WSUS не скачивает обновления
 

Здравствуйте!

Сервер: Windows Server 2003 R2, SP2.
Два клиента: Windows XP.

На сервере нормально установил WSUS 3.0. Клиенты настроил соответствующим образом.
WSUS клиентов видит ("Неназначенные компьютеры").
Обновления одобрил.
В консоли жму "Синхронизировать сейчас". Идёт синхронизация. Проходит несколько секунд. Результаты последней синхронизации - "Успешно выполнена".
Но файлы обновления не закачиваются!
В логах клиентов попытки упдейта с сообщениями типа:
В журнале Windows вижу ошибки:
и
Такое ощущение, что что-то с правами доступа к папке WSUS'а. Помогите, пожалуйста, разобраться!

Благодарю заранее!

проверка настроек wsus
http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx
В настройках IIS для всех каталогов кроме wsusadmin, selfupdate, content разрешить анонимный доступ и разрешения на выполнение только для скриптов
Security: Anonymous Access Enabled.
Execute Permissions: Scripts Only

Для wsusadmin установить встроенуню аутентификацию windows
Security: Integrated Windows Authentication.
Execute Permissions: Scripts Only


Для selfupdate
Anonymous Access Enabled, Integrated Windows Authentication.
Execute Permissions: Scripts Only

Для content
Security: Anonymous Access Enabled.
Execute Permissions: none

Для корневого каталога в котором установлен wusu (например диск d: ) установите разрешения на чтение либо для users либо для NT Authority\Network Service (при установке не задаётся, уст. вручную)

\WSUS\WSUSContent должен иметь полный доступ для NT Authority\Network Service
(Для корректного отображения ещё для этих каталогов
# <%windir%>\Microsoft .NET\Framework\v1.1.4322\Temporary ASP.NET Files
# <%windir%>\Temp
)

В реестре для users установить права чтения на
\HKLM\Software\Microsoft\Update Services\Server

Для
# ASP.NET
# Network Service (for Windows Server 2003)
# WSUS Administrators
полный доступ к
\HKLM\Software\Microsoft\Update Services\Server\Setup

Пользователь "АНОНИМНЫЙ ВХОД"?

Что это? "Выполнение"?

Что это и где? Пользователь IWAM_SERVER?

Где установлен ВСУС (диск C:) или лежат его файлы данных (у меня D:\WSUS

)?

Сделано.

Сделано.

Сделано.

Что это значит?

Теперь клиенты обновляются, но не все обновления скачиваются с сервера почему-то...

clientdiag.exe что пишет когда запустить на локальной машине?

WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.4.7600.226. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
WUServer = http://Server:8530
WUStatusServer = http://Server:8530
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS
Connection to server. . . . . . . . . . . . . . . . . . PASS

WinHttpDownloadFileToMemory(szURLDest, NULL, 0, NULL, NULL, NULL, &downloadBuffe
r) failed with hr=0x80072efd

A connection with the server could not be established


Press Enter to Complete

А вот это почему? У меня ведь третья версия ВСУСа...

Я так понимаю, что это версия локальной библиотеки (dll) системы обновлений.
Посмотри на microsoft'e

как вариант куда можно покопать...
1) обновить на локальной машине на последнюю версию Windows Update Agent
2) стереть C:\WINDOWS\WindowsUpdate.log
3) запустить в командной строке wuauclt /detectnow
отписать что получилось в log файле.

вопрос интересный,
на 2008 наверное anonymouse athentication в соответствующей вкладке...
а для server2003 это похоже Anonymous Access Enabled в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control)

ксати там интересная приписка есть, что способ аутентификации определяется для случая запрета анонимного доступа или назначеных ограничения через NTFS ACL

Execute Permissions: Scripts Only
это взято из статьи по ссылке, сам не понял где это ни на 2003 ни на 2008

для server2003 в свойствах папки(properties)>безопасность (directory security)> аутентификация и контроль доступа (authentication and access control) кнопка edit...
надо поставить галочку напротив соответсвуещего способа
WSUSContent folder , т.е. (?):\WSUS\WSUSContent
(прочитайте пост выше про файлы на системном диске)

где это вам стретилось? имя пользователя может отличаться...это наверное пользователь который будет использован для обеспечения анонимного доступа, т.е. тот кто будет у вас указан в Anonymous Access Enabled, соответственно он должен существовать с соответсвующими разрешениями. Такой пользователь появляется автоматически, помоему при устанвек iis, но вы могли его случайно удалить..проверьте через AD(users and computers) для анонимного доступа должен быть IUSR_sever, а IWAM_server для запуска приложений


Я когда сам установил все разрешения и убрал другие, так консоль вообще "отвалилась" и обратно не хочет подключаться... : )
Это странным образом совпало с выходом wsus3sp2 (т.е. не RC), может типа время работы закончилось, хотя врятли сервак вроде в норме...
У вас какая версия?

кстати как вы это делаете?

можно просто подключиться к MS (windowsupdate) и получить автоматически

но это неудобно, да и несовсем правильно...

я вот было решил сделать это вручную (ещё неправильней) - по логам определил необходимые файлы с отличными версиями, попробЫвал их подменить (часть из них защищена), но этого оказалось недостаточно, нашёл лог обновления агента, там много чего интересного...определил ещё часть файлов, но вцелом процедура инсталляции мне непонятна...
в процессе лог подключения к всус выдавал интересные ошибки....

это конечно кибершаманизм, но довольно занимательно...

вобщем я осознал, что не работает механизм selfupdate!
он отличен от "простых" обновлений, т.к. файлы обновления агента лежат в папке всус (путь можно отследить в iis - виртуальный путь для ветки selfupdate сайта wsus), т.к. обеспечение самообновления связан с расширением доступа к системному разделу, целесообразно эти файлы переместить, а путь изменить (щас уже не помню, но возможно есть какая-то опция где хранить эти файлы, возможно выбиралась при установке...)

можно погуглить, а лучше поtechnetить напредмет неработающего selfupdate

по тому как описано тут в вики

Обновил.

Не стирается, видимо надо как-то службу остановить...

Выгрыз, что записалось.

Лог

Не нашёл где описано.
Пришлось в другом месте искать.

Самое интересное, что обновки ставятся выборочно: т. е., некоторые ставятся, некоторые нет - ошибки...

на какие именно ошибки? одобрения на сервере есть на обновления?

можно просто стереть содержимое..

в логе вобщем-то одна ошибка
0×8024001b -2145124325 WU_E_SELFUPDATE_IN_PROGRESS self-update in progress
касается того, что агент всётаки был не последней версии
это видно и в полях сравнения файлов
но процедура самообновления сработала и всё успешно обновилось, т.ч. теперь я думаю этой ошибки не будет

Коллеги, давайте уже составлят FAQ я бы наверно первым пунктом включил туда ключ /resetauthorization
т.е. когда вы пишете просто wuauclt /detectnow, то можете "напороться" на кэш, т.к. WSUS тотже WEB САЙТ

Found 0 cached featured updates
(помоему то очем я говорил)

wuauclt /detectnow /resetauthorization как раз сбрасывает кэш для клиента, т.е. после обновления вы сразу не получите другие(если они есть), а только по прошествии опр-ого времени...с ресетом можно обновиться пополной за несколько запросов подряд...
в вики так и написано...

А вот про перенос с одного сервера на другой стать немного устарела, т.к. касается миграции с SUS на WSUS, но принцип работает, только вот некоторых ключей уже нет (например approvals)

кстати, статья из которой я брал установки разрешений имеет новую версию для wsus3.0sp2
http://technet.microsoft.com/en-us/l...8WS.10%29.aspx
В данном случае предлагают "юниксовый" метод работы - через командную строку
Комда cacls отображает или модифицирует список контроля доступа к файлам и деррикториям
f - полный доступ
r- только чтение
w- разрешение на запись
n- нет доступа
Наследуют ли эти разрешения поддирректории определяют по ключам
OI - дирректория и файлы в ней
CI - дирректория и поддирректории
IO - не применяются

WSUSInstallDir Дерриктория куда был установлен WSUS (например (disk):\Program Files\Update Services\)
# WSUSInstallDir\WebServices\apiremoting30

# WSUSInstallDir\WebServices\clientwebservice

# WSUSInstallDir\WebServices\dssauthwebservice

# WSUSInstallDir\WebServices\reportingwebservice

# WSUSInstallDir\WebServices\serversyncwebservice

# WSUSInstallDir\WebServices\simpleauthwebservice

# WSUSInstallDir\Inventory

# WSUSInstallDir\Selfupdate
Для всех этих папок(кроме self-update) их файлов и поддирректорий доступ на чтения для
# NT AUTHORITY\NETWORK SERVICE

# BUILTIN\Users (Встроенная группа пользователей)

# NT AUTHORITY\Authenticated Users (прошедшие аутентификацию)

Для self-update доступ её файлов и поддирректорий доступ на чтение только для
BUILTIN\Users

Для всех этих папок их файлов и поддирректорий полный доступ для
# BUILTIN\Administrators (Встроенная группа администраторов)

# NT AUTHORITY\SYSTEM

Разрешения устанавливаемые в процессе инсталляции:
группы Users и WSUS Reporters доступ на чтение к ключу реестра \HKLM\Software\Microsoft\Update Services\Server

Полный доступ для ключа \HKLM\Software\Microsoft\Update Services\Server\Setup
имеют группы
# Network Service

# WSUS Administrators

# Administrators

# System

Если посмотреть help к самой cacls, то
oi - для файлов (т.е. не для дирректорий)
Есть и ещё один ключ
ID - наследуется от родительской дирректории

понадобится так же ключ /G user:perm - назначает указанному пользователю права доступа
или /p user:perm - заменяет указанному пользователю права доступа

(есть и другие интересные ключики)

На тестовом сервере напрмиер разрешения на Inventory такие же как для selfupdate, а не для всех..

\HKLM\Software\Microsoft\Update Services\Server
не имеет разрешений чтения для users
но такие же разрешения для остальных групп как и
\HKLM\Software\Microsoft\Update Services\Server\Setup

Да, всё одобрил.
А если не одобрено, то должны ли быть ошибки?

Если не одобрено то не будет установки, соотв. и ошибок.
Ошибки бывали но со второго раза устанавливалось...
Ошибки повторяются?
В журнале наверняка есть доп. информация...

Что вот это значит?

И ещё много всяких предупреждений...

Вот такие ошибки в логе нашёл:
0x800710dd
0x80190191
0x80244017

И сам лог: http://file.qip.ru/file/101881718/29ffad40/WUC_log.html

Странно, обновлял я его!
А почему утилита диагностики вываливается с ошибкой?

Не работает :(

Не совсем понял как это работает... но не помогло.

да всё впорядке с агентом
Update is not required

0×80190191 -2145844847 BG_E_HTTP_ERROR_401 The requested resource requires user authentication.
0×80244017 -2145107945 SUS_E_PT_HTTP_STATUS_DENIED Http status 401 - access denied


0x800710dd такой почемуто нет у меня, надо в нете искать, а щас нет времени....


проверьте разрешения на доступ как через iis так и NTFS, если разрешения выданы, проверьте что компьютер в соответствующей группе. Если разрешения выданы на папку, проверьте непосредственно те файла к которым нет доступа....

Как это сделать?

Имеется в виду рабочая группа для локальной сети?

здесь описание http://www.wikiznanie.ru/ru-wz/index...BD%D0%B8%D0%B5
в 10 посте этой темы почитайте...
тут обсуждалось http://social.technet.microsoft.com/...3-16c910104a07
включена ли на сервере служба Update Services?
проверьте как указано в посте "включить админа в анонимус"...