WSUS. Некоторые вопросы
[iframe][/iframe]
-
Вопрос: Как немедленно начать обновление?
Ответ:-
Немедленное обновление:
Код: Выделить всё
Wuauclt.exe /detectnow
-
Перерегистрация на сервере WSUS с немедленным обновлением:
Код: Выделить всё
Wuauclt.exe /resetauthorization /detectnow
-
-
Вопрос: Как проверить, работает ли клиент обновлений?
Ответ: Смотрим файл %WINDIR%\WindowsUpdate.log. Также можно заглянуть в системный журнал. -
Вопрос: Как проверить, работает ли сервер обновлений?
Ответ 1: При помощи команды:
Код: Выделить всё
wsusutil checkhealth
Сама утилита «wsusutil» находится в подпапке «Tools» папки, куда установлен сам WSUS (jобычно - «%ProgramFiles%\Update Services\Tools»
После окончания выполнения команды, смотрим результат в журнале событий «Приложения» («Applications») от источника «Windows Server Update Services».
При отсутствии ошибок, код сообщения будет «10000», категория - «Core» с описанием «WSUS is working correctly»:Ответ 2: При помощи браузера нужно зайти на страничку WSUS: «http://wsus_server_address.local:XXXX/ClientWebService/client.asmx», где «wsus_server_address.local» - адрес WSUS сервера, а «XXXX» - его порт.
Если сервер работает нормально, получим ответ от WSUS сервера в виде «Ошибка сервера в приложении '/ClientWebService'»:или
Иначе, будет какое-либо сообщение от IIS сервера (ошибки HTTP), типа не удается отобразить эту страницу или не хватает прав для... или неверно сконфигурирован... или у вас отсутствуют разрешения на просмотр этой страницы и т.п.
-
Вопрос: Куда качаются обновления?
Ответ: В папку %WINDIR%\SoftwareDistribution\Download\. В принципе, можете их скопировать и установить на другие рабочие станции с такой же ОС, только у них имена будут нечитаемые (в виде значений хэш-функции). -
Вопрос: Как перенести все обновления с одного сервера WSUS на другой?
Ответ: Необходимо скопировать содержимое WSUS\Content, а также экспортировать/импортировать метаданные с помощью утилиты wsusutil. Затем не забыть выполнить синхронизацию с вышестоящим сервером WSUS. Подробно -
Вопрос: Как вернуть рабочие станции, удаленные с сервера?
Ответ: Решение простое: при следующей синхронизации клиентов с сервером они снова появятся (хотя, вроде в справке написано, что от таких клиентов запросы будут игнорироваться). -
Вопрос: Как переместить (перенести) базу файлов обновлений (папку WsusContent) на другой диск?
Ответ:-
Создаем папку для обновлений WSUS на новом месте (то есть ту папку, в которой будут лежать расшаренные папки WSUS сервера UpdateServicesPackages и WsusContent).
ВНИМАНИЕ!!! расшаривать (давать общий доступ) к папкам UpdateServicesPackages и WsusContent НЕ НУЖНО, поскольку WSUSutil.exe сама это сделает.
-
Убеждаемся, что NTFS права на новую папку WSUS такие же как на старую (Администраторы, Система - полный доступ, Пользователи - чтение и выполнение, чтение, просмотр папок)
-
Запускаем утилиту %ProgramFiles%\Update Services\Tools\WSUSutil.exe. Например, чтобы перенести файлы из текущей папки на диск E:, в папку \Soft\WSUS, - выполняем команду:
Код: Выделить всё
"%ProgramFiles%\Update Services\Tools\WSUSutil.exe" movecontent E:\Soft\WSUS E:\Soft\WSUS\movecontent.log
При этом нет необходимости указывать где именно находится текущая папка с обновлениями, нужно лишь указать КУДА эти обновления копировать (E:\Soft\WSUS) и куда сохранить журнал переноса (E:\Soft\WSUS\movecontent.log).
-
Видим сообщение: "Изменяется размещение содержимого. Не останавливайте выполнение программы."
-
Ждем окончания процесса переноса. Время переноса зависит от размера папки WSUS и скорости дисковой подсистемы. В моем случае 30 ГБ были перенесены примерно за 10 минут. В итоге получаем журнал переноса в указанном нами месте. При успешном выполнении журнал будет выглядеть примерно так:
2012-11-14T02:26:02 Successfully stopped WsusService.
2010-11-14T02:26:02 Beginning content file location change to E:\Soft\WSUS
2010-11-14T02:36:18 Successfully copied content files.
2010-11-14T02:36:18 Successfully copied application files.
2010-11-14T02:36:21 Successfully changed WUS configuration.
2010-11-14T02:36:24 Successfully changed IIS virtual directory path.
2010-11-14T02:36:24 Successfully removed existing local content network shares.
2010-11-14T02:36:25 Successfully created local content network shares.
2010-11-14T02:36:25 Successfully changed registry value for content store directory.
2010-11-14T02:36:25 Successfully changed content file location.
2010-11-14T02:36:30 Successfully started WsusService.
2010-11-14T02:36:30 Content integrity check and repair...
2010-11-14T02:36:30 Initiated content integrity check and repair. -
Проверяем работоспособность WSUS сервера и удаляем файлы обновлений со старого места, освобождая дисковое пространство.
Примечания:
-
Справку по утилите wsusutil смотрим так:
Код: Выделить всё
wsusutil help
или по wsusutil movecontent так:
Код: Выделить всё
wsusutil help movecontent
-
Если диск, где находится база обновлений начал сбоить, то в этом случае нужно копировать только структуру базы обновлений не копируя сами обновления, поскольку копирование самих данных будет сопряжено с определенными проблемами. При этом, отсутствующие файлы обновлений будут скачаны при ближайшей синхронизации. Для копирования только структуры, пользуемся ключом -skipcopy
-
Для проверки изменения конфигурации WSUS можно просмотреть запись в таблице "dbo.tbConfigurationB" базы данных "SUSDB". Открываем SQL Management Studio и находим эту таблицу в папке "Tables" базы "SUSDB". Кликаем правой кнопкой мыши и указываем команду "Open Table". Параметр в столбце "LocalContentCacheLocation" должен указывать на новое местоположение "E:\Soft\WSUS\WsusContent\".
-
-
Вопрос: Как удалить неиспользуемые заплатки?
Ответ:-
1-й способ:
Код: Выделить всё
WsusDebugTool.exe /Tool:PurgeUnneededFiles
команда чистки дискового кеша WSUS. На моем сервере после выполнения этой команды освободилось около 40% дискового пространства. Причем удалились и файлы одобренных обновлений. По какому принципу происходит удаление - непонятно. Естественно, после того как одобренные обновления удалились, они стали качаться заново.
-
2-й способ:
Код: Выделить всё
wsusutil deleteunneededrevisions
команда чистки метаданных устаревших обновлений из СУБД. Пока не использовал..
-
3-й способ:
Удаляем средствами консоли "Update Services" - Параметры - Мастер очистки сервера. Этот способ у меня прошел корректно, не удалив ничего лишнего, но освободилось лишь 4% дискового пространства
-
-
Вопрос: Где хранятся настройки оснастки «Windows Server Update Services»?
Ответ: %appdata%\Microsoft\MMC\wsus -
Вопрос: Как изменить порт, который используется для управления WSUS и для обновлений других компьютеров?
Ответ: Для управления WSUS и для обновлений других компьютеров используется один и тот же порт. Чтобы его сменить, необходимо в Диспетчере служб IIS среди веб-узлов найти тот, который используется для WSUS и в свойствах этого узла изменить порты TCP и SSL. -
Вопрос: Будет ли работать сервер WSUS, если изменить роль в АД тому компьютеру, на котором установлен этот сервер WSUS?
Ответ: Если компьютеру, на котором установлен сервер WSUS изменить роль в АД, то сервер WSUS перестанет корректно работать. Чтобы WSUS сервер вновь заработал, необходимо удалить его (с сохранением ВСЕХ настроек и БД) и, затем, установить вновь, указав, что нужно взять все старые настройки и старую БД. При этом, когда установщик предложит вновь создать сайт для WSUS, нужно указать все параметры прежнего сайта. Если это не сделать, то WSUS, возможно встанет на другие порты. -
Вопрос: Как подключиться к панели администрирования WSUS с полными правами? Это необходимо, например, для смены пароля подключения к Proxy-серверу. Если прав будет недостаточно, то поле пароля неактивно:
Ответ:
Для того, чтобы подключиться к панели администрирования WSUS с полными правами нужно:-
подключаться по SSL (либо локально):
-
учетная запись, от имени которой осуществляется подключение должна входить в группу "Администраторы WSUS".
Для этого в оснастке "Active Directory - Пользователи и компьютеры" добавляем в группу "Администраторы WSUS"
нужного пользователя:
-
Дополнения:
-
Перенос обновлений на другой сервер WSUS:
Имхо, лучше этого не делать - проще и быстрее заново закачать все обновления, благо сейчас практически у всех безлимитка. Перенос лично у меня ни разу не прошел полностью корректно. Мало того, что все загрузки - выгрузки идут часов двенадцать, так потом еще пару суток приходится разбираться с косяками - ошибками. А без переноса данных и базы все просто. Установил сервер WSUS, настроил через доменные политики все компьютеры ЛВС на синхронизацию с ним, настроил параметры автоматической синхронизации с вышестоящим сервером или сервером обновлений Microsoft - и только и делай что одобряй да отклоняй обновления.
-
Проверяем соответствие настроек:
-
Языки обновлений
-
Скачивать файлы экспресс установки
-
-
Переносим файлы обновлений:
-
На компьютере источнике запускаем "Архивация данных" или
Код: Выделить всё
ntbackup
-
Делаем добавочный (Incremental) бэкап папки "WSUSContent"
-
На компьютере приемнике запускаем "Архивация данных" или
Код: Выделить всё
ntbackup
-
Делаем распаковку бэкапа, созданного в предыдущем пункте в папку "WSUSContent" на компьютере приемнике
-
-
Копируем метаданные:
-
На компьютере источнике выполняем
Код: Выделить всё
%ProgramFiles%\Update Services\Tools\WSUSutil.exe export packagename logfile
-
Копируем созданные два файла на компьютер приемник и запускаем на нем
Код: Выделить всё
%ProgramFiles%\Update Services\Tools\WSUSutil.exe import packagename logfile
-
При переносе файлов обновления на сетевой ресурс, необходимо установить следующие настройки безопасности для виртуального каталога «Content» на IIS:
-
Чтение - «Все»
-
Чтение - «Network Service»
-
Полный доступ - Учетная запись компьютера, на котором установлен WSUS. вида: COMPUTERNAME$
-
Полный доступ - Администраторы WSUS
Примечание: В файловой системе должны быть установлены как NTFS разрешения, вкладка «Безопасность», так и права пользователей на доступ к общему ресурсу.
В настройках маппинга файлов (Сопоставления обработчиков) IIS нужно убедиться, что установлены разрешения на чтение
В настройках IIS -> Администрирование WSUS -> Проверка подлинности -> Анонимная проверка подлинности -> Указать пользователя, имеющего права на чтение из каталога «Content»
-
Некоторые ошибки и методы решения:
-
Ошибка 0x800b0001
WARNING: Digital Signatures on file C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default\wuident.cab are not trusted: Error 0x800b0001
2012-07-31 14:26:25:349 816 130c Setup FATAL: IsUpdateRequired failed with error 0x800b0001
2012-07-31 14:26:25:349 816 130c Setup WARNING: SelfUpdate: Default Service: IsUpdateRequired failed: 0x800b0001
2012-07-31 14:26:25:349 816 130c Setup WARNING: SelfUpdate: Default Service: IsUpdateRequired failed, error = 0x800B0001
2012-07-31 14:26:25:349 816 130c Agent * WARNING: Skipping scan, self-update check returned 0x800B0001
2012-07-31 14:26:25:349 816 130c Agent * WARNING: Exit code = 0x800B0001Решение:
-
Согласно статье, качаем и запускаем на проблемном компьютере Microsoft Fix it 50691 от microsoft
-
Согласно той же статье, запускаем на проблемном компьютере и, если не поможет, то и на сервере WSUS скрипт:
Код: Выделить всё
regsvr32 Softpub.dll /s regsvr32 Wintrust.dll /s regsvr32 Initpki.dll /s regsvr32 Mssip32.dll /s
-
Согласно статье, запускаем на проблемном компьютере и, если не поможет, то и на сервере WSUS :
Код: Выделить всё
net stop wuauserv regsvr32 wuapi.dll /s regsvr32 wups.dll /s regsvr32 wuaueng.dll /s regsvr32 wucltui.dll /s regsvr32 wuweb.dll /s regsvr32 msxml.dll /s regsvr32 msxml2.dll /s regsvr32 msxml3.dll /s regsvr32 urlmon.dll /s net start wuauserv regsvr32 softpub.dll /s regsvr32 initpki.dll /s regsvr32 mssip32.dll /s regsvr32 wintrust.dll /s regsvr32 dssenh.dll /s regsvr32 rsaenh.dll /s regsvr32 gpkcsp.dll /s regsvr32 sccbase.dll /s regsvr32 slbcsp.dll /s regsvr32 cryptdlg.dll /s regsvr32 jscript.dll /s
-
Согласно статье качаем и устанавливаем на сервер WSUS обновление для Windows Server Update Services 3.0 с пакетом обновления 2 (SP2)
Примечание: Это обновление устанавливает ПРОСТУЮ модель восстановления базы SUSDB. При необходимости, ее можно поменять на ПОЛНУЮ через оснастку SQL Server Management Studio.
-
-
Ошибка 0x80070002
2012-07-31 20:12:39:773 900 1ff8 Agent WARNING: Failed to read the service id for re-registration 0x80070002
2012-07-31 20:12:39:773 900 1ff8 Agent WARNING: Missing service entry in the backup data store; cleaning upРешение:
-
Согласно статье, качаем и запускаем на проблемном компьютере и, если не поможет, то и на сервере WSUS Microsoft Fix it 50202. При выполнении ставим галочку "Выполняться в агрессивном режиме"
-
Согласно статье, выполняем скрипт на проблемном компьютере:
Код: Выделить всё
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId /f net stop wuauserv del %windir%\WindowsUpdate.log rd /S /Q %windir%\SoftwareDistribution pause net start wuauserv wuauclt /resetauthorization /detectnow pause
Во время первой паузы в этом скрипте убеждаемся, что на проблемном компьютере удалились папка "%windir%\SoftwareDistribution" и файл "%windir%\WindowsUpdate.log", а так же на сервере WSUS удаляем запись о проблемном компьютере (Щелкаем его правой кнопкой мыши -> Удалить):
-
Запускаем мастер очистки сервера:
ставим все галочки и выполняем очистку:
-
-
Ошибка 80096002
Решение:
На сервер WSUS необходимо установить Обновление для cлужбы Windows Server Update Services 3.0 Пакет обновления 2 (KB2734608), позволяющее службе Windows Server Update Services (WSUS) 3.0 с пакетом обновления 2 предоставлять обновления на компьютерах под управлением Windows Server 2012 и Windows 8.
Примечание: Это обновление устанавливает ПРОСТУЮ модель восстановления базы SUSDB. При необходимости, ее можно поменять на ПОЛНУЮ через оснастку SQL Server Management Studio.
-
Ошибка 0x80072efd
2012-07-31 18:36:00:918 1048 dfc PT WARNING: Cached cookie has expired or new PID is available
2012-07-31 18:36:00:918 1048 dfc PT Initializing simple targeting cookie, clientId = 509e242a-6c75-4430-ade8-b7feb439ce23, target group = , DNS name = fileserver.center.local
2012-07-31 18:36:00:918 1048 dfc PT Server URL = http://DC02.center.local:8530/SimpleAut ... eAuth.asmx
2012-07-31 18:36:02:981 1048 dfc Misc WARNING: Send failed with hr = 80072efd.
2012-07-31 18:36:02:981 1048 dfc Misc WARNING: SendRequest failed with hr = 80072efd. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2012-07-31 18:36:02:981 1048 dfc PT + Last proxy send request failed with hr = 0x80072EFD, HTTP status code = 0
2012-07-31 18:36:02:981 1048 dfc PT + Caller provided credentials = No
2012-07-31 18:36:02:981 1048 dfc PT + Impersonate flags = 0
2012-07-31 18:36:02:981 1048 dfc PT + Possible authorization schemes used =
2012-07-31 18:36:02:981 1048 dfc PT WARNING: GetAuthorizationCookie failure, error = 0x80072EFD, soap client error = 5, soap error code = 0, HTTP status code = 200
2012-07-31 18:36:02:981 1048 dfc PT WARNING: Failed to initialize Simple Targeting Cookie: 0x80072efd
2012-07-31 18:36:02:981 1048 dfc PT WARNING: PopulateAuthCookies failed: 0x80072efd
2012-07-31 18:36:02:981 1048 dfc PT WARNING: RefreshCookie failed: 0x80072efd
2012-07-31 18:36:02:981 1048 dfc PT WARNING: RefreshPTState failed: 0x80072efd
2012-07-31 18:36:02:981 1048 dfc PT WARNING: PTError: 0x80072efd
2012-07-31 18:36:02:981 1048 dfc Report WARNING: Reporter failed to upload events with hr = 80072efd.Решение:
-
Проверяем доступность сервера обновлений с клиентского компьютера
-
Запускаем на клиентском компьютере скрипт:
Код: Выделить всё
proxycfg -d net stop wuauserv net start wuauserv
-
Проверяем установлено ли последнее обновление фоновой интеллектуальной службы передачи (BITS)
-
Убеждаемся, что на клиентском компьютере веб-сайт сервера WSUS и веб-сайт Центра обновления Microsoft присутствуют в списке надежных узлов
-
Убеждаемся, что антивирусы и брандмауэры не блокируют доступ к сайтам обновлений сервера WSUS и/или веб-сайту Центра обновления Microsoft
-
Выполняем шаги, рекомендованные для исправления ошибки 0x80070002
-