Страница 1 из 1

WSUS. Некоторые вопросы

СообщениеДобавлено: 06 дек 2009 17:38, Вс
UncleFather
  1. Вопрос: Как немедленно начать обновление?
    Ответ:
    • Немедленное обновление:
      Код: Выделить всё
      Wuauclt.exe /detectnow
    • Перерегистрация на сервере WSUS с немедленным обновлением:
      Код: Выделить всё
      Wuauclt.exe /resetauthorization /detectnow

  2. Вопрос: Как проверить, работает ли клиент обновлений?
    Ответ: Смотрим файл %WINDIR%\WindowsUpdate.log. Также можно заглянуть в системный журнал.

  3. Вопрос: Куда качаются обновления?
    Ответ: В папку %WINDIR%\SoftwareDistribution\Download\. В принципе, можете их скопировать и установить на другие рабочие станции с такой же ОС, только у них имена будут нечитаемые (в виде значений хэш-функции).

  4. Вопрос: Как перенести все обновления с одного сервера WSUS на другой?
    Ответ: Необходимо скопировать содержимое WSUS\Content, а также экспортировать/импортировать метаданные с помощью утилиты wsusutil. Затем не забыть выполнить синхронизацию с вышестоящим сервером WSUS. Подробно

  5. Вопрос: Как вернуть рабочие станции, удаленные с сервера?
    Ответ: Решение простое: при следующей синхронизации клиентов с сервером они снова появятся (хотя, вроде в справке написано, что от таких клиентов запросы будут игнорироваться).

  6. Вопрос: Как переместить (перенести) базу файлов обновлений (папку WsusContent) на другой диск?
    Ответ:


    1. Создаем папку для обновлений WSUS на новом месте (то есть ту папку, в которой будут лежать расшаренные папки WSUS сервера UpdateServicesPackages и WsusContent).

      ВНИМАНИЕ!!! расшаривать (давать общий доступ) к папкам UpdateServicesPackages и WsusContent НЕ НУЖНО, поскольку WSUSutil.exe сама это сделает.

    2. Убеждаемся, что NTFS права на новую папку WSUS такие же как на старую (Администраторы, Система - полный доступ, Пользователи - чтение и выполнение, чтение, просмотр папок)

    3. Запускаем утилиту %ProgramFiles%\Update Services\Tools\WSUSutil.exe. Например, чтобы перенести файлы из текущей папки на диск E:, в папку \Soft\WSUS, - выполняем команду:
      Код: Выделить всё
      "%ProgramFiles%\Update Services\Tools\WSUSutil.exe" movecontent E:\Soft\WSUS E:\Soft\WSUS\movecontent.log

      При этом нет необходимости указывать где именно находится текущая папка с обновлениями, нужно лишь указать КУДА эти обновления копировать (E:\Soft\WSUS) и куда сохранить журнал переноса (E:\Soft\WSUS\movecontent.log).

    4. Видим сообщение: "Изменяется размещение содержимого. Не останавливайте выполнение программы."
      01.JPG


    5. Ждем окончания процесса переноса. Время переноса зависит от размера папки WSUS и скорости дисковой подсистемы. В моем случае 30 ГБ были перенесены примерно за 10 минут. В итоге получаем журнал переноса в указанном нами месте. При успешном выполнении журнал будет выглядеть примерно так:
      2012-11-14T02:26:02 Successfully stopped WsusService.
      2010-11-14T02:26:02 Beginning content file location change to E:\Soft\WSUS
      2010-11-14T02:36:18 Successfully copied content files.
      2010-11-14T02:36:18 Successfully copied application files.
      2010-11-14T02:36:21 Successfully changed WUS configuration.
      2010-11-14T02:36:24 Successfully changed IIS virtual directory path.
      2010-11-14T02:36:24 Successfully removed existing local content network shares.
      2010-11-14T02:36:25 Successfully created local content network shares.
      2010-11-14T02:36:25 Successfully changed registry value for content store directory.
      2010-11-14T02:36:25 Successfully changed content file location.
      2010-11-14T02:36:30 Successfully started WsusService.
      2010-11-14T02:36:30 Content integrity check and repair...
      2010-11-14T02:36:30 Initiated content integrity check and repair.


    6. Проверяем работоспособность WSUS сервера и удаляем файлы обновлений со старого места, освобождая дисковое пространство.

    Примечания:

    • Справку по утилите wsusutil смотрим так:
      Код: Выделить всё
      wsusutil help


      или по wsusutil movecontent так:
      Код: Выделить всё
      wsusutil help movecontent

    • Если диск, где находится база обновлений начал сбоить, то в этом случае нужно копировать только структуру базы обновлений не копируя сами обновления, поскольку копирование самих данных будет сопряжено с определенными проблемами. При этом, отсутствующие файлы обновлений будут скачаны при ближайшей синхронизации. Для копирования только структуры, пользуемся ключом -skipcopy
    • Для проверки изменения конфигурации WSUS можно просмотреть запись в таблице "dbo.tbConfigurationB" базы данных "SUSDB". Открываем SQL Management Studio и находим эту таблицу в папке "Tables" базы "SUSDB". Кликаем правой кнопкой мыши и указываем команду "Open Table". Параметр в столбце "LocalContentCacheLocation" должен указывать на новое местоположение "E:\Soft\WSUS\WsusContent\".


  7. Вопрос: Как удалить неиспользуемые заплатки?
    Ответ:
    • 1-й способ:
      Код: Выделить всё
      WsusDebugTool.exe /Tool:PurgeUnneededFiles
      команда чистки дискового кеша WSUS. На моем сервере после выполнения этой команды освободилось около 40% дискового пространства. Причем удалились и файлы одобренных обновлений. По какому принципу происходит удаление - непонятно. Естественно, после того как одобренные обновления удалились, они стали качаться заново.

    • 2-й способ:
      Код: Выделить всё
      wsusutil deleteunneededrevisions
      команда чистки метаданных устаревших обновлений из СУБД. Пока не использовал..

    • 3-й способ:
      Удаляем средствами консоли "Update Services" - Параметры - Мастер очистки сервера. Этот способ у меня прошел корректно, не удалив ничего лишнего, но освободилось лишь 4% дискового пространства

  8. Вопрос: Где хранятся настройки оснастки «Windows Server Update Services»?
    Ответ: %appdata%\Microsoft\MMC\wsus

  9. Вопрос: Как изменить порт, который используется для управления WSUS и для обновлений других компьютеров?
    Ответ: Для управления WSUS и для обновлений других компьютеров используется один и тот же порт. Чтобы его сменить, необходимо в Диспетчере служб IIS среди веб-узлов найти тот, который используется для WSUS и в свойствах этого узла изменить порты TCP и SSL.

  10. Вопрос: Будет ли работать сервер WSUS, если изменить роль в АД тому компьютеру, на котором установлен этот сервер WSUS?
    Ответ: Если компьютеру, на котором установлен сервер WSUS изменить роль в АД, то сервер WSUS перестанет корректно работать. Чтобы WSUS сервер вновь заработал, необходимо удалить его (с сохранением ВСЕХ настроек и БД) и, затем, установить вновь, указав, что нужно взять все старые настройки и старую БД. При этом, когда установщик предложит вновь создать сайт для WSUS, нужно указать все параметры прежнего сайта. Если это не сделать, то WSUS, возможно встанет на другие порты.

  11. Вопрос: Как подключиться к панели администрирования WSUS с полными правами? Это необходимо, например, для смены пароля подключения к Proxy-серверу. Если прав будет недостаточно, то поле пароля неактивно:
    01.jpg

    Ответ:
    Для того, чтобы подключиться к панели администрирования WSUS с полными правами нужно:
    1. подключаться по SSL (либо локально):
      03.jpg


    2. учетная запись, от имени которой осуществляется подключение должна входить в группу "Администраторы WSUS".
      02.jpg

      Для этого в оснастке "Active Directory - Пользователи и компьютеры" добавляем в группу "Администраторы WSUS"
      05.jpg

      нужного пользователя:
      04.jpg

Оригинал статьи

Дополнения:

  1. WsusDebugTool.exe

  2. Configure Remote SQL

  3. Перенос обновлений на другой сервер WSUS:

    Имхо, лучше этого не делать - проще и быстрее заново закачать все обновления, благо сейчас практически у всех безлимитка. Перенос лично у меня ни разу не прошел полностью корректно. Мало того, что все загрузки - выгрузки идут часов двенадцать, так потом еще пару суток приходится разбираться с косяками - ошибками. А без переноса данных и базы все просто. Установил сервер WSUS, настроил через доменные политики все компьютеры ЛВС на синхронизацию с ним, настроил параметры автоматической синхронизации с вышестоящим сервером или сервером обновлений Microsoft - и только и делай что одобряй да отклоняй обновления.

    1. Проверяем соответствие настроек:
      • Языки обновлений
      • Скачивать файлы экспресс установки
    2. Переносим файлы обновлений:
      • На компьютере источнике запускаем "Архивация данных" или
        Код: Выделить всё
        ntbackup
      • Делаем добавочный (Incremental) бэкап папки "WSUSContent"
      • На компьютере приемнике запускаем "Архивация данных" или
        Код: Выделить всё
        ntbackup
      • Делаем распаковку бэкапа, созданного в предыдущем пункте в папку "WSUSContent" на компьютере приемнике
    3. Копируем метаданные:
      • На компьютере источнике выполняем
        Код: Выделить всё
        %ProgramFiles%\Update Services\Tools\WSUSutil.exe export packagename logfile
      • Копируем созданные два файла на компьютер приемник и запускаем на нем
        Код: Выделить всё
        %ProgramFiles%\Update Services\Tools\WSUSutil.exe import packagename logfile


Некоторые ошибки и методы решения:


  • Ошибка 0x800b0001

    WARNING: Digital Signatures on file C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default\wuident.cab are not trusted: Error 0x800b0001
    2012-07-31 14:26:25:349 816 130c Setup FATAL: IsUpdateRequired failed with error 0x800b0001
    2012-07-31 14:26:25:349 816 130c Setup WARNING: SelfUpdate: Default Service: IsUpdateRequired failed: 0x800b0001
    2012-07-31 14:26:25:349 816 130c Setup WARNING: SelfUpdate: Default Service: IsUpdateRequired failed, error = 0x800B0001
    2012-07-31 14:26:25:349 816 130c Agent * WARNING: Skipping scan, self-update check returned 0x800B0001
    2012-07-31 14:26:25:349 816 130c Agent * WARNING: Exit code = 0x800B0001


    Решение:

    1. Согласно статье, качаем и запускаем на проблемном компьютере Microsoft Fix it 50691 от microsoft

    2. Согласно той же статье, запускаем на проблемном компьютере и, если не поможет, то и на сервере WSUS скрипт:
      Код: Выделить всё
      regsvr32 Softpub.dll /s
      regsvr32 Wintrust.dll /s
      regsvr32 Initpki.dll /s
      regsvr32 Mssip32.dll /s

    3. Согласно статье, запускаем на проблемном компьютере и, если не поможет, то и на сервере WSUS :
      Код: Выделить всё
      net stop wuauserv
      regsvr32 wuapi.dll /s
      regsvr32 wups.dll /s
      regsvr32 wuaueng.dll /s
      regsvr32 wucltui.dll /s
      regsvr32 wuweb.dll /s
      regsvr32 msxml.dll /s
      regsvr32 msxml2.dll /s
      regsvr32 msxml3.dll /s
      regsvr32 urlmon.dll /s
      net start wuauserv
      regsvr32 softpub.dll /s
      regsvr32 initpki.dll /s
      regsvr32 mssip32.dll /s
      regsvr32 wintrust.dll /s
      regsvr32 dssenh.dll /s
      regsvr32 rsaenh.dll /s
      regsvr32 gpkcsp.dll /s
      regsvr32 sccbase.dll /s
      regsvr32 slbcsp.dll /s
      regsvr32 cryptdlg.dll /s
      regsvr32 jscript.dll /s

    4. Согласно [urlhttp://social.technet.microsoft.com/Forums/en-GB/winserverwsus/thread/72f5195a-4c2b-4719-85d7-a8265eaba268]статье[/url] качаем и устанавливаем на сервер WSUS обновление для Windows Server Update Services 3.0 с пакетом обновления 2 (SP2)


  • Ошибка 0x80070002

    2012-07-31 20:12:39:773 900 1ff8 Agent WARNING: Failed to read the service id for re-registration 0x80070002
    2012-07-31 20:12:39:773 900 1ff8 Agent WARNING: Missing service entry in the backup data store; cleaning up


    Решение:

    • Согласно статье, качаем и запускаем на проблемном компьютере и, если не поможет, то и на сервере WSUS Microsoft Fix it 50202. При выполнении ставим галочку "Выполняться в агрессивном режиме"

    • Согласно статье, выполняем скрипт на проблемном компьютере:
      Код: Выделить всё
      reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f
      reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f
      reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId /f
      net stop wuauserv
      del %windir%\WindowsUpdate.log
      rd /S /Q %windir%\SoftwareDistribution
      pause
      net start wuauserv
      wuauclt /resetauthorization /detectnow
      pause


      Во время первой паузы в этом скрипте убеждаемся, что на проблемном компьютере удалились папка "%windir%\SoftwareDistribution" и файл "%windir%\WindowsUpdate.log", а так же на сервере WSUS удаляем запись о проблемном компьютере (Щелкаем его правой кнопкой мыши -> Удалить):
      03.JPG


    • Запускаем мастер очистки сервера:
      01.JPG


      ставим все галочки и выполняем очистку:
      02.JPG


  • Ошибка 0x80072efd

    2012-07-31 18:36:00:918 1048 dfc PT WARNING: Cached cookie has expired or new PID is available
    2012-07-31 18:36:00:918 1048 dfc PT Initializing simple targeting cookie, clientId = 509e242a-6c75-4430-ade8-b7feb439ce23, target group = , DNS name = fileserver.center.local
    2012-07-31 18:36:00:918 1048 dfc PT Server URL = http://DC02.center.local:8530/SimpleAut ... eAuth.asmx
    2012-07-31 18:36:02:981 1048 dfc Misc WARNING: Send failed with hr = 80072efd.
    2012-07-31 18:36:02:981 1048 dfc Misc WARNING: SendRequest failed with hr = 80072efd. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
    2012-07-31 18:36:02:981 1048 dfc PT + Last proxy send request failed with hr = 0x80072EFD, HTTP status code = 0
    2012-07-31 18:36:02:981 1048 dfc PT + Caller provided credentials = No
    2012-07-31 18:36:02:981 1048 dfc PT + Impersonate flags = 0
    2012-07-31 18:36:02:981 1048 dfc PT + Possible authorization schemes used =
    2012-07-31 18:36:02:981 1048 dfc PT WARNING: GetAuthorizationCookie failure, error = 0x80072EFD, soap client error = 5, soap error code = 0, HTTP status code = 200
    2012-07-31 18:36:02:981 1048 dfc PT WARNING: Failed to initialize Simple Targeting Cookie: 0x80072efd
    2012-07-31 18:36:02:981 1048 dfc PT WARNING: PopulateAuthCookies failed: 0x80072efd
    2012-07-31 18:36:02:981 1048 dfc PT WARNING: RefreshCookie failed: 0x80072efd
    2012-07-31 18:36:02:981 1048 dfc PT WARNING: RefreshPTState failed: 0x80072efd
    2012-07-31 18:36:02:981 1048 dfc PT WARNING: PTError: 0x80072efd
    2012-07-31 18:36:02:981 1048 dfc Report WARNING: Reporter failed to upload events with hr = 80072efd.


    Решение:

    • Проверяем доступность сервера обновлений с клиентского компьютера

    • Запускаем на клиентском компьютере скрипт:
      Код: Выделить всё
      proxycfg -d
      net stop wuauserv
      net start wuauserv


    • Проверяем установлено ли последнее обновление фоновой интеллектуальной службы передачи (BITS)

    • Убеждаемся, что на клиентском компьютере веб-сайт сервера WSUS и веб-сайт Центра обновления Microsoft присутствуют в списке надежных узлов

    • Убеждаемся, что антивирусы и брандмауэры не блокируют доступ к сайтам обновлений сервера WSUS и/или веб-сайту Центра обновления Microsoft

    • Выполняем шаги, рекомендованные для исправления ошибки 0x80070002

Re: WSUS. Некоторые вопросы

СообщениеДобавлено: 03 авг 2012 14:46, Пт
UncleFather
Ошибка 10012 в журнале Windows:

Тип события: Ошибка
Источник события: Windows Server Update Services
Категория события: Core
Код события: 10012
Дата: 22.01.2009
Время: 8:34:28
Пользователь: Н/Д
Компьютер: Server01
Описание:
Права доступа для каталога C:\WSUS установлены неправильно.


Решение:

Согласно Статье 1 и Статье 2 от Microsoft устанавливаем права:

  1. На папки:

    1. Список папок (здесь WSUSInstallDir - папка, в которую установлен сервер WSUS):

      • WSUSInstallDir\WebServices\apiremoting30

      • WSUSInstallDir\WebServices\clientwebservice

      • WSUSInstallDir\WebServices\dssauthwebservice

      • WSUSInstallDir\WebServices\reportingwebservice

      • WSUSInstallDir\WebServices\serversyncwebservice

      • WSUSInstallDir\WebServices\simpleauthwebservice

      • WSUSInstallDir\Inventory


      Следующие права:

      • NT AUTHORITY\NETWORK SERVICE: (OI)(CI)R

      • BUILTIN\Users: (OI)(CI)R

      • NT AUTHORITY\Authenticated Users: (OI)(CI)R

      • BUILTIN\Administrators: (OI)(CI)F

      • NT AUTHORITY\SYSTEM: (OI)(CI)F


    2. На папку WSUSInstallDir\Selfupdate (здесь WSUSInstallDir - папка, в которую установлен сервер WSUS) права:

      • BUILTIN\Users: (OI)(CI)R

      • BUILTIN\Administrators: (OI)(CI)F

      • NT AUTHORITY\SYSTEM: (OI)(CI)F


    3. На папку WsusContent права:

      • BUILTIN\Users: (OI)(CI)R

      • DOMAIN\WSUS Administrators: (OI)(CI)F

      • NT AUTHORITY\NETWORK SERVICE: (OI)(CI)F

      • BUILTIN\Administrators: (OI)(CI)F

      • NT AUTHORITY\SYSTEM: (OI)(CI)F


    4. На папку UpdateServicesPackages права:

      • BUILTIN\Users: (OI)(CI)R

      • DOMAIN\WSUS Administrators: (OI)(CI)F

      • BUILTIN\Administrators: (OI)(CI)F

      • NT AUTHORITY\SYSTEM: (OI)(CI)F

      • NT AUTHORITY\NETWORK SERVICE: (OI)(CI)(специальный доступ:)

        • READ_CONTROL

        • SYNCHRONIZE

        • FILE_GENERIC_READ

        • FILE_GENERIC_WRITE

        • FILE_READ_DATA

        • FILE_WRITE_DATA

        • FILE_APPEND_DATA

        • FILE_READ_EA

        • FILE_WRITE_EA

        • FILE_READ_ATTRIBUTES

        • FILE_WRITE_ATTRIBUTES

        Чтобы получилось так:
        01.JPG

        02.JPG

    5. На саму папку WSUS (в которой лежат папки UpdateServicesPackages и WsusContent) права:

      • BUILTIN\Administrators: (OI)(CI)F

      • NT AUTHORITY\SYSTEM: (OI)(CI)F

      • BUILTIN\Administrators: F

      • BUILTIN\Users: (OI)(CI)R

      • BUILTIN\Users: (CI)(специальный доступ:)

        • FILE_APPEND_DATA

      • BUILTIN\Users: (CI)(специальный доступ:)

        • FILE_WRITE_DATA


    Здесь:
    • f = полный доступ
    • w = запись
    • r = чтение
    • n = нет доступа
    • OI = эта папки и файлы
    • CI = эта папка и подпапки
    • IO = не применять


  2. На разделы реестра:

    1. \HKLM\Software\Microsoft\Update Services\Server:

      • NT AUTHORITY\Authorized: R

      • DOMAIN\Server Operator: Special Rights:
        03.JPG


      • NT AUTHORITY\SYSTEM: F

      • BUILTIN\Administrators: F

      • BUILTIN\Users: R

      • DOMAIN\WSUS Reporters : R


    2. \HKLM\Software\Microsoft\Update Services\Server\Setup:

      • NT AUTHORITY\NETWORK SERVICE: F

      • NT AUTHORITY\SYSTEM: F

      • DOMAIN\WSUS Administrators: F

      • BUILTIN\Administrators: F

      • DOMAIN\WSUS Reporters : R

WSUS. Восстановление файлов после сбоя диска

СообщениеДобавлено: 10 сен 2013 09:40, Вт
UncleFather
Проблема:

Если произошел сбой на жестком диске или повреждены файлы обновлений или пришлось заменить диск, на котором хранились файлы обновлений сервера WSUS или пришлось восстанавливать базу данных сервера WSUS, то все файлы обновлений необходимо синхронизировать с метаданными в базе сервера WSUS.


Решение:

Для синхронизации необходимо запустить wsusutil с параметром reset:
Код: Выделить всё
wsusutil reset


После запуска этой команды сервер WSUS немедленно начнет проверку соответствия строкам метаданных в базе данных WSUS сопоставленного им
содержимого, хранящегося в файловой системе. Если содержимое отсутствует или повреждено, WSUS выполнит загрузку содержимого заново.