Здравствуйте!

Сервер: Windows Server 2003 R2, SP2.
Два клиента: Windows XP.

На сервере нормально установил WSUS 3.0. Клиенты настроил соответствующим образом.
WSUS клиентов видит ("Неназначенные компьютеры").
Обновления одобрил.
В консоли жму "Синхронизировать сейчас". Идёт синхронизация. Проходит несколько секунд. Результаты последней синхронизации - "Успешно выполнена".
Но файлы обновления не закачиваются!
В логах клиентов попытки упдейта с сообщениями типа:
"2009-09-06 00:12:05:546 748 5fc Setup Update NOT required for C:\WINDOWS\system32\wuapi.dll.mui: target version = 7.4.7600.226, required version = 7.4.7600.226".
В журнале Windows вижу ошибки:
"Права доступа для каталога D:\WSUS установлены неправильно."
и
"Ошибка при загрузке файла содержимого. Причина: Отказано в доступе. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED)) Исходный файл: /msdownload/update/v5/eula/officexpeula_sve.txt Конечный файл: d:\WSUS\WsusContent\5A\032EFA96D2F7B8B627F47011337527BF2009E35A.txt.".

Такое ощущение, что что-то с правами доступа к папке WSUS'а. Помогите, пожалуйста, разобраться!

Благодарю заранее!

проверка настроек wsus
http://technet.microsoft.com/ru-ru/library/cc708545%28WS.10%29.aspx
В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ и разрешения на выполнение только для скриптов
Security: Anonymous Access Enabled.
Execute Permissions: Scripts Only

Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication.
Execute Permissions: Scripts Only


Для selfupdate
Anonymous Access Enabled, Integrated Windows Authentication.
Execute Permissions: Scripts Only

Для content
Security: Anonymous Access Enabled.
Execute Permissions: none

Для корневого каталога в котором установлен wusu (например диск d: ) установите разрешения на чтение либо для users либо для NT Authority\Network Service (при установке не задаётся, уст. вручную)

\WSUS\WSUSContent должен иметь полный доступ для NT Authority\Network Service
(Для корректного отображения ещё для этих каталогов
# <%windir%>\Microsoft .NET\Framework\v1.1.4322\Temporary ASP.NET Files
# <%windir%>\Temp
)

В реестре для users установить права чтения на
\HKLM\Software\Microsoft\Update Services\Server

Для
# ASP.NET
# Network Service (for Windows Server 2003)
# WSUS Administrators
полный доступ к
\HKLM\Software\Microsoft\Update Services\Server\Setup

В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ »

Пользователь "АНОНИМНЫЙ ВХОД"?

разрешения на выполнение только для скриптов »

Что это? "Выполнение"?

Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication. »

Что это и где? Пользователь IWAM_SERVER?

Для корневого каталога в котором установлен wusu (например диск d: ) »

Где установлен ВСУС (диск C:) или лежат его файлы данных (у меня D:\WSUS

\WSUS\WSUSContent должен иметь полный доступ для NT Authority\Network Service
(Для корректного отображения ещё для этих каталогов
# <%windir%>\Microsoft .NET\Framework\v1.1.4322\Temporary ASP.NET Files
# <%windir%>\Temp
) »
)?

Сделано.

В реестре для users установить права чтения на
\HKLM\Software\Microsoft\Update Services\Server »

Сделано.

Для
# ASP.NET
# Network Service (for Windows Server 2003)
# WSUS Administrators
полный доступ к
\HKLM\Software\Microsoft\Update Services\Server\Setup »

Сделано.

DnldMgr WARNING: Download job failed because of proxy auth or server auth.

Что это значит?

Теперь клиенты обновляются, но не все обновления скачиваются с сервера почему-то...

clientdiag.exe что пишет когда запустить на локальной машине?

WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.4.7600.226. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
WUServer = http://Server:8530
WUStatusServer = http://Server:8530
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS
Connection to server. . . . . . . . . . . . . . . . . . PASS

WinHttpDownloadFileToMemory(szURLDest, NULL, 0, NULL, NULL, NULL, &downloadBuffe
r) failed with hr=0x80072efd

A connection with the server could not be established


Press Enter to Complete

This version is WSUS 2.0

А вот это почему? У меня ведь третья версия ВСУСа...

А вот это почему? У меня ведь третья версия ВСУСа... »
Я так понимаю, что это версия локальной библиотеки (dll) системы обновлений.
0x80072efd »
Посмотри на microsoft'e (http://support.microsoft.com/kb/836941/ru)

как вариант куда можно покопать...
1) обновить на локальной машине на последнюю версию Windows Update Agent
2) стереть C:\WINDOWS\WindowsUpdate.log
3) запустить в командной строке wuauclt /detectnow
отписать что получилось в log файле.

Цитата U-russia:
В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ »
Пользователь "АНОНИМНЫЙ ВХОД"? »
вопрос интересный,
на 2008 наверное anonymouse athentication в соответствующей вкладке...
а для server2003 это похоже Anonymous Access Enabled в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control)

ксати там интересная приписка есть, что способ аутентификации определяется для случая запрета анонимного доступа или назначеных ограничения через NTFS ACL

Цитата U-russia:
разрешения на выполнение только для скриптов »
Что это? "Выполнение"? »
Execute Permissions: Scripts Only
это взято из статьи по ссылке, сам не понял где это ни на 2003 ни на 2008

Цитата U-russia:
Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication. »
Что это и где? »
для server2003 в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control) кнопка edit...
надо поставить галочку напротив соответсвуещего способа
Цитата U-russia:
Для корневого каталога в котором установлен wusu (например диск d: ) »
Где установлен ВСУС (диск C или лежат его файлы данных (у меня D:\WSUS »
WSUSContent folder , т.е. (?):\WSUS\WSUSContent
(прочитайте пост выше про файлы на системном диске)

Пользователь IWAM_SERVER? »
где это вам стретилось? имя пользователя может отличаться...это наверное пользователь который будет использован для обеспечения анонимного доступа, т.е. тот кто будет у вас указан в Anonymous Access Enabled, соответственно он должен существовать с соответсвующими разрешениями. Такой пользователь появляется автоматически, помоему при устанвек iis, но вы могли его случайно удалить..проверьте через AD(users and computers) для анонимного доступа должен быть IUSR_sever, а IWAM_server для запуска приложений


Я когда сам установил все разрешения и убрал другие, так консоль вообще "отвалилась" и обратно не хочет подключаться... : )
Это странным образом совпало с выходом wsus3sp2 (т.е. не RC), может типа время работы закончилось, хотя врятли сервак вроде в норме...
У вас какая версия?

1) обновить на локальной машине на последнюю версию Windows Update Agent »
кстати как вы это делаете?

можно просто подключиться к MS (windowsupdate) и получить автоматически

но это неудобно, да и несовсем правильно...

я вот было решил сделать это вручную (ещё неправильней) - по логам определил необходимые файлы с отличными версиями, попробывал их подменить (часть из них защищена), но этого оказалось недостаточно, нашёл лог обновления агента, там много чего интересного...определил ещё часть файлов, но вцелом процедура инсталляции мне непонятна...
в процессе лог подключения к всус выдавал интересные ошибки....

это конечно кибершаманизм, но довольно занимательно...

вобщем я осознал, что не работает механизм selfupdate!
он отличен от "простых" обновлений, т.к. файлы обновления агента лежат в папке всус (путь можно отследить в iis - виртуальный путь для ветки selfupdate сайта wsus), т.к. обеспечение самообновления связан с расширением доступа к системному разделу, целесообразно эти файлы переместить, а путь изменить (щас уже не помню, но возможно есть какая-то опция где хранить эти файлы, возможно выбиралась при установке...)

можно погуглить, а лучше поtechnetить напредмет неработающего selfupdate

Цитата user256:1) обновить на локальной машине на последнюю версию Windows Update Agent »

кстати как вы это делаете?

по тому как описано тут в вики (http://www.wikiznanie.ru/ru-wz/index.php/WSUS_FAQ)

1) обновить на локальной машине на последнюю версию Windows Update Agent »

Обновил.

2) стереть C:\WINDOWS\WindowsUpdate.log »

Не стирается, видимо надо как-то службу остановить...

запустить в командной строке wuauclt /detectnow
отписать что получилось в log файле. »

Выгрыз, что записалось.

Лог (http://file.qip.ru/file/101336586/9cc1160b/Update.html)

по тому как описано тут в вики »

Не нашёл где описано.
Пришлось в другом месте искать.
WindowsUpdateAgent30-x86.exe /wuforce

Самое интересное, что обновки ставятся выборочно: т. е., некоторые ставятся, некоторые нет - ошибки...

на какие именно ошибки? одобрения на сервере есть на обновления?

Не стирается, видимо надо как-то службу остановить... »
можно просто стереть содержимое..

в логе вобщем-то одна ошибка
0×8024001b -2145124325 WU_E_SELFUPDATE_IN_PROGRESS self-update in progress
касается того, что агент всётаки был не последней версии
это видно и в полях сравнения файлов
но процедура самообновления сработала и всё успешно обновилось, т.ч. теперь я думаю этой ошибки не будет

Коллеги, давайте уже составлят FAQ я бы наверно первым пунктом включил туда ключ /resetauthorization
т.е. когда вы пишете просто wuauclt /detectnow, то можете "напороться" на кэш, т.к. WSUS тотже WEB САЙТ

Found 0 cached featured updates
(помоему то очем я говорил)

wuauclt /detectnow /resetauthorization как раз сбрасывает кэш для клиента, т.е. после обновления вы сразу не получите другие(если они есть), а только по прошествии опр-ого времени...с ресетом можно обновиться пополной за несколько запросов подряд...
по тому как описано тут в вики »
в вики так и написано...

А вот про перенос с одного сервера на другой стать немного устарела, т.к. касается миграции с SUS на WSUS, но принцип работает, только вот некоторых ключей уже нет (например approvals)

кстати, статья из которой я брал установки разрешений имеет новую версию для wsus3.0sp2
http://technet.microsoft.com/en-us/library/dd939790%28WS.10%29.aspx
В данном случае предлагают "юниксовый" метод работы - через командную строку
Комда cacls отображает или модифицирует список контроля доступа к файлам и деррикториям
f - полный доступ
r- только чтение
w- разрешение на запись
n- нет доступа
Наследуют ли эти разрешения поддирректории определяют по ключам
OI - дирректория и файлы в ней
CI - дирректория и поддирректории
IO - не применяются

WSUSInstallDir Дерриктория куда был установлен WSUS (например (disk):\Program Files\Update Services\)
# WSUSInstallDir\WebServices\apiremoting30

# WSUSInstallDir\WebServices\clientwebservice

# WSUSInstallDir\WebServices\dssauthwebservice

# WSUSInstallDir\WebServices\reportingwebservice

# WSUSInstallDir\WebServices\serversyncwebservice

# WSUSInstallDir\WebServices\simpleauthwebservice

# WSUSInstallDir\Inventory

# WSUSInstallDir\Selfupdate
Для всех этих папок(кроме self-update) их файлов и поддирректорий доступ на чтения для
# NT AUTHORITY\NETWORK SERVICE

# BUILTIN\Users (Встроенная группа пользователей)

# NT AUTHORITY\Authenticated Users (прошедшие аутентификацию)

Для self-update доступ её файлов и поддирректорий доступ на чтение только для
BUILTIN\Users

Для всех этих папок их файлов и поддирректорий полный доступ для
# BUILTIN\Administrators (Встроенная группа администраторов)

# NT AUTHORITY\SYSTEM

Разрешения устанавливаемые в процессе инсталляции:
группы Users и WSUS Reporters доступ на чтение к ключу реестра \HKLM\Software\Microsoft\Update Services\Server

Полный доступ для ключа \HKLM\Software\Microsoft\Update Services\Server\Setup
имеют группы
# Network Service

# WSUS Administrators

# Administrators

# System

Если посмотреть help к самой cacls, то
oi - для файлов (т.е. не для дирректорий)
Есть и ещё один ключ
ID - наследуется от родительской дирректории

понадобится так же ключ /G user:perm - назначает указанному пользователю права доступа
или /p user:perm - заменяет указанному пользователю права доступа

(есть и другие интересные ключики)

На тестовом сервере напрмиер разрешения на Inventory такие же как для selfupdate, а не для всех..

\HKLM\Software\Microsoft\Update Services\Server
не имеет разрешений чтения для users
но такие же разрешения для остальных групп как и
\HKLM\Software\Microsoft\Update Services\Server\Setup

на какие именно ошибки? одобрения на сервере есть на обновления? »

Да, всё одобрил.
А если не одобрено, то должны ли быть ошибки?

Если не одобрено то не будет установки, соотв. и ошибок.
Ошибки бывали но со второго раза устанавливалось...
Ошибки повторяются?
В журнале наверняка есть доп. информация...

Что вот это значит?

WARNING: Cached cookie has expired or new PID is available

И ещё много всяких предупреждений...

Вот такие ошибки в логе нашёл:
0x800710dd
0x80190191
0x80244017

И сам лог: http://file.qip.ru/file/101881718/29ffad40/WUC_log.html

касается того, что агент всётаки был не последней версии »

Странно, обновлял я его!
А почему утилита диагностики вываливается с ошибкой?

но процедура самообновления сработала и всё успешно обновилось, т.ч. теперь я думаю этой ошибки не будет »

Не работает :(

wuauclt /detectnow /resetauthorization как раз сбрасывает кэш для клиента, т.е. после обновления вы сразу не получите другие(если они есть), а только по прошествии опр-ого времени...с ресетом можно обновиться пополной за несколько запросов подряд... »

Не совсем понял как это работает... но не помогло.

Не работает »
да всё впорядке с агентом
Update is not required

0×80190191 -2145844847 BG_E_HTTP_ERROR_401 The requested resource requires user authentication.
0×80244017 -2145107945 SUS_E_PT_HTTP_STATUS_DENIED Http status 401 - access denied


0x800710dd такой почемуто нет у меня, надо в нете искать, а щас нет времени....


проверьте разрешения на доступ как через iis так и NTFS, если разрешения выданы, проверьте что компьютер в соответствующей группе. Если разрешения выданы на папку, проверьте непосредственно те файла к которым нет доступа....

проверьте разрешения на доступ как через iis »

Как это сделать?

проверьте что компьютер в соответствующей группе »

Имеется в виду рабочая группа для локальной сети?