bạn không phê duyệt chúng, sẽ khiến bảng điều khiển WSUS gặp sự cố. Xin chúc mừng nếu bạn gặp lỗi này, bây giờ bạn cần thực hiện cài đặt lại toàn bộ WSUS (không đơn giản như chỉ xóa tính năng WSUS và thêm lại btw - làm theo hướng dẫn trực tuyến).

Cuối cùng, bạn cần đảm bảo các tệp cập nhật & cài đặt ngôn ngữ trong cả hai bảng điều khiển WSUS khớp nhau. ví dụ. bạn không thể có tất cả các ngôn ngữ trên kết nối và chỉ có tiếng Anh trên kết nối bị ngắt kết nối.

WSUS bị ngắt kết nối hoàn toàn là một cơn ác mộng, chào mừng bạn đến với nỗi đau. Ngoài ra, tôi từ chối trả tiền cho tập lệnh của Overdrive chỉ để WSUS hoạt động.Chúng tôi đã trả tiền cho giấy phép máy chủ của Microsoft, tại sao giải pháp duy nhất cho 95% sự cố WSUS trực tuyến là sử dụng tập lệnh của một số anh chàng hiện có mô hình đăng ký trả phí.. /rant