Tutto è iniziato quando ho smesso di ricevere aggiornamenti sui computer client e si è verificato un errore. Quando ho effettuato l'accesso al server WSUS, ho riscontrato due errori nei registri del Visualizzatore eventi. Il primo è ultimo tentativo La sincronizzazione della directory non è riuscita, codice 10022.
Il secondo errore è che molti computer client non hanno segnalato informazioni al server negli ultimi 30 giorni.
Dopo aver cercato su Google l'errore, ho trovato una soluzione, consisteva nel fatto che era necessario installare gli aggiornamenti KB2734608, purtroppo a me non hanno funzionato visto che sono pensati per WSUS 3, ma WindowsServer 2012 R2 esegue già WSUS 6. Ma non ero troppo pigro per cercare aggiornamenti su Internet. Di conseguenza, ne ho ottenuti fino a 82, li installiamo.
Dopo il riavvio, ho riscontrato un altro errore: la console di amministrazione WSUS non può connettersi al database del server WSUS per diversi motivi: la modalità di aggiornamento dello script è in esecuzione; Durante l'installazione di WSUS ho utilizzato il database integrato, LARGHEZZA(Database interno di Windows) - database Windows integrato. Il database WID predefinito si chiama SUSDB.mdf, situato nella directory windir%\wid\data\ . Solo supportato Autenticazione di Windows(non SQL). Nome dell'istanza del database WSUS: nome_server\Microsoft##WID. Esaminiamo i log WSUS nella directory windir%\wid\
Una volta completato l'aggiornamento, riavviare il servizio Fondo interno Dati di Windows
Dopodiché la console visualizza già i dati e WSUS funziona.
In conclusione, vale la pena notare che per migliorare le prestazioni, si consiglia di escludere le seguenti cartelle dall'ambito della scansione antivirus:
- \WSUS\WSUSContenuto
- %windir%\wid\data
- \Distribuzione Software\Scarica
Questo articolo esaminerà l'esperienza di installazione e manutenzione di WSUS in un ambiente aziendale, che consentirà ai principianti di evitare una serie di insidie.
L'installazione di aggiornamenti e patch è molto importante parte integrale garantendo la sicurezza. Per tutti gli specialisti informazioni di sicurezza l’esigenza principale è monitorare, analizzare ed eliminare le vulnerabilità Software. Azienda Microsoft fornisce libera opportunità utilizzo del servizio di aggiornamento per i vostri prodotti software durante l'intero periodo di supporto prodotto software. Gli aggiornamenti necessari sono disponibili via Internet per tutti gli utenti di prodotti software.
L'applicazione degli aggiornamenti a un ambiente aziendale richiede meccanismi aggiuntivi gestione. Microsoft offre l'uso di potenti software gratuiti in un ambiente aziendale. Prodotto Windows Aggiornamento del server Services (WSUS), che consente di risparmiare traffico su Internet e gestire centralmente gli aggiornamenti per server e workstation.
Questo articolo esaminerà l'esperienza di installazione e manutenzione di WSUS in un ambiente aziendale, che consentirà ai principianti di evitare una serie di insidie.
Installazione di WSUS
All'interno di Windows Server 2008 esiste un ruolo Server Windows Servizi di aggiornamento del server (Fig. 1).
Per Windows Server 2003, i seguenti requisiti di sistema per l'installazione di WSUS 3.0 SP1:
- Sistema operativo: Windows Server 2003 SP1 e versioni successive.
- Ruoli server aggiuntivi: IIS 6.0 e versioni successive
- Ulteriori aggiornamenti Sistema operativo: Microsoft. NETTO quadro 2.0, Console di gestione Microsoft 3.0.
- Programmi aggiuntivi: Visualizzatore report Microsoft, server SQL 2005 SP1 (WSUS è in grado di installare internal Servizio Windows Database interno).
Nonostante il fatto che il servizio non sia praticamente impegnativo per il processore e memoria ad accesso casuale, ha bisogno di una giusta quota spazio sul disco. Preferibilmente 40 GB o più. In definitiva, la quantità di spazio su disco consumato dipenderà dal numero di prodotti che devono essere aggiornati e dal numero di aggiornamenti dell'infrastruttura richiesti.
Se durante l'installazione il server non soddisfa requisiti di sistema, quindi apparirà una finestra di avviso che descriverà cosa è necessario installare (Fig. 2).
Configurazione di un server WSUS
Per operazione normale server, è necessario specificare una serie di parametri che vengono effettuati utilizzando la "Configurazione guidata di Windows Server Update Services"
Nella finestra “Seleziona un server upstream”, è necessario selezionare l'opzione “Sincronizza con Microsoft Update” (Fig. 3).
Quando si applica un server proxy a un ambiente aziendale, nella finestra "Impostazioni server proxy", è necessario specificare l'indirizzo IP, il numero di porta e i parametri di autenticazione sul server proxy (Fig. 4).
Nella finestra "Seleziona lingue", devi selezionare l'opzione "Scarica aggiornamenti solo nelle seguenti lingue" assicurati di selezionare "Inglese". La scelta delle altre lingue va fatta in base ai sistemi installati in azienda; solitamente si aggiunge anche “russo” (Fig. 5). Non è necessario selezionare "Scarica aggiornamenti in tutte le lingue, incluse quelle nuove" poiché ciò aumenterà il numero di aggiornamenti archiviati sullo spazio su disco.
Nella finestra "Seleziona prodotti", è necessario specificare i prodotti installati all'interno ambiente aziendale. ATTENZIONE! Non installare mai tutti i prodotti, poiché ciò potrebbe causare un aumento delle dimensioni degli aggiornamenti archiviati e gli aggiornamenti non verranno utilizzati. È necessario selezionare con metodo e coerenza solo i prodotti utilizzati nell'ambiente aziendale (Fig. 6).
Nella finestra "Seleziona classi", è necessario specificare solo quelle classi che richiedono aggiornamenti. Poiché la specifica di classi aggiuntive aumenta significativamente la dimensione degli aggiornamenti memorizzati (Fig. 7).
Nella finestra "Impostazioni del programma di sincronizzazione", è necessario selezionare l'orario di sincronizzazione (Fig. 8). La sincronizzazione WSUS non comporta il download degli aggiornamenti. IN in questo caso la sincronizzazione aggiornerà solo le informazioni dal server Microsoft Update."
Dopo la prima sincronizzazione, è necessario aprire la console WSUS e selezionare "Opzioni". In “Opzioni” aprire la voce “File e aggiorna lingue” (Fig. 9)
Nella scheda "File di aggiornamento" della finestra "File di aggiornamento e lingue", è necessario specificare come verranno archiviati i file di aggiornamento. Poiché vogliamo ridurre la dimensione del traffico Internet, dobbiamo selezionare "Memorizza i file di aggiornamento localmente su questo server" e OBBLIGATORIO! selezionare le voci “carica i file di aggiornamento sul server solo dopo l'approvazione dell'aggiornamento” e “carica i file di installazione rapida” (Fig. 10). La voce "Carica i file di aggiornamento sul server solo dopo l'approvazione dell'aggiornamento" è necessaria, poiché per impostazione predefinita il server scaricherà TUTTI gli aggiornamenti che ritiene necessari per i prodotti selezionati. Tuttavia, poiché nel tempo si accumulano molti aggiornamenti Pacchetto d'aggiornamento, molto probabilmente non saranno necessari e occuperanno spazio su disco.
Dopo tutte le impostazioni, è necessario aggiungere computer al servizio WSUS.
Aggiunta di computer a WSUS
Se disponi di un dominio, tutto ciò che devi fare è registrare il servizio WSUS nei suoi criteri di gruppo e selezionare le regole di aggiornamento del computer.
Questo viene fatto come segue " Inizio – Amministrazione – Gestione politica di gruppo " Seleziona la policy valida nel dominio (Criteri di gruppo predefiniti per impostazione predefinita). Clic fare clic con il tasto destro e seleziona "Cambia".
Nella finestra dell'editor di controllo politiche di gruppo"andiamo" Configurazione del computer – Criteri – Modelli amministrativi – ComponentiAggiornamento Windowsfinestre" Selezionare la voce “Specificare la posizione del servizio di aggiornamento sulla Intranet” (Fig. 11)
Nella finestra "Proprietà: specificare la posizione del servizio di aggiornamento sull'Intranet", specificare il parametro "Abilitato" e nella riga "Specificare il servizio di aggiornamento sull'Intranet per la ricerca degli aggiornamenti" inserire una riga come: http:// [ indirizzo IP o Nome DNS server di aggiornamento sulla rete]. Copiare l'indirizzo nella finestra “Specifica il server delle statistiche sulla intranet” (Fig. 12). All'interno dell'Editor criteri di gruppo sono presenti suggerimenti nella finestra di spiegazione (Figura 12).
È inoltre necessario definire una politica di aggiornamento. Questo viene fatto attraverso la voce “Impostazioni”. aggiornamenti automatici"(Fig. 13).
Nella finestra “Proprietà: Impostazione aggiornamenti automatici”, specificare l'opzione “Abilitato” e i parametri “Impostazione aggiornamenti automatici”, “Installazione pianificata - giorno”, “Installazione pianificata - ora”. Nella finestra “Spiegazione” c'è una descrizione di tutti i parametri per i server ed è consigliabile impostare il parametro “2 – notifiche su download e installazione”, che consentirà agli amministratori di scegliere quando installare gli aggiornamenti sui server (Fig. 14 ).
Se all'interno dell'infrastruttura sono presenti postazioni che non fanno parte del dominio (ad esempio postazioni mobili), ma è necessario il servizio di aggiornamento per tali postazioni, allora è possibile specificare tale servizio in " Politica locale sicurezza."
Nella riga di comando, digita gpedit.msc ed esegui le stesse operazioni descritte sopra per i criteri di gruppo nel dominio.
Dopo un po' di tempo, il computer apparirà nella finestra " Computer – Tutti i computer – Computer non assegnati"in "Condizione: Qualsiasi" (Fig. 15).
Gestione degli aggiornamenti
Da vedere e approvare aggiornamenti necessariè necessario selezionare le seguenti voci di filtro in “Aggiornamenti – Tutti gli aggiornamenti”: “Approvazione: Non approvato” e Stato: Richiesto” e fare clic su “Aggiorna” (Fig. 16). ATTENZIONE! Per verificare la presenza degli aggiornamenti necessari, assicurati sempre che le impostazioni del filtro siano impostate su "Approvazione: non approvato" e Stato: richiesto", altrimenti rischi di scaricare aggiornamenti non necessari o di non scaricarli affatto. Se il filtro nelle impostazioni "Approvazione: non approvato" e Stato: richiesto mostra un campo vuoto, tutti gli aggiornamenti necessari per i computer sono già stati approvati e si trovano sul server.
Dopo l'approvazione, gli aggiornamenti verranno visualizzati sul computer dopo un po' di tempo secondo le regole configurate nella politica di sicurezza.
Molto spesso ce n'è bisogno verifica forzata aggiornamenti sul server di aggiornamento sul lato computer. C'è un programma per questo wuauclt.exe, che attraversa riga di comando. Per verificare la presenza di aggiornamenti, è necessario eseguirlo con la chiave / detectornow (wuauclt.exe /detectornow). Per inviare un rapporto sullo stato (molto spesso necessario quando ci si connette al server di aggiornamento per la prima volta), è necessario eseguire con la chiave / segnala ora (wuauclt.exe /segnala ora).
Signori, buona fortuna con i vostri aggiornamenti
16.07.2015
Spesso possono verificarsi errori durante la sincronizzazione perché una delle seguenti condizioni è stata configurata in modo errato:
- a condizione che il punto di aggiornamento software attivo sia stato installato nel server di sistema su un sito Web remoto, è necessario installare la console amministrativa WSUS sul server del sito Web;
nel caso in cui venga stabilita la connessione tra il centro aggiornamenti MS o il server di aggiornamento software e il punto di aggiornamento software attivo con verifica delle credenziali quando si utilizza un server proxy, sarà necessario configurare un account del server proxy;
è importante che le impostazioni della porta per il sito Web Windows Server Update Services in IIS (Internet Information Services) e il punto di aggiornamento software attivo siano simili;
"Amministratore" e Account Il PC deve, all'interno del sito Web WSUS in IIS dal server del sito, fornire l'accesso completo alle directory virtuali;
Per sincronizzare Microsoft con il centro aggiornamenti all'interno del sito Web centrale, è necessario sempre configurare un punto di aggiornamento software attivo. Nel processo di creazione del primo punto Aggiornamenti software sul sito questo parametro sarà configurato in Modalità automatica. Tuttavia, se viene modificato tramite la console di amministrazione WSUS, non verrà reimpostato da Configuration Manager nello stesso modo in cui avviene con altri Impostazioni di Windows Servizi di aggiornamento del server.
Controllo degli errori
Se la sincronizzazione in WSUS viene interrotta, il gestore creerà un messaggio che rifletterà la modifica dello stato del componente SMS_WSUS_SYNC_MANAGER ID6703. Nuove registrazioni corrispondenti verranno inserite anche nel registro del server del sito web.
Wsyncmgr.log
Questo file si trova qui:
WCM.log
Non sono presenti voci del file di registro scritte in WCM.log come parte del processo di sincronizzazione. Tuttavia, possono essere utili nella risoluzione dei problemi direttamente correlati alla sincronizzazione. WSUS-Config. Manager si connetterà al servizio WSUS predefinito in esecuzione sul punto di aggiornamento software attivo. Inoltre, in caso di guasti associati alla comunicazione o alle porte, questa vita Il log registra i messaggi sugli errori che si verificano, che possono diventare più informativi per l'utente, a differenza della voce wsyncmgr.log.
Messaggio relativo al cambiamento di stato dell'ID6703
Il messaggio generato quando cambia lo stato di ID6703 può contenere altre informazioni sull'errore, a seconda dell'errore che si verifica in un caso particolare. Per eliminare questo problema dovrà visualizzare descrizione dettagliata messaggi di errore sul processo di sincronizzazione in alcune sezioni dedicate alla risoluzione dei problemi.
Casi di arresto di emergenza del processo di sincronizzazione per motivi sconosciuti
Se, dopo aver controllato wsyncmgr.log, non sei riuscito a determinare il motivo per cui si è verificato l'errore, è molto probabile che sia stato causato da più di un fattore di terze parti.
Diamo possibili problemi sincronizzazione e modi per risolverli:
Il punto di aggiornamento software non è stato installato. In questo caso, sarà necessario installare un punto di aggiornamento software all'interno di ogni sito di Configuration Manager.
È stato commesso un errore nei parametri proxy dell'aggiornamento software. Se necessario, è necessario configurare correttamente la porta, il nome del server e le credenziali.
Il computer che esegue SQL Server potrebbe non disporre di memoria sufficiente o potrebbe non avere una configurazione ottimale. In questo caso dovreste chiedere all'amministratore del server SQL di verificarne l'efficacia e, se necessario, apportare modifiche.
Questa guida riepilogativa è stata preparata utilizzando i materiali pubblicati su technet.microsoft.com.
I client WSUS non desiderano aggiornarsi dopo aver cambiato server?
Allora veniamo da te. (CON)
Siamo stati tutti in situazioni in cui qualcosa smette di funzionare. In questo articolo parleremo su WSUS (altro informazioni dettagliate informazioni su WSUS possono essere ottenute e ). O più precisamente, su come forzare Client WSUS(ovvero i nostri computer) ricevono nuovamente gli aggiornamenti dopo il trasferimento o il ripristino del server di aggiornamento esistente.
Quindi la situazione è la seguente
Il server WSUS è morto. Più precisamente, il controller RAID è stato prodotto nel 2000. Ma questo fatto non ha aggiunto gioia. Dopo un breve polverone (con tentativi di ripristinare il RAID rovinato dal controller morente), si è deciso di inviare tutto per implementare un nuovo server WSUS.
Di conseguenza, abbiamo ricevuto un WSUS funzionante, al quale per qualche motivo i client non si sono connessi.
Punti: WSUS è collegato all'FQDN tramite un server DNS interno, il server WSUS è registrato nei criteri di gruppo ed è distribuito ai client tramite AD, le impostazioni predefinite per il server, prima di avviare tutte le azioni, aggiorna WSUS stesso e sincronizza gli aggiornamenti.
Dopo aver analizzato la situazione, sono stati individuati diversi punti chiave
- Il client conferma (stiamo parlando di wuauclt) quando tenta di connettersi al SID del vecchio server WSUS.
- Un problema con aggiornamenti disinstallati, scaricato dal vecchio server WSUS.
- Parcheggio di servizi che influiscono sul funzionamento di wuauclt (stiamo parlando di wuauserv, bits e cryptsvc). Il parcheggio è avvenuto alle ragioni varie, che non sono stati analizzati in dettaglio.
Descriverò cosa si sta facendo (per chi è particolarmente curioso)
Parcheggiamo il servizio del server di aggiornamento, cancelliamo il descrittore di sicurezza del servizio di comunicazione WSUS, eliminiamo gli aggiornamenti esistenti dal WSUS precedente, cancelliamo il registro dei riferimenti al WSUS precedente, avviiamo il servizio di aggiornamento automatico (wuauserv), il servizio di trasferimento intelligente in background ( bit) e il servizio di crittografia (cryptsvc), alla fine bussiamo con forza a WSUS per reimpostare l'autorizzazione, rilevare un nuovo WSUS e generare un report al server.
E come sempre: esegui tutte le azioni descritte sopra e di seguito a tuo rischio e pericolo. Assicurati che tutti i dati necessari siano salvati prima di eseguire lo script.
Copione
Net stop wuauserv sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU) del / f /s /q %windir%\SoftwareDistribution\download\*.* REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate " /v PingID /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f net start wuauserv && net start bits && net start cryptsvc wuauclt /resetauthorization /detectnow /reportnow
Si consiglia di utilizzare un ruolo server come Windows Server Update Services (WSUS) sia nelle piccole aziende con 10 o più computer, sia nelle grandi aziende. A differenza dei ruoli del server come servizi di dominio o server E-mail, per i server di aggiornamento WSUS non è necessario distribuire server con tolleranza agli errori, poiché l'automazione dell'aggiornamento dei computer client non è l'attività più critica nei processi aziendali.
Scenari per la distribuzione dei server di aggiornamento:
Facile distribuzione dei server WSUS: Molte organizzazioni di piccole e medie dimensioni al loro interno ambiente di produzione per distribuire gli aggiornamenti, usano esattamente questo modello. Soluzioni semplici Le distribuzioni del server WSUS sono in genere un modello con un server di aggiornamento distribuito che si trova all'interno di una Intranet sicura firewall e la manutenzione dei computer client sulla Intranet. Per scaricare gli aggiornamenti, il server WSUS si sincronizza con i server Microsoft Update.
Distribuzione gerarchica dei server WSUS: Come suggerisce il nome del modello, il modello precedente per la distribuzione dei server WSUS è di base, ma se necessario è possibile creare gerarchie complesse di server WSUS. Prima di tutto, vale la pena considerare di sincronizzarsi con il Centro Aggiornamenti Microsoftè necessario disporre di un solo server WSUS e tutti gli altri server WSUS devono connettersi a quello corrente. Collegando più server WSUS si forma una cosiddetta gerarchia, composta da un server WSUS superiore e uno subordinato. Esistono due modi per stabilire una connessione tra Server WSUS mi.
- Server WSUS autonomi. In questo caso, durante il processo di sincronizzazione, il server WSUS upstream fornisce tutti gli aggiornamenti scaricati a uno o più server downstream, ma durante l'intero processo, lo stato di approvazione o le informazioni su un gruppo di computer non vengono trasferiti alle workstation client. Tutti i server WSUS downstream vengono amministrati separatamente dalla distribuzione degli aggiornamenti ai computer client;
- Modalità di replica. In questo modello di distribuzione, il server WSUS upstream invia tutti i propri aggiornamenti, stati di approvazione e informazioni sui gruppi ai server downstream. In questo caso, i server replicati subordinati ereditano tutte le approvazioni e non possono eseguire attività amministrative sui server WSUS superiori.
Questa configurazione per la distribuzione dei server di aggiornamento è utile per la maggior parte dei casi di produzione, comprese le organizzazioni con filiali. Il modello di distribuzione gerarchica dei server WSUS può essere utilizzato razionalmente per scaricare gli aggiornamenti da Microsoft Update e quindi installarli tramite server slave, alleggerendo così il carico sulla connessione Internet a banda larga. È consigliabile utilizzare questa configurazione in un ambiente in cui un server WSUS non è in grado di distribuire in modo indipendente gli aggiornamenti a un parco di computer esistente. Secondo tutte le raccomandazioni, è consigliabile utilizzare non più di una gerarchia di server WSUS a tre livelli, poiché con la successiva distribuzione degli aggiornamenti il tempo di ritardo aumenta continuamente. In qualsiasi modello e con qualsiasi configurazione, il server slave deve sincronizzarsi regolarmente con il server di aggiornamento upstream, formando tra loro un circuito chiuso non supportato. Quando si modifica il protocollo di connessione tra i server, per garantire massima protezione l'intera catena dei server di aggiornamento, quando si imposta la gerarchia dei server WSUS, per configurare gli aggiornamenti automatici è necessario specificare il server slave più remoto. Se l'organizzazione dispone di diversi server di aggiornamento downstream, non è necessario configurarli per la sincronizzazione con i server di aggiornamento upstream contemporaneamente, poiché ciò potrebbe portare al riavvio del server upstream. Per questa configurazione, solo un server WSUS scarica e gestisce gli aggiornamenti direttamente da Server Microsoft e tutti gli altri server sono configurati come repliche.
Gruppi di computer
Per tutti i modelli di distribuzione del server WSUS e il modello di distribuzione semplice non fa eccezione, la parte più importante della distribuzione sono i gruppi di computer. Nella maggior parte delle organizzazioni, tutti gli aggiornamenti non vengono distribuiti a tutti i computer contemporaneamente. E per gestire i computer che riceveranno gli aggiornamenti, i server WSUS consentono di configurare gruppi di computer e gli aggiornamenti stessi possono essere distribuiti a uno o più gruppi contemporaneamente. Per impostazione predefinita, nella console WSUS puoi trovare due gruppi di computer: "Tutti i computer" e "Computer non assegnati". Per impostazione predefinita, quando computer client sincronizzato con il server WSUS, viene aggiunto automaticamente ad entrambi i gruppi creati per impostazione predefinita. Successivamente, dal gruppo "Computer non assegnati", è possibile spostare i computer nel gruppo appositamente designato per loro questo gruppo contiene solo i computer a cui non è stata assegnata l'appartenenza ai gruppi creati. A sua volta, il gruppo Tutti i computer consente di distribuire aggiornamenti mirati a tutti i computer dell'organizzazione, indipendentemente dai gruppi di cui sono membri i computer. Prendiamo l'esempio di una semplice distribuzione WSUS con tre gruppi personalizzati denominati Test, Pilota e Produzione. Il gruppo di test comprende diversi computer che si trovano in un ambiente di laboratorio e hanno lo scopo di testare il corretto funzionamento del meccanismo di distribuzione degli aggiornamenti. Se il test va a buon fine, gli aggiornamenti verranno distribuiti al gruppo successivo. Dopo il test, gli aggiornamenti vengono distribuiti a un gruppo pilota, composto da computer del reparto IT, dove specialisti qualificati possono risolvere i problemi che compaiono dopo la distribuzione degli aggiornamenti. Quindi, se la distribuzione pilota è stata completata senza incidenti, è possibile distribuire gli aggiornamenti ai computer di produzione che si trovano nell'ambiente di produzione.
