Файлы для этого обновления еще не скачаны оно может быть утверждено
Windows Server Update Services with Service Pack 2 (WSUS + SP2)
История версий Update Services: SUS, WSUS, WSUS SP1, WSUS 3.0.
. ВНИМАНИЕ.
1.11.2006 (1 ноября) в составе WSUS появится IE7 ENG в качестве высокоприоритетного обновления! Это означает, что он поставится автоматически, если у вас не ручное утверждение апдейтов.
Toolkit to Disable Automatic Delivery of Internet Explorer 7
Внимание ! Для Windows 7 - 26 февраля 2010 года выпущен обязательный для установки апдейт, проверяющий на наличие активаторов, его рекомендуется исключить из WSUS для установки тем кто пользуется активаторами
Название апдейта: KB971033
Предыдущая часть этой темы здесь .
А ещё более ранняя - тут .
P.S. Перед появлением проблемы провел чистку средствами GUI (стояли все галки).
И еще, подскажите где можно найти полный список ключей рееста для настройки обновления на клиенте.
Заранее спасибо..
Блин, а что так все сложно то.
Нельзя чтоль через ГП настроить ?
Ссылка на WindowsUpdate.log в zip. 20кб. Вдруг поможет разобраться в ситуации.
Поставил WSUS 3.0 на Win 2003 R2 SP2 Лицензионный, с последними обновлениями. Ставил все по дефолту.. типа " далее, далее, применить, ок. " Но вот проблема никак не могу синхронизироваться.. ни через мастер не так.. На сайт Майкрософт Апдейт я захожу.
Один раз у меня было похожее состояние, точнее не у меня а у всуса. В упор не хотел обновлятся один сервер с суса. Перевернул кучу форумов и доки и не нашёл решение проблемы. Плюнул на всё и натравил этот самый "бальной" сервант прямо на сервера Билли Гейтса. Сервак скачал какое то обновление, ребутнулся и всё пошло работать через локальный всус. А что именно скачал в упор не помню. Но кажется какой то видоизменёный установщик от Мелкософта.
Но ноутбук, который временно находится в разъездах, при этом начинает тянуть обновления с сайта майкрософта, что очень нежелательно (дорогой трафик).
есть две группы пк
для первой группы одобрено для установки ИЕ8, для второй нет.
теперь для компов из второй группы стоит желтый значек с восклицанием, что им требуется неодобренный для них ИЕ8.
как сделать чтобы при текущих условиях компы из второй группы имели статус ОК ?
Т.е. сделать что бы комп перезагружался (после обновления) сам в случае необходимости нет возможности?
По ссылке в шапке даёт скачать только полный комплект англиский. Русского я не нашёл на сайте Майкрософта.
И подскажите на Windows 2000 Server какая последнее возможная версия подойдёт для установки и покажите пожалуйста откуда можно её скачать?
WSUS 3.0 + WinServer2008
где 192.168.36.9 - шлюз на freebsd.
целевой комп - 192.168.200.x
Вопрос: достаточно ли разрешить трафик по портам 80, 443 из нашей подсети на wsus старшей подсети и обратно для синхронизации и получения обновлений? или надо еще проброс портов делать? и необходимо ли указывать на шлюзе маску подсети в правилах?
Компьютеры в группе компьютеров автоматически проверяют обновления на сервере WSUS каждые 24 часа. Чтобы определить, были ли развернуты эти обновления на тестовых компьютерах, вы можете воспользоваться функцией отчетов WSUS. После успешного прохождения тестов утвердите обновления для соответствующей группы компьютеров в вашей организации. В следующем списке проверки описаны шаги по утверждению и развертыванию обновлений с помощью консоли управления WSUS.
| Задача | Описание |
|---|---|
| 3.1. Утверждение и развертывание обновлений WSUS | Утвердите и разверните обновления WSUS с помощью консоли управления WSUS. |
| 3.2. Настройка правил автоматического утверждения | Настройте службы WSUS для автоматического подтверждения установки обновлений для выбранных групп и утверждения изменения существующих обновлений. |
| 3.3. Просмотр установленных обновлений с помощью отчетов WSUS | Просмотрите установленные обновления, компьютеры, получившие эти обновления, и прочие сведения, с помощью функции отчетов WSUS. |
3.1. Утверждение и развертывание обновлений WSUS
Для утверждения и развертывания обновлений следуйте приведенным ниже инструкциям.
Утверждение и развертывание обновлений WSUS
В консоли администрирования WSUS щелкните Обновления. На правой панели отображается сводка о состоянии обновления для Всех обновлений, Критических обновлений, Обновлений безопасности и Обновлений WSUS.
В разделе Все обновления щелкните Необходимые обновления для компьютеров.
В списке обновлений выберите обновления, которые вы хотите утвердить для установки в вашей тестовой группе компьютеров. Сведения о выбранном обновлении отображаются в нижней области панели Обновления . Чтобы выбрать несколько обновлений подряд, нажмите и удерживайте клавишу SHIFT, щелкая мышью имена обновлений. Чтобы выбрать несколько непоследовательных обновлений, нажмите и удерживайте клавишу CTRL , щелкая мышью имена обновлений.
Щелкните правой кнопкой мыши выбранные обновления, а затем выберите команду Утвердить.
В диалоговом окне Утвердить обновления выберите тестовую группу, а затем нажмите стрелку вниз.
Щелкните Утверждено для установки, а затем нажмите кнопку ОК.
Откроется окно Ход одобрения , в котором будет отображаться процесс выполнения задач, связанных с одобрением обновлений. По завершении процесса утверждения нажмите кнопку Закрыть.
3.2. Настройка правил автоматического утверждения
Автоматические утверждения позволяют указать, как автоматически подтверждать установку обновлений для выбранных групп и как утверждать изменения существующих обновлений.
Настройка автоматических утверждений
В консоли администрирования WSUS в разделе Службы обновления разверните сервер WSUS и щелкните Параметры. Откроется окно Параметры .
В окне Параметры щелкните Автоматические утверждения. Откроется диалоговое окно "Автоматические утверждения".
В разделе Правила обновления нажмите кнопку Создать правило. Откроется диалоговое окно Добавление правила.
В окне Добавление правила в разделе Шаг 1. Выбор свойств выберите любой параметр или сочетание параметров:
Когда обновление затрагивает конкретный класс
Когда обновление затрагивает конкретный продукт
Установить крайний срок для утверждения
В разделе Шаг 2. Изменение свойств щелкните каждый из перечисленных параметров и выберите соответствующие значения для каждого из них.
В разделе Шаг 3. Выбор имени введите имя правила и щелкните ОК.
Нажмите ОК , чтобы закрыть диалоговое окно "Автоматические утверждения".
3.3. Просмотр установленных обновлений с помощью службы отчетов WSUS
Через 24 часа после утверждения обновлений с помощью функции отчетов WSUS вы можете определить, были ли обновления развернуты на компьютерах тестовой группы. Чтобы проверить состояние обновления, воспользуйтесь функцией отчетов WSUS следующим образом.
Обзор обновлений
В области переходов консоли администрирования WSUS выберите пункт Отчеты.
На странице Отчеты выберите Сводный отчет о состоянии обновлений . Откроется окно Отчет об обновлениях .
Чтобы отфильтровать список обновлений, выберите нужный критерий, например Учитывать обновления в следующих классах, а затем щелкните Выполнить отчет.
Отобразится окно Отчет об обновлениях . Для проверки состояния отдельных обновлений выберите обновление в левой части окна. В последнем разделе окна отчетов отображается сводный отчет о состоянии обновления.
Чтобы сохранить или распечатать этот отчет, щелкните соответствующий значок на панели инструментов.
После выполнения тестов обновлений вы можете утвердить обновления для установки в подходящей группе компьютеров в вашей организации.
Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication.
Execute Permissions: Scripts Only
Для selfupdate
Anonymous Access Enabled, Integrated Windows Authentication.
Execute Permissions: Scripts Only
Для content
Security: Anonymous Access Enabled.
Execute Permissions: none
Для корневого каталога в котором установлен wusu (например диск d: ) установите разрешения на чтение либо для users либо для NT Authority\Network Service (при установке не задаётся, уст. вручную)
В реестре для users установить права чтения на
\HKLM\Software\Microsoft\Update Services\Server
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
| В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ » |
Пользователь "АНОНИМНЫЙ ВХОД"?
| Для wsusadmin установить встроенуню аутентификацию windows Security: Integrated Windows Authentication. » |
Что это и где? Пользователь IWAM_SERVER?
| Для корневого каталога в котором установлен wusu (например диск d: ) » |
Где установлен ВСУС (диск C или лежат его файлы данных (у меня D:\WSUS
| В реестре для users установить права чтения на \HKLM\Software\Microsoft\Update Services\Server » |
| DnldMgr WARNING: Download job failed because of proxy auth or server auth. |
WSUS Client Diagnostics Tool
Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.4.7600.226. . . . . . . . . . . . PASS
This version is WSUS 2.0
Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Policy settings
A connection with the server could not be established
Press Enter to Complete
| Конфигурация компьютера | |
| Процессор: Intel Core i5 (660) | |
| Материнская плата: Gigabyte GA-P55-UD3L | |
| Память: 4 GBt | |
| HDD: WD3000HLHX + WD7500AARS | |
| Видеокарта: GT-220 | |
| Звук: Realtek | |
| CD/DVD: Pioneer DVD-RW DVR-219L | |
| Монитор: VieSonic VA2014w | |
| ОС: Win 7 Pro | |
| Индекс производительности Windows: 5.1 |
-------
Когда у тебя есть только молоток, все похоже на гвоздь
1) обновить на локальной машине на последнюю версию Windows Update Agent
2) стереть C:\WINDOWS\WindowsUpdate.log
3) запустить в командной строке wuauclt /detectnow
отписать что получилось в log файле.
| Цитата U-russia: В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ » Пользователь "АНОНИМНЫЙ ВХОД"? » |
вопрос интересный,
на 2008 наверное anonymouse athentication в соответствующей вкладке.
а для server2003 это похоже Anonymous Access Enabled в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control)
ксати там интересная приписка есть, что способ аутентификации определяется для случая запрета анонимного доступа или назначеных ограничения через NTFS ACL
| Цитата U-russia: разрешения на выполнение только для скриптов » Что это? "Выполнение"? » |
Execute Permissions: Scripts Only
это взято из статьи по ссылке, сам не понял где это ни на 2003 ни на 2008
| Цитата U-russia: Для wsusadmin установить встроенуню аутентификацию windows Security: Integrated Windows Authentication. » Что это и где? » |
надо поставить галочку напротив соответсвуещего способа
| Цитата U-russia: Для корневого каталога в котором установлен wusu (например диск d: ) » Где установлен ВСУС (диск C или лежат его файлы данных (у меня D:\WSUS » |
WSUSContent folder , т.е. (?):\WSUS\WSUSContent
(прочитайте пост выше про файлы на системном диске)
где это вам стретилось? имя пользователя может отличаться. это наверное пользователь который будет использован для обеспечения анонимного доступа, т.е. тот кто будет у вас указан в Anonymous Access Enabled, соответственно он должен существовать с соответсвующими разрешениями. Такой пользователь появляется автоматически, помоему при устанвек iis, но вы могли его случайно удалить..проверьте через AD(users and computers) для анонимного доступа должен быть IUSR_sever, а IWAM_server для запуска приложений
Я когда сам установил все разрешения и убрал другие, так консоль вообще "отвалилась" и обратно не хочет подключаться. : )
Это странным образом совпало с выходом wsus3sp2 (т.е. не RC), может типа время работы закончилось, хотя врятли сервак вроде в норме.
У вас какая версия?
| 1) обновить на локальной машине на последнюю версию Windows Update Agent » |
кстати как вы это делаете?
можно просто подключиться к MS (windowsupdate) и получить автоматически
но это неудобно, да и несовсем правильно.
я вот было решил сделать это вручную (ещё неправильней) - по логам определил необходимые файлы с отличными версиями, попробЫвал их подменить (часть из них защищена), но этого оказалось недостаточно, нашёл лог обновления агента, там много чего интересного. определил ещё часть файлов, но вцелом процедура инсталляции мне непонятна.
в процессе лог подключения к всус выдавал интересные ошибки.
это конечно кибершаманизм, но довольно занимательно.
вобщем я осознал, что не работает механизм selfupdate!
он отличен от "простых" обновлений, т.к. файлы обновления агента лежат в папке всус (путь можно отследить в iis - виртуальный путь для ветки selfupdate сайта wsus), т.к. обеспечение самообновления связан с расширением доступа к системному разделу, целесообразно эти файлы переместить, а путь изменить (щас уже не помню, но возможно есть какая-то опция где хранить эти файлы, возможно выбиралась при установке. )
Довольно долго статья об методиках и особенностях утверждения (одобрения) обновлений на сервере Windows Server Update Services (WSUS) у меня лежала в черновиках, и по настойчивым просьбам одного из постоянных подписчиках я решил ее закончить и опубликовать.
Одна из основных задач администратора WSUS является управление обновлениями, одобренными для установки на компьютерах и сервера Windows. Сервер WSUS после установки и настройки начинает регулярно скачивать обновления для выбранных продуктов с серверов Microsoft Update.
Целевые группы компьютеров WSUS
После того, как обновления попали в базу данных WSUS, они могут быть установлены на компьютеры. Но, прежде чем компьютеры начнут качать и ставить новые обновления, их должен одобрить (или отклонить) администратор WSUS. Важно иметь в виду, что в большинстве случаев перед установкой обновлений на продуктивные системы их нужно обязательно тестировать на нескольких типовых рабочих станциях и серверах.
Для организации процесса тестирования и установки обновления на компьютерах и серверах домена администратор WSUS должен создать группы компьютеров. В зависимости от задач бизнеса, типов рабочих мест пользователей и категорий серверов можно создавать различные группы компьютеров. В общем случае в консоли WSUS в разделе Computers -> All computers имеет смысл создать следующие группы на WSUS:
- Test_Srv_WSUS — группа с тестовыми серверами (некритичные для бизнеса сервера и выделенные сервера с тестовой средой, идентичной продуктивной);
- Test_Wks_WSUS — тестовые рабочие станции;
- Prod_Srv_WSUS — продуктивные сервера Windows;
- Prod_Wks_WSUS — все рабочие станции пользователей.
Данные группы компьютеров можно наполнить серверами вручную (обычно это имеет смысл для тестовых групп) либо вы можете привязать компьютеры и сервера к группам WSUS с помощью групповой политики Enable client-side targeting (Разрешить клиенту присоединение к целевой группе).
После того, как группы созданы, вы можете одобрить для них обновления. Есть два способа утверждения обновлений для установки на компьютерах: ручное и автоматическое обновление.
Ручное одобрение и установка обновлений через WSUS
Откройте консоль управления WSUS (Update Services) и выберите секцию Updates. В ней отображается результирующий отчет о доступных обновлениях. В этом разделе по-умолчанию присутствую 4 подраздела: All Updates, Critical Updates, Security Updates и WSUS Updates. Вы можете одобрить конкретное обновление к установке, найдя его в одном из этих разделов (вы можете воспользоваться поиском по имени KB в консоли поиска обновлений или номеру бюллетеня безопасности Microsoft), или же можно отсортировать обновления по дате выпуска, или номерам.
В появившемся окне выберите группу компьютеров WSUS, для которых нужно одобрить установку данного обновления (например, Test_Srv_WSUS). Выберите пункт Approve for Install. Можно одобрить обновление сразу для всех групп компьютеров, выбрав пункт All Computers, либо для каждой группы индивидуально. Например, сначала вы можете одобрить установку обновлений на группе тестовых компьютеров, а через 4-7 дней, если проблем не выявлено, одобрите установку обновления на все компьютеры.
Появится окошко с результатами процесса утверждения обновления. Если обновление успешно одобрено, появится надпись Success. Закройте это окно.
Как вы поняли, это ручная схема одобрения конкретных обновлений. Она достаточно трудоемка, т.к. каждое обновление нужно одобрять индивидуально. Если вы не хотите одобрять обновления вручную, вы можете создать правила автоматического одобрения обновлений (auto-approval).
Настройка правил автоматического одобрения обновлений на WSUS
Автоматическое одобрение позволяет сразу, без вмешательства администратора, одобрить новые обновления, которые появились на сервере WSUS и назначить их для установки на клиентов. Автоматическое одобрение обновлений WSUS основано на правилах одобрения.
В консоли управления WSUS откройте раздел Options и выберите Automatic Approvals.
В появившемся окне на вкладке Update Rules указано только одно правило с именем Default Automatic Approval Rule (по умолчанию оно отключено).
Чтобы создать новое правило, нажмите на кнопку New Rule.
Правило состоит из 3 шагов. Вам нужно выбрать необходимые свойства обновления, выбрать на какие группы компьютеров WSUS нужно одобрить обновление и имя правила.
Щелкая на каждую синюю ссылку, откроется соответствующее окно свойств.
Например, вы можете включить автоматическое одобрение обновлении безопасности для тестовых серверов. Для этого в секции Choose Update Classifications выберите пункт Critical Updates, Security Updates, Definition Updates (остальные галки снимите). Затем в диалоге Approve the update for выберите группу WSUS с именем Test_Srv_WSUS.
На вкладке Advanced вы можете выбрать, нужно ли автоматически одобрять обновления для самой службы WSUS и нужно ли дополнительно одобрять обновления, которые были изменены Microsoft. Обычно все галки на этой вкладке включены.
Теперь, когда в очередной второй вторник месяца ваш сервер WSUS закачает новые обновления (или при ручном импорте обновлений), они будут одобрены для автоматической установки на тестовой группе. Клиенты Windows по умолчанию выполняют сканирование новых обновлений на сервере WSUS каждые 22 часа. Чтобы критичные компьютеры получали новые обновления как можно скорее, вы можете изменить частоту таких синхронизаций с помощью политики Automatic Update detection frequency до нескольких часов (также вы можете выполнить сканирование обновлений вручную с помощью модуля PSWindowsUpdate). При большом количестве клиентов на сервере WSUS (более 2000 компьютеров), производительность сервера обновлений со стандартными настройками может оказаться недостаточной, поэтому ее необходимо оптимизировать (см. статью).
Отзыв установленных обновлений на WSUS
Если одно из одобренных обновлений оказалось проблемным и вызывает ошибки на компьютерах или серверах, администратор WSUS может его отозвать. Для этого нужно найти обновление в консоли WSUS и выбрать Decline. Затем укажите
Теперь выберите группу WSUS, для которой нужно отменить установку и выбрать Approved for Removal. Через некоторое время обновление будет удалено на клиенте (подробнее процесс описан в статье Способы удаления обновлений Windows.
Методика одобрения обновлений WSUS для продуктивных сред
После того, как вы установили и протестировали обновления на тестовых группах и убедились, что пробам нет (обычно на тестирование достаточно 3-6 дней), вы можете одобрить новые обновления для установки на продуктивные системы. Также нельзя автоматически утвердить обновления с некоторой задержкой (например, через 7 дней) на продуктивные системы.
К сожалению, консоль WSUS не представляет возможности скопировать все одобренные обновления из одной группы компьютеров WSUS в другую. Вы можете по одному искать новые обновления и вручную утверждать их для установки на продуктивнее группы серверов и компьютеров. Это довольно долго и утомительно.
Для себя я сделал небольшой PowerShell скрипт, который собирает список обновлений, одобренных для тестовой группы и автоматически одобряет все обнаруженные обновления на продуктивную группу (см. статью Копирование одобренных обновлений между группами WSUS). Теперь я запускаю этот скрипт через 7 дней после установки обновлений и тестирования обновлений на тестовых группах. Если среди патчей обнаружились проблемные, их необходимо отклонить на тестовой группе.
Читайте также: