建立及設定Windows Server Update Services (WSUS)主機實作記錄

以下是實作記錄：

--------------------------------------------------

筆者將組織內運作負載低的DFS主機拿來運用，其作業系統為Windows Server 2012 R2 Standard，建置於Hyper-V下。如果讀者有使用虛擬化環境(Hyper-V、VMware等)規劃實作，建議可以直接新建虛擬機器，環境較為單純。

1. 在伺服器管理員點選「管理」→「新增角色及功能」

2. 再來是說明畫面，點選下一步。

3. 點選「角色型功能型安裝」，並點下一步

4. 由於是本機，維持預設的選項就好，點選下一步

5. 在角色的選項，勾選「WindowsServer Update Services」，右側的描述會說明該角色所具備的功能；而一台主機可具備多種角色

※在不需考量授權因素下，因為虛擬化環境帶來的高可用性，筆者經驗其實讓個虛擬主機的角色單純最好，方便管理與維護

6. 勾選「WindowsServer Update Services」時，還會跳出提醒，說明也必須同時安裝某些角色與功能才行，故點選「新增功能」繼續

7. 回到剛才的畫面後，點下一步

8. 再來是功能選項，如上述，有些功能會自動被一起勾選，所以不需要再手動去點選，繼續按下一步即可

9. 說明和注意事項，點下一步繼續

10.選擇要安裝的角色服務，預設的選項就行，不須變更。點選下一步繼續

11.選擇下載的更新檔儲存路徑，自行創建一個資料夾，也可以日後更改；點選下一步繼續

12.說明和注意事項，點選下一步繼續

13.針對IIS要安裝的角色服務，依預設的就好，不須變更，點下一步繼續

14.確認要安裝的各項角色與服務/功能，確認無誤就點選「安裝」即可

※雖然WSUS的各項安裝不需重啟電腦，但自動重啟通常不需勾選，如安裝完畢系統建議重啟再手動啟動。

(避免影響到本機其他運作中的功能，但如果是全新的系統就無所謂了)

15.再來則是進行安裝，需等待一些時間

16.安裝完畢，點選關閉即可

--------------------------------------------------------------------------

上述的WSUS角色及相關服務已經安裝完成，再來就是到程式集開啟「WindowsServer Update Services」。首次執行需要完成一些設定方能使用

17.設定存放路徑，在前述已經有設定好了，如不須再更改路徑，就點選「執行」

18.等待安裝繼續進行......

19.安裝完成，點選「關閉」繼續

20.繼續進行設定，一些提醒事項請務必確認，不然會影響日後整個組織的更新運作。點選下一步繼續

21.點選是否參加改進方案，這個隨意，點選下一步

22.選擇上游伺服器，如果有其他上游主機，才需設定；否則就依預設選項，從Microsoft Update同步即可。點選下一步繼續

23.沒有Proxy伺服器的話，也不需要設定，點下一步繼續

24.再來就點選「開始連線」了，需要一些時間，先同步一些清單

25.連線過程可停止，但通常不需要

26.連線完成，點下一步繼續

27.先選擇語言，預設是中文、英文，除非組織內有電腦使用其他語系，不然不需變更或增加語言。點選下一步繼續

28.點選產品，選好繼續下一步

29.選擇哪些類型的更新，筆者是全選

30.選擇手動或自動同步處理M，筆者設定自動同步處理Microsoft Update

31.可點選是否開始同步處理，不勾選也沒關係，稍後可在WSUS視窗執行；點選下一步繼續

32.最後是一些官網文章連結，有興趣可自行參閱，點選「完成」即可

--------------------------------------------------------------------------

上述就是WSUS組態精靈設定流程，至此WSUS就安裝完成了，接著就是WSUS的視窗，就是一些細部的設定、以及同步Microsoft Update更新。有興趣的讀者可以自行摸索，在此提一些筆者比較會留意的功能

33.WSUS首頁，會顯示一些各項狀態，因為是首次執行、GPO也未設定各電腦向WSUS報到，所以一開始的狀態資訊較貧乏

34.如果有顯示待辦/注意事項則可留意，通常會有更新需核可，即便規則有自動核准，部分更新仍需手動核准。

35.在「選項」可點選「自動核准」，設定自動核准的規則

36.預設有一條自動核准規則，但預設未勾選。由於更新同步來源是微軟官方，所以建議勾選，可省很多心力。

37.手動核准時，就是逐一看、逐一核准，但也可以批次選取/核准

38.如果更新規則有設定群組/子系，則核准更新也能設定是否要套用到子系。

至此，WSUS就設定得差不多了，接下來就是要花時間從上游(Microsoft Update)同步更新資料，需要相當久的時間。WSUS的功能簡易，通常可自行摸索，網路上官方/非官方資源也都相當豐富。

通常等同步完成後，再從AD的GPO 建立群組原則了，可參閱下一篇文章〈利用群組原則(GPO)設定WSUS 用戶端更新〉

==========================

參考資料：

1. 部署 Windows Server Update Services--https://docs.microsoft.com/zh-tw/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services

=============================

WSUS相關文章：

1. 建立及設定Windows Server Update Services (WSUS)主機實作記錄

2. 利用群組原則(GPO)設定WSUS 用戶端更新

利用群組原則(GPO, Group policy)設定用戶端電腦螢幕保護程式、密碼保護

原本只是讓User自行設定電腦要不要螢幕保護、以及密碼保護；但因為安全性考量，還是決定以群組原則的方式一體適用。雖然對使用者而言，有點不方便，但對於資安和個資保護還是一定的幫助。

-------------------------------------

設定流程：

1. 一如在群組原則設定各項Policy，在AD開啟群組原則管理，第一層按滑鼠右鍵，點選「在這個網域中建立GPO並連結到(C)…」新增一個原則(不要在預設的Default Domain Policy做設定，避免混淆)，另取一個名稱，中英文皆可；筆者在此實作取的名稱是「ClientPC螢幕保護級密碼保護」

2. 編輯該原則，會跳出群組原則管理編輯器，展開「使用者設定→原則→系統管理範本→控制台→個人化」，再點選右側「啟用螢幕保護裝置」、「以密碼保護螢幕保護裝置」以及「螢幕保護裝置逾時」，將之啟用、設定時間並套用即可

完成後，AD會陸續派送到各網域電腦。

=======================

延伸閱讀：

1. 立即更新(套用)群組原則

2. 由群組原則設定新增IE信任網站、近端內部網路

3. GPO開啟網路探索、檔案和印表機共用的方法

4. 群組原則(GPO, Group policy)設定用戶端電腦Wundows Update方式

5. 利用群組原則(GPO, Group policy)設定可遠端連線用戶端電腦

6. 利用群組原則(GPO, Group policy)設定用戶端電腦螢幕保護程式、密碼保護

Windows Server 2016 Update KB4103720 遇到錯誤(0x800705b4)解決方式

近日測試好幾部的新安裝Windows Server 2016虛擬機在更新時，遇到更新KB4103720失敗的情況，出現錯誤碼「0x800705b4」。重新建立虛擬機也是都遇到相同的情況，皆卡在KB4103720的更新......

google網路上很多方法，簡單的、複雜的，都無法成功。後來在一個討論社群，找到解方，該討論串看起來也適用其他更新遇到0x800705b4，就是直接手動下載微軟的更新檔來手動安裝，其實就是很基本的排除方法，只是筆者鑽牛角尖忽略了還有這個方式

▲擷取自https://community.spiceworks.com/topic/2125320-can-t-run-windows-updates-on-server-2016

-------------------------------------------

實作流程：

1. 到Microsoft®Update Catalog搜尋「KB4103720」，留意搜尋結果，下載適用Server 2016版的

(筆者附上的超連結已經直接連到該頁面)

2. 下載後會產生一個資料夾，名稱就寫得很清楚是Server 2016的KB4103720，裡頭有個更新檔

3. 直接執行即可。更新結束，需要重新開機；重新開機後，就可以看到更新記錄，控制台的「解除安裝更新」也有記錄。

雖然更新記錄並未顯示是Server版的Windows更新，不過下載來的更新檔資料夾無誤，能順利安裝該更新，也不影響後續的更新。此問題也順利排除了

===========================

參考資料：

〈Can't run Windows Updates on Server 2016〉：https://community.spiceworks.com/topic/2125320-can-t-run-windows-updates-on-server-2016

Exchange共用行事曆(資源)空間不足的解決方式

最近因為共用行事曆2GB的空間快爆掉了，該信箱每天都會收到通知信，不勝其擾。

每天的通知信是其次，主因是筆者和主管都會將各個外部廠商往來的重要信件存放於此，便於彼此存查。當初規畫這個共用行事曆沒有想到這個用途，現在來看，爆掉就很不方便。

但共用行事曆(資源)，不像一般使用者一樣，可以直接在EAC (Exchange admin center / Exchange 系統管理中心)點選使用者調整信箱大小

(如下圖，一般使用者可以直接調整)

不過，共用行事曆(資源)，一樣可以調整，但作法就是「遷移資料庫」的方法，就是將現有在A資料庫，移動到B資料庫的方式。

程序不難，就到「收件者」→「移轉」，點選「+」，選擇「移至其他資料庫」。接著就照步驟即可。

遷移任務執行中，在該頁面可以看到執行狀態。不過，因為是遷移資料庫，不是擴增，所以需要一些時間。完成後，EAC也會發送email通知任務設定者。

-----------------------------------------------

完成後，除了在上述任務欄位、email通知可以得知移轉完成。在EAC的「收件者」→「資源」，看此共用行事曆的信箱資料庫是否已經變動。

另外，筆者隔天再看此共用行事曆的收件夾，已經沒有「您的信箱快滿了」的通知信，(主管的)心情可是愉快多了!

============================

參考資料：

〈建立及管理會議室信箱〉：https://docs.microsoft.com/zh-tw/exchange/recipients/room-mailboxes?view=exchserver-2019#change-other-room-mailbox-properties