unassigned computers WSUS
 

Применил групповую политику ко всем компьютерам домена, с параметрами:

Configure Automatic Updates: Enabled
Configure automatic updating: 3 - Auto download and notify for install
Scheduled install day: 0 - Every day
Scheduled install time: 16:00


Intranet Microsoft update service location Enabled
Set the intranet update service for detecting updates: http://winserver
Set the intranet statistics server: http://winserver

GPO status: user configuration setting disabled

компьютеры появились в группе unassigned computers

в списках обновление выбираю обновления и одобряю их для всех компьютеров а также для группы unassigned computers

приходит время обновлений, клиенты не обновляются. даю проверку на обновлений, обновления приходят, но в списке нету некоторых обновлений из списка одобренных.


log windowsupdate клинта:
WSUS server: <NULL>
WSUS status server: <NULL>


где исправлять? куда смотерть?

DeepThroat,
Выполните на клиенте от имени администратора команду GPRESULT /H GPReport.html файл GPReport.html покажите.

если
если вы имеете ввиду строчку:

Applied GPO, то там объекта wsus нету
в Denied GPO также нету

Значит Ваша политика не применилась к данному компьютеру.

а есть другой способ применения политики к клиентам? может что-то неправильно сделал при создании и связиGPO?

кстати отчасти политика применилась, так как в компьютерах домена нет возможности изменения параметров обновления.

может в политике интранет нужно указать FQDN имя?

на клиентских компах, в ключах реестра прописались параметры политики, но компы как-то не появляются в всусе.. нет никаких решений по этому поводу?

DeepThroat,
Вывод команды netstat -an с сервера WSUS покажите.

netstat -an | more слишком много полей отображает, вас именно какой порт интересует?

кстати из всех 7 компов к которым применена GPO только один появился в всусе, да и не от всуса обновляется

Тогда так netstat -an | findstr 8530.

результат ничего не дал:(

Правильно что то я просмотрел что у Вас появились компьютеры в группе unassigned computers. У Вас все компьютеры находятся в одном OU или нет? Скрин политики WSUS из консоли управления групповыми политиками покажите?

да в одном OU. причем в этом же OU находится группа computers, и они являются членами этой группы.

untitled2.jpg это что-то новое... был только pc7
но все равно клиенты по этой политике не обновляются

что за ошибки с pc4, с чем это связано?

остальные 4 компа включил, появились в всусе... хотя это произошло только что... раньше были твкже включены и не появлялись... и во все компах GPO not applied

один такой вопрос... я так понимаю, что например если в общей сумме допущенных обновлений в всусе 200, то на клиенте именно эти 200 должны появится и обновится? ну исключая те, которые до применения политики были обновлены на клиенте, и входят в эти 200.. т.е лишних, не входящих в эти 200, обновления не должны появлятся на клиенте?

скрины не подлежат обсуждению?

Скрин покажите. У Вас политике указано что компьютер должен присоединиться к группе "Computers", а группа на сервере WSUS не создана.
Обычно при таком количестве обновлений они если и появятся все сразу то наврядли все сразу поставятся т.к. некоторые обновления требуют установки предыдущих.
Все зависит от настроек WSUS сервера.
Ошибка в том что клиент к серверу обратился но отчет о наличии установленных на нем обновлений не предоставил.

Т.е создать группу Computers в всусе, и компы из группы unassigned computers переместить в группу Computers?

под GPO not applied имеется, что результат gpresult /R на клиенте, в поле Applied Group Policy Objects нету данной примененной политики

Да создайте в WSUS группу Computers.
Консоль cmd запускали от имени Администратора?

создал группу Computers в WSUS. переместил компы в эту группу

не от имени админа..


результат от имени админа: INFO: The user "TEST\Administrator" does not have RSOP data.

насчет WSUS предоставил ошибочные обновления. я так понял такие поступившие обновления не стоит одобрять??

Зайдите на клиентский компьютер под учетной записью являющийся локальным администратором на данном компьютере. Запустите консоль cmd от имени Администратора (щелкаем правой клавишей мыши по ярлыку и выбираем в контестном меню пункт "Запуск от имени Администратора"). В консоле выполните gpresult /R. Ваша политика WSUS будет в списке Applied Group Policy Objects. Когда Вы запускаете консоль не от имени Администратора будут показыны политики применяемые к пользователю, а не к компьютеру. А политика WSUS применяется к компьютеру, а не к пользователю, поэтому ее и нет в поле Applied Group Policy Objects.
WSUS не предоставляет ошибочные обновления, он предоставляет только те обновления которые требуются клиенту и они для данного клиента одобрены.

а ну сразу бы и сказали что лакальным юзером логиниться надо :up

понятно..

в логе вин апдейта есть циклические поля типа: Misc WARNING: WinHttp: SendRequestUsingProxy failed for < http://172.16.1.2:8530/selfupdate/wuident.cab >. error 0x80072ee2

как бы из статьи по коду ошибки http://support.microsoft.com/kb/836941 понял, что клиенту не удается соединиться с всусом... вроде прокси есть, или какой-то файрволл. Но прокси нету, а файрволы - виндоусвские, включены.

Не обязательно локальным можно доменным но входящим в группу локальных администраторов.
Вывод команды netsh winhttp show proxy с проблемного клиента покажите.

а это как? после поднятия AD DS, локальный админ становиться доменным :confused:


Current WinHTTP proxy settings: Direct access <no proxy server>

Цитата:

Цитата DeepThroat а это как? после поднятия AD DS, локальный админ становиться доменным »

Нет, при введении компьютера в домен в локальную группу администраторов добавляется группа Domain Admins и следовательно пользователь входящий в группу Domain Admins становится администратором на любом компьютере являющимся членом домена.
В настройках IE прокси не прописан случаем?

спасибо


хотя и не трогал настройки IE, но навскякий проверил, нету прописанного прокси

Странно у Вас же WSUS на 80 порту, а тут клиент пытается получить доступ к WSUS на порту 8530, может к этому клиенту применяются еще какие то политики которые устанавливают адрес сервера WSUS? Что показывает вывод Wsus client diagnostics tool ?

других политик вроде бы нет для установления адреса всуса... ну раз на 80 порту, зачем этот 8530? да и на сервере всуса нетстат его не выдает...


WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS

GetFileVersion(szEngineDir,&susVersion) failed with hr=0x80070002

The system cannot find the file specified.




Это с клиента


WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is not running. PASS
Wuaueng.dll version 7.6.7600.256. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 4: Scheduled Install . . . . . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
WUServer = http://172.16.1.2:8530
WUStatusServer = http://172.16.1.2:8530
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

VerifyWUServerURL<> failed with hr=0x80072ee2
The operation timed out

похоже ничего нового не дал инструмент?

Если это с клиента то это откуда вывод:
На проблемном клиенте что за ошибки есть в журнале?

ну соответсвенно с сервера:)



в журнале: 1) Unable to connect: Windows is unable to connect to the automatic updates service and therefore cannot download and install updates according to the set schedule. Windows will continue to try to establish a connection.

2)Windows Update failed to check for updates with error 0x80072ee2. (периодично)

Ну соответственно вопрос, а групповую политику Вы к данному серверу применили?
На проблемном клиенте запустите cmd от имени Администратора и выполните gpresult /H GP.html и файл GP.html выложите.

.........

нет не применил, на сервере сам регулирую этот процесс...

DeepThroat,
В отчете у Вас:
Показывает что в политике WSUS у Вас заданы как раз такие параметры, проверьте еще раз саму политику. В отчете политика у Вас называется WSUS, а на предыдущих скринах она называлась WSUS Group Policy, ее переименовали или создали новую?

wsus group policy была удалена, взамен с теми же параметрами была создана wsus, и так же линкована к Computers(OU).

почему-то не думаю что тут дело в политике, а именно в всусе.. апдейт который я одобрил для компов, изначальна показывал статус крестик в красном кружочке... вот вы сказали что всус не дает ошибочные обновления, а этот момент как понять?

Так отчет показывает что у Вас неправильно указан адрес сервера WSUS в данной политике или Вы порт сменили на 8530?
Апдейт ничего не показывает, показывается состояние клиента сервера WSUS. Каждый конкретный случай появления данного извещения необходимо рассматривать отдельно, может сигнализировать что клиент не прислал своего состояния но чаще всего указывает но то, что при установке обновления произошла ошибка. А почему произошла ошибка необходимо уже смотреть в журнале на клиентском компьютере.

но если я не одобряю это обновление, то и клиент не пытается скачать его, с чего всус берет, что это обновление на клиенте должно дать ошибку при скачке?

адрес указан верно это точно, а насчет порта ничего в всусе не менял, не трогал

Покажите еще раз скрин настроек политики WSUS где указан адрес сервера WSUS.
Скрин ошибки покажите, а то мы видно о разных вещах говорим.

на счет порта 8530, так и не понял, вообще это машина, на котором всус, не должна его слушать???

заметил, что все клиенты, при ручной проверке обновления выдают этот же код ошибки :help:

Правильно, потому что у Вас изначально было настроено правильно, а сейчас Вы зачем то указали в политике адрес WSUS сервера с портом 8530 хотя WSUS у Вас работает на 80 порту. Уберите в политике порт 8530 и обновите политику на всех клиентах.

ну вот.... а на кой это 8530? зачем он нужен, если всус автоматом не его слушает?

но все таки-таки насчет этих красных кружков с крестиками непонятно, откуда взялись они в списке обновлениях всуса..

При установке WSUS Вы выбираете какой порт он будет слушать либо 80 либо 8530. Порт 8530 используется если 80 порт уже занят каким либо сервисом.

но как получается, 80 порт слушает веб сервер=> скрин

???

Если говорить по то что на скрине:
то там же написано что данное обновление заменяется другим обновлением, и следовательно оно уже не актуально.

и засчет этого именно эти 2 компа должны иметь такой статус и не менять его?

а ладно отклонил его и все прошло:)

большое спасибо, что понянчились:)

Они и будут иметь такой статус если на них установленно обновление которое заменяет то что Вы пытаетесь на него установить. Т.к. обновление одобрено оно будет ототбражаться в доступных для установки но при попытке установки будет ошибка и как следтсвие такой статус. Лучше одобрять те обновления которые имеют статус "Требуется", а не все подряд.