Totul a început când am încetat să mai primesc actualizări pe computerele client și a apărut o eroare. Când m-am conectat la serverul WSUS, am văzut două erori în jurnalele de vizualizare a evenimentelor. Primul este ultima încercare Sincronizarea directorului nu a reușit, Cod 10022.

A doua eroare este că multe computere client nu au raportat informații către server în ultimele 30 de zile.

După ce am căutat pe google eroarea, am găsit o soluție, aceasta a constat în faptul că a fost necesar să instalez actualizările KB2734608, din păcate nu au funcționat pentru mine deoarece sunt proiectate pentru WSUS 3, dar Windows Server 2012 R2 rulează deja WSUS 6. Dar nu mi-a fost prea lene să caut actualizări pe internet. Drept urmare, am primit până la 82, le instalăm.

După repornire, am găsit o altă eroare: Consola de administrare WSUS nu se poate conecta la baza de date a serverului WSUS; există mai multe motive pentru aceasta: modul de actualizare a scriptului rulează. La instalarea WSUS am folosit baza de date încorporată, WID(Baza de date internă Windows) - bază de date Windows încorporată. Baza de date WID implicită se numește SUSDB.mdf, aflată în directorul windir%\wid\data\ . Doar suportat Autentificare Windows(nu SQL). Numele instanței bazei de date WSUS: nume_server\Microsoft##WID. Ne uităm la jurnalele WSUS din directorul windir%\wid\

După finalizarea actualizării, reporniți serviciul Baza interioara Date Windows

După care consola deja afișează datele și WSUS funcționează.

În concluzie, este de remarcat faptul că, pentru a îmbunătăți performanța, se recomandă excluderea următoarelor foldere din domeniul scanării antivirus:

• \WSUS\WSUSContent
• %windir%\wid\data
• \SoftwareDistribution\Descărcare

Acest articol va analiza experiența instalării și întreținerii WSUS într-un mediu corporativ, ceea ce va permite începătorilor să evite o serie de capcane.

Instalarea actualizărilor și a patch-urilor este foarte importantă parte integrantă asigurarea securitatii. Pentru toti specialistii securitatea informatiei necesitatea principală este de a monitoriza, analiza și elimina vulnerabilitățile software. Compania Microsoft prevede oportunitate gratuită utilizarea serviciului de actualizare pentru produsele dumneavoastră software pe toată perioada de asistență produs software. Actualizările necesare sunt disponibile prin Internet pentru toți utilizatorii de produse software.

Aplicarea actualizărilor într-un mediu de întreprindere necesită mecanisme suplimentare management. Microsoft oferă utilizarea unui software gratuit puternic într-un mediu corporativ. produs Windows Actualizare server Servicii (WSUS), care vă permite să economisiți traficul pe Internet și să gestionați centralizat actualizările pentru servere și stații de lucru.

Acest articol va analiza experiența instalării și întreținerii WSUS într-un mediu corporativ, ceea ce va permite începătorilor să evite o serie de capcane.

Instalarea WSUS

În Windows Server 2008 există un rol server Windows Servicii de actualizare server (Fig. 1).

Pentru Windows Server 2003, următoarele cerințe de sistem pentru instalarea WSUS 3.0 SP1:

• Sistem de operare: Windows Server 2003 SP1 și o versiune ulterioară.
• Roluri suplimentare de server: IIS 6.0 și o versiune ulterioară
• Actualizări suplimentare OS: Microsoft. Cadru net 2.0, Microsoft Management Console 3.0.
• Programe suplimentare: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS este capabil să instaleze intern serviciu Windows Baza de date internă).

În ciuda faptului că serviciul nu este practic solicitant la procesor și memorie cu acces aleator, are nevoie de o cotă echitabilă spatiu pe disc. De preferință 40 GB sau mai mult. În cele din urmă, cantitatea de spațiu pe disc consumată va depinde de numărul de produse care trebuie actualizate și de numărul de actualizări de infrastructură necesare.
Dacă în timpul instalării serverul nu satisface Cerințe de sistem, apoi va apărea o fereastră de avertizare, care va descrie ce trebuie instalat (Fig. 2).

Configurarea unui server WSUS

Pentru operatie normala server, trebuie să specificați un număr de parametri care sunt realizați folosind „Asistentul de configurare a serviciilor de actualizare Windows Server”

În fereastra „Selectează un server upstream”, trebuie să selectezi opțiunea „Sincronizează cu Microsoft Update” (Fig. 3).

Când aplicați un server proxy într-un mediu corporativ, în fereastra „Setări server proxy”, trebuie să specificați adresa IP, numărul portului și parametrii de autentificare pe serverul proxy (Fig. 4).

În fereastra „Selectare limbi”, trebuie să selectați opțiunea „Descărcați actualizări numai în următoarele limbi”; asigurați-vă că selectați „Engleză”. Alegerea altor limbi trebuie făcută pe baza sistemelor instalate în companie; de ​​obicei, acestea adaugă și „rusă” (Fig. 5). Nu este nevoie să selectați „Descărcați actualizări în toate limbile, inclusiv în cele noi”, deoarece acest lucru va crește numărul de actualizări stocate pe spațiul pe disc.

În fereastra „Selectați produse”, trebuie să specificați produsele instalate în interior mediul corporativ. ATENŢIE! Nu instalați niciodată toate produsele, deoarece acest lucru poate duce la creșterea dimensiunii actualizărilor stocate, iar actualizările nu vor fi utilizate. Este necesar să selectați metodic și consecvent numai acele produse care sunt utilizate în mediul corporativ (Fig. 6).

În fereastra „Selectați clase”, trebuie să specificați numai acele clase care necesită actualizări. Deoarece specificarea unor clase suplimentare crește semnificativ dimensiunea actualizărilor stocate (Fig. 7).

În fereastra „Setări program de sincronizare”, trebuie să selectați timpul de sincronizare (Fig. 8). Sincronizarea WSUS nu implică descărcarea actualizărilor. ÎN în acest caz, sincronizarea va actualiza doar informațiile de pe serverul Microsoft Update.”

După prima sincronizare, trebuie să deschideți consola WSUS și să selectați „Opțiuni”. În „Opțiuni” deschideți elementul „Fișiere și actualizare limbi” (Fig. 9)

În fila „Actualizare fișiere” a ferestrei „Actualizare fișiere și limbi”, trebuie să specificați cum vor fi stocate fișierele de actualizare. Deoarece dorim să reducem dimensiunea traficului pe Internet, trebuie să selectăm „Storează fișierele de actualizare local pe acest server” și OBLIGATORIU! selectați elementele „încărcați fișierele de actualizare pe server numai după aprobarea actualizării” și „încărcați fișierele de instalare rapidă” (Fig. 10). Elementul „Încărcați fișierele de actualizare pe server numai după aprobarea actualizării” este necesar, deoarece în mod implicit serverul va descărca TOATE actualizările pe care le consideră necesare pentru produsele selectate. Cu toate acestea, deoarece de-a lungul timpului se acumulează multe actualizări în Service Pack, atunci cel mai probabil nu vor fi necesare și vor ocupa spațiu pe disc.

După toate setările, trebuie să adăugați computere la serviciul WSUS.

Adăugarea computerelor la WSUS

Dacă aveți un domeniu, atunci tot ce trebuie să faceți este să înregistrați serviciul WSUS în politica sa de grup și să selectați regulile de actualizare a computerului.

Acest lucru se face după cum urmează " Start – Administrare – Management Politica de grup " Selectați politica care este validă în domeniu (politica de grup implicită). Clic Click dreaptași selectați „Modificare”.

În fereastra Control Editor politici de grup"Să mergem" Configurare computer – Politici – Șabloane administrative – ComponenteWindows UpdateWindows" Selectați elementul „Specificați locația serviciului de actualizare pe Intranet” (Fig. 11)

În fereastra „Proprietăți: Specificați locația serviciului de actualizare pe Intranet”, specificați parametrul „Activat” și în linia „Specificați serviciul de actualizare pe intranet pentru a căuta actualizări” introduceți o linie ca: http:// [ adresa ip sau nume DNS server de actualizare în rețea]. Copiați adresa în fereastra „Specificați serverul de statistici pe intranet” (Fig. 12). În Editorul de politici de grup, există sfaturi în fereastra de explicații (Figura 12).

De asemenea, trebuie să definiți o politică de actualizare. Acest lucru se face prin elementul „Setări”. actualizari automate„(Fig. 13).

În fereastra „Proprietăți: Configurarea actualizărilor automate”, specificați opțiunea „Activat” și parametrii „Configurarea actualizărilor automate”, „Instalare programată - zi”, „Instalare programată - oră”. În fereastra „Explicație” există o descriere a tuturor parametrilor pentru servere și este recomandabil să setați parametrul „2 – notificări despre descărcare și instalare”, care va permite administratorilor să aleagă când se instalează actualizările pe servere (Fig. 14). ).

Dacă în infrastructură există stații de lucru care nu fac parte din domeniu (de exemplu, stații de lucru mobile), dar serviciul de actualizare pentru aceste stații de lucru este necesar, atunci este posibil să specificați acest serviciu în " Politica locala Securitate."

La linia de comandă, tastați gpedit.msc și efectuați aceleași operațiuni descrise mai sus pentru politica de grup din domeniu.

După ceva timp, computerul va apărea în „ Calculatoare – Toate computerele – Calculatoare nealocate„la „Stare: Oricare” (Fig. 15).

Gestionarea actualizărilor

Pentru a vedea și a aproba actualizările necesare trebuie să selectați următoarele elemente de filtrare în „Actualizări – Toate actualizările”: „Aprobare: Neaprobat” și Stare: Necesar” și faceți clic pe „Actualizare” (Fig. 16). ATENŢIE! Pentru a verifica actualizările necesare, asigurați-vă întotdeauna că setările de filtru sunt setate la „Aprobare: Neaprobat” și Stare: Necesar, altfel riscați să descărcați actualizări de care nu aveți nevoie sau să nu le descărcați deloc. Dacă filtrul din setările „Aprobare: Neaprobat” și Stare: Obligatorie arată un câmp gol, atunci toate actualizările necesare pentru computere au fost deja aprobate și sunt pe server.

După aprobare, actualizările vor apărea pe computer după ceva timp conform regulilor configurate în politica de securitate.

Destul de des este nevoie verificare forțată actualizări pe serverul de actualizare de pe partea computerului. Există un program pentru asta wuauclt.exe, care trece prin Linie de comanda. Pentru a verifica dacă există actualizări, trebuie să îl rulați cu cheia / detecta acum (wuauclt.exe /detecta acum). Pentru a trimite un raport de stare (foarte des necesar atunci când vă conectați la serverul de actualizare pentru prima dată), trebuie să rulați cu cheia / raportează acum (wuauclt.exe /raportează acum).

Domnilor, succes cu actualizările dumneavoastră

16.07.2015

Adesea, erorile în timpul sincronizării pot apărea deoarece una dintre următoarele condiții a fost configurată incorect:

• cu condiția ca punctul activ de actualizare a software-ului să fi fost instalat în serverul de sistem pe un site web la distanță, trebuie să instalați consola administrativă WSUS pe serverul site-ului web;

în cazul în care conexiunea între centrul de actualizare MS sau serverul de actualizare software și punctul de actualizare software activ este stabilită cu verificarea acreditărilor atunci când utilizați un server proxy, va trebui să configurați un cont de server proxy;

este important ca setările portului pentru site-ul web Windows Server Update Services în IIS (Internet Information Services) și punctul activ de actualizare a software-ului să fie similare;

„Administrator” și Cont PC-ul trebuie, în cadrul site-ului web WSUS în IIS de pe serverul site-ului, să ofere acces deplin la directoare virtuale;

Pentru a sincroniza Microsoft cu centrul de actualizare din site-ul web central, trebuie să configurați întotdeauna un punct de actualizare software activ. În procesul de creare a primului punct Actualizări software pe site acest parametru va fi configurat în mod automat. Cu toate acestea, dacă este schimbat prin consola administrativă WSUS, nu va fi resetat de Configuration Manager în același mod în care se întâmplă cu alte Setări Windows Servicii de actualizare server.

Verificarea erorilor

Dacă sincronizarea în WSUS este întreruptă, managerul va crea un mesaj care va reflecta modificarea stării componentei SMS_WSUS_SYNC_MANAGER ID6703. Noile intrări corespunzătoare vor fi, de asemenea, făcute în jurnalul serverului site-ului web.

Wsyncmgr.log

Acest fișier se află aici: \Jurnale (vezi pe serverul de resurse web). Când apar erori de sincronizare, WSUS Synchronization Manager va înregistra aceste erori într-un fișier jurnal. Pentru a rezolva problema, va trebui să revizuiți descrierea detaliată a mesajelor de eroare care au apărut în timpul procesului de sincronizare în secțiunea de depanare.

WCM.log

Nu există intrări de fișier jurnal scrise în WCM.log ca parte a procesului de sincronizare. Cu toate acestea, ele pot fi de un anumit beneficiu în depanarea problemelor care sunt direct legate de sincronizare. WSUS-Config. Managerul se va conecta la serviciul WSUS implicit care rulează pe punctul activ de actualizare a software-ului. Mai mult, în cazul defecțiunilor care sunt asociate cu comunicații sau porturi, acest fișier Jurnalul înregistrează mesaje despre erorile care apar, care pot deveni mai informative pentru dvs., spre deosebire de intrarea wsyncmgr.log.

Mesaj privind schimbarea stării ID6703

Mesajul care este generat atunci când starea ID6703 se modifică poate conține alte informații despre eroare, în funcție de eroarea care apare într-un anumit caz. Pentru a elimina această problemă va trebui vizualizat descriere detaliata mesaje de eroare despre procesul de sincronizare în anumite secțiuni care sunt dedicate depanării.

Cazuri de oprire de urgență a procesului de sincronizare din motive necunoscute

Dacă, după verificarea wsyncmgr.log, nu ați reușit să determinați motivul pentru care a apărut defecțiunea, este foarte posibil să fi fost cauzată de mai mult de un factor terță parte.

Să dăm posibile probleme sincronizare și modalități de a le rezolva:

Punctul de actualizare software nu a fost instalat. În acest caz, va trebui să instalați un punct de actualizare software în fiecare site Configuration Manager.

A fost făcută o eroare în parametrii proxy ai actualizării software. Dacă este necesar, trebuie să configurați corect portul, numele serverului și acreditările.

Este posibil ca computerul care rulează SQL Server să nu aibă suficientă memorie sau să nu aibă o configurație optimă. În acest caz, ar trebui să cereți administratorului serverului SQL să verifice eficacitatea și, dacă este necesar, să facă ajustări.

Acest ghid rezumat a fost pregătit din materiale publicate pe technet.microsoft.com.

Clienții WSUS nu doresc să se actualizeze după schimbarea serverelor?
Apoi mergem la tine. (CU)

Cu toții am fost în situații în care ceva nu mai funcționează. În acest articol vom vorbi despre WSUS (mai mult informatii detaliate despre WSUS pot fi obținute și ). Sau mai precis, despre cum să forțezi Clienții WSUS(adică computerele noastre) primesc din nou actualizări după transferul sau restaurarea serverului de actualizare existent.

Deci situația este următoarea

Serverul WSUS a murit. Mai exact, controlerul RAID a fost fabricat în anul 2000. Dar acest fapt nu a adăugat bucurie. După o scurtă agitație (cu încercări de a restabili RAID-ul care a fost distrus de controlerul muribund), s-a decis să se trimită totul pentru a implementa un nou server WSUS.

Drept urmare, am primit un WSUS funcțional, la care din anumite motive clienții nu s-au conectat.
Puncte: WSUS este legat de FQDN printr-un server DNS intern, serverul WSUS este înregistrat în politicile de grup și este distribuit clienților prin AD, setările implicite pentru server, înainte de a începe toate acțiunile, actualizați WSUS în sine și sincronizați actualizările.

În urma analizei situației, au fost identificate câteva puncte cheie

1. Client clinch (vorbim despre wuauclt) atunci când încercați să vă conectați la SID-ul vechiului server WSUS.
2. O problemă cu actualizări dezinstalate, descărcat de pe vechiul server WSUS.
3. Parcarea serviciilor care afectează funcționarea wuauclt (vorbim despre wuauserv, bits și cryptsvc). Parcarea a avut loc la diverse motive, care nu au fost analizate în detaliu.

Ca rezultat, întreaga soluție a rezultat într-un mic script care este distribuit de politicile de grup prin AD sau cu propriile mele mâini(și picioare). Scriptul folosește cel mai mult opțiune sigură reparații și nu a adus niciun rezultat negativ timp de șase luni de utilizare.

Voi descrie ceea ce se face (pentru cei care sunt deosebit de curioși)

Parcăm serviciul server de actualizare, ștergem descriptorul de securitate al serviciului de comunicare WSUS, ștergem actualizările existente din WSUS anterior, ștergem registrul referințelor la WSUS anterior, pornim serviciul de actualizare automată (wuauserv), serviciul de transfer inteligent de fundal ( biți) și serviciul de criptografie (cryptsvc), la final lovim cu forță pe WSUS pentru a reseta autorizarea, a detecta un nou WSUS și a genera un raport către server.

Și ca întotdeauna: efectuați toate acțiunile descrise mai sus și mai jos pe propriul risc și risc. Vă rugăm să vă asigurați că toate datele necesare sunt salvate înainte de a executa scriptul.

Scenariul

Net stop wuauserv sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU) del / f /s /q %windir%\SoftwareDistribution\download\*.* REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" " /v PingID /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f net start wuauserv && net start bits && net start cryptsvc wuauclt /resetauthorization /detectnow /reportnow

Este recomandabil să folosiți un astfel de rol de server precum Windows Server Update Services (WSUS) atât în ​​companiile mici cu 10 sau mai multe computere, cât și în marile corporații. Spre deosebire de rolurile de server precum servicii de domeniu sau servere E-mail, pentru serverele de actualizare WSUS nu este nevoie să implementați servere tolerante la erori, deoarece automatizarea actualizării computerelor client nu este sarcina cea mai critică în procesele de afaceri.

Scenarii pentru implementarea serverelor de actualizare:

Implementare ușoară a serverelor WSUS: Multe organizații mici și mijlocii în cadrul lor mediu de productie pentru a distribui actualizări, folosesc exact acest model. Soluții simple Implementările de server WSUS sunt de obicei un model cu un server de actualizare implementat care se află într-un intranet securizat firewallși deservirea computerelor client pe intranet. Pentru a descărca actualizări, serverul WSUS se sincronizează cu serverele Microsoft Update.

Implementarea ierarhică a serverelor WSUS: După cum sugerează și numele modelului, modelul anterior pentru implementarea serverelor WSUS este de bază, dar puteți crea ierarhii complexe de servere WSUS dacă este necesar. În primul rând, merită să luați în considerare faptul că pentru a sincroniza cu Centrul Actualizări Microsoft trebuie să aveți doar un server WSUS și toate celelalte servere WSUS trebuie să se conecteze la cel actual. Când conectați mai multe servere WSUS, formați o așa-numită ierarhie, constând dintr-un server WSUS superior și subordonat. Există două moduri de a stabili o legătură între servere WSUS mi.

• Servere WSUS autonome. În acest caz, în timpul procesului de sincronizare, serverul WSUS din amonte oferă toate actualizările descărcate către unul sau mai multe servere din aval, dar pe parcursul întregului proces, starea de aprobare sau informațiile despre un grup de computere nu sunt transferate pe stațiile de lucru client. Toate serverele WSUS din aval sunt administrate separat de implementarea actualizărilor pe computerele client;
• Modul de replicare. În acest model de implementare, serverul WSUS din amonte trimite toate actualizările, stările de aprobare și informațiile de grup către serverele sale din aval. În acest caz, serverele replicate subordonate moștenesc toate aprobările și nu pot efectua sarcini administrative pe serverele lor WSUS superioare.

Această configurație pentru implementarea serverelor de actualizare este convenabilă pentru majoritatea cazurilor de producție, inclusiv organizațiile cu filiale. Modelul de implementare ierarhică a serverelor WSUS poate fi utilizat în mod rațional pentru a descărca actualizări de la Microsoft Update și apoi a instala aceste actualizări prin servere slave, ușurând astfel încărcarea conexiunii la internet în bandă largă. Este recomandabil să utilizați această configurație într-un mediu în care un server WSUS nu este capabil să implementeze în mod independent actualizări pentru o flotă existentă de computere. Conform tuturor recomandărilor, este recomandabil să folosiți nu mai mult de o ierarhie pe trei niveluri a serverelor WSUS, deoarece odată cu distribuția ulterioară a actualizărilor, timpul de întârziere crește tot timpul. În orice model și cu orice configurație, serverul slave trebuie să se sincronizeze în mod regulat cu serverul de actualizare din amonte, formând o buclă închisă neacceptată între ele. Când schimbați protocolul de conectare între servere, pentru a vă asigura protectie maximaîntregul lanț de servere de actualizare, la configurarea ierarhiei serverelor WSUS, pentru a configura actualizările automate trebuie să specificați cel mai îndepărtat server slave. Dacă organizația dvs. are mai multe servere de actualizare în aval, nu ar trebui să le configurați să se sincronizeze cu serverele de actualizare din amonte în același timp, ceea ce poate duce la o repornire a serverului din amonte. Pentru această configurație, un singur server WSUS descarcă și gestionează actualizările direct de la servere Microsoft, iar toate celelalte servere sunt configurate ca replici.

Grupuri de calculatoare
Pentru toate modelele de implementare a serverelor WSUS, iar modelul de implementare simplu nu face excepție, cea mai importantă parte a implementării sunt grupurile de computere. În majoritatea organizațiilor, toate actualizările nu sunt implementate pe toate computerele în același timp. Și pentru a gestiona computerele care vor primi actualizări, serverele WSUS vă permit să configurați grupuri de computere, iar actualizările în sine pot fi implementate într-unul sau mai multe grupuri în același timp. În mod implicit, în consola WSUS puteți găsi două grupuri de computere: „Toate computerele” și „Computere nealocate”. Implicit când computer client sincronizat cu serverul WSUS, este adăugat automat la ambele grupuri create implicit. Apoi, din grupul „Computere nealocate”, puteți muta computerele în grupul special desemnat pentru ele, deoarece acest grup conține numai acele computere cărora nu li s-a atribuit calitatea de membru în grupurile pe care le-ați creat. La rândul său, grupul Toate computerele vă permite să distribuiți actualizări vizate tuturor computerelor din organizația dvs., indiferent de grupurile din care fac parte computerele. Să luăm exemplul unei implementări simple WSUS cu trei grupuri personalizate numite Test, Pilot și Production. Grupul de testare conține mai multe computere care se află într-un mediu de laborator și sunt destinate să testeze funcționarea corectă a mecanismului de distribuție a actualizărilor. Dacă testarea merge bine, actualizările vor fi implementate în următorul grup. După testare, actualizările sunt implementate într-un grup pilot, care este format din computere ale departamentului IT, unde specialiștii calificați pot remedia problemele care apar după implementarea actualizărilor. Apoi, dacă implementarea pilot a fost finalizată fără incidente, puteți implementa actualizările pe computerele de producție care se află în mediul de producție.