[SkyF]

вот это:
Microsoft Software Update Services: Frequently Asked Questions
http://www.microsoft.com/windowsserv...us/susfaq.mspx

Здорово, только пробовали, не хочет работать

Сделайте как предложил SkyF. Просто в этом случае работает  не при логоне, а через WindowsUpdate(Automatic), который будет  настроен не на www......, а на твой SUS.

[shAnsei]

посоветуйте как лучше и практичнее оптимизировать эту систему....
потому что очень мало времени а в сети ~100 машин... к сожалению раньше тут никто не занимался оптимизацие, и заплатками....

у меня только есть sp2,3,4....
пробовал поскачивать хотфиксы с майкрософт.ком...

но там это всё очень долго и нудно....
может есть сайты (которые вы знаете) где собранны в куче все хотфиксы и прочая беда?

буду признателен....

[SkyF]

забыли указать, рабочая группа или домен у вас ??

Software Update Services Deployment White Paper

Цитата:

у меня только есть sp2,3,4....

а почему последовательно перечисляете? вы их все храните и последовательно применяете? не следует.. последний пакет обновлений включает в себя все предыдущие..


Добавлено:

http://www.microsoft.com/windowsserv...soverview.mspx

[Guest]

Угу. С сусом нашел интересный глюк: при наличии дком червя на машине апдейты не ставятся.  В некоторых случаях система создает кучу временных папок к которым в acl закрыт доступ для всех. Чем лечить? Весь смысл состоял в том, что винда автоматом поставит апдейты. а на деле получилась лажа, если винду свежеустановить без апдейтов. то до нормального состояния, когда все авторизированные апдейты установлены она  доходит около 3-х суток (при условии ежедневных автоапдейтов в определенное время)

[pazdak]

SUS должен тебе помочь, проблем правда с ним хватает, но правда он ограничен только установкой критических обновлений для 2000/XP/2003.
Если нужно обновлять другие программные продукты, причем не только Микрософт, то нужно обратить внимание на System Management Services (SMS).

Правда Микрософт обещает выпустить (уже бетта тестирование идет) SUS 2, который будет поддерживать обновление разных приложений Микрософт (SQL, Office, Exchange), причем обещают создать специальный сайт, содержащий все обновления.

Стоит также подумать о сторонних ПО:
St. Bernard Software UpdateExpert
h**p://www.stbernard.com
Поддерживает: Windows NT/2000/XP, IIS, SQL, Exchange, IE, Outlook Express, Office, MDAC, ISA ...

Shavlik HFNetChkPro
h**p://www.shavlik.com

PatchLink Update
h**p://www.patchlink.com
Поддерживает: Windows 2000/XP/2003, Unix, Linux, NetWare

[Delphin911]

Требования к железу и ПО на сервере и клиентах соблюдены. Когда смотрю на клиенте в реестре, то вижу, что групповая политика применилась и апдейты клиент будет брать с WSUS сервера. Но вот на самом сервере эти клиенты не появляются хоть убей!

[noemotion]

Привет всем!!!
Может кому-то проблема глупой, но для меня это действительно проблема.
Не могу найти документации на русском языке по настройке сервера и клиентов WSUS.
Сам WSUS я уже установил на один из серверов, а что далее делать не знаю...
Помогите плиз кто может.

[monkkey]

Вряд ли к ВСУС нужна документация на русском, там на страницу текста не наберется. Тем более русского ВСУС нет, и вряд ли будет. Надо лишь в Груп Полиси прописать сервак с ВСУС, клиенты сами подцепятся.

[Fighter]

вручную на клиенте
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
"WUServer"="http://sus"
"WUStatusServer"="http://sus"
или "массово" как сказал monkkey, через ГП
Конф. Комп.\Административные шаблоны\Компоненты Windows\Windows Update\

_______________
страница русского текста

[fomin_]

Немного не в тему. Сейчас WSUS имеет статус RC, а финальная версия ожидается в июне.
http://www.pcworld.com/news/article/0,aid,120510,00.asp

[AndyKZ]

похожая проблема, в списке 18 клиентских машин, группа на основе политики. причем список меняется изо дня в день - т.е. одна машина пропадет, на ее месте другая.

[ArtemD]

Значит не у одного меня подробная проблема... причем отследить различия между компьютерами которые появляются на WSUS и теми которые не появляются на данный момент не получается. В реестре записи имеются. Клиент даже на нескольких уже новый. А вот в административной оснастке WSUS их нет. В логах IIS на WSUS либо вообще нет обращений с этих компов, либо есть, но вида:

Цитата:

2005-05-14 07:14:59 IP_of_client_computer - IP_of_wsus_server 80 HEAD /selfupdate/wuident.cab 0505140714 200 Windows-Update-Agent 2005-05-14 07:14:59 IP_of_client_computer - IP_of_wsus_server 80 HEAD /selfupdate/AU/x86/W2K/en/wusetup.cab 0505140714 200 Windows-Update-Agent 2005-05-14 07:14:59 IP_of_client_computer - IP_of_wsus_server 80 GET /selfupdate/AU/x86/W2K/en/wusetup.cab 0505140714 200 Windows-Update-Agent

...странно все это... для понимания пока нетривиально... продолжаем rtfm

[ArtemD]

так...кое-какие новости по этому поводу объявились.
проблема применима к клиентским машинам w2k pro sp4 + IE 5.x ... решение - обновить верию IE до 6.
дополнительный симптом - наличие кода ошибки 0x80244001 в файле \winnt\WindowsUpdate.log на клиенте

[Fighter]

When searching for available updates on the Windows Update site, you see the 0x80244001 error
диагностика SUS
Microsoft Product Support's Reporting Tools - SUS Edition
MPSRPT_SUS_Readme.txt

[Slack]

Hi all.
Есть локальная сеть Windows2003 AD домен. Решил настроить сервер обновлений.
Поставил Windows System Update Server. Он замечательно скачал все обновления с сайта Microsoft, но его не видят ни один из моих клиентских компьютеров. В настройках групповой политики я указал в конфигурации компьютеров - административные шаблоны - Windows components - windows update указал свой сервер wsus следующим образом: http://nameserver И ровным счетом ничего не происходит... Куда смотреть, что делать???

[ArtemD]

в логах рабочих станций и в документации по WUS
в частности одним из основных требований является наличие на рабочей станции IE 6.0 ... хотя у меня иногда все нормально было и с 5.хх
проверить работает ли служба автоматического обновления (раньше я её при установке рабочей станции отключал)
ну и так по мелочи относительно правильно ли наложилась политика на рабочую станцию...

[monkkey]

Slack
Попробуй указать не имя, а IP. И вообще-то есть подробная дока на МС по настройке WSUS сервера и клиентов.

[Slack]

Требования ск софту соблюдены.... у мнея такое впечатление что не работают политики компьютера, а политики пользователя работают...

[monkkey]

Свои ощущения можно проверить через GPMC и gpresult

[Mrempty]

Проблема заключается в следующем: WSUS выкидывает обновление на машину под w2000, ставится и комп перезагружается, обновление заносится в установку и удаление программ, но после перезагрузки опять вылазиет вновь. И так по кругу до посинения- причем WSUS пишет что обновления не стоят. Обновления разные, в чем может быть проблема?????? машины разные все, но под управлением w2000sp4. IE.5.x и IE6 ставил так что не вэтом дело.

Настраивали все по книге Microsoft.

День добрый. Установлен WSUS в домене, настройки разадю через GPO.
Вопрос следующий: на одном компе, который ранее уже получал обновления через WSUS переставили операционку (стоит XP SP2). После этого он общаться с WSUS отказался, а на самом сервере отмечено, что последний раз сведения с компьютера поступали 2 недели назад. Установки групповой политики успешно применены. Как это лучше лечить? удалить компьютер из консоли WSUS??

[monkkey]

Можете попробовать удалить, конечно, ведь SID у него другой теперь. Проверьте настройки встроенного брандмауэра, если он включен. И неплохо было бы в ГП включить параметр: конф. компьютера - адм. шаблоны - system - logon - Always wait for network... Можно и это глянуть:http://support.microsoft.com/default...d=kb;ru;894794

Спасибо за ответ!
параметр в ГП, сколько я понял мануал от микрософта, включается всегда, если компьтер в домене, что в общем было бы логично!
По поводу SID вопрос сложный, т.к. он прописан в домене с тем же именем компа, а при попытке удалить WSUS пишет, что он более не будет принимать обновления от компа с таким именем - что меня собственно и останавливает.
А если еопробовать с самого компа иницировать описк сервера обновлений?

[Evgeniy15]

Всем привет!
Нужно организовать раздачу обновлений по сети 2003 cервер (workgroup) + wsus, причем есть 3 компа постоянно подключенные в сеть,
а другие постоянно меняются.
Насколько это реально ?

[monkkey]

Абсолютно реально. Настраивайте локальные политики безопасности на каждой машине, если уж у Вас рабочая группа. И DHCP, конечно. Подробности здесь

[Andrik]

Привет всем!
У меня есть сеть с доменом на 2003ем и в ней десяток ХР клиентов. Я админю это все добро и время от времени качаю заплатки к этому хозяйству. А вопрос вот какой: как мне автоматически устанавливать заплатки, которые мне надо, на клиенты. Направте ход мысли в правильное русло, скрипт написать, политики установить или что??? А то если каждый клиент начнет качат у мелкософта все, что ему надо - шибка балшой траффик получится! А руками каждому обновлять лень, да и сеть может быть больше.

[Dennis]

Ох, а поиском?
1. SUS/WSUS от MS
2. сторонние варианты, типа HFNetChkPro...

[Andrik]

Dennis Раскажи поподробнее, ооооооченнь надо!!!!!!!!!!!!!!!!

[Dennis]

1. http://www.microsoft.com/technet/pro...3/ru/wsus.mspx
2. http://www.softkey.ru/catalog/program.php?ID=6175 ;

PS. 2-й вариант возможно имеет приимущество, если локально на машинах нет админских прав у пользователей (как и должно быть). Я wsus еще не ставил, пока пользуюсь sus, в случае sus обновление устанавлвается только при административных локальных правах, т.е. по любому надо на каждую машину приходить лично (либо переводить юзверя в админский режим, что совсем неприемлемо). В случае HFNetChkPro все ставиться с админской машины... но етсь и недостатки...

[taxist]

WSUS, на мой взгляд,более приемлемо в такой ситуации.Все заплатки ставятся от имени пользователя SYSTEM Главное настроить ВСУС сервер так,чтобы клиенты не только скачивали ,но и автоматически устанавливали хотфиксы,а то юзеры могут неделю смотреть на значок автоматического обновления в трее и не посмеют его нажать

Есть домен под Вин 2003, все клинты под ВинХР ПРОФ.
Вроде как можно настроить политику чтобы все машны клиенты производили обновление своей винды из одного централизированного источника. Как сделать?

[Dennis]

Приветствуем на нашем форуме.
Поиск. См. SUS/WSUS и по словам "автоматическое обновление". Много тем было.
например совсем недавно http://forum.oszone.net/showthread.php?t=59977

Конф.комп./Адм.шаблоны/Ком.Wind/Wind.update/... Если нету такого, добавить в административные шаблоны wuau.adm

[Andrik]

Посмотри это! Может пригодится.
http://forum.oszone.net/showthread.p...7&goto=newpost

[monkkey]

Темы склеены, название обновлено

[Neron]

Доброго времени суток. Система Win2003EE SP1 в домене. На компе установлена Winroute 4 в качестве прокси и почтовика, фаервол выключен, но зато включен виндовый. После установки WSUS нормально прошла синхронизация. Показала мне кучу обновлений с одобрением "только обнаружить". Выбрал, то что мне нужно, поставил одобрение "установить", но ни один файл не закачался. На диске в хранилище только пустые папки.
Народ, где я ошибся?

[SkyF]

Доступное руское руководство по настройке сервера WUS находится тут:
Службы WSUS (Windows Server Update Services)

Пошаговое руководство по работе со службами Microsoft Windows Server Update Services

В данном руководстве описывается установка служб WSUS (Windows Server Update Services) на серверы, работающие под управлением операционных систем Windows Server 2003. Приведены инструкции по развертыванию служб WSUS в сети, включая инструкции по настройке WSUS для получения обновлений, настройке клиентских компьютеров для установки обновлений от WSUS, а также утверждению, тестированию и распространению обновлений.

• Шаг 1. Просмотр требований для установки WSUS
• Шаг 2. Установка WSUS на сервер
• Шаг 3. Настройка подключения к сети
• Шаг 4. Синхронизация сервера
• Шаг 5. Обновление и настройка службы автоматического обновления
• Шаг 6. Создание группы компьютеров
• Шаг 7. Утверждение и развертывание обновлений

+ руководства:
A Hands-On Guide to Hands-Off Updates with WSUS
WSUS Technical Library

[xeel]

ПрЮвет всем!
Народ, такой вопрос - возможно ли настроить WSUS таким образом, чтобы вместо закачивания патчей с Майкрософта их можно было ложить на сервак (Stand-alone server, не Domain controller) руками, а вот все остальные компы в сети брали обновления уже через WSUS с этого сервака?

[Jekael]

А что собственно там настраивать? Клиенты добавляются в группу обновлений на WSUS при первом обращении к нему. НАдо только настроить время синхронизации, какие обновления закачивать и впринципе все. Главное в GP не забыть прописать адрес сервера: http://<имя сервера WSUS>:<порт для WSUS>

[xeel]

Нет, меня немного не то интересует...
Ситуация такая: у меня есть 2 физически не соединенные между собой сетки.
В одной (пусть будет №1) есть выход в интернет
В другой (№2) - нету.
В сетке №2 стоит сервер (Stand-alone) и куча рабочих станций - все члены одного домена. Я хочу использовать WSUS для установки обновлений на рабочих станциях в сети №2.
Вопрос: можно ли настроить сервер WSUS так, чтобы он не лез в интернет за обновлениями, а брал их из папки на сервере? А в эту папку я их буду руками перекладывать из сети №1 (например - на флэшке приносить).

[SkyF]

xeel
Собственно:
Идем на сайт разработчика (TechNet Home > TechCenter Home > Technology Quick Links)

Далее в раздел развертывания: WSUS Deployment Guide, скачиваем документацию и в руководстве указана тема раздела:
Set Up a Disconnected Network (Import and Export Updates)
Managing WSUS on a disconnected network involves exporting updates and metadata from a WSUS server on a connected network and then importing all that information into the WSUS server on the disconnected network. There is a conceptual discussion of why this might be useful in the "Networks Disconnected from the Internet" section in Choose a Type of Deployment earlier in this guide.
<.. skipped …>

и делаем по этому руководству..

[xeel]

to: SkyF
Спасибо большое!

[Yustus]

Цитата ArtemD:

в частности одним из основных требований является наличие на рабочей станции IE 6.0 ... хотя у меня иногда все нормально было и с 5.хх

IE 6 не обязателен.

Поделитесь соображениями, как сделать так, чтобы инсталляция обновлений проходила незаметно для пользователя? Если ставить "скачивать апдейты и инсталлировать по расписанию", то при завершении работы появляется пунктик "инсталлировать апдейты и завершить работу", но это же юзвери - из тридцати компов, выбранных в качестве экспериментальной группы, обновления проинсталлировались только на одном (!), и то, думаю, пользователь просто промахнулся менюшкой при выключении компа Насильно ребутать компы тоже не выход, ибо много вони будет

[SkyF]

Может имеет смысл поиграться настройками клиента WSUS через групповую политику?

например, как сказано вот тут:
Welcome to the Windows Server TechCenter > Windows Server TechCenter > Windows Server Update Services (WSUS) Technical Library > WSUS: Deployment > Deploying Microsoft Windows Server Update Services > Update and Configure the Automatic Updates Client Component > Determine a Method to Configure Automatic Updates Clients > Configure Automatic Updates by Using Group Policy

Вот этот параметр можно попробовать: Allow Non-administrators to Receive Update Notifications

Цитата:

This policy specifies whether logged-on non-administrative users will receive update notifications based on the configuration settings for Automatic Updates. If Automatic Updates is configured, by policy or locally, to notify the user either before downloading or only before installation, these notifications will be offered to any non-administrator who logs onto the computer. If the status is set to Enabled, Automatic Updates will include non-administrators when determining which logged-on user should receive notification. If the status is set to Disabled or Not Configured, Automatic Updates will notify only logged-on administrators

Хотя тут же режим "не определено" установлен - те у вас пользователи в админах на локальных станциях.. тогда будет труднее если настройка политик не поможет..

[Yustus]

Цитата:

Вот этот параметр можно попробовать: Allow Non-administrators to Receive Update Notifications

Как раз категорически нельзя. Юзеры не то что всплывающих окон панически боятся - пугаются до смерти от вида нового значка в трее.

[[mzd]]

У меня вот какой трабл. Есть зал из 16 ПК. На них стоит WinXP Pro Corp. SP2. Были сделаны следующие телодвижения: была настроена одна машина, введена в домен Win2k3, розданы права на доступ к определенным папкам для группы Students (в частности, на папку Delphi), после этого машина была выведена из домена и клонирована на остальные с помощью Symantec Ghost. Железо одинаковое, но не в этом дело. Грабли заключаются в том, что при введении в домен машина "подхватила" групповые политики, которые предписывают ей обновляться через WSUS. Все бы хорошо, машины все апдейты ставят, но в консоли WSUS отображается только последняя включенная машина этого зала, поэтому снять отчеты со всех машин представляется невозможным. Что посоветуете сделать, чтобы все 16 машин отображались в консоли одновременно?

[Raistlin]

А если вывести все 16 машин из домена и ввести снова?..

[monkkey]

[mzd]
Рабочие станции не появляются в консоли WSUS
Это связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или других программ для уникальной генерации SID. Такие рабочие станции могут иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо выполнить следующие шаги на рабочей станции:

1. наберите и выполните в консоли (cmd) команду net stop wuauserv, чтобы остановить сервис WSUS;
2. запустите regedit и перейдите в ветку реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
3. удалите ключи: PingID, AccountDomainSid, SusClientId;
4. в консоли выполните команду net start wuauserv, чтобы стартовать сервис WSUS;
5. в консоли выполните команду wuauclt.exe /resetauthorization /detectnow и подождите минут 10, чтобы завершился цикл регистрации рабочей станции на сервере WSUS;
6. в консоли WSUS убедитесь, что рабочая станция успешно зарегистрировалась.
Отсюда

[Severny]

Может и писали, но скажу на всякий случай: в "Хакер" кажись в февральском большая статейка по развертыванию WSUS.

[Raistlin]

Я правильно понимаю, что если установка обновлений была назначена на 3:00, а компьютер в это время был выключен, то, если не указано иное в ГП, установка должна начаться через минуту после включения компьютера? У меня клиент вроде принял с сервера все обновления (в %windir%\SoftwareDistribution\Download порядка 300 Мбайт), ошибок в WindowsUpdate.log нет, но и обновления тоже не хотят ставиться - по-прежнему в консоли WSUS для этого клиента отображается солидного размера список "Требуется".

[Apeir0n]

Доброго времени суток!
Скажите, можно ли настроить WSUS, в сети полностью изолированной от Internet?
По регламенту доступа к сетям общего пользования, в нашей организации,
запрещено "соприкосновение" ВИТС и Internet. То есть схема из Deployment Guide
не подходит - там один из серверов должен сам скачивать обновления с сайта Microsoft.
Возможно ли настроить WSUS таким образом чтобы он использовал обновления,
скачанные администратором и выложенные в определенный каталог?

[xoxmodav]

Не знаю как насчёт отдельно скаченных обновлений, но можно поднять WSUS сервер на отдельной машине (вне этой сети), который будут выкачивать обновления, затем делать бэкап (архивацию) баз, копирование на носитель и восстановление базы обновлений уже непосредственно на сервере WSUS в сети.

[Apeir0n]

В том то и дело, что "интернетовская" машина несет в себе Аккорд и вся опломбирована,
по требованиям все того же Регламента. Информация в локалку попадает только путем
физического переноса на флешке .
Понимаю что ситуация нетипичная, однако приходится выкручиваться.
Может есть возможность настроить обновление с помощью
программ сторонних производителей??

[Raistlin]

Установил WSUS 3.0 (поверх 2.0, скачано через него же). Что-то не могу понять, как сделать так, чтобы вызвать консоль администрирования WSUS с локальной машины. На ней-то она в списке доступных оснасток, естественно, отсутствует. В справке MMC нашёл упоминание о публикации консолей в AD, но и всё - как это сделать, нигде не сказано. В лучших традициях справки от MS.

[Michael]

2Raistlin
как запускаешь? через IE? Так там вроде mmc консоль стала?

[Raistlin]

Вот именно, что MMC. На локальной машине оснастки этой нету. И как её с сервера перенести, неясно.

[xoxmodav]

Administration Pack на эту машину установил?

[Raistlin]

Нет. Что за зверь?

[Raistlin]

Вот нашёл: Install the WSUS 3.0 Administration Console. Как и предполагал, предлагают использовать для установки тот же файл, что и для установки самого WSUS. Но у меня-то он сам пришёл через WSUS. Что ж теперь, качать ещё раз?

[Michael]

Тогда найди в базе WSUS все файлы размеров больше 70 Mb за период с 01.05.2007 по 31.05.2007. Их будет немного. Посмотришь по описанию в свойствах файла и найдешь 2 обновления под WSUS 3.0. Один из них по английскую версию а другой под русскую, хотя тут могу ошибаться, но это не важно - один не запустится с воплями о несовместимоси системы (кажется так).
Хотя есть вариант покороче
Смотри файлы 56384B071A9559D94A3819333A421CB5C387E285.exe и AD3B2D93A6C92DC8F6C817102C1F32C89D515886.exe

[Raistlin]

Спасибо, всё получилось. Мог бы и сам догадаться .
Хотя всё же интересно, как то же самое "нормальным" способом делается.

[monkkey]

Raistlin
Например, с помощью этой программы. Достаточное количество утилит для преобразования хэша в названии WSUS-овского вида в обычный.

[Raistlin]

Спасибо, посмотрю. Однако я имел в виду другое - что сама MS по этому поводу думает.

[Samsonov]

Долгое время обновлял три машины на работе через свой домашний WSUS. Недавно на предприятии перешли от прозрачного NAT к принудительному проксированию через ISA, да плюс ещё я на своей рабочей станции систему с нуля переустанавливал. В общем, теперь надо выяснить, где же именно грабли: сейчас эта машина не может скачать ни одно обновление, хотя и определяет их наличие.

Подробности.

Все три клиентских машины работают под Windows XP SP2. Та, что переустанавливалась по-новой, имеет все интегрированные обновления вплоть до 2007-04, плюс ещё несколько (таких как Installer 3.1) установил вручную с веб-сайта Windows Update.

Две машины, которые не переустанавливались, продолжают отлично обновляться — как раз сегодня пришла очередная партия заплаток. Машина с новой системой не может качать обновления через Automatic Updates ни с моего домашнего сервера, ни с майкрософтовского, хотя наличие необходимых обновлений определяет правильно и предлагает их скачать. Через веб-интерфейс Windows Update всё работает без запинки. Отсюда остаётся сделать вывод, что если где и есть проблема, так это на самой машине и конкретно в механизме AU/BITS, а не на прокси или WSUS-сервере.

На сервере (WSUS 3.0) эта злополучная машина отображается как не отправлявшая отчёт о состоянии с тех самых времён, когда ещё стояла старая система. С остальными клиентами всё в порядке: у меня дома ещё два компьютера, соседи тоже туда ходят и т. д.

Утилита ClientDiag (WSUS 2.0) на всех трёх машинах выдаёт одну и ту же ошибку:

Код:

WinHttpDownloadFileToMemory(szURLDest, NULL, 0, NULL, NULL, NULL, &downloadBuffer) failed with hr=0x80190193

Так что полагаться на данное средство диагностики не получается. Есть ли какие-то ещё способы подебажить?

Сама ошибка 0x80190193, как я понял, означает невозможность разрешения DNS-имени в IP-адрес. Пробовал в качестве адреса WSUS указывать сразу IP (хотя две другие машины как-то же работают!), вручную прописывать DNS-сервер (обычно этот адрес получается через DHCP), отключать службу DNS-клиента — не помогает. К тому же начальный этап общения проходит нормально — затык только когда дело доходит до скачивания файлов.

Непосредственно в WindowsUpdate.log фигурируют ошибки 0x8024401B и 0x80190197:

Код:

DnldMgr ***********  DnldMgr: New download job [UpdateId = {…}.104]
DnldMgr FATAL: DM:CAgentDownloadManager::DownloadUpdate: pDownloadJob->Init failed with 0x8024401b.
DnldMgr WARNING: Got error (hr = 8024401b) starting update 0 in call 71. Notifying call.
DnldMgr Error 0x8024401b occurred while downloading update; notifying dependent calls.
AU      >>##  RESUMED  ## AU: Download update [UpdateId = {…}]
AU        # WARNING: Download failed, error = 0x8024401B
DnldMgr WARNING: BITS job {…} failed, updateId = {…}.102, hr = 0x80190197, BG_ERROR_CONTEXT = 5
DnldMgr   Progress failure bytes total = …, bytes transferred = 0
DnldMgr   Failed job file: URL = http://…
DnldMgr WARNING: Download job failed because of proxy auth or server auth.

Как я понял, сие указывает на ошибки аутентификации на HTTP-прокси. Это, пожалуй, самый туманный момент, потому что нигде в продуктах Microsoft (да и почти всех других производителей) нет возможности указать логин-пароль для прокси-аутентификации. Я так понимаю, веб-браузеры типа IE/Firefox либо сами догадываются использовать реквизиты входа в систему (у нас тут домен), либо запрашивают эти сведения у пользователя, как обычную HTTP-аутентификацию. В общем, указать прокси через proxycfg я могу, но как проконтролировать, что за пароль оно предъявляет, и предъявляет ли вообще, не знаю. Разумеется, если обращаться к файлам на WSUS-сервере из браузера, никаких проблем не возникает. Сама Microsoft по данному случаю ничего толкового посоветовать не может, кроме как отключить на ISA необходимость авторизации для доступа к WSUS — понятно, что никто этим заниматься не будет.

Но самое интересное в том, что, по идее, никакой аутентификации не должно требоваться, поскольку WSUS сидит на своём уникальном порту, а ISA контролирует только 80 и 443, продолжая пропускать трафик для других протоколов. Вот почему появление ошибок HTTP 407 Proxy auth req'd (якобы) мне совершенно непонятно. Специально проверял телнетом: трафик на порт WSUS не проходит через механизм прокси — это видно по тому, что можно набрать «GET / HTTP/1.0» и получить в ответ нужную страницу, а не отлуп с требованием указать заголовок «Host: wsus.domain.ru» (как это происходит при попытке обратиться на 80-й порт якобы в обход прокси).

Одним словом, куда копать — совершенно непонятно. Вроде на всех машинах столь простая конфигурация (к тому же новая инсталляция ещё совсем чистая, ничем не испорченная), все настройки минимальны и в основном получаются на автомате по DHCP, WPAD, ISA Firewall Client. Однако же две машины обновляются нормально, а третья теперь вот ну никак не может скачать ни один файл.

[monkkey]

Цитата Samsonov:

0x80190193

[Samsonov]

Цитата monkkey:

google.ru is the best chance to know about 0x80190193

Ну и? А я, по вашему, где пытался информацию откопать, прежде чем сюда обратиться?
Везде одно и то же написано по поводу этой многозначной ошибки:

• Сервер WSUS перегружен, следует обратиться попозже — очевидно, это не мой случай.
• Проблемы с разрешением имени через DNS — тоже не очень похоже, тем более что все остальные фазы проходят нормально; впрочем, быть уверенным в полной логичности алгоритмов Microsoft нельзя.
• Аналог HTTP-кода 403 Forbidden — снова, скорее всего, мимо: с этого же сервера обновляются ещё 5 машин, включая ту же систему до переустановки Windows, и ни у одной проблем нет и не было, а никаких особенных настроек я не делал. Впрочем, опять же, нельзя исключать, что на новой системе какой-то «не такой» апдейтер, и он обращается куда-то не туда или как-то не так. Но я уже поставил почти все имеющиеся обновления через Windows Update — лишь немножко приберёг неустановленных для тестовых целей, которые явно не затрагивают механизм AU/BITS. Напрямую из браузера, повторюсь, все нужные файлы доступны, начиная с self-update и заканчивая конкретными обновлениями. Вот и вопрос, как же отследить действия клиента, если сам ClientDiag выдаёт такую ошибку на всех трёх удалённых компьютерах, даже на тех, где апдейты скачиваются нормально. С домашнего компьютера та же утилита сейчас выдаёт ошибку 0x80190194, которая вроде соответствует HTTP-коду 404 Not Found — с одной стороны, казалось бы, ошибка, а с другой, говорят, так и должно быть, когда нет новых обновлений.
• Подвариант предыдущей гипотезы — 403 Forbidden by proxy — тоже можно исключить: никто же не будет прописывать запрет для одной машины и тем более для обновлений Windows.
• Большинство обсуждений этой и других ошибок сводится к решению проблем на сервере — мол, не так что-то настроено в IIS или на уровне файловой системы, или в полномочиях пользователей. Тоже не мой случай, раз остальные машины нормально апдейтятся, и все они (почти) являются для сервера совершенными чужаками, то есть не входят в его домен.

А у вас какие предположения есть, кроме «Гугл всё знает»?

[monkkey]

Удалите "проблемную" машину с сервера WSUS, пусть зарегистрируется заново.

[Samsonov]

Цитата monkkey:

Удалите «проблемную» машину с сервера WSUS, пусть зарегистрируется заново.

Хе! Если б всё решалось так просто, я даже до Гугла не добрался бы.

Тем не менее, сейчас повторил фокус, предварительно вытерев на клиенте всё из папок SoftwareDistribution\Download и SelfUpdate\Default — после первого же подключения к WSUS в них появились 4 файла лицензионных соглашений и 5 файлов апдейтера соответственно. И сам список доступных обновлений тоже ведь как-то скачивается. И состояние своё серверу оно всё-таки рапортует. Проблема только при скачивании собственно файлов обновлений, причём любых.

[Samsonov]

Самое интересное забыл добавить: в логах IIS сейчас всё по нулям. То есть процесс общения со служебными страничками виден — SimpleAuthWebService, ClientWebService, ReportingWebService. Видны и скачивания вышеупомянутых файлов лицензий (/Content) и апдейтера (/selfupdate). Причём все эти операции используют самые разные HTTP-методы (HEAD, GET, POST) и все заканчиваются успешно (HTTP-статус 200 OK).

Нету в логах только ни слова про сами файлы обновлений. Вообще. А когда обновляется беспроблемный клиент, то этими строчками (/Content) усеян весь лог — не заметить было бы невозможно.

[YuriA]

Samsonov у меня таже ерунда. Если вытащить внутренний конец из ISA (WSUS у меня стоит на другом компьютере), то на двух проблемных компьютерах начинают работать обновления и ClienDiag.exe начинает всё правильно показывать (правда с задумчивостью). Я думаю где-то проблемы в настройке ISA, но где не пойму.

[YuriA]

В ISA 2000 в настройках веб-клиента надо поставить "прямо направлять всё что находится в LDT" (Local Domain Table). После этого clientdiag.exe начинает работать, но проблема остаётся

[GreenIce]

Добрый день! Подскажите какую команду нужно выполнить на клиентском месте для немедленного запуска связи с wsus на придмет наличия и установки обновлений?

[Petya V4sechkin]

GreenIce,
wuauclt /detectnow

Или хитрый скрипт:
WSUS: Script to Force the Update Detection from Automatic Update Client (WUA) for updates on WSUS Server