Windows Server 2016 не обновляется через WSUS
У нас есть сервер WSUS, работающий на Windows Server 2016. WSUS обнаруживает и отправляет обновления во все системы, включая серверы 2012 года. WSUS обнаружит, но не отправит обновления ни на один из серверов 2016.
Отображается 0 необходимых обновлений, для всех обновлений указано «установлено или неприменимо». Это свежие установки сервера, они только что были установлены прямо из образа диска, созданного в ноябре прошлого года.
Если я запускаю отчет на одном из серверов и устанавливаю фильтр продукта на " Я запустил wuauclt / reportnow и wuauclt / detectnow. Кажется, это ничего не делает. Я запустил мастер очистки, чтобы отклонить и удалить все замененные обновления. Я убедился, что машины находятся в правильных группах в AD и в WSUS. Я проверил в реестре на затронутых машинах, что они указывают на сервер WSUS, и его можно проверить. Клиент может получать эхо-запрос с сервера WSUS. Нет ни брандмауэра, ни блокиратора портов, ни чего-то подобного. Я создал совершенно новую установку сервера 2016 года, на которой абсолютно ничего не было установлено; ни ролей, ни брандмауэров, ни антивирусного сканера ничего, просто пустой сервер и пытался заставить его подключиться. WSUS обнаруживает, что сервер существует, но это все.
Все остальные ОС работают нормально, только серверы 2016 имеют эту проблему. Это определенно проблема сервера WSUS; если я захожу в реестр и изменяю его обратно на сервер Microsoft, он находит обновления.
Кто-нибудь знает, что может быть причиной проблемы и как ее исправить?
Спасибо.
РЕДАКТИРОВАТЬ - ОБНОВЛЕНИЕ: По-прежнему возникают проблемы. Пытался установить второй сервер WSUS 2016 г., та же проблема, только с серверами 2016 г.
Я даже пробовал установить сервер 2019 г. (хотя я не думаю, что есть какие-то различия ...). Никакой разницы.
Я даже исключил групповую политику. Я поместил тестовый сервер 2016 года в отдельное подразделение с заблокированным наследованием. Единственный объект групповой политики, который я связал, - это настройка сервера WSUS, указывающая на сервер 2019 года. Никакой другой политики для машины нет. На тестовом сервере 2016 нет даже антивирусного сканера или брандмауэра, они даже находятся в одном сегменте.
Мы конвертируем все больше и больше наших серверов с 2012 по 2016 год, что означает, что это все больше и больше проблема, поскольку НИ ОДИН из них не получит обновлений от WSUS ... Как бы я ни не хотел, мне придется позвонить в Microsoft ...
Хорошо, проведя 3 недели с отделом технической поддержки Microsoft, мы решили проблему.
Проблема заключается в том, что двойное сканирование пытается подключиться к Центру обновления Windows (онлайн) и не работает. В случае сбоя система просто прекращает попытки и отказывается подключаться к WSUS.
Дополнительная проблема заключается в том, что на установочном носителе сервера есть ошибка, которая не позволяет изменить двойное сканирование. Он просто игнорирует политику и сохраняет источник обновлений по умолчанию Центр обновления Windows.
Вот что вам нужно сделать, чтобы исправить это: Выполните следующие команды в Powershell на сервере-нарушителе
$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
$MUSM.Services | select Name, IsDefaultAUService
. Вы получите что-то вроде этого:
Windows Update Standalone Installer - False
Windows Server Update Service - False
Windows Update - True
Если будет написано «Windows Update - True», то это ваш источник по умолчанию, независимо от того, что говорит ваш GPO ...
Первое, что вам нужно сделать, это убедиться, что на вашем сервере установлены следующие патчи.
kb4103720 и kb4462928
Они вам нужны ОБЕИ. Они оба огромны, на их установку уходит целая вечность и день, и оба требуют перезагрузки сервера.
Эти КБ устраняют проблему двойного сканирования, поэтому сервер будет отвечать на GPO, сообщая ему, какой источник по умолчанию использовать.
] Теперь вам нужно настроить групповую политику, чтобы сервер использовал только сервер WSUS. Для Microsoft это обязательные настройки (я сомневаюсь в некоторых из них, но я не проверял каждую из них ... Я просто счастлив, что наконец-то работает)
Конфигурация компьютера> Политики> Административные шаблоны> Система> Установка устройства
Укажите сервер поиска для местоположений источников драйверов устройств
Set to "Enabled"
Select search order: "Do not search Windows Update"
Укажите сервер поиска для обновлений драйверов устройств
Set to "Enabled"
Select Update Server: "Search Managed Server"
Конфигурация компьютера> Политики> Административные шаблоны> Система> Управление связью через Интернет> Параметры связи через Интернет
Выключить доступ ко всем функциям Центра обновления Windows (в Microsoftspeak это означает их онлайн-сервер, а не «сделать так, чтобы он не мог получать обновления»)
Set to "Enabled"
Отключить доступ к Магазину
Set to "Enabled"
Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Центр обновления Windows
Не разрешать политикам отсрочки обновлений вызывать сканирование Центра обновления Windows
Set to "Enabled"
Нет автоматического перезапуска с зарегистрированными пользователями для запланированных автоматических установок обновлений
Set to "Enabled"
Укажите интрасеть M Расположение службы обновлений Microsoft
Set to "Enabled"
Set the intranet update service for detecting updates: "http://[YOUR SERVER]:8530"
Set the intranet statistics server:"http://[YOUR SERVER]:8530"
Set the alternate download server: "http://[YOUR SERVER]:8530"
Uncheck the box Download files with no Url in the metadata if alternate download server is set
Переместите серверы в OU с включенным GPO. Я создал отдельное подразделение в своем подразделении «Серверы» только для сервера 2016 и связал с ним этот объект групповой политики.
Выполните приведенные выше команды PowerShell еще раз.
Теперь он должен сказать
Name IsDefaultAUService
------- --------------------------
Windows Server Update Service True
Windows Update False
Если вы получите «Windows Server Update Service» True , тогда он должен работать!
Надеюсь, это поможет кому-то другому. Это определенно разочаровывает ...
Я принимаю пожертвования в виде немаркированных банкнот, золотых слитков и скотча.
Если вы просканируете Интернет, то увидите, что @ Redwizard000 пытался предложить, так что ясно, что @ Redwizard000 очень старался решить эту проблему (см. https: // serverfault. com / a / 940236/203726 о том, как @ Redwizard000 в конечном итоге решил проблему). Читайте о моем опыте:
В моем случае сервер WSUS был запущен на Windows Server 2012 R2, имел все исправления, выполнил сценарий очистки VB, который вы видите плавающим, прошел процесс очистки (который занял часы) , мог обслуживать обновления для компьютеров с Windows 10, но новые клиентские машины с Windows Server 2016 не могли получать обновления из WSUS и выдавали сообщения об ошибках 0x8024401c. Единственное, что помогло, было на сервере WSUS: увеличение / удаление некоторых ограничений ресурсов пула приложений IIS (например, длина очереди, интервал ограничения, ограничение частной памяти, но есть и другие) для пула приложений WSUS, как описано в https : //serverfault.com/a/835941 и https://blogs.msdn.microsoft.com/the_secure_infrastructure_guy/2015/09/02/windows-server-2012-r2-wsus-issue-clients -cause-the-wsus-app-pool-to-стать-unresponsive-with-http-503 / , а затем перезапустить IIS. Похоже, что проверка обновлений требовала около 2 ГБ памяти с сервера IIS и занимала около 8 минут. После этого сообщение об ошибке исчезло, но ...
.. клиентские машины Windows Server 2016 зависали при загрузке 0% обновлений на неопределенный срок. Чтобы обойти это, мне пришлось вручную загрузить последнее накопительное обновление (на клиентских компьютерах с Windows Server 2016) с http://www.catalog.update.microsoft.com/home.aspx (или использовать Microsoft Серверы обновлений Windows временно для получения накопительного обновления) и установите это до изменения настроек для использования WSUS.
Обновление : есть статья службы поддержки MS под названием « Центр обновления Windows застрял на уровне 0 процентов. на Windows 10 или Windows Server 2016 ", в котором рассказывается о том, как вам нужно обновить агент обновления Windows на клиентских машинах с Windows 10/2016/2019 после версии RTM (10.0.14393.0) до , умеет использовать WSUS. Похоже на то, что фактически было сделано в предыдущем абзаце.
У меня была такая же проблема, вот как я это исправил.
- В политике (будь то групповая политика или локальная политика) включите политику «Не подключаться ни к каким расположениям Центра обновления Windows». Это не позволяет серверу связываться с Microsoft / Windows Update.
- В политике добавлен альтернативный сервер обновлений в поле «Указать расположение Microsoft Update» - это был тот же сервер, что и сервер отчетов и обновлений.
- В Windows Update- Дополнительные параметры - снял флажок «отложить обновления функций»
После этого я смог полностью исправить сервер через WSUS. Это было подтверждено на двух серверах в двух разных средах. Кажется, наиболее важным изменением является снятие флажка с опции отложенных обновлений, но другие изменения также могут вызывать проблемы с обновлением, судя по тому, что я читал в сети.
У меня была такая проблема, 2016 выдаст ошибку: 0x8024401c ,
а в WSUS будет отображаться 0% обновлено (еще не сообщается) .
Чтобы исправить это, я изменил значения пула приложений WSUS в IIS (расширенные настройки) и на всех серверах 2016.
Queue Length: 25000 from 1000
Limit Interval (minutes): 15 from 5
"Service Unavailable" Response: TcpLevel from HttpLevel
Затем перейдите на https://community.spiceworks.com/scripts/show/2998-adamj-clean-wsus и скопируйте и вставьте код в соответствии с инструкциями.
- Назовите его
Clean-WSUS.ps1 - Установите необходимое программное обеспечение
- Выполните
. \ Clean-WSUS.ps1 -FirstRun - Наконец,
. \ Clean-WSUS.ps1 -DirtyDatabaseCheck
Этот парень определенно заслуживает пожертвования!
Та же проблема, тот же сценарий. Снимите флажок «Обновления» в разделе «Классификации» для конфигураций точки обновления программного обеспечения серверов сайта.
Другой вариант заключался в использовании командной строки
«c: \ Program Files \ Update Services \ Tools \» «wsusutil.exe после установки / обслуживания.
Но я еще не прошел через этот процесс, так как жду дополнительных объяснений от MS.
Если у вас есть эта настройка в групповой политике, я бы посоветовал проверить ключ реестра [HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate] . Сделайте резервную копию ключа, удалите его и запустите gpupdate / force , чтобы воссоздать его.
В моем случае после сравнения резервной копии и новой записи я обнаружил ключ с именем «DisableWindowsUpdateAccess» = dword: 00000000 , который вызывал мою проблему. Этот ключ был создан третьей стороной.
На самом деле все, что вам нужно сделать, это обновить стек обслуживания. https://support.microsoft.com/en-us/help/4485447/servicing-stack-update-for-windows-10 . Даже не требует перезагрузки. Как только вы это сделаете, он сразу же начнет отправлять отчеты в WSUS.