WSUS - сервер экономии интернет-трафа, затрачиваемого на update Windows

 

Как уже известно, даже у нас в России, всеми любимая компания Мелкомягких выпускает обновления, патчи и всякую хрень, которая накатывается на Вынь, что способствует быть ей стабильной, быстрой, а самое главное безопасной. Но если компютер дома и он один, то протягивать обновления не так напряжно, тем более что траф инета все дешевеет и дешевеет. А вот если в локальной сети 374 компютера, то ужас.


На помощь спешит к Нам - Microsoft Windows Server Update Services (WSUS) - это такая штука, которая стягивает с сайта Мелкомягких, ту самую хрень, о которой говорилось выше - один раз, и потом питает ею все компютеры.

(дальнейшее верно для версии сервера обновлений WSUS, не ниже 3.0)


Перед запуском программы установки WSUS убедитесь, что предполагаемый сервер отвечает всем перечисленным требованиям:

1. Службы IIS
2. Background Intelligent Transfer Service (BITS) 2.0
3. Дистрибутивный пакет Microsoft .NET Framework версии 2.0
4. Консоль управления MMC 3.0 для Windows Server 2003
5. Компонент Microsoft Report Viewer

Чтобы установить IIS:

1. Откройте Панель управления.
2. Дважды щелкните значок Установка и удаление программ.
3. Нажмите кнопку Добавление и удаление компонентов Windows.
4. В списке Компоненты выберите Сервер приложений.
5. Нажмите кнопку Состав.
6. Установите флажок ASP.NET. Включите Сетевой доступ к COM+, и службы IIS будут выбраны автоматически.
7. Выберите Службы IIS и нажмите кнопку Состав, чтобы просмотреть список необязательных компонентов IIS.
8. Выберите все компоненты, которые необходимо установить.

Примечание. Дополнительный компонент Служба WWW включает важные вложенные компоненты, такие как Active Server Pages и Удаленное администрирование (HTML). Чтобы просмотреть и выбрать эти вложенные компоненты, выберите компонент Служба WWW и нажмите кнопку Состав. Нажимайте кнопку ОК до возвращения в окно мастера компонентов Windows. Нажмите кнопку Далее и завершите работу мастера.

Вывод: нужно дополнительно ставить компоненты ASP.NET, Active Server Pages и Удаленное администрирование (HTML).

Инсталляция сервера является не очень уж и сложной процедурою, можно производить ее ознакомившись с инструкциею - Пошаговое руководство по работе со службами Microsoft Windows Server Update Services 3.0.

Для того, что бы клиент зацепился, узнал о рождении сего чудного сервера – если нет контроллера домена Active Directory, одним из вариантов остается локальная настройка каждого компютера сети:

1. запуск Фоновой интеллектуальной службы передачи (BITS)

2. импорт reg-файла wsus_client.reg с настройками клиента, после чего в реестре должна появиться ветка

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate

с указанным там новоиспеченным сервером WSUS

3. запуск (перезапуск) службы Автоматическое обновление - net start (stop) wuauserv.

4. wuauclt.exe /resetauthorization /detectnow

Обнаружившегося клиента, засовываем в соответствующую, предварительно созданную, группу и забываем про него на некоторое время….после его отчета о состоянии – одобряем необходимые ему обновки.

То, что стало полезным при разворачивании WSUS на сети без контроллера домена Active Directory:

1. Рабочие станции не появляются в консоли WSUS – это связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или других программ для уникальной генерации SID. Такие рабочие станции могут иметь дублирующие значения SusClientID в реестре.


Для решения проблемы необходимо выполнить следующие шаги на рабочей станции:

наберите и выполните в консоли (cmd) команду net stop wuauserv, чтобы остановить сервис WSUS;

запустите regedit и перейдите в ветку реестра

HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate

удалите ключи:
PingID,
AccountDomainSid,
SusClientId;

в консоли выполните команду net start wuauserv, чтобы стартовать сервис WSUS;

в консоли выполните команду wuauclt.exe /resetauthorization /detectnow

и подождите минут 10, чтобы завершился цикл регистрации рабочей станции на сервере WSUS;

в консоли WSUS убедитесь, что рабочая станция успешно зарегистрировалась.

2. Одной из причин траблоф может являться не правильная (не соответствующая) версия клиента автоматического обновления на компютере, которому нужно тоже обновляться чрез WSUS, решение этому ручная установка необходимой версии клиента автоматического обновления (http://download.windowsupdate.com/windowsupdate/redist/standalone/7.0.6000.381/
windowsupdateagent30x86.exe) или %programfiles%Update ServicesSetupSelfupdate.msi (WindowsUpdateAgent30-x86.exe /wuforce).

3. Утелюги для тестирования как самого сервера, так и клиента, на предмет работоспособности:

WSUS Server Debug Tool.exe
WSUS Client Diagnostic Tool.exe

4. Описание ключей реестра, используемых в reg-файле настройки клиента

http://www.microsoft.com/technet/prodtechnol/winxppro/ru/maintain/sp2maint.mspx

или

Configure Automatic Updates in a Non–Active Directory Environment

Project Writer: WSUA Writer

In a non-Active Directory environment, you can configure Automatic Updates by using any of the following methods:
• Using Group Policy Object Editor and editing the Local Group Policy object
• Editing the registry directly by using the registry editor (Regedit.exe)
• Centrally deploying these registry entries by using System Policy in Windows NT 4.0 style

WSUS Environment Options

The registry entries for the WSUS environment options are located in the following subkey:

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdate

The keys and their value ranges are listed in the following table.

Windows Update Agent Environment Options Registry Keys

---------------

Automatic Update Configuration Options

The registry entries for the Automatic Update configuration options are located in the following subkey:

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsWindowsUpdateAU

The keys and their value ranges are listed in the following table.


Automatic Updates Configuration Registry Keys

--------------

http://technet2.microsoft.com/windowsserver/en/library/75ee9da8-0ffd-400c-b722-aeafdb68ceb31033.mspx?mfr=true

5. Значки у названий обновлений символизируют нам об:

- серый значок - физически нет на сервере
- синий - закачан
- - закачивается
- - по какой-то причине не может быть утвержден (просрочено, например)
- серые квадратики синий вверху - обновление заменяет существующие
- серый вверху, синий внизу - заменяется..
- воскл.знак в синем кружке - новая редакция уже существующего обновления

6. Что бы остановить (запустить) сервер WSUS – нужна соответственна net stop w3svc (net start)

7. What are the correct IIS and NTFS permissions for WSUS?

The permissions on the virtual server should have both anonymous access enabled, as well as Integrated Authentication.

The permissions on all of the virtual directories should only have anonymous access enabled, except 'WSUSAdmin', which should only have Integrated Authentication enabled, and 'selfupdate', which for some reason has anonymous and Integrated Authentication enabled.

I'm not yet sure of the reason for the requirement of IA on the selfupdate tree.

If you are installing WSUS on a Domain Controller, then all of the following permissions for "Administrators" should be "Domain Admins", and permissions for "Users" should be "Domain Users".


If you are using Windows 2000, the permissions for "Network Service" may be assigned to the SYSTEM account.

The permissions on the Program FilesUpdate Services folder should be

Full Control: SYSTEM, Administrators

Read/Read & Execute/List Folder Contents: IWAM_ComputerName, WSUS Administrators

These permissions should be inherited throughout the ~Update Services folder tree, with the exceptions noted below.

In addition, these subfolders of ~Update Services

administration

service

webservices

should also have:

Read/Read & Execute/List Folder Contents: NT AUTHORITYNetwork Service

The Common folder should have no inherited permissions and:

Full Control: SYSTEM

Read/Read & Execute/List Folder Contents: Users

The Logfiles folder should have no inhereited permissions and:

Full Control: SYSTEM, NetworkService, Administrators, and IWAM_ComputerName

The selfupdate folder should have no inheriited permissions and:

Full Control: SYSTEM, Administrators

Read/Read & Execute/List Folder Contents: Users

and these permissions should be inherited downward.

The webservices folder should have:

Inherited permissions for: Administrators, IWAM_ComputerName

Full Control: SYSTEM, Administrators

Read/Read & Execute/List Folder Contents: Authenticated Users, Users, NetworkService

The WSUS folder should have:

Full Control: SYSTEM, Administrators

Read/Read & Execute/List Folder Contents: Users, NetworkService

and these permissions should be inherited to WSUSWSUSContent, but not WSUSMSSQL$WSUS

The WSUSMSSQL$WSUS folder should have:

Full Control: Administrators inherited down the folder tree


То, что могло стать полезным при разворачивании WSUS на сети без контроллера домена Active Directory:

При возникновении проблем разного рода, связанных с инсталляцией или же процессом функционирования, можно попробовать проделать следующие весщи для решения бяк:

1. попробовать удалить параметра Security в этом ключике реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBITSSecurity

и произвести после сего манипуляцию рестарт компа - после этого комп сразу может появиться в списке обслуживаемых сервером WSUS.

2. Зарегистрируйте в Windows файл Wups2.dll. Чтобы зарегистрировать в Windows файл Wups2.dll, выполните указанные ниже действия.

1. Остановите службу автоматического обновления.

2. Зарегистрируйте файл Wups2.dll. Для этого выполните указанные ниже действия.

a. Введите в окне командной строки следующую команду и нажмите клавишу ВВОД: regsvr32 %windir%system32wups2.dll

Примечание. На компьютере с операционной системой Windows XP Professional x64 Edition введите следующую команду и нажмите клавишу ВВОД:

regsvr32 %windir%syswow64wups2.dll

b. Нажмите кнопку ОК в каждом сообщении с запросом подтверждения.

3. Запустите службу автоматического обновления.

4. Закройте окно командной строки. Для этого введите команду exit и нажмите клавишу ВВОД.

3. Если речь о клонированных Windows XP, то один из рецептов лечения:

код:

If you have multiple computers with this behavior, then you can add a logon script which can do the task automatically. Note this has to be done only once.

=============================================================

@echo off

Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following:

Echo 1. Stop the wuauserv service

Echo 2. Delete the AccountDomainSid registry key (if it exists)

Echo 3. Delete the PingID registry key (if it exists)

Echo 4. Delete the SusClientId registry key (if it exists)

Echo 5. Restart the wuauserv service

Echo 6. Resets the Authorization Cookie

Pause

@echo on

net stop wuauserv

REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f

REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f

REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f

net start wuauserv

wuauclt /resetauthorization /detectnow

Pause


=====================================================

These registry entries will be re-created at the next detection cycle.

4. Вопрос: Есть WS2003SE SP1 RUS + WSUS RUS. Подцепляю (с помощью реестровых настроек) к WSUS рабочую станцию, WSUS её замечает, рассказывает всё о ней, добавляю её в нужную мне группу, но она (рабочая станция) не отправляет отчёт о состоянии (!!!). На рабочей станции стоит Windows XP Professional SP2 RUS. В списке хостов (в WSUSе) слева от этой рабочей станции стоит (i) с хинтом "Этот компьютер ещё не отправлял отчёт о состоянии", а в закладке "Состояние" написано "Ошибка: агент не может обнаружить элементы. Причина: 0x8024400a".

Ответ: Нужно на компах, которые не могут отправить отчёт в командной строке выполнить следующее:

regsvr32 C:WINDOWSSystem32msxml.dll

regsvr32 C:WINDOWSSystem32msxml2.dll

regsvr32 C:WINDOWSSystem32msxml3.dll

regsvr32 C:WINDOWSSystem32msxml4.dll,

где C:WINDOWSSystem32 зависит от вас. Потом необходимо перезагрузить эти рабочие станции и выполнить в cmd это: wuauclt.exe /detectnow.

5. gpedit.msc – на windows 2000 не wuau.adm

Необходимо переписать wuau.adm c экспишек или с сервера WSUS на двухтысячные. Месторасположение: C:WINDOWSinf. После того, как перепишете в gpedit.msc появится соответствующая ветвь, а если не появится, то запустив оснастку gpedit.msc надо перейди "Политика "Локальный компьютер"" - "Конфигурация компьютера" - "Административные шаблоны" - правой кнопкой вызвать контекстное меню и выбрать "Добавление и удаление шаблонов..." - кнопка "Добавить..." - wuau.adm.

6. Вопрос: Как дать шанс клиентам из другой подсети, таскать обновления с сервера WSUS?

Ответ: Нужно указать клиентам 2-ой подсетки в качестве сервера обновления первый ip и прописать маршрут до него. Еще вариант - указать www-серверу на wsus-сервере слушать на всех ip-адресах или повесить на сетевую WSUS-сервера два IP на каждую подсеть свой, например: 195.208.168.2 и 195.208.169.2 в итоге WSUS-сервер будет виден всем без лишних телодвижений.

Как перенести WSUS с одной тачки на другую:

1. Бэкапим конфигурацию IIS

2. Выполняем команду wsusutil /export C:wsusexport.cab C:wsusexport.xml

3. Копируем каталог контента WsusContent с работающего сервера

И

4. Кладём каталог контента туда же, где он был

5. Устанавливаем WSUS

6. Делаем команду wsusutil /import C:wsusexport.cab

7. Ресторим конфигурацию IIS. В принципе, можно этого и не делать...

8. Синхронизируем WSUS с микрософтом

9. Расставляем одобрения

Примечание: Либо при бэкапе вместо экспорта БД можно просто сохранить файл самой БД, а после переустановки просто заменить им свежесозданный файл БД. Тогда ещё и одобрения сохранятся.

7. http://www.collewijn.info/wsus/main.php?page=hotfixinfo_enu.php

8. InstallSelfupdateOnPort80.vbs

9. Вытягивание обновлений из сервера WSUS, установленного с MSDE, в человеческом
виде.

Новый клиент WSUS работает только с установленным
"http://diksoft.5km.org/mdac_type.exe" [MDAC 2.8], от Microsoft, и обязательными
обновлениями KB911562 и KB927779 ( MDAC 2.8 SP1 + ) либо с Win2k3 SP2.

Ссылка на клиента - http://diksoft.5km.org/#client

Итак настройка сервера с wsus для вытягивания обновлений в человеческом виде:

1. Обязательно установить MDAC 2.8 SP1+

2. Сменить пароль на доступ к базе. (по умолчанию логин "sa", пароль "???")
менял программой EMS SQL Manager
(http://www.sqlmanager.net/products/mssql/manager). + при смене пароля для "sa"
указал ему базу по умолчанию "SUSDB" (стояла "master". Можно еще сменить пароль вот так: osql -U sa sp_password null, 'новый пароль', 'sa' go, но у меня не получилось!
!!!ВАЖНО!!! - Везде, где будете указывать сервер, указывайте "DNS имя
сервера"WSUS - иначе не будет видеться сервак!!! (например srvwsus)
3. Переводим сервер в MIXED MODE авторизацию.
HKLMSoftwareMicrosoftMSSqlserverMSSqlServerLoginMode=2
или если ставили через INSTANCE - HKLMSoftwareMicrosoftMicrosoft SQL
ServerINSTANCE_NAMEMSSQLServerLoginMode=2
4. Настраиваем сетевой сервис. svrnetcn.exe Разрешаем слушать TCP/IP

5.. Перезапускаем MSSQL + UPDATE SERVICES. Либо ребут.

6.. Запускаем клиента

Настройки:
ИМЯ СЕРВЕРА="DNS имя машины"wsus
БД=SUSDB
Нажимаем "Заполнить по базе SQL"
Логин "sa", пароль - тот что ввели в п.2

PSS: Не забудьте перед экспериментом сделать BackUP!!!

10. Bits GUI Admin 3.2.0.0 (size 955,257) - Графической оболочки администратора BITS.

http://soft.dw.com.ua - теперь проекты и их описание будут располагаться тут.

http://news.dw.com.ua/bitsguiadmin.rar - всегда последняя версия

http://news.dw.com.ua/bitsguiadmin-3.2.0.0.rar - текущая версия

11. iisreset.exe /ENABLE или iisreset.exe /RESET - http://support.microsoft.com/kb/555371/

12. В описании работы с wuauclt.exe (описание ключей командной строки) присутствует информация о том, что данная программа умеет выводить что-либо в ответ в консоль (например, ключи /configlist и /TestWSUSServer это прямо предполагают), либо в лог-файл.

Скачать сей замечательный продукт wsus 3.1 можно по адресу:

http://www.microsoft.com/downloads/details.aspx?FamilyId=F87B4C5E-4161-48AF-9FF8-A96993C688DF&displaylang=en

Почитать размышления чуваков о сем продукте можно на:

http://forum.ixbt.com/topic.cgi?id=7:19397

http://technet2.microsoft.com/WindowsServer/ru/Library/94d1385f-4872-4c29-8822-3a4ec5e45ae41049.mspx?mfr=true

Меню

Главная

Компьютерная помощь
Ремонт компьютеров
Ремонт ноутбуков
Ремонт планшетов
Ремонт apple
Веб-мастерская
Заправка картриджей

Веб-мастеру

HTML (1)
CSS (8)
Java Script (2)
PHP
XML (2)
DLE (2)
Joomla (17)
ModX (1)
WordPress
Drupal (1)

Сис-админу

Windows (18)
*nix (1)
Apple (1)

Контакты

Eduard L.
ICQ: 298-066-983
e-mail: edd15@mail.ru
skype: edduard36
tel: +7 (904) 214 82 20
подробнее


Панель управления

Not registered?