Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   WSUS (http://forum.oszone.net/forumdisplay.php?f=99)
-   -   WSUS не скачивает обновления (http://forum.oszone.net/showthread.php?t=149847)

Koluna 06-09-2009 00:00 1212419

WSUS не скачивает обновления
 
Здравствуйте!

Сервер: Windows Server 2003 R2, SP2.
Два клиента: Windows XP.

На сервере нормально установил WSUS 3.0. Клиенты настроил соответствующим образом.
WSUS клиентов видит ("Неназначенные компьютеры").
Обновления одобрил.
В консоли жму "Синхронизировать сейчас". Идёт синхронизация. Проходит несколько секунд. Результаты последней синхронизации - "Успешно выполнена".
Но файлы обновления не закачиваются!
В логах клиентов попытки упдейта с сообщениями типа:
Код:

"2009-09-06        00:12:05:546        748        5fc        Setup        Update NOT required for C:\WINDOWS\system32\wuapi.dll.mui: target version = 7.4.7600.226, required version = 7.4.7600.226".
В журнале Windows вижу ошибки:
Код:

"Права доступа для каталога D:\WSUS установлены неправильно."
и
Код:

"Ошибка при загрузке файла содержимого. Причина: Отказано в доступе. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED)) Исходный файл: /msdownload/update/v5/eula/officexpeula_sve.txt Конечный файл: d:\WSUS\WsusContent\5A\032EFA96D2F7B8B627F47011337527BF2009E35A.txt.".
Такое ощущение, что что-то с правами доступа к папке WSUS'а. Помогите, пожалуйста, разобраться!

Благодарю заранее!

U-russia 07-09-2009 14:00 1213305

проверка настроек wsus
http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx
В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ и разрешения на выполнение только для скриптов
Security: Anonymous Access Enabled.
Execute Permissions: Scripts Only

Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication.
Execute Permissions: Scripts Only


Для selfupdate
Anonymous Access Enabled, Integrated Windows Authentication.
Execute Permissions: Scripts Only

Для content
Security: Anonymous Access Enabled.
Execute Permissions: none

Для корневого каталога в котором установлен wusu (например диск d: ) установите разрешения на чтение либо для users либо для NT Authority\Network Service (при установке не задаётся, уст. вручную)

\WSUS\WSUSContent должен иметь полный доступ для NT Authority\Network Service
(Для корректного отображения ещё для этих каталогов
# <%windir%>\Microsoft .NET\Framework\v1.1.4322\Temporary ASP.NET Files
# <%windir%>\Temp
)

В реестре для users установить права чтения на
\HKLM\Software\Microsoft\Update Services\Server

Для
# ASP.NET
# Network Service (for Windows Server 2003)
# WSUS Administrators
полный доступ к
\HKLM\Software\Microsoft\Update Services\Server\Setup

Koluna 12-09-2009 17:13 1217296

Цитата:

Цитата U-russia
В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ »

Пользователь "АНОНИМНЫЙ ВХОД"?

Цитата:

Цитата U-russia
разрешения на выполнение только для скриптов »

Что это? "Выполнение"?

Цитата:

Цитата U-russia
Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication. »

Что это и где? Пользователь IWAM_SERVER?

Цитата:

Цитата U-russia
Для корневого каталога в котором установлен wusu (например диск d: ) »

Где установлен ВСУС (диск C:) или лежат его файлы данных (у меня D:\WSUS

Цитата:

Цитата U-russia
\WSUS\WSUSContent должен иметь полный доступ для NT Authority\Network Service
(Для корректного отображения ещё для этих каталогов
# <%windir%>\Microsoft .NET\Framework\v1.1.4322\Temporary ASP.NET Files
# <%windir%>\Temp
) »

)?

Сделано.

Цитата:

Цитата U-russia
В реестре для users установить права чтения на
\HKLM\Software\Microsoft\Update Services\Server »

Сделано.

Цитата:

Цитата U-russia
Для
# ASP.NET
# Network Service (for Windows Server 2003)
# WSUS Administrators
полный доступ к
\HKLM\Software\Microsoft\Update Services\Server\Setup »

Сделано.

Koluna 12-09-2009 17:42 1217319

Цитата:

DnldMgr WARNING: Download job failed because of proxy auth or server auth.
Что это значит?

Koluna 12-09-2009 20:00 1217420

Теперь клиенты обновляются, но не все обновления скачиваются с сервера почему-то...

user256 13-09-2009 22:03 1218181

clientdiag.exe что пишет когда запустить на локальной машине?

Koluna 13-09-2009 23:18 1218229

WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.4.7600.226. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
WUServer = http://Server:8530
WUStatusServer = http://Server:8530
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS
Connection to server. . . . . . . . . . . . . . . . . . PASS

WinHttpDownloadFileToMemory(szURLDest, NULL, 0, NULL, NULL, NULL, &downloadBuffe
r) failed with hr=0x80072efd

A connection with the server could not be established


Press Enter to Complete

Цитата:

This version is WSUS 2.0
А вот это почему? У меня ведь третья версия ВСУСа...

gf100 14-09-2009 16:59 1218812

Цитата:

Цитата Koluna
А вот это почему? У меня ведь третья версия ВСУСа... »

Я так понимаю, что это версия локальной библиотеки (dll) системы обновлений.
Цитата:

Цитата Koluna
0x80072efd »

Посмотри на microsoft'e

user256 14-09-2009 23:24 1219119

как вариант куда можно покопать...
1) обновить на локальной машине на последнюю версию Windows Update Agent
2) стереть C:\WINDOWS\WindowsUpdate.log
3) запустить в командной строке wuauclt /detectnow
отписать что получилось в log файле.

U-russia 15-09-2009 12:46 1219420

Цитата:

Цитата Koluna
Цитата U-russia:
В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ »
Пользователь "АНОНИМНЫЙ ВХОД"? »

вопрос интересный,
на 2008 наверное anonymouse athentication в соответствующей вкладке...
а для server2003 это похоже Anonymous Access Enabled в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control)

ксати там интересная приписка есть, что способ аутентификации определяется для случая запрета анонимного доступа или назначеных ограничения через NTFS ACL

Цитата:

Цитата Koluna
Цитата U-russia:
разрешения на выполнение только для скриптов »
Что это? "Выполнение"? »

Execute Permissions: Scripts Only
это взято из статьи по ссылке, сам не понял где это ни на 2003 ни на 2008

Цитата:

Цитата Koluna
Цитата U-russia:
Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication. »
Что это и где? »

для server2003 в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control) кнопка edit...
надо поставить галочку напротив соответсвуещего способа
Цитата:

Цитата Koluna
Цитата U-russia:
Для корневого каталога в котором установлен wusu (например диск d: ) »
Где установлен ВСУС (диск C или лежат его файлы данных (у меня D:\WSUS »

WSUSContent folder , т.е. (?):\WSUS\WSUSContent
(прочитайте пост выше про файлы на системном диске)

Цитата:

Цитата Koluna
Пользователь IWAM_SERVER? »

где это вам стретилось? имя пользователя может отличаться...это наверное пользователь который будет использован для обеспечения анонимного доступа, т.е. тот кто будет у вас указан в Anonymous Access Enabled, соответственно он должен существовать с соответсвующими разрешениями. Такой пользователь появляется автоматически, помоему при устанвек iis, но вы могли его случайно удалить..проверьте через AD(users and computers) для анонимного доступа должен быть IUSR_sever, а IWAM_server для запуска приложений


Я когда сам установил все разрешения и убрал другие, так консоль вообще "отвалилась" и обратно не хочет подключаться... : )
Это странным образом совпало с выходом wsus3sp2 (т.е. не RC), может типа время работы закончилось, хотя врятли сервак вроде в норме...
У вас какая версия?

Цитата:

Цитата user256
1) обновить на локальной машине на последнюю версию Windows Update Agent »

кстати как вы это делаете?

можно просто подключиться к MS (windowsupdate) и получить автоматически

но это неудобно, да и несовсем правильно...

я вот было решил сделать это вручную (ещё неправильней) - по логам определил необходимые файлы с отличными версиями, попробЫвал их подменить (часть из них защищена), но этого оказалось недостаточно, нашёл лог обновления агента, там много чего интересного...определил ещё часть файлов, но вцелом процедура инсталляции мне непонятна...
в процессе лог подключения к всус выдавал интересные ошибки....

это конечно кибершаманизм, но довольно занимательно...

вобщем я осознал, что не работает механизм selfupdate!
он отличен от "простых" обновлений, т.к. файлы обновления агента лежат в папке всус (путь можно отследить в iis - виртуальный путь для ветки selfupdate сайта wsus), т.к. обеспечение самообновления связан с расширением доступа к системному разделу, целесообразно эти файлы переместить, а путь изменить (щас уже не помню, но возможно есть какая-то опция где хранить эти файлы, возможно выбиралась при установке...)

можно погуглить, а лучше поtechnetить напредмет неработающего selfupdate

user256 16-09-2009 00:12 1219879

Цитата:

Цитата user256:1) обновить на локальной машине на последнюю версию Windows Update Agent »

кстати как вы это делаете?
по тому как описано тут в вики

Koluna 18-09-2009 21:48 1222116

Цитата:

Цитата user256
1) обновить на локальной машине на последнюю версию Windows Update Agent »

Обновил.

Цитата:

Цитата user256
2) стереть C:\WINDOWS\WindowsUpdate.log »

Не стирается, видимо надо как-то службу остановить...

Цитата:

Цитата user256
запустить в командной строке wuauclt /detectnow
отписать что получилось в log файле. »

Выгрыз, что записалось.

Лог

Цитата:

Цитата user256
по тому как описано тут в вики »

Не нашёл где описано.
Пришлось в другом месте искать.
Код:

WindowsUpdateAgent30-x86.exe /wuforce

Koluna 18-09-2009 22:34 1222160

Самое интересное, что обновки ставятся выборочно: т. е., некоторые ставятся, некоторые нет - ошибки...

user256 19-09-2009 01:06 1222244

на какие именно ошибки? одобрения на сервере есть на обновления?

U-russia 21-09-2009 18:20 1224192

Цитата:

Цитата Koluna
Не стирается, видимо надо как-то службу остановить... »

можно просто стереть содержимое..

в логе вобщем-то одна ошибка
0×8024001b -2145124325 WU_E_SELFUPDATE_IN_PROGRESS self-update in progress
касается того, что агент всётаки был не последней версии
это видно и в полях сравнения файлов
но процедура самообновления сработала и всё успешно обновилось, т.ч. теперь я думаю этой ошибки не будет

Коллеги, давайте уже составлят FAQ я бы наверно первым пунктом включил туда ключ /resetauthorization
т.е. когда вы пишете просто wuauclt /detectnow, то можете "напороться" на кэш, т.к. WSUS тотже WEB САЙТ

Found 0 cached featured updates
(помоему то очем я говорил)

wuauclt /detectnow /resetauthorization как раз сбрасывает кэш для клиента, т.е. после обновления вы сразу не получите другие(если они есть), а только по прошествии опр-ого времени...с ресетом можно обновиться пополной за несколько запросов подряд...
Цитата:

Цитата Koluna
по тому как описано тут в вики »

в вики так и написано...

А вот про перенос с одного сервера на другой стать немного устарела, т.к. касается миграции с SUS на WSUS, но принцип работает, только вот некоторых ключей уже нет (например approvals)

кстати, статья из которой я брал установки разрешений имеет новую версию для wsus3.0sp2
http://technet.microsoft.com/en-us/l...8WS.10%29.aspx
В данном случае предлагают "юниксовый" метод работы - через командную строку
Комда cacls отображает или модифицирует список контроля доступа к файлам и деррикториям
f - полный доступ
r- только чтение
w- разрешение на запись
n- нет доступа
Наследуют ли эти разрешения поддирректории определяют по ключам
OI - дирректория и файлы в ней
CI - дирректория и поддирректории
IO - не применяются

WSUSInstallDir Дерриктория куда был установлен WSUS (например (disk):\Program Files\Update Services\)
# WSUSInstallDir\WebServices\apiremoting30

# WSUSInstallDir\WebServices\clientwebservice

# WSUSInstallDir\WebServices\dssauthwebservice

# WSUSInstallDir\WebServices\reportingwebservice

# WSUSInstallDir\WebServices\serversyncwebservice

# WSUSInstallDir\WebServices\simpleauthwebservice

# WSUSInstallDir\Inventory

# WSUSInstallDir\Selfupdate
Для всех этих папок(кроме self-update) их файлов и поддирректорий доступ на чтения для
# NT AUTHORITY\NETWORK SERVICE

# BUILTIN\Users (Встроенная группа пользователей)

# NT AUTHORITY\Authenticated Users (прошедшие аутентификацию)

Для self-update доступ её файлов и поддирректорий доступ на чтение только для
BUILTIN\Users

Для всех этих папок их файлов и поддирректорий полный доступ для
# BUILTIN\Administrators (Встроенная группа администраторов)

# NT AUTHORITY\SYSTEM

Разрешения устанавливаемые в процессе инсталляции:
группы Users и WSUS Reporters доступ на чтение к ключу реестра \HKLM\Software\Microsoft\Update Services\Server

Полный доступ для ключа \HKLM\Software\Microsoft\Update Services\Server\Setup
имеют группы
# Network Service

# WSUS Administrators

# Administrators

# System

Если посмотреть help к самой cacls, то
oi - для файлов (т.е. не для дирректорий)
Есть и ещё один ключ
ID - наследуется от родительской дирректории

понадобится так же ключ /G user:perm - назначает указанному пользователю права доступа
или /p user:perm - заменяет указанному пользователю права доступа

(есть и другие интересные ключики)

На тестовом сервере напрмиер разрешения на Inventory такие же как для selfupdate, а не для всех..

\HKLM\Software\Microsoft\Update Services\Server
не имеет разрешений чтения для users
но такие же разрешения для остальных групп как и
\HKLM\Software\Microsoft\Update Services\Server\Setup

Koluna 22-09-2009 22:35 1225085

Цитата:

Цитата user256
на какие именно ошибки? одобрения на сервере есть на обновления? »

Да, всё одобрил.
А если не одобрено, то должны ли быть ошибки?

U-russia 23-09-2009 12:25 1225426

Если не одобрено то не будет установки, соотв. и ошибок.
Ошибки бывали но со второго раза устанавливалось...
Ошибки повторяются?
В журнале наверняка есть доп. информация...

Koluna 23-09-2009 21:31 1225987

Что вот это значит?

Цитата:

WARNING: Cached cookie has expired or new PID is available
И ещё много всяких предупреждений...

Вот такие ошибки в логе нашёл:
0x800710dd
0x80190191
0x80244017

И сам лог: http://file.qip.ru/file/101881718/29ffad40/WUC_log.html

Цитата:

Цитата U-russia
касается того, что агент всётаки был не последней версии »

Странно, обновлял я его!
А почему утилита диагностики вываливается с ошибкой?

Цитата:

Цитата U-russia
но процедура самообновления сработала и всё успешно обновилось, т.ч. теперь я думаю этой ошибки не будет »

Не работает :(

Цитата:

Цитата U-russia
wuauclt /detectnow /resetauthorization как раз сбрасывает кэш для клиента, т.е. после обновления вы сразу не получите другие(если они есть), а только по прошествии опр-ого времени...с ресетом можно обновиться пополной за несколько запросов подряд... »

Не совсем понял как это работает... но не помогло.

U-russia 23-09-2009 21:52 1226006

Цитата:

Цитата Koluna
Не работает »

да всё впорядке с агентом
Update is not required

0×80190191 -2145844847 BG_E_HTTP_ERROR_401 The requested resource requires user authentication.
0×80244017 -2145107945 SUS_E_PT_HTTP_STATUS_DENIED Http status 401 - access denied


0x800710dd такой почемуто нет у меня, надо в нете искать, а щас нет времени....


проверьте разрешения на доступ как через iis так и NTFS, если разрешения выданы, проверьте что компьютер в соответствующей группе. Если разрешения выданы на папку, проверьте непосредственно те файла к которым нет доступа....

Koluna 23-09-2009 22:12 1226022

Цитата:

Цитата U-russia
проверьте разрешения на доступ как через iis »

Как это сделать?

Цитата:

Цитата U-russia
проверьте что компьютер в соответствующей группе »

Имеется в виду рабочая группа для локальной сети?

U-russia 24-09-2009 20:20 1226712

Цитата:

Цитата U-russia
0x800710dd такой почемуто нет у меня, »

здесь описание http://www.wikiznanie.ru/ru-wz/index...BD%D0%B8%D0%B5
Цитата:

Цитата Koluna
Цитата U-russia:
проверьте разрешения на доступ как через iis »
Как это сделать? »

в 10 посте этой темы почитайте...
тут обсуждалось http://social.technet.microsoft.com/...3-16c910104a07
включена ли на сервере служба Update Services?
проверьте как указано в посте "включить админа в анонимус"...


Время: 09:56.

Время: 09:56.
© OSzone.net 2001-