» Windows Server Update Services (WSUS & SUS), часть II

Теперь я Update Services удаляю, а вчера - WSUS...

Добавлено:
to ALL

Установка пошла... Но он мне сказал, что база плохая и создал новую... А 14 ГГб обновлений он подцепит или нет, если база новая?

Tempter
Таки поиск и внимательное чтение рулят
Если укажешь ту же папку, должен подцепить при одобрении обновления.

to PhoenixUA

Стоит... синхронизируется с M$

to ALL

Не подскажете, что это ==> IOException: Received an unexpected EOF or 0 bytes from the transport stream.
at System.Net.ConnectStream.Read(Byte[] buffer, Int32 offset, Int32 size)
at Microsoft.UpdateServices.ServerSync.ServerSyncCompressionProxy.GetWebResponse(WebRequest webRequest)
at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetUpdateData(Cookie cookie, UpdateIdentity[] updateIds)
at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.WebserviceGetUpdateData(UpdateIdentity[] updateIds, List`1 allMetadata, List`1 allFileUrls, Boolean isForConfig)
at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.GetUpdateDataInChunksAndImport(List`1 neededUpdates, List`1 allMetadata, List`1 allFileUrls, Boolean isConfigData)
at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect) за ошибка?

to in0x:
Спасибо за совет. Получилось не совсем то, что ты сказал, но процентов на 50 помогло .
Вопрос следующий: как сделать "В DNS делаем подмену au.download.windowsupdate.com на несуществующий комп". Через system32\drivers\etc\hosts не получилось.
В WindowsUpdate.log Виста понаписала следующее:
http://www.download.windowsupdate.com/msdownload/update/v3-19990518/cabpool/windows6.0-kb936825-x86-express_18bf60a11c298e67ee75e49088f3e23d890a0936.cab. Непонятный набор символов как оказалось и есть хэш. Проблема в том что ни одного обновления express на серваке Всуса нету, это настройки Всуса такие??? или надо искать где-то еще?

to romsn111

Да... На WSUS-е должна стоять галка в "Продуктах и Классах" Windows Ultimate Extras. А так же должна стоять галка в "Продуктах и Классах" Windows Vista Dinamic Installer

Народ, прошу прощения, если повторяюсь с вопросом, совсем нету времени читать форум, а сделать нужно было уже вчера, подскажите плиз, как можно быстро прописать на клиентской машине адрес обновления через локальный сервис. Например reg файл нужно делать или что-то ещё?? ткните пожалуйста Заранее спасибо!!!

romsn111
пропиши адрес в C:\Windows\System32\drivers\etc\lmhosts
не забудь сделать ipconfig /flushdns и проверить потом nslookup au.download.windowdupdate.com, который должен указать на локальный комп.
Не советую качать экспресс установку, т.к. на много увеличивает траф(см. хелп). Если не качает - то значит нет такого файла - скачай его сам хоть через filepost.ru и вручную подсунь в папку обновлений.
MikeDo
Если домен - через групповую политику, иначе:#
[more]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://адрес_сервера"
"WUStatusServer"="http://адрес_сервера"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000a
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RescheduleWaitTime"=dword:0000000a

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update]
"SelfUpdServer"="http://адрес_сервера/SelfUpdate/CUN5_4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update\Critical Update SelfUpdate]
"SelfUpdServer"="http://адрес_сервера/SelfUpdate/CUN5_4"
[/more]
Tempter
Не в тему. Речь идет об фальсификации адресов автообновления винды.
PS: Кто может обновить FAQ: (http://forum.ru-board.com/topic.cgi?forum=8&topic=14937&start=0&limit=1&m=1#1)
Q. Возможно ли добавить в базу WSUS уже скаченные апдейты?
A. всунуть апдейт в папку wsuscontent в соотвествии с _Q. По какому принцыпу WSUS именует апдейты?, а потом просто заново повторить загрузку файла(если он уже не загружен)

сорри за глупый вопрос.
Ставлю wsus с нуля. На машинах XP SP2 и 2003 R2
начиная с какого обновления одобрять установку апдейтов? Качать лишние не очень хочется

AYM1
Вначале одобряешь только для обнаружения, а потом для установки только те, которые будут нужны клиентам.

AYM1
Корректней будет вообще убрать все автоодобрения, оставить только к примеру критические обновления для Windows XP и нужный язык. Затем синхронизироваться чтобы получить полный список продуктов и видов обновлений, а уж затем окончательно настроить что когда качать и автоматически одабривать.

прошу прощения возможно такой вопрос уже был задан...возможно ли настроить и управлять SUS на контролере домена?дело в том чтобы получить допуск к админ-странице SUS нужно обладать правами ЛОКАЛЬНОГО админа,возможно ли как-то это обойти?и как?

cbh1
Как в третьем не знаю, а во втором:

Цитата:

If users do not have appropriate permissions for the WSUS console, they receive an "access denied" message when trying to access the WSUS console. You must be a member of the Administrators group or the WSUS Administrators group on the server on which WSUS is installed in order to use the WSUS console.

Note
If WSUS is installed on a domain controller, only a member of the Domain Administrator group can use the WSUS console.

PhoenixUA


так я и есть админ домена на всякий по я всем дал супер права и перепроверил...может где-то в IIS надо покопаться?или Active directory sites?да, у меня 1.0 стоит

...
удалил - все работает

В какой класс входит "средство удаления вредоносных программ"?

Добавлено:
Проблему с загрузкой проца svchost.exe кто-нибудь решил уже?

На днях вышло обновление для Visual Studio 2005
VS80sp1-KB937061-X86.exe
WSUS его закачал. Клиенты его устанавливают, но потом сразу в списке доступных обновлений выводится это же обновление. И так до бесконечности Установка заканчивается удачно. Пробовал просто ручками запускать VS80sp1-KB937061-X86.exe - все нормально. Но из списка доступных обновлений это обновление не пропадает
В чем может быть дело?

Labutin
Попробуй загрузить его на проблемных компах под админской учеткой и поставить тоже под ней. Не помню с каким обновлением, но тоже была похожая проблема, вижу, что оно уже встало под каким-то пользователем на комп, в удалении программ присутствует, но WSUS упорно пытается его втолкнуть и в отчетах пишет, что не установлено.

В списке обновлений на против кажного стоит ! знак....
при одобрении говорит "Файлы для этого обновления ещё не загружены. Его можно одобрить, но оно станет доступно клиентским компьютерам только после завершения загрузки." одобряю... а загрузить чтобы энто что недо сделать?

hello could you help me....

Всем привет. Вопрос следующего характера:
Wsus сервер стоит за керио фаерволом. На сервере так же работают пользователи терминалом. Аутентификация по пользователю. Т.е. нельзя просто подрубить машину к инету - иначе пользовательский трафик через сервер учитываться не будет.
Самое умное что придумал - запретить интернет трафик в керио до этого сервера, а разрешить только по http и https на узел update.microsoft.com
Но вот ведь в чем проблема! Судя по наблюением сус долбиться на разные адреса и это правило не срабатывает.
Подскажите, как быть в этой ситуации?
Где-нить можно взять список серверов, на которые сус долбиться? Или как-то умнее это сделать?

pevt
вопрос по сути в тему по керио.
в последних версиях керио есть галка
на вклаке user-authentication - enable non-transparent user authentication или сделать правило
на http://*.microsoft.com/*, https://*.microsoft.com/* а в настройках пользователей(internet explorer) сделать узел запретным например. вобщем запретить через политики способов много.

pevt
WSUS умеет ходить в инет через прокси и аутентифицироваться на прокси. Ну вот и пустите его в инет по логину/паролю через прокси...

Цитата:

вопрос по сути в тему по керио.
в последних версиях керио есть галка
на вклаке user-authentication - enable non-transparent user authentication

Это я так понимаю автологон? Он не подходит. Если машина в керио залогинилась, то ей все равно надо ограничения ставить, чтоб пользователи, работающие на ней не могли лезть в инет.




Цитата:

или сделать правило
на http://*.microsoft.com/*, https://*.microsoft.com/* а в настройках пользователей(internet explorer) сделать узел запретным например. вобщем запретить через политики способов много.

Попробовал это правило. Т.е. по http и https разрешил ходить *.microsoft с этой машины, не синхронизируется все равно. Лезет на какие-то ip-шники, причем каждый раз на разные.
С каспером так прокатило на ура. Прописал 3 сервера для него, он и обновляется нормально теперь... А этот сус....
Через политики не хочется. Уж больно сложная система получиться, если что придеться менять. Сам запутаюсь. В идеале знать бы список серверов для суса...

pevt
Попробуй разрешить следующие серера (согласно nslookup):
Addresses: 84.53.146.8, 84.53.146.74, 84.53.146.82
Aliases: au.download.windowsupdate.com
audownload.windowsupdate.nsatc.net, lbtest.au.dl.wu.akadns.net
au.download.windowsupdate.com.edgesuite.net
buldozzer
С Kerio не прокатит - программа не любит терминальные сервера и все обращение к инету будут списываться на последнего авторизированного пользователя пока он не отключиться.

catmaster
после одобрения само грузиться будет... в нтеллектуальном режиме

in0x
Но ведь автор пишет что у него народ на терминалах в инете работает... Значит отрабатывает это как-то? Ладно, я с керио вообще не знаком, настаивать не буду.
Вдруг завтра MS сменит IP адреса серверов обновлений и начнем голову ломать - чтож не работает то...

in0x

Цитата:

Попробуй разрешить следующие серера (согласно nslookup):
Addresses: 84.53.146.8, 84.53.146.74, 84.53.146.82
Aliases: au.download.windowsupdate.com
audownload.windowsupdate.nsatc.net, lbtest.au.dl.wu.akadns.net
au.download.windowsupdate.com.edgesuite.net

Попробовал. Добавил еще 207.46.20.252 и 65.55.192.93. Подсмотрел эти адреса tcpviewer'ом.

Вроде как заработало. Но, по-моему, это не правильный выход. А что если завтра айпишники сменяться на мыксрософтских серверах .
У нас как назло днс нашего провайдера аипишники не резолвит...По имени думаю еще приемлимый вариант...

Вообщем всем спасибо. Пока работает. А позже может и найду это список имен.

pevt
Это если, бывает очень редко. Тем более у такого ресурса.

cbh1

Цитата:

озможно ли настроить и управлять SUS на контролере домена?дело в том чтобы получить допуск к админ-странице SUS нужно обладать правами ЛОКАЛЬНОГО админа,возможно ли как-то это обойти?и как?

У меня на контроллере домена стоял и SUS 1.0, и WSUS 2.0 сейчас стоит - никаких проблем с доступом к админ-странице SUS не было.