Итак, на данный момент мы установили и настроили сам сервер WSUS. Будем считать, что к данному моменту он работает стабильно, ресурсов хватает, и все, что нам осталось сделать - это настроить клиентские системы.

Сама настройка клиентов не представляет собой ничего сложного, достаточно запустить gpedit.msc и проследовать по пути

Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows

Далее,

• «Настройка автоматического обновления» — выбираем «Включено» и настраиваем параметры запуска и расписание
• «Указать размещение службы обновлений Microsoft в интрасети» — выбираем «Включено» и указываем адрес нашего WSUS сервера в формате  http://wsus.domain.local:8530  . Адрес указывается ​​​​​в поле "Укажите службу обновлений..." так и в поле "Укажите сервер статистики в интрасети".  Соответственно, если мы не используем SSL, то порт указывается 8530, иначе https:// и 8531.
• «Turn off the upgrade to the latest version of Windows throught Windows Update» - опциональный параметр, однако если мы используем локальный WSUS, логично запретить подключение к серверам Windows Update.

И уже на этом этапе возможно появление различных глюков. Например, формат указания адреса http://wsus.domain.local:8530 работает в том случае, если WSUS является частью домена. Если же нет, то придется указать IP-адрес, но... Иногда это не помогает, и для устранения проблемы нужно прописать имя сервера в hosts. ​​​​​​​После этого обычно проблема уходит.

Привязка клиентов происходит не сразу, поэтому придется подождать. Точное время ожидания может разниться. В одном из реальных случаев сервер "увидел" все клиенты только на вторые сутки(это само по себе предмет для проверки, почему так происходит).

Для начальной проверки доступности сервера со стороны клиента, выполняем следующие шаги.

1. Проверяем доступность сервера и открытый порт - telnet [servername] 8530

2. Проверяем доступность скачивания файлов - в браузере набираем http://[wsusname]:8530/selfupdate/iuident.cab  . При этом http://[wsusname] лучше добавить в доверенные сайты.

3. Проверяем открытые TCP/IP подключения как на стороне сервера, так и клиента. Для этого незаменимы следующие скрипты:

Список локальных портов, которые открыты  на системе -

Get-NetTCPConnection -State Listen | Select-Object -Property LocalAddress, LocalPort, RemoteAddress, RemotePort, State | Sort-Object LocalPort |ft

Вывод имен процессов и хостов для всех TCP подключений:

Get-NetTCPConnection -State Established |Select-Object -Property LocalAddress, LocalPort,@{name='RemoteHostName';expression={(Resolve-DnsName $_.RemoteAddress).NameHost}},RemoteAddress, RemotePort, State,@{name='ProcessName';expression={(Get-Process -Id $_.OwningProcess). Path}},OffloadState,CreationTime |ft

Проверяем, что соединение по порту 8530 установлено.

Обычно, если выполнены вышеуказанные проверки, скачивание обновлений будет происходить без проблем. При этом на обеих системах должен быть включен фаерволл Windows, при его отключении скачивание обновлений может быть невозможно.