Wsus не видит компьютеры в домене
Обновлено: 25.11.2024
У вас есть пустая консоль WSUS? Клиенты не пытаются подключиться независимо от того, что вы делаете? Клиенты сброшены не в те группы компьютеров?
У меня были такие вопросы несколько дней назад. Я перепробовал слишком много руководств и рыскал по форумам, но ничего не добился - пока в конце не понял, что все намного проще, чем оказалось!
В этом посте рассказывается, как вы устраняете неполадки в своей среде. Это, конечно, не пошаговое руководство о том, как добраться туда, запустить это и получить это.
Прежде чем уйти
Перед прокруткой вниз убедитесь, что у вас есть соответствующая информация для вашей среды:
Не выполняйте Sysprep для своих машин? Остановитесь на этом и сбросьте SID компьютеров в вашей среде.
Проверьте групповые политики
Убедитесь, что групповые политики работают. Не копайтесь в нескольких кроличьих норах, например, проверяйте IIS, когда там нет необходимой и необходимой конфигурации!
Вы можете подтвердить статус политик несколькими способами, перечисленными ниже. они дают быстрый или подробный обзор:
RSoP с MSC
Небольшое предупреждение: RSoP.msc устарел, начиная с Windows Vista SP1, поэтому он может не отображать ожидаемые параметры. Если это так, перейдите прямо к GPResult или займитесь реестром Windows. Удвойте усилия и по-прежнему проверяйте GPResult и реестр.
Мне по-прежнему нравится использовать rsop.msc, так как это быстрый способ определить состояние политик пользователей и компьютеров. Мы можем наблюдать, применяются они или нет, и заменены ли они или нет.
<р>1. Запустите rsop.msc из Выполнить, PowerShell или CMD, на клиенте, политики которого вы хотите проверить, вы увидите MMC RSoP. открытым. Перейдите в меню, где вы настроили параметры Центра обновления Windows, т.е.Ниже мы видим, что у нас действительно, по крайней мере на этом компьютере, применяются настройки WSUS для Центра обновления Windows и проверка параметров для каждого сеанса.
Если вы обнаружите, что настроенные вами значения отсутствуют или отличаются, пока не приступайте к устранению неполадок в групповых политиках. Проведите дополнительные исследования с помощью GPRresult или проверьте реестр.
RSoP с GPResult
GPResult создает отчет RSoP, но в форме командной строки (вы можете создать отчет в формате HTML, если хотите). Microsoft рекомендует использовать это как окончательный ответ для определения статуса групповой политики.
Когда мы запускаем GPResult из командной строки, мы ищем несколько точек:
Появляется ли ожидаемый объект политики в настройках компьютера или пользователя?
Находятся ли объекты политики в правильном порядке? Недостаточно подтвердить, что объект политики указан в списке. Объекты политик имеют приоритет сверху вниз, т. е. параметры объектов политики выше перезаписывают параметры объектов политик ниже него.
<р>1. На приведенном ниже рисунке мы видим, что в настройках компьютера, а внутри этого под объектами примененной групповой политики присутствует ожидаемая политика. Я могу быть уверен, что эти правила применяются. Если ваша политика отсутствует, вам потребуется выполнить некоторые действия по устранению неполадок в объектах групповой политики. Прежде чем приступить к глубокому погружению в устранение неполадок других компонентов, таких как WSUS, обратите внимание на важность закрепления основ.Я новичок в сфере WSUS и Active Directory, поэтому попробуйте работать со мной. :-) Моя проблема в том, что когда я захожу в консоль администратора WSUS, появляются 23 из 400+ компьютеров в сети. Для большинства компьютеров, которые появляются, мне пришлось перейти к локальной групповой политике и настроить их для подключения к моему серверу WSUS. Было время, когда мне не нужно было настраивать локальную групповую политику, и компьютеры получали обновления. Это было до того, как я переустановил ОС (Windows 2003 Standard). Есть ли способ для клиентов в сети получать обновления и отображаться в консоли администратора WSUS, не заходя в Active Directory и не настраивая групповую политику? Если это необходимо сделать, может ли кто-нибудь рассказать мне о процессе его настройки или дать мне ссылку? У большинства компьютеров нет доступа в Интернет, поэтому для получения обновлений им необходимо подключаться к WSUS. Как я уже говорил ранее, я новичок в WSUS и Active Directory, но я знаю достаточно, чтобы быть опасным. :-)
10 ошибок при отключении электроэнергии и как их избежать
2022-03-23 18:00:00 UTC Веб-семинар Веб-семинар: LogicMonitor — 10 ошибок при обработке сбоев и как их избежать Все подробности о событии Просмотреть все события
Я не знаю, как ПК мог появиться в консоли WSUS. По умолчанию ПК будут указывать на сайт обновлений Microsoft.
GP настроен так, чтобы сообщать клиентам, что адрес сервера WSUS — это место, где они теперь будут получать обновления.
Вот пара ссылок в помощь:
50 ответов
GOFOR-IT
Это руководство Microsoft Technet должно вам помочь.
Роб Данн
Похоже, вы потеряли настройку групповой политики на уровне AD.
Я бы настоятельно рекомендовал не вносить локальные изменения (которые можно сделать, но через редактирование реестра). Честно говоря, я бы создал новый объект групповой политики на вашем контроллере домена и направил его на OU, содержащую объекты вашего компьютера (очень важно). Это довольно легко сделать.
Я не знаю, как ПК мог появиться в консоли WSUS. По умолчанию ПК будут указывать на сайт обновлений Microsoft.
GP настроен так, чтобы сообщать клиентам, что адрес сервера WSUS — это место, где они теперь будут получать обновления.
Вот пара ссылок в помощь:
Лори5252
Настройка параметров WSUS в объекте групповой политики — лучший способ сделать это, и если ваши объекты групповой политики не применяются, это не проблема WSUS.
Наш сервер WSUS верхнего уровня находится на контроллере домена, и ПК добавляются в WSUS совершенно автоматически, а политика домена по умолчанию — это то место, где находятся наши настройки WSUS, поскольку мы хотим, чтобы WSUS обрабатывал каждое доменное устройство под управлением Windows, а затем контролировал доставку обновлений. обрабатывается WSUS.
Я запустил ClientDiag на одном из компьютеров, на котором не было отчетов.
Стив М.
Роб Данн
Я запустил ClientDiag на одном из компьютеров, который не отправлял отчеты.
Успешная реализация объекта групповой политики исправит это. Ваш сервер WSUS не был правильно определен на этом устройстве.
На прошлой неделе я зашел в раздел "Групповая политика" в разделе "Пользователи и компьютеры Active Directory", щелкнул правой кнопкой мыши и перешел к свойствам. После этого я перешел к групповой политике и создал ссылку на объект групповой политики, добавив файл wuau.adm. Зашел в «Указать расположение службы обновлений Microsoft в интрасети» и указал ссылку на сервер WSUS. Я что-то упустил?
Роб Данн
Вот некоторая информация для вас — я бы склонялся к тому, что объект групповой политики не применяется правильно.
В: Я применил свой объект групповой политики, но клиенты не отображаются в консоли WSUS. Что происходит?
Для этого есть ряд причин (здесь перечислены не все из них). Пожалуйста, прочтите их внимательно!
Прошло недостаточно времени для автоматической регистрации клиентов
Убедитесь, что у клиентов достаточно времени для регистрации на сервере WSUS. Я видел, как клиенты регистрировались всего через 10 минут после запуска wuauclt.exe /detectnow’, но иногда может быть и несколько дней, в зависимости от других факторов:
- Частота применения объекта групповой политики к компьютеру (wuau.adm — это шаблон политики для компьютера) или применение объекта групповой политики вообще
- Время, указанное вами в объекте групповой политики для регистрации клиентов в параметре объекта групповой политики: «Частота автоматической регистрации обновлений».
- Частота перезагрузки компьютера (и последующего обновления объекта групповой политики)
- Частота подключения компьютера к AD (или любой другой метод, который вы используете для распространения настроек клиента WSUS)
Чтобы заставить компьютер обновить политику компьютера (обратите внимание, что это не приводит к принудительному обновлению агента WU), выполните следующие действия:
Windows 2000: secedit/refreshpolicy machine_policy /enforce
Windows XP/7 и 2K3/2K8: gpupdate /force
Возможные дублирующиеся клиенты, использующие один и тот же идентификатор безопасности WSUS
Убедитесь, что вы не используете клонированные образы без какого-либо средства создания SID (например, Microsoft Sysprep, SysInternals NewSid или Norton GhostWalk). Возможно, вам придется решить эту проблему, удалив разделы реестра, содержащие информацию об идентификаторе безопасности WSUS:
Остановите и перезапустите службу "Автоматические обновления" в консоли управления службами.
Выполните «wuauclt /resetauthorization /detectnow» из командной строки.
Вы можете запустить это в пакетном сценарии, чтобы автоматизировать процесс. Скопируйте строки кода в текстовый файл и назовите его с расширением .bat:
@echo on
netstop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
netstart wuauserv
wuauclt/resetauthorization /detectnow < br />Пауза
Недопустимые настройки объекта групповой политики или объект групповой политики неправильно применяется к клиентам
Помните, что объект групповой политики WSUS — это объект групповой политики для компьютера. Если вы применили его к организационной единице, в которой хранятся только пользовательские объекты, вы не увидите никаких компьютеров в консоли WSUS.
Информация о групповых политиках Windows:
Проверьте, чтобы убедиться, что вы получаете политику WSUS на клиентском компьютере:
Windows XP/7 и 2K3/2K8:
результирующий набор политик (RsoP) MMC-оснастка или GPResult (встроенный)
Спасибо за все ответы! Я проведу все исследования, которые вы мне дали. Любые другие идеи по-прежнему будут полезны.
Стив М.
Вот пример настроек вашей групповой политики.
Компоненты Windows/Центр обновления Windowsскрыть
Настройка политики
Разрешить немедленную установку автоматических обновлений Включено
Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях Включено
Частота обнаружения автоматических обновлений Включено
Проверять наличие обновлений в следующие
интервал (часы): 3
Настройка политики
Настройка включения автоматического обновления
Настройка автоматического обновления: 3 — Автоматическая загрузка и уведомление об установке
Следующие настройки требуются только
и применимы, если выбрано значение 4.
Запланированный день установки: 0 - Каждый день
Запланированное время установки: 03:00
Настройка политики
Задержка перезапуска для запланированных установок Включена
Подождите следующий период, прежде чем
приступить к запланированному
перезапуску (минут): 5
Настройка политики
Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows» Включено
Включить нацеливание на стороне клиента Включено
Имя целевой группы для этого компьютера Fort Lauderdale< /p>
Настройка политики
Включение управления электропитанием Центра обновления Windows для автоматического пробуждения системы для установки запланированных обновлений Включено
Отсутствие автоматического перезапуска с вошедшими в систему пользователями для запланированных автоматических установок обновлений Включено
Перепланирование автоматических обновлений запланированные установки Включено
Ждать после
запуска системы (минут): 1
Возможно, вы сделали политику, но к чему вы прикрепили ее в AD? Политика WSUS должна быть политикой компьютера и быть привязана к организационной единице компьютеров. Возможно, вы уже сделали это, просто проверяйте.
Я давно использую WSUS с объектом групповой политики.Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Мне не нравится ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.
Роб Данн
Я уже давно использую WSUS с GPO. Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Я не люблю ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.
Я не думаю, что это правильно. Объекты групповой политики распространяются в заранее определенное время, не обязательно зависящее от «размера» объекта групповой политики — по крайней мере, по моему опыту. Например, наши объекты групповой политики обновляются каждые 90 минут. Однако вы можете принудительно проверить это с помощью gpupdate на клиентской станции.
Однако я согласен с тем, что вам следует разделить их, тем более что вы захотите управлять своими рабочими станциями не так, как серверами.
mpls_star написал:
Я уже давно использую WSUS с GPO. Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Я не люблю ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.
Я не думаю, что это правильно. Объекты групповой политики распространяются в заранее определенное время, не обязательно зависящее от «размера» объекта групповой политики — по крайней мере, по моему опыту. Например, наши объекты групповой политики обновляются каждые 90 минут. Однако вы можете принудительно проверить это с помощью gpupdate на клиентской станции.
Однако я согласен с тем, что вам следует разделить их, тем более что вы захотите управлять своими рабочими станциями не так, как серверами.
Вы правы в том, что они реплицируются или размножаются по расписанию. Размер объекта групповой политики имеет значение. И где он применяется тоже. Существуют также ограничения репликации в зависимости от того, где вы создаете объект групповой политики. Если вы делаете это на FSMO, то репликация должна быть в порядке. Если нет, то вам, возможно, придется подождать в процессе дольше, в зависимости от того, сколько DC и GC у вас может быть или где они расположены. Репликация внесения изменений или добавления в существующий объект групповой политики может занять в два раза больше времени, чем простое добавление нового объекта. Но все это зависит от ИТ-среды и того, как вы управляете расписанием репликации.
Стив М.
Роб Данн написал:
mpls_star написал:
Я уже давно использую WSUS с GPO. Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Я не люблю ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.
Я не думаю, что это правильно. Объекты групповой политики распространяются в заранее определенное время, не обязательно зависящее от «размера» объекта групповой политики — по крайней мере, по моему опыту. Например, наши объекты групповой политики обновляются каждые 90 минут. Однако вы можете принудительно проверить это с помощью gpupdate на клиентской станции.
Однако я согласен с тем, что вам следует разделить их, тем более что вы захотите управлять своими рабочими станциями не так, как серверами.
Вы правы в том, что они реплицируются или размножаются по расписанию. Размер объекта групповой политики имеет значение. И где он применяется тоже. Существуют также ограничения репликации в зависимости от того, где вы создаете объект групповой политики. Если вы делаете это на FSMO, то репликация должна быть в порядке.Если нет, то вам, возможно, придется подождать в процессе дольше, в зависимости от того, сколько DC и GC у вас может быть или где они расположены. Репликация внесения изменений или добавления в существующий объект групповой политики может занять в два раза больше времени, чем простое добавление нового объекта. Но все это зависит от ИТ-среды и того, как вы управляете расписанием репликации.
Вы ВСЕГДА хотите, чтобы для ваших серверов применялась другая политика. Последнее, что вам нужно, это перезагрузка сервера из-за обновления. Также обратите внимание на доступную полосу пропускания между сайтами при определении времени, в течение которого ваши рабочие станции опрашивают свои обновления. Последнее, что вам нужно, это сотни рабочих станций, загружающих обновления, когда ваши сотрудники пытаются войти в систему, чтобы работать в течение дня.
Сталкиваетесь ли вы с проблемами в сети, когда клиенты не отображаются в консоли сервера WSUS? В этом посте содержится пошаговое руководство по устранению проблемы.
Устранение неполадок
Шаг 1. Предположим, что вы используете групповые политики для применения параметров WSUS к своим клиентам, и они были правильно применены к компьютеру.
Выполнение следующей команды покажет вам, установлен ли ваш объект групповой политики.
Откройте приглашение от имени администратора и выполните команду: gpresult /r.
На рисунке выше мы видим, что к компьютеру правильно применен объект групповой политики WSUS, так что это не проблема, и вы можете перейти к шагу 2. В этом случае наш объект групповой политики называется GPO_WSUS_DR р>
Если ваш объект групповой политики не отображается в выходных данных, убедитесь, что компьютер находится внутри правильной организационной единицы, к которой применяется групповая политика, чтобы гарантировать, что объект групповой политики достигает объекта-компьютера.
Шаг 2. Убедившись, что объект групповой политики правильно применен к вашему клиенту, проверьте, какие параметры WSUS получает клиент. На этом шаге вы хотите убедиться, что в вашей среде нет другого объекта групповой политики, неправильно применяющего те же параметры и, таким образом, заменяющего правильные параметры объекта групповой политики.
Для этого откройте командную строку от имени администратора и введите: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Убедитесь, что выходные данные отображают правильную информацию для вашей среды.
Если вы подтвердите, что выходные данные правильно отображают параметры, настроенные вами в объекте групповой политики, вы можете перейти к шагу 3.
Если показанные параметры не совпадают с настроенными вами, вернитесь к управлению объектом групповой политики и убедитесь, что нет другой политики, применяющей такие же параметры. Рекомендуемый способ узнать, какой объект групповой политики применяет настройки к вашему клиенту, запустив: rsop.msc
Подробнее о Resultant Set of Policy можно узнать здесь.
Шаг 3. Пока все хорошо? Затем пришло время протестировать разрешение DNS, для этого выполните в командной строке следующее:
nslookup
Если проблем с разрешением DNS нет и вам удалось разрешить имя хоста WSUS от вашего клиента, перейдите к шагу 4.
Неверный результат? Убедитесь, что ваш клиент имеет правильные IP-адреса ваших DNS-серверов, настроенных в свойствах сетевой карты, если все в порядке на стороне клиента, подтвердите, есть ли у сервера WSUS запись A в вашей зоне DNS, если нет, пришло время добавить это!!
Шаг 4. Теперь пришло время проверить, разрешен ли обмен данными между клиентом и сервером WSUS. Порт WSUS по умолчанию, используемый для подключения, — 8530, поэтому, если в вашей среде установлен какой-либо другой порт, обязательно используйте соответствующий порт на этом этапе устранения неполадок.
Для этого загрузите инструмент Port Query и откройте его на клиентском компьютере:
Этот инструмент прост в использовании. Просто введите имя хоста сервера WSUS или его IP-адрес, а также порт WSUS и нажмите «Запрос», как показано выше.
Если вы получите вывод «ПРОСЛУШИВАЕТСЯ», как указано выше, трафик разрешен, и вы можете перейти к шагу 5.
Если вы получаете вывод «ФИЛЬТРИРОВАНО», ваш брандмауэр блокирует связь, и вы должны открыть его, чтобы пропустить трафик.
Шаг 5. Итак, ни один из вышеперечисленных шагов не помог решить вашу проблему? Давайте посмотрим, запущена ли служба Центра обновления Windows и правильно ли она настроена как автоматическая на вашем клиенте. Для этого запустите services.msc и проверьте состояние службы Центра обновления Windows.
Если все выглядит так же, как указано выше, вы можете перейти к следующему шагу. Если служба Центра обновления Windows не запущена, установите для нее значение «Автоматически» и запустите службу.
Шаг 6. Последним вариантом будет сброс реестра SusClientID на клиентском компьютере. Часто проблема такого типа может быть результатом клонирования виртуальной машины без выполнения на ней Sysprep, поэтому в вашей сети могут быть дубликаты идентификаторов.
Для этого выполните действия, показанные на рисунке ниже:
Подождите две минуты и обновите консоль WSUS, компьютер-клиент должен появиться в списке.
Все еще не работает?
Верно, в 95% случаев, когда я сталкивался с этой проблемой, мне помогал один из вышеперечисленных шагов.
Если после выполнения всех шагов ваш клиентский компьютер по-прежнему не отображается в консоли WSUS, возможно, у него более серьезная проблема в его ОС. Может быть вирус, или в нем отсутствует пакет обновлений. Вам нужно будет лечить этот клиент, используя различные методы восстановления ОС.
Кредиты: Ренан Родригес
Сегодня настало время построить бизнес своей мечты. Поделитесь своей миссией со всем миром и поразите своих клиентов.
Как долго вы ждали, прежде чем приступить к устранению неполадок клиентов? Обычно я устанавливаю и настраиваю WSUS в начале работы, а затем оставляю его в покое на несколько ДНЕЙ, прежде чем начать беспокоиться.
Вот шаги, которые я обычно выполняю, чтобы получить список компьютеров в консоли управления WSUS.
Решение
Прежде чем делать что-либо дальше, просто попробуйте выполнить следующие две команды PowerShell (на проблемном клиенте) и подождите несколько часов;
<р>1. Предполагая, что вы развертываете свои настройки WSUS с помощью GPO, убедитесь, что рассматриваемая машина действительно пытается применить политику, вы можете сделать это, запустив rsop.msc следующим образом:
Или запустив gpresult /R из командной строки
Примечание. Если вы не видите политику компьютера/параметры компьютера, т. е. видите только пользовательские настройки, возможно, вы не запускаете командное окно от имени «Администратор» (найдите cmd.exe > щелкните правой кнопкой мыши > «Запуск от имени администратора»).
<р>2. Если вы применяете GPO или напрямую через редактирование реестра, следующим шагом будет проверка существования записей реестра. Пуск > В поле «Найти/Выполнить» введите regedit . Перейдите к:<р>3. Пуск > В поле «Найти/Выполнить» введите services.msc. Найдите службу Центра обновления Windows и убедитесь, что она запущена.
<р>4. Затем найдите фоновую интеллектуальную службу передачи и убедитесь, что она тоже запущена.
<р>6. Если все вышеперечисленное в порядке, вы можете попробовать принудительно зарегистрироваться с помощью следующей команды;
<р>7. Все события обновления записываются в журнал, вы можете найти журнал в c:windowsWindowsUpdate, откройте файл с помощью блокнота.
<р>8. Прокрутите до конца, а затем ищите ошибки вверх.
<р>9. Иногда, если вы создаете образ машины (или клонируете виртуальную машину), она сохраняет свой уникальный идентификатор обновления, если это происходит, то первая машина с этим идентификатором для регистрации попадает в список, а все остальные нет. Чтобы выяснить, является ли это вашей проблемой, найдите и остановите службу обновления Windows на уязвимом клиенте.
<р>10. Откройте редактор реестра и перейдите к:
Найдите и удалите запись SusClientId.
<р>11. Перезапустите службу Центра обновления Windows и выполните следующие две команды:
Обновление от 16.06.15
Получено по электронной почте от Патрика Могера:
Вы можете добавить неправильную привязку в IIS к сайту WSUS Administration.
Необходимо добавить привязку для порта 80, поскольку настроены только порты 8530 и 8531.
Читайте также: