Windows server 2012 r2 не обновляется через wsus
Обновлено: 03.07.2024
Недавно я унаследовал управление сервером Windows 2012 на удаленном сайте.
Я проверил Windows Update и не обновлялся с марта. Когда я говорю Windows для проверки обновлений, он действует так, как будто он проверяет, но, похоже, это говорит о часах. Если я попытаюсь перезапустить службу обновления Windows, она, похоже, никогда не сможет завершить работу. Мое единственное средство, похоже, перезагружается, чтобы вернуться к тому моменту, когда я могу сообщить Windows Update проверить наличие новых обновлений.
Последняя успешная проверка обновлений - 20 марта.
Последние обновления были установлены 17 марта (не удалось).
История обновлений показывает, что одно обновление не прошло 17 марта, обновление драйвера принтера, но в истории показано 13 неудачных обновлений за 17 февраля.
Не уверен, что еще попробовать.
Две из моих трех машин 2012R2 продемонстрировали это поведение в апреле прошлого года. Они будут вешать на проверку обновлений . навсегда.
Я никогда не узнал, что именно вызвало проблему , но я решил ее решить, выполнив следующие действия:
Остановите службу Windows Update.
Удалить каталог кеша Windows Update C:\Windows\SoftwareDistribution .
Перезагрузите компьютер. (На одной машине потребовалось несколько перезагрузок, чтобы на самом деле получить все удаленные из этого каталога, поэтому продолжайте при необходимости пробовать.)
Запустите Windows Update вручную снова. Он почти мгновенно завершится и предложит запустить диагностический инструмент. Загрузить инструмент и разрешить его запуск.
Инструмент найдет и устранит некоторые проблемы. На этом этапе снова запустите Windows Update. На этом этапе Windows Update отлично справилась.
я нашел этот отличный ответ здесь , и он отлично работал для меня. Просто хочу поделиться тем, что кто-то ищет:
Другое решение, которое работало для меня, также состояло в том, чтобы установить режим обновления на «Никогда не проверять наличие обновлений»
Я играл с виртуальной машиной 2012 года, и у меня была эта проблема. Мое решение (быстрое, небезопасное и т. Д. И т. Д.) Заключалось в отключении IE Enhanced security на сервере, и он с радостью начал разговор с MS Windows Update. Это не решение для реального сервера, но это игровой сервер dev, и я в порядке с этим.
Предположительно, сайт обновления Windows просто нужно добавить в некоторые доверенные сайты где-нибудь для реального решения?
Мое исправление на недавно установленном в Windows Server 2012 R2 на Citrix 6.5 VM, и как опубликовал Маркус Greasly, отключить IE Enchanced Security . немедленно работал .
Чтобы отключить повышенную безопасность IE на сервере Windows 2012 R2, запустите диспетчер сервера, в левой части нажмите «Локальный сервер». С правой стороны нажмите ссылку «Вкл.» Рядом с IE Enhanced Security Configuration. Теперь вы увидите окно настройки расширенной безопасности Internet Explorer.
Недавно у меня были те же проблемы на моем сервере 2012 года, и все, что я сделал, отключил службу Malwarebytes и обновления, загруженные сразу. Попробуйте отключить любую вредоносную программу или антивирусное программное обеспечение, потому что это может быть причиной root.
Обзор
У нас была эта проблема на некоторых виртуальных серверах, перенесенных из «облачного» провайдера обратно в наш внутренний центр обработки данных. Коренной причиной были разрешения для папки %SystemRoot%\System32\catroot2 . Существовал ряд различий между разрешениями в этой папке на здоровом сервере и на перенаправленном сервере. Я считаю, что ключевой момент заключался в том, что TrustedInstaller не имел full access
Дополнительные симптомы
Посмотрев на журнал приложений в средстве просмотра событий, мы увидели ряд ошибок:
Ключ находится в тексте ошибки ESENT; то есть права доступа к файлу, находящемуся в папке catroot2.
Разрешение
Дайте полному управлению учетной записью Trusted Installer папку catroot2 и ее дочерние элементы.
Если этого недостаточно, для сравнения, запуск icacls %systemroot%\system32\catroot2 на здоровом сервере дает следующее:
Примечание. Чтобы добавить Trusted Installer, вам необходимо выполнить поиск на учетных записях локального компьютера nt service\trustedinstaller .
После замены разрешений на catroot2 убедитесь, что вы нажимаете replace permissions on child objects & containers , чтобы гарантировать, что дочерние элементы также разрешены.
Для самого исправления не требуется перезагрузка (хотя, очевидно, после того, как обновления снова начнут работать, вам, вероятно, потребуется перезагрузка для них).
В попытке облегчить работу администраторов компьютеров Microsoft разработала программу под названием Windows Server Update Services (WSUS), которая помогает администраторам управлять обновлениями и исправлениями, которые компания выпускает для своих продуктов. WSUS является важной частью сервера Windows. Когда Microsoft запускает обновления на своем веб-сайте, WSUS загружает их и распространяет по сети.
Устранение неполадок служб обновления Windows Server
Предпосылки
1] Пользователи, использующие WSUS 3.0 с пакетом обновления 2 (SP2) в Windows Server 2008 R2, должны установить обновление KB4039929 или более позднюю версию в системе.
2] Для тех, кто использует WSUS в Windows Server 2012 или более поздней версии, в системе должны быть установлены следующие обновления или более поздняя версия:
Устранение сбоев подключения с помощью WSUS
Проверьте следующие причины для устранения проблем сбоев соединения с WSUS:
1] Служба публикации и обновления WWW должна быть запущена на сервере WSUS.
2] Веб-сайт WSUS или веб-сайт по умолчанию должен работать на сервере WSUS.
Устранение проблем высокой загрузки ЦП на сервере WSUS
Нажмите CTRL + ALT + DEL и откройте диспетчер задач из опций. Было бы показать использование процессора. Если загрузка процессора на сервере WSUS высока, это приведет к замедлению работы системы.
Причины высокой загрузки ЦП на сервере WSUS
Причины высокой загрузки ЦП могут быть:
1] SUSDB не является «чистым». Это может сбить с толку клиентские системы, и они начнут непрерывное сканирование в цикле.
2] Слишком много ожидающих обновлений для сервера WSUS для пересылки клиентам. Обычно это происходит после длительного использования.
В обоих случаях нам нужно очистить сервер WSUS в качестве решения. В идеале, его необходимо очищать через регулярные промежутки времени, независимо от того, сталкиваемся ли мы с проблемой или нет. Пошаговая процедура для того же:
1] Резервное копирование базы данных WSUS
Считается, что резервное копирование базы данных WSUS может повысить производительность сервера. Это обязательное условие перед запуском мастера очистки.
2] Запустите мастер очистки сервера WSUS
3] Переиндексируйте базу данных WSUS
Реиндексация базы данных WSUS может помочь нам, особенно если она фрагментирована.
Вам необходимо выполнить следующие команды.
Сначала используйте опцию FULLSCAN, чтобы обновить статистику:
Затем индексы могут быть перестроены:
4] Отклонить отмененные обновления
Поскольку в вышеупомянутом случае клиентские системы сканируют базу данных WSUS, и это вызвало высокую загрузку ЦП, немедленным решением должно стать отказ от замененных обновлений, поскольку это помогает снизить нагрузку на систему.
1] Измените порт для веб-сайта WSUS: выберите Веб-сайт администрирования WSUS> Изменить привязки и отредактируйте консоль WSUS, чтобы подключиться к новому порту. Запустите скрипт и синхронизируйте с USS.
2] Отклонить обновления: вы можете использовать скрипт Powershell, используя параметры -skipdecline для определения чистого количества отклоненных обновлений. Затем снова запустите -skipdecline, чтобы отклонить эти обновления.
Для получения более подробной информации, вы можете посетить службу поддержки Microsoft здесь.
У всех бывали ситуации, когда что-нибудь переставало работать. В данной статье речь пойдет о WSUS (более подробную информации о WSUS можно получить здесь и здесь). А точнее о том, как заставить клиентов WSUS (т.е. наши с вами компьютеры) заново получать обновления после переноса или восстановления существующего сервера обновлений.
Итак, ситуация следующая
Сдох сервер WSUS. Точнее RAID-контроллер аж 2000 года выпуска. Но радости этот факт не прибавил. После непродолжительной возни (с попытками восстановить RAID, загубленный помирающим контроллером), было принято решение послать все развернуть новый WSUS-сервер.
В итоге мы получили работающий WSUS, на который почему-то не коннектились клиенты.
Моменты: WSUS привязан с FQDN через внутренний DNS-сервер, WSUS-сервер прописан в групповых политиках и распространяется на клиентов через AD, настройки для сервера по-умолчанию, перед началом всех действий обновите сам WSUS и выполните синхронизацию обновлений.
После анализа ситуации, было выявлено несколько ключевым моментов
- Клинч клиента (речь о wuauclt) при попытке соединиться с SID старого сервера WSUS.
- Проблема с неустановленными обновлениями, скачанными со старого WSUS-сервера.
- Парковка служб влияющих на работу wuauclt (речь о wuauserv, bits и cryptsvc). Парковка произошла по разным причинам, которые детально не анализировались.
Паркуем службу сервера обновлений, чистим дескриптор безопасности службы связи с WSUS, удаляем имеющиеся обновления от предыдущего WSUS, чистим реестр от упоминаний о предыдущем WSUS, стартуем службы автоматического обновления (wuauserv), фоновую интеллектуальную службу передачи (bits) и службу криптографии (cryptsvc), в самом конце принудительно стукаемся в WSUS с обнулением авторизации, обнаружением нового WSUS и генерацией отчета на сервер.
И как всегда: все действия описанные выше и ниже вы выполняете на свой страх и риск. Пожалуйста, удостоверьтесь в том что все необходимые данные сохранены до выполнения скрипта.
WSUS на базе Windows Server 2012 и выше поддерживает возможность установки на Windows 10 не только обычных обновлений безопасности и исправлений, но и крупных пакетов обновлений (в терминологии Microsoft – апгрейдов). Но прямо из коробки этот функционал не работает, такие апгрейды (в концепции Windows 10 называются Redstone ) на клиенты просто не закачиваются. Разберемся в проблеме.
Во WSUS на Windows Server 2012 появился новый тип классов обновлений – Upgrades. Включается он в консоли WSUS в разделе Options ->Product and Classification -> вкладка Classification. Нас интересует опция Upgrades (если она не включена, не спешите ее включать!).
Примечание. Если у вас ранее уже была активирована классификация Upgrades и выполнялась синхронизация, после установки KB 3095113 придется провести очистку базы WSUS с помощью следующих PowerShell команд:
- Отключаем классификацию Upgrades Get-WsusClassification | Where-Object -FilterScript | Set-WsusClassification –Disable
- Удаляем из базы информацию об этик апгрейдах $wsus = Get-WsusServer
$wsus.SearchUpdates(“version 1511, 10586, 1607”) | foreach - Осталось включить классификацию Upgrades Get-WsusClassification | Where -FilterScript | Set-WsusClassification
- И повторно запустить синхронизацию. $sub = $s.GetSubscription()
$sub.StartSynchronization()
Но это еще не все, даже после установки KB 3095113 на сервере, пакеты апгрейдов на клиентах все равно не появляются. В журналах WindowsUpdate.log на ПК с Windows 10 появляется можно найти ошибку 0x80244019:
2016/08/24 15:33:36.3658125 1064 2660 DownloadManager Progress failure bytes total = 2659650046, bytes transferred = 18574952
2016/08/24 15:33:36.3845664 1064 2660 DownloadManager Error 0x80244019 occurred while downloading update; notifying dependent calls.
Чтобы разрешить серверу WSUS передавать ESD файлы, откройте консоль Internet Information Service (IIS) Manager, перейдите на сайт WSUS Administration и выберите каталог Content. В настройках IIS выберите раздел Mime Types.
Добавьте новый тип MIME (Add MIME type):
Расширение файла: .esd
Тип MIME: application/octet-stream
Совет. То же самое можно сделать командами:
cd %windir%\system32\inetsrv
appcmd set config /section:staticContent /+"[fileExtension='.esd',mimeType='application/octet-stream']"
Перезапустите службу IIS (iisreset) и выполните повторную синхронизацию на клиентах. Клиенты Windows 10 должны начать закачивать esd файлы и могут приступать к установке пакетов обновлений.
Читайте также: