У меня есть несколько серверов Windows, подключенных к AD, которые обновляются через WSUS. Вы можете увидеть конкретный объект групповой политики WSUS здесь: http://imgur.com/a/LHjll
В июне было установлено обновление (KB3159398), которое вызвало проблемы, поэтому это конкретное обновление было отклонено в WSUS. Все идет нормально.
С тех пор я видел, как это обновление впоследствии устанавливалось на нескольких серверах, хотя это конкретное обновление все еще заблокировано в WSUS. Согласно журналу Update Services Change.log, обновление было заблокировано и с тех пор не устанавливалось.
Обновление было установлено пользователем СИСТЕМЫ, поэтому его установил не администратор.
Согласно журналу WindowsUpdate.log с сервера, сервер не зарегистрировался на сервере WSUS в этот конкретный день, и обновление было загружено онлайн, а не через WSUS:
Агент * Сервер WSUS: NULL
Агент * Сервер состояния WSUS: NULL
Агент * Целевая группа: (Неназначенные компьютеры)
Агент * Доступ к Центру обновления Windows отключен: Нет
Как мне отладить это дальше, чтобы это обновление никогда не устанавливалось снова?
После нескольких советов и указателей из разных комментариев я сузил проблему и нашел решение. Я обновил вопрос соответствующей информацией.
Журнал WindowsUpdate.log показал, что сервер некорректно зарегистрирован в WSUS, а затем выполнил обновление Windows вокруг сервера WSUS.
Решением было заблокировать Центр обновления Windows, чтобы серверы никогда не обновляли WSUS. Это было сделано с помощью групповой политики:
Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Центр обновления Windows> Удалить доступ для использования всех функций Центра обновления Windows
Если вы явно заблокировали обновление в WSUS, его не следует загружать с сервера WSUS. В журнале WindowsUpdate.log вы действительно видите, что клиент подключается к вашему серверу WSUS (а не где-то совсем в другом месте, например, в Интернете) и загружает обновление проблемы? Если обновление не загружается, но все еще устанавливается, возможно, оно застряло в кэше обновлений. Попробуйте очистить кеш с помощью следующих команд:
net stop wuauserv
CD\
CD %Windir%
CD SoftwareDistribution
DEL /F /S /Q Download
net start wuauserv
wuauclt /detectnow