Если вы используете различные инструменты деплоя ОС из образов или имеете большое количество виртуальных машин, то наверняка замечали что далеко не все развернутые ОС отправляют отчет на сервер WSUS или вообще пропадают с сервера.
В этой статье я расскажу почему так происходит и как с этим бороться Предположим вы деплоите ваши рабочие станции из эталонного образа ОС или клонируете виртуальные машины из преднастроенного шаблона, скорее всего после или во время деплоя вы запускаете на них sysprep, но обнуляете ли вы SusClient >
Тут то и кроется корень проблемы, после клонирования у машин остается один и тот же SusClientId.
Посмотреть его можно в реестре, по следующему пути:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate
Значения которые нам нужны называются — SusClientId и SusClientIdValidation.
Данные значения должны быть уникальными на каждой машине, если это не так, то машины будут перерегистрироваться на WSUS затирая таким образом соседей с таким же SusClientId.
Чтобы это исправить нужно выполнить следующие команды:
WSUS на базе Windows Server 2012 и выше поддерживает возможность установки на Windows 10 не только обычных обновлений безопасности и исправлений, но и крупных пакетов обновлений (в терминологии Microsoft – апгрейдов). Но прямо из коробки этот функционал не работает, такие апгрейды (в концепции Windows 10 называются Redstone ) на клиенты просто не закачиваются. Разберемся в проблеме.
Во WSUS на Windows Server 2012 появился новый тип классов обновлений – Upgrades. Включается он в консоли WSUS в разделе Options ->Product and Classification -> вкладка Classification. Нас интересует опция Upgrades (если она не включена, не спешите ее включать!).
Если включить эту опцию, то сервер WSUS все равно не будет загружать апгрейды, выдавая при загрузке ошибку. Чтобы сервер WSUS начал скачивать пакеты апгрейдов, нужно на WSUS сервере установить отдельное обновление: KB 3095113 (https://support.microsoft.com/en-us/kb/3095113).
Примечание. Если у вас ранее уже была активирована классификация Upgrades и выполнялась синхронизация, после установки KB 3095113 придется провести очистку базы WSUS с помощью следующих PowerShell команд:
- Отключаем классификацию Upgrades Get-WsusClassification | Where-Object -FilterScript <$_.Classification.Title -Eq “Upgrades”>| Set-WsusClassification –Disable
- Удаляем из базы информацию об этик апгрейдах $wsus = Get-WsusServer
$wsus.SearchUpdates(“version 1511, 10586, 1607”) | foreach - Осталось включить классификацию Upgrades Get-WsusClassification | Where -FilterScript <$_.Classification.Title -Eq “Upgrades”>| Set-WsusClassification
- И повторно запустить синхронизацию. $sub = $s.GetSubscription()
$sub.StartSynchronization()
Но это еще не все, даже после установки KB 3095113 на сервере, пакеты апгрейдов на клиентах все равно не появляются. В журналах WindowsUpdate.log на ПК с Windows 10 появляется можно найти ошибку 0x80244019:
2016/08/24 15:32:36.3654849 1064 2660 DownloadManager BITS job <84234ABB-06CE-4251-941C-281B4424EB32>failed, update >
2016/08/24 15:33:36.3658125 1064 2660 DownloadManager Progress failure bytes total = 2659650046, bytes transferred = 18574952
2016/08/24 15:33:36.3845664 1064 2660 DownloadManager Error 0x80244019 occurred while downloading update; notifying dependent calls.
В логе видна попытка закачать файл ESD (новый формат распространения образа ОС), —7C/6F5CAF07827FAE0E37739F3222603EAF38808B7C.esd с сервера. Попробуйте открыть этот URL в браузере – появится ошибка 404. Дело в том, что этот тип файлов не разрешен в настройках IIS и его передача блокируется.
Чтобы разрешить серверу WSUS передавать ESD файлы, откройте консоль Internet Information Service (IIS) Manager, перейдите на сайт WSUS Administration и выберите каталог Content. В настройках IIS выберите раздел Mime Types.
Добавьте новый тип MIME (Add MIME type):
Расширение файла: .esd
Тип MIME: application/octet-stream
Совет. То же самое можно сделать командами:
cd %windir%system32inetsrv
appcmd set config /section:staticContent /+"[fileExtension=’.esd’,mimeType=’application/octet-stream’]"
Перезапустите службу IIS (iisreset) и выполните повторную синхронизацию на клиентах. Клиенты Windows 10 должны начать закачивать esd файлы и могут приступать к установке пакетов обновлений.
Здравствуйте.
На базе win server 2012 r2 развернут wsus который раздает обновления на домашние версии windows через реестр
в ветке HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate.
Win10 версии 1703 видны и обновляются, версии windows 10 1709 wsus уже не видит, как это победить?
Добавление MIME type .esd (application/octet-stream) в IIS не помогло, во всяком случае за 3 часа никаких изменений.