Clientes do WSUS ignorando as configurações do registro

Navegue suas respostas
1

Eu instalei o WSUS no Server 2012 R2. A instalação correu bem no lado do servidor. Eu não tenho um ambiente do Active Directory, então eu tenho que usar as configurações do registro nos clientes. Eu usei as seguintes configurações do Registro:     Windows Registry Editor Versão 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] 
"AcceptTrustedPublisherCerts"=dword:00000001 
"ElevateNonAdmins"=dword:00000001 
"TargetGroup"="Servers" 
"TargetGroupEnabled"=dword:00000000 
"WUServer"="http://serveripaddress:8530" 
"WUStatusServer"="http://serveripaddress:8530"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] 
"AUOptions"=dword:00000004 
"AUPowerManagement"=dword:00000001 
"AutoInstallMinorUpdates"=dword:00000001 
"DetectionFrequency"=dword:0000000a 
"DetectionFrequencyEnabled"=dword:00000001 
"IncludeRecommendedUpdates"=dword:00000001 
"NoAUAsDefaultShutdownOption"=dword:00000001 
"NoAUShutdownOption"=dword:00000001 
"NoAutoRebootWithLoggedOnUsers"=dword:00000001 
"NoAutoUpdate"=dword:00000000 
"RebootRelaunchTimeout"=dword:0000000a 
"RebootRelaunchTimeoutEnabled"=dword:00000001 
"RescheduleWaitTime"=dword:0000000a 
"RescheduleWaitTimeEnabled"=dword:00000001 
"ScheduledInstallDay"=dword:00000000 
"ScheduledInstallTime"=dword:00000003 
"UseWUServer"=dword:00000001

Eu corro o regedit e confirmo que as configurações estão no registro. Depois de adicionar as configurações do registro, eu corri: 

wuauclt /reportnow
wuauclt /detectnow

Esperei dois dias para ver o relatório dos meus clientes de teste, usei quatro servidores e quatro desktops. Apenas dois relataram, 1 servidor e 1 desktop. Eu criei manualmente o grupo "Servers" e o grupo "Desktops" no WSUS, mas o servidor relatou a "Unassigned Computers" e a área de trabalho relatou a "All Computers". Nenhum dos outros fez check-in. Quando eu olhei para o% windir% \ WindowsUpdate.log em cada máquina, pareceu que as configurações do Registro estavam sendo ignoradas.
No servidor (2008 R2) que reportou nestas linhas destacou-se: 

2017-08-12          18:13:12:040       852        f88          Agent      * WSUS server: http://serveripaddress:8530
2017-08-12          18:13:12:040       852        f88          Agent      * WSUS status server: http://serveripaddress:8530
2017-08-12          18:13:12:040       852        f88          Agent      * Target group: (Unassigned Computers)

Mas o registro diz que o grupo-alvo é servidores Na área de trabalho (Windows 10), executei o Get-WindowsUpdateLog no Powershell e verifiquei o arquivo gerado. estas linhas se destacaram: 

2017/08/13 00:00:14.5525097 1188  9088  Agent           [0]04A4.2380::08/13/2017-00:00:14.552 [agent]WSUS server: http://serveripaddress:8530
2017/08/13 00:00:14.5525101 1188  9088  Agent           [0]04A4.2380::08/13/2017-00:00:14.552 [agent]WSUS status server: http://serveripaddress:8530
2017/08/13 00:00:14.5525109 1188  9088  Agent           [0]04A4.2380::08/13/2017-00:00:14.552 [agent]Alternate Download Server: NULL
2017/08/13 00:00:14.5525117 1188  9088  Agent           [0]04A4.2380::08/13/2017-00:00:14.552 [agent]Fill Empty Content Urls: No
2017/08/13 00:00:14.5525121 1188  9088  Agent           [0]04A4.2380::08/13/2017-00:00:14.552 [agent]Target group: (Unassigned Computers)

Mais uma vez, em vez de o grupo-alvo ser "Desktops", como no registro, ele diz Computadores não atribuídos. Nesse caso, ele não aparece em Computadores não atribuídos no servidor WSUS, embora esteja no grupo Todos os computadores.
Os computadores que não se reportam ao servidor WSUS têm diferentes problemas relacionados ao registro. Outro Server 2008 R2 relata o seguinte: 

2017-08-13  00:18:12:188     880    1ba0    PT  WARNING: Cached cookie has expired or new PID is available
2017-08-13  00:18:12:188     880    1ba0    PT  Initializing simple targeting cookie, clientId = f47c77db-1416-44dd-88e7-6130b4f7a123, target group = , DNS name = data-server
2017-08-13  00:18:12:188     880    1ba0    PT    Server URL = http://serveripaddress/SimpleAuthWebService/SimpleAuth.asmx
2017-08-13  00:18:14:207     880    1ba0    Misc    WARNING: Send failed with hr = 80072efd.
2017-08-13  00:18:14:207     880    1ba0    Misc    WARNING: SendRequest failed with hr = 80072efd. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2017-08-13  00:18:14:207     880    1ba0    Misc    FATAL: SOAP/WinHttp - SendRequest: SendRequestUsingProxy failed. error 0x80072efd
2017-08-13  00:18:14:207     880    1ba0    PT    + Last proxy send request failed with hr = 0x80072EFD, HTTP status code = 0
2017-08-13  00:18:14:207     880    1ba0    PT    + Caller provided credentials = No
2017-08-13  00:18:14:207     880    1ba0    PT    + Impersonate flags = 0
2017-08-13  00:18:14:207     880    1ba0    PT    + Possible authorization schemes used = 
2017-08-13  00:18:14:207     880    1ba0    PT  WARNING: GetAuthorizationCookie failure, error = 0x80072EFD, soap client error = 5, soap error code = 0, HTTP status code = 200
2017-08-13  00:18:14:207     880    1ba0    PT  WARNING: Failed to initialize Simple Targeting Cookie: 0x80072efd
2017-08-13  00:18:14:207     880    1ba0    PT  WARNING: PopulateAuthCookies failed: 0x80072efd
2017-08-13  00:18:14:207     880    1ba0    PT  WARNING: RefreshCookie failed: 0x80072efd
2017-08-13  00:18:14:207     880    1ba0    PT  WARNING: RefreshPTState failed: 0x80072efd
2017-08-13  00:18:14:208     880    1ba0    PT  WARNING: PTError: 0x80072efd
2017-08-13  00:18:14:208     880    1ba0    Report  WARNING: Reporter failed to upload events with hr = 80072efd.

Nesse caso, o servidor está ignorando a porta no final do endereço IP. Quando configurei o WSUS originalmente, configurei o URL do servidor no registro sem a porta, porque não percebi que a versão mais nova não usava mais a porta 80. Eu mudei o registro para incluir a porta, mas não parece ter tomado a configuração.
Em um dos desktops (Windows 7) que não foram reportados, os logs mostram o sistema validando as assinaturas, mas vejo isso: 

2017-08-12  21:52:05:983    1008    53c PT  +++++++++++  PT: Synchronizing extended update info  +++++++++++
2017-08-12  21:52:05:983    1008    53c PT    + ServiceId = {7971F918-A847-4430-9279-4A52D1EFE18D}, Server URL = https://fe2.update.microsoft.com/v6/ClientWebService/client.asmx
2017-08-12  21:52:06:529    1008    53c Agent     * Added update {C2D37DE8-9638-468D-9575-5764F0D086D1}.200 to search result
2017-08-12  21:52:06:529    1008    53c Agent     * Found 1 updates and 89 categories in search; evaluated appl. rules of 3722 out of 5816 deployed entities

Parece que este está chegando ao URL de atualização do Windows em vez do meu servidor WSUS. Por que as configurações do registro não estão tendo nenhum efeito nos vários sistemas?

    
por Aaron Martin 13.08.2017 / 08:01

2 respostas

1

A resposta acabou sendo extremamente básica e embaraçosa. A configuração do WSUS não exige a reinicialização do computador na primeira vez que eles são configurados. No entanto, se eles forem alterados, o computador deve ser reinicializado. Eu não tentei isso inicialmente desde que as configurações do registro entraram em vigor imediatamente quando eu configurar o servidor pela primeira vez sem a porta adequada. Depois que reiniciei, os registros refletiram as configurações atualizadas do registro.

    
por 16.08.2017 / 02:50
1

Você pode tentar este comando para forçar os clientes a fazer check-in com o servidor do WSUS wuauclt /resetauthorization /detectnow /ReportNow

Também sugeriria usar o editor de política de grupo local nos clientes e outros servidores, isso não requer o Active Directory.

Para isso, execute gpedit.msc em cada cliente.

Em seguida, você encontrará as configurações necessárias em Configuração do Computador / Modelos Administrativos / Componentes do Windows / Windows Update /

    
por 13.08.2017 / 13:14

Tags

AWS Route 53 e gerenciador de certificados Corrigir DNSSEC quebrado