Настройка веб-страницы WSUS и ряд вопросов..

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- WSUS (http://forum.oszone.net/forumdisplay.php?f=99)

- - Настройка веб-страницы WSUS и ряд вопросов.. (http://forum.oszone.net/showthread.php?t=226689)

Настройка веб-страницы WSUS и ряд вопросов..

Поставил WSUS 3.0 SP1 на WinServer 2008 R2 SP1.

На сервере стоит IIS. Сайт в настройках установщика был выбран автоматически - IIS. Собственно, где в консоли управления WSUS определяется сайт и порт? В IIS какие-то папки создались, не более. Как я понял, должен быть веб-сайт для обновлений и веб-сайт для какой-то статистики.. Внутренняя справка очень скудная.
В мануалах не нашел.

Переустановил WSUS, выбрав отдельный сайт ( порт 8530 ).
При заходе на сайт просматривается список из 3-ех файлов:

PHP код:


		
			
06.08.2009    21:00         7210 iuident.cab
31.01.2012    16:46          168 web.config
31.01.2012    16:40            0 WUTRACK.BIN

Так и должно быть? Или что-нибудь иное..

Цитата:

Цитата flower

Так и должно быть? Или что-нибудь иное.. »

Да так и должно быть, управление сервером WSUS выполнятеся через консоль MMC.

Благодарю за своевременный ответ. Работа скоро заканчивается, на ночь хотел бы назначить загрузку обновлений. У нас в сети офисы разные и операционки (сервера, вин 7 и вин ХР). В общем около 3500 обновлений всего. Сейчас все они одобрены и ожидают загрузки..

Вот только когда они загрузятся? Как на ночь явно указать загрузку?) Синхронизация вроде только проверяет список обновлений, но не загружает.. Про загрузку не могу найти ничего конкретного. Отменить загрузку - это есть.. А мне надо загрузить..

Цитата:

Цитата flower

Сейчас все они одобрены и ожидают загрузки.. »

Я правильно понимаю что одобренение Вы выполнили из консоли WSUS для определенных клиентов и хотите чтобы обновления начали ставиться на клиентов или речь идет про закачку обновлений на сервер WSUS?

http://server:8530/selfupdate/ - это страница обновлений?

31.01.2012 16:40 <dir> AU
06.08.2009 21:00 7210 iuident.cab
31.01.2012 16:40 <dir> WSUS3
06.08.2009 21:00 6554 wuident.cab

http://server:8530/ - это, предположительно, страница "статистики" ?

06.08.2009 21:00 7210 iuident.cab
31.01.2012 16:46 168 web.config
31.01.2012 16:40 0 WUTRACK.BIN

Верно понимаю?
Во вложении есть скрин настроек gpedit.msc с клиентского компа (win xp sp3).
Просмотрите, пожалуйста, верно ли проставлены опции?

Цитата:

Цитата Telepuzik

Компьютеров пока нет. Добавлять буду вручную через локальную политику, ибо компов в сети немного (около 10).
Пока да, интересует вопрос загрузки обновлений в "хранилище".

Цитата:

Цитата flower

Просмотрите, пожалуйста, верно ли проставлены опции? »

В обоих полях просто укажите http://server:8530.

Мм, хорошо. А по поводу вопросов выше? :)
И, исходя из Вашей рекомендации, появляется еще один вопрос: для чего страница selfupdate? Из названия, конечно, можно догадаться.. Но как реализовывается этот процесс, остается только догадываться...

Цитата:

Цитата flower

Пока да, интересует вопрос загрузки обновлений в "хранилище". »

На сервере Пуск->Администрирование->Windows Server Update Services запустите. В консоли в разделе Параметры -> Расписание синхронизации настраевается когда скачивать обновления, в разделе Продукты и классы - указываем для каких продуктов качать обновления.

Это я уже проделал.. Хотя язык некоторых (их немного совсем) обновлений отличается от английского и русского, которые я выставлял в настройках для загружаемых обновлений.

flower,
В разделе Синхронизация справа есть пункт "Синхронизировать сейчас". Если обновления уже закачаны на сервер WSUS то для установки их на клиентов небходимо сначала подключить их серверу WSUS. У Вас клиенты в консоли WSUS отображаются или нет?

Синхронизация выполнена успешно (час назад).
Размер папки E:\WSUS\WsusContent постепенно увеличивается (метров на 50 за 10 минут). Полагаю, обновления загружаются..

Клиентов я еще не подключал, я же говорил) пусть загрузится все обновления, затем буду подключать клиентов..

Цитата:

Цитата flower

пусть загрузится все обновления, затем буду подключать клиентов »

Клиентов можно подключить и параллельно с загрузкой обновлений.

Утром посмотрю, как там все загрузилось :)

WSUS выкачал 25.8 ГБ (папка WsusContent). Названия файлов в папке зашифрованы, однако.

После настроек клиентской машины я ее перезагрузил. Лог после перезагрузки:

После ввода команды ( Wuauclt.exe /resetauthorization /detectnow ) в консоль:

2012-02-01 10:41:24:578 1772 134 AU Triggering AU detection through DetectNow API
2012-02-01 10:41:24:593 1772 134 AU Triggering Online detection (non-interactive)
2012-02-01 10:41:24:593 1772 604 AU #############
2012-02-01 10:41:24:593 1772 604 AU ## START ## AU: Search for updates
2012-02-01 10:41:24:593 1772 604 AU #########
2012-02-01 10:41:24:593 1772 604 AU <<## SUBMITTED ## AU: Search for updates [CallId = {69A9FE67-7B7A-4AE0-8233-BF0D49D12D64}]
2012-02-01 10:41:24:593 1772 d74 Agent *************
2012-02-01 10:41:24:593 1772 d74 Agent ** START ** Agent: Finding updates [CallerId = AutomaticUpdates]
2012-02-01 10:41:24:593 1772 d74 Agent *********
2012-02-01 10:41:24:593 1772 d74 Agent * Online = Yes; Ignore download priority = No
2012-02-01 10:41:24:593 1772 d74 Agent * Criteria = "IsHidden=0 and IsInstalled=0 and DeploymentAction='Installation' and IsAssigned=1 or IsHidden=0 and IsPresent=1 and DeploymentAction='Uninstallation' and IsAssigned=1 or IsHidden=0 and IsInstalled=1 and DeploymentAction='Installation' and IsAssigned=1 and RebootRequired=1 or IsHidden=0 and IsInstalled=0 and DeploymentAction='Uninstallation' and IsAssigned=1 and RebootRequired=1"
2012-02-01 10:41:24:593 1772 d74 Agent * ServiceID = {9482F4B4-E343-43B6-B170-9A65BC822C77} Windows Update
2012-02-01 10:41:24:593 1772 d74 Agent * Search Scope = {Machine}
2012-02-01 10:41:24:625 1772 d74 Misc Validating signature for C:\WINDOWS\SoftwareDistribution\WuRedir\9482F4B4-E343-43B6-B170-9A65BC822C77\muv4wuredir.cab:
2012-02-01 10:41:24:703 1772 d74 Misc Microsoft signed: Yes
2012-02-01 10:42:27:812 1772 d74 Misc WARNING: Send failed with hr = 80072efd.
2012-02-01 10:42:27:812 1772 d74 Misc WARNING: SendRequest failed with hr = 80072efd. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2012-02-01 10:42:27:812 1772 d74 Misc WARNING: WinHttp: SendRequestUsingProxy failed for <http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab>. error 0x80072efd
2012-02-01 10:42:27:812 1772 d74 Misc WARNING: WinHttp: SendRequestToServerForFileInformation MakeRequest failed. error 0x80072efd
2012-02-01 10:42:27:812 1772 d74 Misc WARNING: WinHttp: SendRequestToServerForFileInformation failed with 0x80072efd
2012-02-01 10:42:27:812 1772 d74 Misc WARNING: WinHttp: ShouldFileBeDownloaded failed with 0x80072efd

Во вложении скрин настроек рабочей станции...

flower,
Скачайте Client Diagnostics Tool и запустите на клиенте вывод покажите.

Поздно, я уже решил этот вопрос, импортировав файл с настройками в реестр. WSUS-сервер (его адрес) теперь в логах виден.

2012-02-01 11:18:32:343 1668 6d0 AU ########### AU: Initializing Automatic Updates ###########
2012-02-01 11:18:32:343 1668 6d0 AU AU setting next sqm report timeout to 2012-02-01 07:18:32
2012-02-01 11:18:32:343 1668 6d0 AU # WSUS server: http://server:8530
2012-02-01 11:18:32:343 1668 6d0 AU # Detection frequency: 22
2012-02-01 11:18:32:343 1668 6d0 AU # Approval type: Scheduled (Policy)
2012-02-01 11:18:32:343 1668 6d0 AU # Scheduled install day/time: Every day at 17:00
2012-02-01 11:18:32:343 1668 6d0 AU # Auto-install minor updates: Yes (User preference)
2012-02-01 11:18:32:359 1668 6d0 AU Setting AU scheduled install time to 2012-02-01 13:00:00
2012-02-01 11:18:32:359 1668 6d0 AU Initializing featured updates
2012-02-01 11:18:32:359 1668 6d0 AU Found 0 cached featured updates
2012-02-01 11:18:32:359 1668 6d0 AU AU finished delayed initialization
2012-02-01 11:18:32:500 1668 6d0 Report *********** Report: Initializing static reporting data ***********
2012-02-01 11:18:32:500 1668 6d0 Report * OS Version = 5.1.2600.3.0.65792
2012-02-01 11:18:32:546 1668 6d0 Report * Computer Brand = Gigabyte Technology Co., Ltd.
2012-02-01 11:18:32:546 1668 6d0 Report * Computer Model = GA-78LMT-S2P
2012-02-01 11:18:32:546 1668 6d0 Report * Bios Revision = F2
2012-02-01 11:18:32:546 1668 6d0 Report * Bios Name = Award Modular BIOS v6.00PG
2012-02-01 11:18:32:546 1668 6d0 Report * Bios Release Date = 2011-04-08T00:00:00
2012-02-01 11:18:32:546 1668 6d0 Report * Locale ID = 1049

_______________
тем не менее, на сервере в консоли WSUS / компьютеры пусто. Нажимать "обновить" пробовал.. :)
И, если помните, подскажите, как запустить процесс проверки и загрузки обновлений принудительно.

Попробовать следующее:

Это связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или других программ для уникальной генерации SID. Такие рабочие станции могут иметь дублирующие значения SusClientID в реестре.
Для решения проблемы необходимо выполнить следующие шаги на рабочей станции:

наберите и выполните в консоли (cmd) команду net stop wuauserv, чтобы остановить службу автоматического обновления (или воспользуйстесь оснасткой "Службы" в консоли администрирования);
запустите regedit и перейдите в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
удалите значения: PingID, AccountDomainSid, SusClientId, SusClientIDValidation (некоторых может не быть);
неофициальная рекомендация: удалите всё содержимое папки %WinDir%\SoftwareDistribution
в консоли выполните команду net start wuauserv, чтобы запустить службу автоматического обновления (или воспользуйстесь оснасткой "Службы" в консоли администрирования);
в консоли выполните команду wuauclt.exe /resetauthorization /detectnow и подождите минут 10, чтобы завершился цикл регистрации рабочей станции на сервере WSUS;
неофициальная рекомендация: посмотрите результат в журнале %WinDir%\SoftwareDistribution\ReportingEvents.log - если там написано "failed", то надо выполнить в консоли команду wuauclt.exe /detectnow и повторить цикл ожидания-проверки. Обычно одного повтора достаточно, но может потребоваться и больше
в консоли WSUS убедитесь, что рабочая станция успешно зарегистрировалась.

? Или есть какие-нибудь альтернативные предложения?..

Выполнил вышеописанное. Вроде как все заработало, посмотрим..

Цитата:

Цитата flower

тем не менее, на сервере в консоли WSUS / компьютеры пусто. Нажимать "обновить" пробовал »

Выполняете на клиенте wuauclt.exe /detectnow и ждете минут 5-10 должен появиться клиент в консоли WSUS. С клиента выполните ping server и вывод покажите.

Цитата:

Цитата Telepuzik

Выполняете на клиенте wuauclt.exe /detectnow и ждете минут 5-10 должен появиться клиент в консоли WSUS. С клиента выполните ping server и вывод покажите. »

Вопрос решил с помощью реестра.

Цитата:

Цитата flower

И, если помните, подскажите, как запустить процесс проверки и загрузки обновлений принудительно. »

Мм.. Возможно ли? Весьма интересует принудительный процесс обновлений с КЛИЕНТСКОЙ МАШИНЫ... ОСь - Win XP SP3.

Цитата:

Цитата flower

принудительный процесс обновлений с КЛИЕНТСКОЙ МАШИНЫ »

Инициализация проверки новых обновлений с клиента выполняется командой wuauclt.exe /detectnow если же хотите чтобы обновления устанавливались автоматически то необходимо настроить групповую политику.

Благодарю! Реально помогли с этой системой) Ранее я не работал с WSUS..
Пока вроде вопросов нет.

Добрался до компьютера Windows 7.
Проделал по аналогии все процедуры.. Комп появился у меня на сервере в консоли, однако "отчет еще не был отправлен". Подождем..
В логах на той машине ошибок целая гора просто..

На компьютеры моей локальной сети распространяется политика из домена из одной из VPN-сетей по IPSec.
Я не могу использовать их WSUS, ибо это бессмысленно и неправильно, учитывая топологию сетей.

Как настроить реестр так, чтобы доменная политика не перекрывала мои настройки?
Я сейчас настраивал реестр, вроде настройки держатся (но надолго ли?)
Поставить запрет на изменение раздела реестра, отвечающего за обновления для всех и вся? Как я сам-то, если потребуется, тогда смогу изменить там что-либо? :)

Да, доменная политика перезаписывает настройки обновления на машине с Windows 7 при очередной перезагрузке.
На машинах XP настройки вроде как остаются.......

А в домене у Вашей учетки какие права?

Административные. Но на тех компьютерах сидят простые юзеры...

Итак, освещу 2 вопроса, которые ныне поставлены передо мной.

1. Каким образом осуществить перезапись доменной политики касательно опций WSUS? Дабы обновления для рабочих станций загружались только с моего локального WSUS, а не лезли в доменный WSUS, который в другой VPN-сети расположен? У меня есть административная учетка, но компьютеры - пользовательские, за ними будут сидеть обычные пользователи домена. Не могу сказать, какая частота синхронизации доменной политики, ибо на машинах с WinXP SP3 мои настройки стоят уже почти сутки, а на машине с Win7 PRO доменная политика (адрес WSUS'a в частности) перезаписывается практически после любой перезагрузки того компа.

2. Нужно реализовать процесс обновлений в фоновом режиме, чтобы пользователь не принимал непосредственного участия в этом процессе. Итак, обновления должны автоматически загружаться (без запросов типа "Доступны обновления. Будете скачивать?"); далее - один из вариантов:

а) или обновления должны также без запросов в фоновом режиме установиться на компьютер после их загрузки с WSUS'a, НЕ ЗАПРАШИВАЯ перезагрузку, молчаливо дожидаясь окончания рабочего дня, когда компьютеры будут выключены;

б) или же обновления после фоновой загрузки должны будут установиться на рабочей станции в момент ВЫКЛЮЧЕНИЯ компьютера, для чего в меню "Пуск" - "Завершение работы" должен существовать пункт "Установить обновления и завершить работу", который пользователи не смогли бы обойти, выбрав простое "Завершение работы". Т.е. если в течение дня обновления фоново загрузились, то в меню выключения компьютера вместо пункта "завершение работы" должен быть пункт "Установить обновления и завершить работу".

Вариант "Б" предпочтительнее. Во вложении есть скрин экспериментальных настроек одной из рабочих станций. Планирую на ней поэкспериментировать, после чего рабочие настройки по аналогии проставлю и на других машинах.

Цитата:

Цитата flower

У меня есть административная учетка, »

У Вас права администратора домена или локального администратора??

Цитата:

Цитата flower

Вариант "Б" предпочтительнее. »

Для данного варианта делаете следующие настройки:
Настройка автоматического обновления: 3 - авт. загрузка и уведом. об установке
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях - Отключено
Частота поиска автоматических обновлений - 2 - Зачем так часто проверять обновления то ?

2 с потолка поставил. Потом установлю на 1 раз в день. Остальные параметры оставлять как на скриншоте? Или вернуть на стандартные значения (не задано) ? Юзеры не будут получать уведомление о необходимости перезагрузки? Для варианта "Б".
Да, вхожу в группу админов домена.

И еще. Был класс файлов для загрузки - драйверы. Он не нужен, как выяснилось.. И 1 лишний продукт был выбран также. Из параметров я убрал нужные галочки, как обновления ненужные в хранилище вычистить? И в самой консоли WSUS'a?

Цитата:

Цитата flower

Остальные параметры оставлять как на скриншоте? »

Уберите только "Повторный запрос для перезагрузки....", ну или можете оставить на Ваше усмотрение.

Цитата:

Цитата flower

Юзеры не будут получать уведомление о необходимости перезагрузки? Для варианта "Б". »

Если выставите настройки как я указал в предыдущем посте то пользователи будут устанвливать обновления только при выключении компьютера (если конечно они не являются администраторами на своих машинах).

Цитата:

Цитата flower

Да, вхожу в группу админов домена. »

Создайте тогда новую группувую политику с настройками WSUS для своей сети и примените ее только к OU в который входят ваши компьютеры.

Сам домен находится в другой VPN-сети. У меня здесь нет промежуточного контроллера домена. Учетка выдавалась для заведения компов в домен и всяких задач по настройке прав доступа. Вряд ли кто-то будет переделывать доменную структуру. Я бы решил этот вопрос уже давно, коль вариант с перенастройкой домена был бы возможен для реализации.

Пользователи - это просто пользователи, я же писал :) Без админских прав..

Цитата:

Цитата flower

И еще. Был класс файлов для загрузки - драйверы. Он не нужен, как выяснилось.. И 1 лишний продукт был выбран также. Из параметров я убрал нужные галочки, как обновления ненужные в хранилище вычистить? И в самой консоли WSUS'a? »

Если помните решение вопроса, пожалуйста, поделитесь.

Цитата:

Цитата flower

Если помните решение вопроса, пожалуйста, поделитесь. »

Забыл написать, Консоль WSUS->Параметры->Мастер очистки сервера.

Цитата:

Цитата flower

Вряд ли кто-то будет переделывать доменную структуру. Я бы решил этот вопрос уже давно, коль вариант с перенастройкой домена был бы возможен для реализации. »

Ну если у Вас права админа домена можете сами переделать или вышестоящее руководство не одобрит данный шаг? А если попросить чтобы создали для Вас политику?

Выполнил очистку. Очистилось 8 ГБ. Все пункты по умолчанию были включены..

В консоли как было 3834 обновлений всего, так и осталось. Вопрос - по че му?
Из них 25% с красными флажками, 30% с желтыми) Остальные нормальные..

Хотя я и язык один удалил, и продукт один удалил. Как минимум 30% должно было стереться.
Что же за 8 ГБ тогда удалились? Не знаю..

Удалил, ставлю заново. Система дрянная, очень неудобная и недоделанная. Но иного выхода нет.

Доброго времени суток всем.
Чтобы не создавать новую тему т.к. имею аналогичную ситуацию(компы не видны в оснастке WSUS) опишу свои действия и задам пару вопросов тут.

Собственно также впервые столкнулся с необходимостью поставить wsus, для этого прочитал мануал
http://www.oszone.net/14247/wsus-install1 и вторую его часть, сделал все как в нем, кроме установки SQl(при установке WSUS выбрал пункт "создать внутреннюю базу данных"). Настройки ISS я оставил по умолчанию(он у меня поднимался вместе с WSUS как и в мануале), провел настройку убедился что обновления скачиваются.

И приступил к обновлению групповых политик по этому мануалу http://www.oszone.net/14386/wsus-comp .(заранее создал группы ПК в оснастке WSUS и потом указал их в групповых политиках.)

Тут возник вопрос: как правильно указать службу обновлений в интрасети имя сервера статистики - в мануале пример один, а в официальной справке сказано что надо писать по другому.
я написал как в мануале. В первом поле: server-name.domain-name.ru и во втором: http://server-name (при переходе по УРЛу у меня гордо появляется страничка ISS7- эт не нормально или как?) - если эт не правильно то тогда понятно почему WSUS не видит рабочии станции.

Сам не имею физической возможности подойти к рабочим станциям (Т.к. сижу дома на больничном и все выше указанное делал по удаленке и для обновления политик просто подождал интервала - он у мя сейчас 30 минут).

qSecretp,
Покажите вывод netstat -an с сервера WSUS.

Цитата:

Цитата qSecretp

при переходе по УРЛу у меня гордо появляется страничка ISS7- эт не нормально или как »

Не забыли порт 8530?.. И gpupdate /force..

По моему вопросу - не будем поднимать AD ради wsus'a.
В вышестоящем домене нет смысла создавать группу, политики ведь распространяются одинаково (или нет?).
А над тем доменом есть еще один домен.. Как выяснилось :)

Цитата:

Цитата flower

В вышестоящем домене нет смысла создавать группу, политики ведь распространяются одинаково (или нет?). »

Опишите более контретно что Вы хотели сказать по поводу распространения политик. Политики можно применять на разных уровнях структуры AD, если у Вас все компьютеры принадлежат к одному OU/домену/сайту то можно применить политику только к Вашим компьютерам не оказывая воздейтсвия на остальную структуру AD.

Создали-таки для меня отдельную политику... Фух.

Цитата:

Цитата flower

Поставил WSUS 3.0 SP1 на WinServer 2008 R2 SP1. »

Это не совсем корректно, WSUSv3 SP1 давно не поддерживаемая версия, вам необходимо осуществить миграцию на WSUS 3.0 SP2