Windows Server 2016 não atualiza através do WSUS

Navegue suas respostas
6

Temos um servidor WSUS em execução no Windows Server 2016. O WSUS detecta e envia atualizações para todos os sistemas, incluindo os servidores de 2012. O WSUS detectará, mas não enviará atualizações para nenhum dos servidores de 2016.

Mostra 0 atualizações necessárias, todas as atualizações mostram "instalado ou não aplicável". Estas são novas instalações de servidores, elas foram instaladas diretamente de uma imagem de disco criada em novembro do ano passado.

Se eu gerar um relatório em um dos servidores e definir o filtro de produto como "Windows Server 2016", receberei 31 atualizações instaladas ou não aplicáveis.

Todas as 31 atualizações estão configuradas para aprovação "Instalar". O status de todos eles é "Não aplicável". Eles são atualizações críticas e atualizações de segurança.

Eu passei manualmente pelas atualizações instaladas em um dos servidores em questão e verifiquei que essas atualizações "Não aplicável" não estão instaladas.

Todos esses servidores são instalações novas e estão em uma unidade organizacional que os impedem de se reiniciar após uma instalação de atualização e eu sou o único que os reinicia manualmente. Desde que eles foram instalados, eles receberam 0 atualizações. Tenho dificuldade em acreditar que existem 0 atualizações aplicáveis para uma nova instalação do Windows Server 2016.

Eu assegurei que o BITS e os serviços do Windows Update estão sendo executados. Eu executei o wuauclt / reportnow e wuauclt / detectnow. Não parece fazer nada. Eu executei o assistente de limpeza para negar e remover todas as atualizações substituídas. Eu verifiquei que as máquinas estão nos grupos corretos no AD e no WSUS. Eu verifiquei no registro nas máquinas afetadas que eles estão apontando para o servidor WSUS e ele pode ser pingado. O cliente pode ser pingado do servidor do WSUS. Não há firewall ou bloqueador de porta ou qualquer coisa assim. Eu criei uma instalação de servidor 2016 completamente nova com absolutamente nada instalado nela; sem papéis, sem firewalls sem scanner de vírus, nada, apenas um servidor em branco e tentou forçá-lo a se conectar. O WSUS detecta que o servidor existe, mas é sobre isso.

Todos os outros sistemas operacionais funcionam bem, são apenas os servidores de 2016 que apresentam esse problema. É definitivamente um problema no servidor do WSUS; se eu entrar no registro e alterá-lo de volta para o servidor da Microsoft, ele encontrará atualizações.

Alguém tem alguma idéia do que pode estar causando o problema e como corrigi-lo?

Obrigado.

EDITAR - ATUALIZAR: Ainda com problemas. Tentei instalar um segundo servidor WSUS 2016, mesmo problema, apenas com os servidores de 2016.

Eu até tentei instalar o servidor 2019 (embora eu não ache que haja diferenças ...). Nenhuma diferença.

Eu até excluí a Política de Grupo. Eu coloquei um servidor de teste 2016 sozinho em uma unidade organizacional com herança bloqueada. O único GPO que eu vinculei foi a configuração do servidor WSUS que apontava para o servidor 2019. A máquina não está recebendo nenhuma outra política. Não há nem mesmo um antivírus ou firewall configurado no servidor do teste 2016, eles estão no mesmo segmento.

Estamos convertendo mais e mais de nossos servidores de 2012 para 2016, o que significa que isso é mais e mais um problema, pois NENHUM deles obterá atualizações do WSUS ... Por mais que eu não queira, eu sou vai ter que ligar para a Microsoft ...

    
por Redwizard000 23.06.2017 / 23:39

6 respostas

2

Ok, depois de passar 3 semanas com o departamento de suporte técnico da Microsoft, resolvemos o problema.

O problema é com o Dual Scan tentando se conectar ao Windows Update (online) e falhar. Quando falha, o sistema simplesmente pára de tentar e se recusa a se conectar ao WSUS.

O problema adicional é que a mídia de instalação do servidor apresenta um bug que impede a troca do Dual Scan. Ele apenas ignora a política e mantém a atualização padrão do Windows Update.

Aqui está o que você precisa fazer para corrigir: Execute os seguintes comandos no Powershell no servidor ofensivo 

$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
$MUSM.Services | select Name, IsDefaultAUService

Você receberá algo assim: 

Windows Update Standalone Installer - False   
Windows Server Update Service - False   
Windows Update - True

Se ele diz "Windows Update - True", essa é a sua fonte padrão, não importa o que seu GPO diga ...

A primeira coisa que você precisa fazer é verificar se os seguintes patches estão instalados no seu servidor.

kb4103720 e kb4462928

Você precisa deles ambos. Ambos são enormes, ambos levam uma eternidade e um dia para serem instalados e ambos exigem uma reinicialização do servidor.

Esses KBs corrigem o problema de verificação dupla para que o servidor responda ao GPO informando qual fonte padrão usar.

Agora você precisa configurar a Diretiva de Grupo para informar ao servidor para usar somente o servidor WSUS. Por Microsoft estas são as configurações necessárias (estou em dúvida sobre algumas delas, mas eu não testei cada uma delas ... Estou feliz que a coisa esteja finalmente funcionando)

Configuração do computador > Políticas > Modelos Administrativos > Sistema > Instalação de dispositivos

Especifique o servidor de pesquisa para os locais de origem do driver de dispositivo 

Set to "Enabled"  
Select search order: "Do not search Windows Update"

Especifique o servidor de pesquisa para atualizações de driver de dispositivo 

Set to "Enabled"  
Select Update Server: "Search Managed Server"

Configuração do computador > Políticas > Modelos Administrativos > Sistema > Gerenciamento de comunicação da Internet > Configurações de comunicação da Internet

Desativar o acesso a todos os recursos do Windows Update (no Microsoftspeak, isso significa que o servidor on-line não é "feito assim, não é possível obter atualizações") 

Set to "Enabled"

Desativar o acesso à loja 

Set to "Enabled"

Configuração do computador > Políticas > Modelos Administrativos > Componentes do Windows > Windows Update

Não permita que políticas de adiamento de atualizações causem verificações no Windows Update 

Set to "Enabled"

Nenhuma reinicialização automática com usuários conectados para instalações de atualizações automáticas agendadas 

Set to "Enabled"

Especifique o local do serviço de atualização da Microsoft na intranet 

Set to "Enabled"  
Set the intranet update service for detecting updates: "http://[YOUR SERVER]:8530"  
Set the intranet statistics server:"http://[YOUR SERVER]:8530"  
Set the alternate download server: "http://[YOUR SERVER]:8530"  
Uncheck the box Download files with no Url in the metadata if alternate download server is set

Mova seus servidores para uma unidade organizacional com esse GPO ativado. Eu criei uma OU separada em minha OU de Servidores apenas para o servidor de 2016 e vinculei esse GPO a ela.

Execute os comandos do powershell acima novamente.

Agora deve dizer 

 Name                                   IsDefaultAUService    
-------                                 --------------------------  
Windows Server Update Service              True  
Windows Update                             False

Se você obtiver "Serviço de atualização do Windows Server" como "Verdadeiro", isso deve funcionar!

Espero que isso ajude alguém. Esta certamente tem sido uma questão frustrante ...

Aceito doações em notas não marcadas, barras de ouro e uísque.

    
por 15.11.2018 / 21:02
3

Eu tive um problema como esse, 2016 jogaria fora o erro: 0x8024401c , e no WSUS mostraria 0% updated (not reported yet) .

Para corrigir isso, alterei os valores do Pool de Aplicativos do WSUS no IIS (Configurações Avançadas) e em todos os servidores de 2016. 

Queue Length: 25000 from 1000
Limit Interval (minutes): 15 from 5
"Service Unavailable" Response: TcpLevel from HttpLevel

Em seguida, acesse link e copie e cole o código conforme instruído.

  1. Nomeie-o como Clean-WSUS.ps1
  2. Instale o software necessário
  3. Executar .\Clean-WSUS.ps1 -FirstRun
  4. Finalmente, .\Clean-WSUS.ps1 -DirtyDatabaseCheck

Esse cara definitivamente merece uma doação!

    
por 15.12.2017 / 10:02
3

Se você escanear a web, você verá todas as coisas que @ Redwizard000 tentou ser sugerido, então está claro que @ Redwizard000 tentou realmente resolver esse problema (veja link para como @ Redwizard000 acabou resolvendo o problema). Leia a minha experiência:

No meu caso, o servidor WSUS estava sendo executado no Windows Server 2012 R2, tinha todos os patches, executava o script de limpeza do VB que você vê flutuando, passava pelo processo de limpeza (que levava horas), podia fornecer atualizações para o Windows 10 máquinas, mas novas máquinas cliente do Windows Server 2016 não conseguirão obter atualizações do WSUS e forneceram mensagens de erro 0x8024401c. A única coisa que ajudou foi no servidor WSUS: aumentar / remover alguns dos limites de recursos do Pool de Aplicativos do IIS (por exemplo, Comprimento da Fila, Intervalo de Limite, Limite de Memória Privada, mas há outros) para o Conjunto de Aplicativos do WSUS, conforme descrito em link e link e, em seguida, reinicia o IIS. Parece que a verificação de atualizações exigiu cerca de 2GBytes de memória do servidor IIS e levou cerca de 8 minutos. Depois disso, a mensagem de erro foi embora, mas ...

.. as máquinas do cliente Windows Server 2016 ficariam paradas baixando 0% das atualizações indefinidamente. Para superar isso, tive que baixar manualmente uma atualização cumulativa recente (nas máquinas clientes do Windows Server 2016) do link (ou use os servidores de atualização do Windows da Microsoft temporariamente para buscar uma atualização cumulativa) e instale esse antes de alterar as configurações para usar o WSUS.

Atualização : há um artigo de suporte da Microsoft chamado " Windows Update preso em 0 por cento no Windows 10 ou Windows Server 2016 " que fala sobre como você tem que atualizar o Windows Update Agent em Máquinas do Windows 10/2016/2019 após a versão RTM (10.0.14393.0) antes você pode usar o WSUS. Isso parece com o que estava sendo efetivamente feito no parágrafo anterior.

    
por 13.08.2017 / 00:05
0

Mesmo problema, mesmo cenário. Desmarque a opção "Upgrades" das configurações do ponto de atualização de software de classificações para os servidores do seu site.

Outra sugestão foi fazer a linha de comando

"c: \ Arquivos de programas \ Serviços de atualização \ Tools \" "pós-instalação do wsusutil.exe / serviço"

Mas ainda não voltei ao processo, já que estou esperando por mais explicações da MS.

    
por 27.07.2017 / 13:35
0

Eu tive o mesmo problema, eis como corrigi-lo.

  1. Na política (seja esta a política de grupo ou a política local), ative a política "Não conectar a nenhum local do Windows Update". Isso impede que o servidor entre em contato com o Microsoft / Windows Update.
  2. Na política, adicionamos um Servidor de Atualização alternativo no "Especificar local do Microsoft Update" - este era o mesmo servidor que o servidor de relatórios e atualizações.
  3. No Windows Update - Opções avançadas - desmarque a caixa para "adiar atualizações de recursos"

Depois de fazer isso, consegui fazer o patch do servidor por meio do WSUS. Isso foi confirmado em dois servidores em dois ambientes diferentes. Parece que a mudança mais importante é a opção adiar atualizações para desmarcada, mas as outras também podem causar problemas de atualização com base no que eu li na rede.

    
por 14.11.2017 / 18:18
0

Se você tiver essa configuração na política de grupo, sugeri verificar a chave de registro [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] . Faça um backup da chave, exclua-a e execute gpupdate /force para recriá-la.

No meu caso, depois de comparar o backup e o novo registro, encontrei uma chave chamada "DisableWindowsUpdateAccess"=dword:00000000 que estava causando meu problema. Esta chave foi criada por terceiros.

    
por 03.10.2018 / 02:50

Tags

O que significa o símbolo menor que o tamanho do volume LVM? Devemos usar o HTTP2 do Apache?