Ошибка при установке wsus на windows server 2008 r2

Обновлено: 04.07.2024

Роли: Службы Windows Server Update Services

Ошибка: Обновление не найдено. Возможно, возникли проблемы с сетевым подключением.

Пришлось искать, где взять инсталлятор. Ну, конечно это привело меня к источникам Майкрософт. Домашняя страничка WSUS посвященная целиком службе обновлений.

З.Ы. Вот в чём причина - интернет через прокси, а им управляем не мы. А оно лезет туда, куда нельзя без авторизации.

А вот тут также есть очень полезная выжимка по WSUS.

Настройка клиентов

Для настройки клиентов на сервер обновлений необходимо в ГП указать параметры службы обновлений. Параметры находятся тут:

Параметры компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows.

Самые важные параметры в ГП:

- Настройка автоматического обновления

- Указать размещение службы обновлений Майкрософт в сети

Описания при настройке исчерпывающие.

Также есть настройки в ветке Пользователя в аналогичном разделе ГП.

Плюс нужно обязательно настроить службу обновлений на автоматическую загрузку:

ГП -> Конфигурация Windows -> Параметры безопасности -> Системные службы -> Центр обновления Windows - автоматически

Ошибки

1. Клиенты могут не отдавать отчет о состоянии с ошибками:

WARNING: Failed to read the service id for re-registration 0x80070002

WARNING: Missing service entry in the backup data store; cleaning up

FATAL: Update required for C:\WINDOWS\system32\cdm.dll: target version = 7.1.6001.65, required version = 7.6.7600.256

Имена файлов могут быть разными, а target version может отличаться от указанной. Лечится этим исправлением, поставленным вручную: KB949104.

2. Один комп с Windows 7 x64 sp1 не захотел получать обновлений по той причине, что у него видите ли версия клиента выше версии сервера WSUS!

Исправляется установкой обновления KB2734608. Повышает версию до 3.2.7600.256.

Начиная с июля 2020 г. у пользователей возникли проблемы синхронизации и импорта WSUS с конечными точками обновления Windows (WU) или Microsoft Update (MU).

В этой статье описывается устранение некоторых распространенных проблем. Некоторые из этих методов устранения неполадок (например, захвата сети) можно использовать и для многих других проблем.

Конечные точки

В настоящее время WSUS использует следующие конечные точки для синхронизации метаданных:

Большинство серверов WSUS должны синхронизироваться с этой новой конечной точкой. Начиная с июля 2020 г. эта конечная точка принимает только подключения безопасности транспортного слоя (TLS) 1.2. Некоторые шифры были отключены.

Эта старая конечная точка будет в конечном итоге списана. Дополнительные сведения см. в рублях End of synchronization for WSUS 3.0 SP2. Эта конечная точка поддерживает подключения TLS 1.2, TLS 1.1 и TLS 1.0.

Эта старая конечная точка списалась с эксплуатации, подключение к ней завершится сбой.

При проблеме синхронизации WSUS или ручного импорта сначала проверьте конечную точку, с которой вы синхронизируете:

Откройте окно командной подсказки PowerShell на сервере WSUS.

Чтобы найти текущую конечную точку синхронизации, запустите следующий скрипт PowerShell:

Выпуск 1. Ручной импорт не удается, но синхронизация успешно

Многие пользователи импортируют обновления в WSUS вручную, а некоторые обновления необходимо импортировать вручную. Например, предварительные обновления, выпущенные в третью и четвертую недели месяца, должны импортироваться вручную. Начиная с конца июля 2020 г., возможно, вы не сможете импортировать обновления вручную.

Сбой импорта

Однако некоторые серверы WSUS могут успешно импортировать обновления. И обычная синхронизация с WU и MU продолжает работать.

Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.

Устранение неполадок 1

Проверьте файл %Program Files%\Update Services\LogFiles\SoftwareDistribution.log на ошибки при импорте обновлений вручную. И посмотрите на ошибки, похожие на следующий пример:

Существующее подключение было принудительно закрыто удаленным хостом.

На следующем скриншоте показан сетевой захват попытки подключения.

Захват сети 1

Разрешение проблемы 1

Эта проблема возникает из-за того, что функции импорта WSUS не могут использовать TLS 1.2.

Чтобы устранить эту проблему, используйте один из следующих методов:

Чтобы установить клавиши реестра, см. в перенастройке для сильной криптографии. Перезапустите сервер после набора ключей реестра.

Создайте или w3wp.exe.config файл, чтобы включить TLS 1.2.

Это изменение будет применяться w3wp.exe созданных экземпляров независимо от того, относятся ли они к WSUS. W3wp.exe TLS 1.2, если удаленная сторона поддерживает эту версию. Если включены TLS 1.1 и TLS 1.0, W3wp.exe согласовывать эти протоколы, если целевой сайт не поддерживает TLS 1.2.

Если файл %SystemRoot%\system32\inetsrv\w3wp.exe.config не существует, выполните следующие действия:

Создайте новый файл с именем W3wp.exe.config в %SystemRoot%\system32\inetsrv папке.

Откройте файл в текстовом редакторе, например Блокнот.

Добавьте в файл следующие строки и сохраните файл:

Если файл %SystemRoot%\system32\inetsrv\w3wp.exe.config уже существует, выполните следующие действия:

Откройте файл в Блокнот или другом текстовом редакторе.

Добавьте в элемент следующие строки <configuration> и сохраните файл:

После создания или обновления W3wp.exe.config откройте окно командной подсказки, а затем запустите для перезапуска iisreset всех рабочих процессов. Проверьте, работает ли ручной импорт.

Выпуск 2. Сбой ручного импорта после отключения TLS 1.1 или TLS 1.0

TLS 1.1 и TLS 1.0 постепенно отламывются, так как считаются небезопасными. После отключения этих протоколов вы больше не сможете импортировать обновления. Однако синхронизация продолжает работать.

Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.

Устранение неполадок 2

Журналы WSUS, в которых включены версии SSL/TLS при его старте. Чтобы определить версии SSL/TLS, выполните следующие действия:

Перезапустите службу WSUS.

Запустите iisreset по повышенной командной подсказке, чтобы заставить WSUS пройти последовательность запуска.

Откройте консоль WSUS и подключите ее к серверу.

Откройте, %Program Files%\Update Services\LogFiles\SoftwareDistribution.log и посмотрите записи, которые начинаются в протоколе SCHANNEL. Вы должны видеть записи, похожие на следующий пример:

Эти записи показывают, что отключены TLS 1.1 и TLS 1.0 и включен TLS 1.2.

Если процесс импорта не удается, softwareDistribution.log регистрирует следующую запись ошибки:

На следующем скриншоте показан сетевой захват попытки подключения.

Захват сети 2

WSUS закрывает подключение, так как все протоколы, которые он знает, как использовать для импорта (SSL3, TLS 1.0, TLS 1.1), отключены и не могут использовать TLS 1.2.

Разрешение проблемы 2

Эта проблема похожа на выпуск 1, в котором импорт WSUS не может использовать TLS 1.2. Чтобы устранить эту проблему, используйте решение проблемы 1.

Проблема 3. Сбой синхронизации на Windows Server 2012 и Windows Server 2012 R2 WSUS, которые применяют только обновления только для безопасности

Windows Server 2012 и Windows Server 2012 R2 содержат следующие треки обновления:

  • Обновление только для безопасности, которое не является накопительным. Он содержит только исправления безопасности. Например, 9 июня 2020 г. — KB4561673 (обновление только для безопасности).
  • Ежемесячный откат, который является накопительным. Он содержит все исправления безопасности из обновления только для безопасности, а также содержит исправления без обеспечения безопасности. Например, 9 июня 2020 г. — KB4561666 (ежемесячное докатка).

WSUS Windows Server 2012 и Windows Server 2012 R2 не может использовать TLS 1.2 для синхронизации, если не установлен один из следующих ежемесячных откатов или более позднего ежемесячного докатки:

    версия ежемесячного докатки) для Windows Server 2012 версия ежемесячного докатки) для Windows Server 2012 R2

Изменение, которое позволяет WSUS использовать TLS 1.2, является исправлением без обеспечения безопасности, оно включено только в ежемесячные откаты.

Устранение неполадок 3

Если на сервере WSUS установлены правильные обновления, WSUS будет входить в журнал, какие версии SSL/TLS включены при его старте. Выполните следующие действия на сервере WSUS:

Перезапустите службу WSUS.

Запустите iisreset из командной подсказки повышенной высоты, чтобы заставить WSUS пройти последовательность запуска.

Откройте консоль WSUS и подключите ее к серверу.

Откройте %Program Files%\Update Services\LogFiles\SoftwareDistribution.log , поиск записей, которые начинаются с протокола SCHANNEL. Вы должны видеть записи, похожие на следующий пример:

Если вы не можете найти эти записи, это означает, что обновление, которое включает TLS 1.2, не установлено.

На следующем скриншоте показан сетевой захват попытки подключения.

Захват сети 3

Разрешение проблемы 3

Чтобы устранить эту проблему, установите последнюю ежемесячную откатку для Windows Server 2012 или Windows Server 2012 R2. Также применяем решение для выпуска 1, чтобы предотвратить сбой ручного импорта.

Выпуск 4. Сбой синхронизации после июля 2020 г., если WSUS интегрирован с Configuration Manager

Многие установки WSUS интегрированы с точками обновления Microsoft Endpoint Configuration Manager программного обеспечения (SUP). После июля 2020 г. могут возникнуть сбои в синхронизации, если диспетчер конфигурации настроен для синхронизации драйверов Surface.

Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.

Устранение неполадок 4

Когда возникает эта проблема, записи, похожие на следующий пример, регистрируются в Wsyncmgr.log:

Кроме того, %Program Files\Update Services\LogFiles\SoftwareDistribution.log в файле в журнале печатались следующие ошибки:

Эти ошибки указывают на то, что подключение было закрыто. Эта проблема возникает из-за того, что в диспетчере конфигурации используется функция импорта WSUS. Таким образом, он имеет те же ограничения.

Разрешение проблемы 4

Выпуск 5. Синхронизация не удается после июля 2020 г. из-за ограниченных шифров

Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.

Устранение неполадок 5

При синхронизации в файле регистрируются следующие %Program Files\Update Services\LogFiles\SoftwareDistribution.log ошибки:

Однако эти записи не являются полезными для определения того, есть ли у вас проблемы с шифром.

В этой ситуации используйте захват сети или проверьте объекты прикладной групповой политики (GPOs). Чтобы проверить применимые GPOs, запустите следующую команду по повышенной командной подсказке:

Откройте GPReport.html в браузере.

Сведения о групповой политике

Поиск SSL Cipher Suite Order и параметр SSL Cipher Suites. Обычно этот параметр не настроен. Если она настроена, может возникнуть проблема, так как нет общего шифра с WU/MU.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Со временем этот список изменится, так как по мере улучшения технологии шифры будут постепенно слабеть.

Если GPO применяется, и он не указывает один из этих шифров, связь с WU/MU не удается.

На следующем скриншоте показан захват сети.

Захват сети 4

Разрешение проблемы 5

Для устранения данной проблемы выполните следующие действия.

Для Windows Server 2016 и Windows Server 2019 включим один из следующих шифров:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Для Windows Server 2012 2012 r2 включаем один из следующих шифров:

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384

Если шифры не установлены GPO, найдите следующий подкай реестра:

Добавьте один из необходимых шифров в значение Functions ключа реестра.

Перезапустите сервер WSUS.

Чтобы предотвратить сбои ручного импорта, также применяем решение для проблемы 1.

Успешное подключение

На следующих скриншотах покажите успешное подключение, Windows Server 2016 WSUS-сервер синхронизирует обновления.

Захват сети 5

Захват сети 6

В сетевом захвате кадр 191 — это пакет Client Hello, использующий TLS 1.2. В кадре подробно показано, какие шифры были отправлены клиентом. Frame 195 — это пакет Server Hello с конечной точки. TLSCipherSuite, выбранный wu, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Сертификат сервера также отправляется в пакете Server Hello.

Примечание о прокси-серверах

При использовании прокси-сервера необходимо знать IP-адрес внутреннего интерфейса прокси-сервера, так как WSUS не взаимодействует напрямую с конечными точками WU. Если вы не можете получить IP-адрес прокси-сервера, поиск захвата сети для запросов CONNECT и поиск URL-адреса конечной точки Windows обновления.

Следует заметить, что пакет установки WSUS все-таки может понадобиться, но только если вы пожелаете установить отдельную консоль администрирования на одну из рабочих станций. В этом случае его можно загрузить отсюда .

Настройка сервера WSUS

Итак, начнем установку. Будем считать, что вы уже установили операционную систему Windows 2008 R2 и вошли в систему от имени учетной записи, имеющей права локального администратора. Перед установкой следует убедиться, что сервер подключен к сети и с него доступен Internet (это важно).

1. Открываем оснастку «Диспетчер сервера». Затем в левой панели открываем ветку «Роли», а в правой, запускаем мастер «Добавить роли» (см. рис. ниже):

WSUS-01

2. После выбора строки списка «Службы Windows Server Update Services» появится окно мастера, предлагающее добавить службу Веб сервера, а так же необходимые компоненты. Соглашаемся с этим предложением и трижды нажимаем «Далее».

WSUS-02

3. Следующий шаг, собственно, установка службы WSUS. Жмем «Далее» и, следом, «Установить». На этом этапе сервер начнет загрузку с Internet и установку службы. В процессе установки потребуется принять условия лицензионного соглашения:

WSUS-04

4. Далее, мастер сообщит о том, что в системе отсутствует «Распространяемый пакет средства Microsoft Report Viewer 2008»:

WSUS-05

Этот пакет мы установим позже.

5. Следующий этап – указание места расположения папки, где будут храниться обновления. Можно принять предложенный вариант или указать другую папку. Эта папка д.б. на диске с файловой системой NTFS. Позаботьтесь, что б там было достаточно места. В качестве примера для оценки сообщу, что обновления Windows для серверов и рабочих станций на двух языках (русский, английский) потребуют примерно 40 – 60 Гб. Экономить не советую…

6. Для работы WSUS 3.0 используется БД MS SQL. Можно использовать внутреннюю БД или использовать существующую у вас в сети:

WSUS-06

7. Далее, следует выбор Веб-узла службы WSUS:

WSUS-07

Здесь так же указан адрес службы WSUS, который потребуется при настройке клиентов службы.

8. Далее, мы увидим процесс установки внутренней БД (если эта опция была выбрана ранее).

9. Все… на этом, собственно, сам процесс установки можно считать завершенным.

10. Но работа мастера будет продолжена. Следующий этап – непосредственная настройка службы обновлений:

WSUS-09

11. Следующие шаги мастера помогут вам сделать начальные настройки службы WSUS. Необходимо будет указать, с какого сервера этот сервер WSUS будет выполнять синхронизацию. Возможные варианты: сервер Microsoft или вышестоящий сервер WSUS

12. Необходимо указать настройки прокси сервера при синхронизации:

WSUS-10

13. На следующем этапе мы выполним подключение к серверу Microsoft (или вышестоящему серверу). Это может занять несколько минут:

WSUS-11

14. Далее, следует выбор языков, для которых сервер будет загружать обновления.

15. На следующем шаге Вам предложат выбрать продукты компании Microsoft, для которых будут загружаться обновления

16. Также, необходимо выбрать классы обновлений:

WSUS-12

17. Далее, будет предложено установить расписание загрузки и запустить первоначальную загрузку обновлений.

Процесс загрузки обновлений будет длительным. Первоначальная загрузка будет длиться несколько часов и может составить несколько десятков гигабайт. Для того, чтобы сократить объем трафика, серверу WSUS можно «скормить» каталог обновлений с другого сервера. Это особенно актуально в тех случаях, когда сервер WSUS разворачивается в ЛВС, имеющей доступ к Internet по медленному каналу связи.

На этом можно считать процесс установки сервера WSUS законченным.

WSUS-13

WSUS-14

Дальнейшие действия заключаются в настройке компьютеров вашей ЛВС на работу с этим сервисом.

Причина, по которой системный администратор может пожелать обновить WSUS 3.0, довольно банальна. Как известно, с момента выхода этой версии WSUS вышло уже несколько версий ОС Windows, о которых сервер обновлений, само собой, не догадывается, если его самого не обновить.

WSUS: Ошибка при установке сборки - решение

Сервер WSUS определяет Windows 8.1 и Windows Server 2012 R2 как Windows 6.3. Идентифицировать, какая из двух ОС скрыта за этой надписью, невозможно.

Кроме того, конечно, любые патчи закрывают некоторые ошибки и недочеты программистов, и патчи на WSUS тут не исключение.

Например, для того, чтобы WSUS 3.0 SP2 распознал Windows 8.1 и Windows Server 2012 R2, на него нужно установить обновление KB2938066, которое обновит его до версии 3.2.7600.274. Что касается поддержки Windows 10 и Windows Server 2016, то тут всё грустнее. Насколько мне известно, для этого понадобится WSUS не ниже 4 версии. Впрочем, стоит учитывать, что Microsoft продлила поддержку WSUS 3.0 SP2 до 2020 года, так что ситуация может измениться (или уже изменилась).

Обновление KB2938066 является кумулятивным. При попытке установить его (как, впрочем, и при попытках обновиться до других версий) у вас может возникнуть ошибка.

WSUS: Ошибка при установке сборки - решение

WSUS: Ошибка при установке сборки - решение

Теперь перейдем непосредственно к тому, какое решение помогло автору данной статьи. Сразу оговоримся, что оно выявлено опытным путем, и гарантий, что оно поможет во всех случаях, нет.

Во-первых, вам стоит знать, что неудачное обновление WSUS может запортить его базу данных. Возможно, вы с этим уже столкнулись. Поэтому для начала будет разумно сохранить её резервную копию. Не важно, крутится ли она у вас на Microsoft SQL Server или на встроенной Windows Internal Database, для создания резервной копии лучше использовать бесплатный Microsoft SQL Server 2008 R2 Management Studio Express. Подробнее о создании резервной копии базы данных WSUS можно почитать здесь.

Вторым пунктом будет непосредственно обновление WSUS. Перед установкой обновления отключите следующие службы:

SMS_EXECUTIVE (это служба System Center Configuration Manager, и её у вас может и не быть);

Update Services;

Служба веб-публикаций (англ. World Wide Web Publishing Service);

Кроме того, в свойствах вышеуказанных служб на вкладке Восстановление, будет разумным выставить вариант Не выполнять никаких действий в случаях сбоев, чтобы эти службы не делали попыток рестарта. Далее ставим обновление WSUS.

После установки обновления не забудьте снова отредактировать свойства служб и включить их. Если отображение версий ОС в списке клиентов не исправилось автоматически, то выполните следующие действия в командной строке компьютера-клиента от учетной записи с правами администратора:

1) Отключите службу Центра обновления Windows:

2) Удалите папку softwaredistribution (и все сложенные папки и файлы) в системном каталоге Windows:

3) Включите службу Центра обновления Windows:

Всё это можно, конечно, сделать и через графический интерфейс Windows. После этого версии операционных систем в консоли WSUS должны отображаться правильно.

Читайте также: