Wsus не видит компьютеры в домене

Обновлено: 01.07.2024

У вас есть пустая консоль WSUS? Клиенты не пытаются подключиться независимо от того, что вы делаете? Клиенты сброшены не в те группы компьютеров?

У меня были такие вопросы несколько дней назад. Я перепробовал слишком много руководств и рыскал по форумам, но ничего не добился - пока в конце не понял, что все намного проще, чем оказалось!

В этом посте рассказывается, как вы устраняете неполадки в своей среде. Это, конечно, не пошаговое руководство о том, как добраться туда, запустить это и получить это.

Прежде чем уйти

Перед прокруткой вниз убедитесь, что у вас есть соответствующая информация для вашей среды:

Не выполняйте Sysprep для своих машин? Остановитесь на этом и сбросьте SID компьютеров в вашей среде.

Проверьте групповые политики

Убедитесь, что групповые политики работают. Не копайтесь в нескольких кроличьих норах, например, проверяйте IIS, когда там нет необходимой и необходимой конфигурации!

Вы можете подтвердить статус политик несколькими способами, перечисленными ниже. они дают быстрый или подробный обзор:

RSoP с MSC

Небольшое предупреждение: RSoP.msc устарел, начиная с Windows Vista SP1, поэтому он может не отображать ожидаемые параметры. Если это так, перейдите прямо к GPResult или займитесь реестром Windows. Удвойте усилия и по-прежнему проверяйте GPResult и реестр.

Мне по-прежнему нравится использовать rsop.msc, так как это быстрый способ определить состояние политик пользователей и компьютеров. Мы можем наблюдать, применяются они или нет, и заменены ли они или нет.

<р>1. Запустите rsop.msc из Выполнить, PowerShell или CMD, на клиенте, политики которого вы хотите проверить, вы увидите MMC RSoP. открытым. Перейдите в меню, где вы настроили параметры Центра обновления Windows, т.е.

Ниже мы видим, что у нас действительно, по крайней мере на этом компьютере, применяются настройки WSUS для Центра обновления Windows и проверка параметров для каждого сеанса.

Если вы обнаружите, что настроенные вами значения отсутствуют или отличаются, пока не приступайте к устранению неполадок в групповых политиках. Проведите дополнительные исследования с помощью GPRresult или проверьте реестр.

RSoP с GPResult

GPResult создает отчет RSoP, но в форме командной строки (вы можете создать отчет в формате HTML, если хотите). Microsoft рекомендует использовать это как окончательный ответ для определения статуса групповой политики.

Когда мы запускаем GPResult из командной строки, мы ищем несколько точек:

Появляется ли ожидаемый объект политики в настройках компьютера или пользователя?

Находятся ли объекты политики в правильном порядке? Недостаточно подтвердить, что объект политики указан в списке. Объекты политик имеют приоритет сверху вниз, т. е. параметры объектов политики выше перезаписывают параметры объектов политик ниже него.

<р>1. На приведенном ниже рисунке мы видим, что в настройках компьютера, а внутри этого под объектами примененной групповой политики присутствует ожидаемая политика. Я могу быть уверен, что эти правила применяются. Если ваша политика отсутствует, вам потребуется выполнить некоторые действия по устранению неполадок в объектах групповой политики. Прежде чем приступить к глубокому погружению в устранение неполадок других компонентов, таких как WSUS, обратите внимание на важность закрепления основ.

Я новичок в сфере WSUS и Active Directory, поэтому попробуйте работать со мной. :-) Моя проблема в том, что когда я захожу в консоль администратора WSUS, появляются 23 из 400+ компьютеров в сети. Для большинства компьютеров, которые появляются, мне пришлось перейти к локальной групповой политике и настроить их для подключения к моему серверу WSUS. Было время, когда мне не нужно было настраивать локальную групповую политику, и компьютеры получали обновления. Это было до того, как я переустановил ОС (Windows 2003 Standard). Есть ли способ для клиентов в сети получать обновления и отображаться в консоли администратора WSUS, не заходя в Active Directory и не настраивая групповую политику? Если это необходимо сделать, может ли кто-нибудь рассказать мне о процессе его настройки или дать мне ссылку? У большинства компьютеров нет доступа в Интернет, поэтому для получения обновлений им необходимо подключаться к WSUS. Как я уже говорил ранее, я новичок в WSUS и Active Directory, но я знаю достаточно, чтобы быть опасным. :-)

10 ошибок при отключении электроэнергии и как их избежать

2022-03-23 18:00:00 UTC Веб-семинар Веб-семинар: LogicMonitor — 10 ошибок при обработке сбоев и как их избежать Все подробности о событии Просмотреть все события

Я не знаю, как ПК мог появиться в консоли WSUS. По умолчанию ПК будут указывать на сайт обновлений Microsoft.

GP настроен так, чтобы сообщать клиентам, что адрес сервера WSUS — это место, где они теперь будут получать обновления.

Вот пара ссылок в помощь:

50 ответов

GOFOR-IT

Это руководство Microsoft Technet должно вам помочь.

Роб Данн

Похоже, вы потеряли настройку групповой политики на уровне AD.

Я бы настоятельно рекомендовал не вносить локальные изменения (которые можно сделать, но через редактирование реестра). Честно говоря, я бы создал новый объект групповой политики на вашем контроллере домена и направил его на OU, содержащую объекты вашего компьютера (очень важно). Это довольно легко сделать.

Я не знаю, как ПК мог появиться в консоли WSUS. По умолчанию ПК будут указывать на сайт обновлений Microsoft.

Вот пара ссылок в помощь:

Лори5252

Настройка параметров WSUS в объекте групповой политики — лучший способ сделать это, и если ваши объекты групповой политики не применяются, это не проблема WSUS.

Наш сервер WSUS верхнего уровня находится на контроллере домена, и ПК добавляются в WSUS совершенно автоматически, а политика домена по умолчанию — это то место, где находятся наши настройки WSUS, поскольку мы хотим, чтобы WSUS обрабатывал каждое доменное устройство под управлением Windows, а затем контролировал доставку обновлений. обрабатывается WSUS.

Я запустил ClientDiag на одном из компьютеров, на котором не было отчетов.

Стив М.

Роб Данн

Я запустил ClientDiag на одном из компьютеров, который не отправлял отчеты.

Успешная реализация объекта групповой политики исправит это. Ваш сервер WSUS не был правильно определен на этом устройстве.

На прошлой неделе я зашел в раздел "Групповая политика" в разделе "Пользователи и компьютеры Active Directory", щелкнул правой кнопкой мыши и перешел к свойствам. После этого я перешел к групповой политике и создал ссылку на объект групповой политики, добавив файл wuau.adm. Зашел в «Указать расположение службы обновлений Microsoft в интрасети» и указал ссылку на сервер WSUS. Я что-то упустил?

Роб Данн

Вот некоторая информация для вас — я бы склонялся к тому, что объект групповой политики не применяется правильно.

В: Я применил свой объект групповой политики, но клиенты не отображаются в консоли WSUS. Что происходит?

Для этого есть ряд причин (здесь перечислены не все из них). Пожалуйста, прочтите их внимательно!

Прошло недостаточно времени для автоматической регистрации клиентов

Убедитесь, что у клиентов достаточно времени для регистрации на сервере WSUS. Я видел, как клиенты регистрировались всего через 10 минут после запуска wuauclt.exe /detectnow’, но иногда может быть и несколько дней, в зависимости от других факторов:

Частота применения объекта групповой политики к компьютеру (wuau.adm — это шаблон политики для компьютера) или применение объекта групповой политики вообще
Время, указанное вами в объекте групповой политики для регистрации клиентов в параметре объекта групповой политики: «Частота автоматической регистрации обновлений».
Частота перезагрузки компьютера (и последующего обновления объекта групповой политики)
Частота подключения компьютера к AD (или любой другой метод, который вы используете для распространения настроек клиента WSUS)

Чтобы заставить компьютер обновить политику компьютера (обратите внимание, что это не приводит к принудительному обновлению агента WU), выполните следующие действия:

Windows 2000: secedit/refreshpolicy machine_policy /enforce

Windows XP/7 и 2K3/2K8: gpupdate /force

Возможные дублирующиеся клиенты, использующие один и тот же идентификатор безопасности WSUS

Убедитесь, что вы не используете клонированные образы без какого-либо средства создания SID (например, Microsoft Sysprep, SysInternals NewSid или Norton GhostWalk). Возможно, вам придется решить эту проблему, удалив разделы реестра, содержащие информацию об идентификаторе безопасности WSUS:

Остановите и перезапустите службу "Автоматические обновления" в консоли управления службами.

Выполните «wuauclt /resetauthorization /detectnow» из командной строки.

Вы можете запустить это в пакетном сценарии, чтобы автоматизировать процесс. Скопируйте строки кода в текстовый файл и назовите его с расширением .bat:

@echo on
netstop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
netstart wuauserv
wuauclt/resetauthorization /detectnow < br />Пауза

Недопустимые настройки объекта групповой политики или объект групповой политики неправильно применяется к клиентам

Помните, что объект групповой политики WSUS — это объект групповой политики для компьютера. Если вы применили его к организационной единице, в которой хранятся только пользовательские объекты, вы не увидите никаких компьютеров в консоли WSUS.

Информация о групповых политиках Windows:

Проверьте, чтобы убедиться, что вы получаете политику WSUS на клиентском компьютере:

Windows XP/7 и 2K3/2K8:
результирующий набор политик (RsoP) MMC-оснастка или GPResult (встроенный)

Спасибо за все ответы! Я проведу все исследования, которые вы мне дали. Любые другие идеи по-прежнему будут полезны.

Стив М.

Вот пример настроек вашей групповой политики.

Компоненты Windows/Центр обновления Windowsскрыть

Настройка политики
Разрешить немедленную установку автоматических обновлений Включено
Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях Включено
Частота обнаружения автоматических обновлений Включено
Проверять наличие обновлений в следующие
интервал (часы): 3

Настройка политики
Настройка включения автоматического обновления
Настройка автоматического обновления: 3 — Автоматическая загрузка и уведомление об установке
Следующие настройки требуются только
и применимы, если выбрано значение 4.
Запланированный день установки: 0 - Каждый день
Запланированное время установки: 03:00

Настройка политики
Задержка перезапуска для запланированных установок Включена
Подождите следующий период, прежде чем
приступить к запланированному
перезапуску (минут): 5

Настройка политики
Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows» Включено
Включить нацеливание на стороне клиента Включено
Имя целевой группы для этого компьютера Fort Lauderdale< /p>

Настройка политики
Включение управления электропитанием Центра обновления Windows для автоматического пробуждения системы для установки запланированных обновлений Включено
Отсутствие автоматического перезапуска с вошедшими в систему пользователями для запланированных автоматических установок обновлений Включено
Перепланирование автоматических обновлений запланированные установки Включено
Ждать после
запуска системы (минут): 1

Возможно, вы сделали политику, но к чему вы прикрепили ее в AD? Политика WSUS должна быть политикой компьютера и быть привязана к организационной единице компьютеров. Возможно, вы уже сделали это, просто проверяйте.

Я давно использую WSUS с объектом групповой политики.Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Мне не нравится ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.

Роб Данн

Я уже давно использую WSUS с GPO. Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Я не люблю ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.

Я не думаю, что это правильно. Объекты групповой политики распространяются в заранее определенное время, не обязательно зависящее от «размера» объекта групповой политики — по крайней мере, по моему опыту. Например, наши объекты групповой политики обновляются каждые 90 минут. Однако вы можете принудительно проверить это с помощью gpupdate на клиентской станции.

Однако я согласен с тем, что вам следует разделить их, тем более что вы захотите управлять своими рабочими станциями не так, как серверами.

mpls_star написал:

Я уже давно использую WSUS с GPO. Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Я не люблю ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.

Вы правы в том, что они реплицируются или размножаются по расписанию. Размер объекта групповой политики имеет значение. И где он применяется тоже. Существуют также ограничения репликации в зависимости от того, где вы создаете объект групповой политики. Если вы делаете это на FSMO, то репликация должна быть в порядке. Если нет, то вам, возможно, придется подождать в процессе дольше, в зависимости от того, сколько DC и GC у вас может быть или где они расположены. Репликация внесения изменений или добавления в существующий объект групповой политики может занять в два раза больше времени, чем простое добавление нового объекта. Но все это зависит от ИТ-среды и того, как вы управляете расписанием репликации.

Стив М.

Роб Данн написал:

mpls_star написал:

Я уже давно использую WSUS с GPO. Я бы посоветовал вам создавать объекты групповой политики только WSUS для ваших настольных компьютеров, ноутбуков и серверов отдельно. Примените их к компьютерным подразделениям для более детального управления настройками WSUS. Я не люблю ждать применения объектов групповой политики, и если вы объедините все изменения в одном большом объекте групповой политики, репликация и загрузка клиентам займет больше времени.

Вы правы в том, что они реплицируются или размножаются по расписанию. Размер объекта групповой политики имеет значение. И где он применяется тоже. Существуют также ограничения репликации в зависимости от того, где вы создаете объект групповой политики. Если вы делаете это на FSMO, то репликация должна быть в порядке.Если нет, то вам, возможно, придется подождать в процессе дольше, в зависимости от того, сколько DC и GC у вас может быть или где они расположены. Репликация внесения изменений или добавления в существующий объект групповой политики может занять в два раза больше времени, чем простое добавление нового объекта. Но все это зависит от ИТ-среды и того, как вы управляете расписанием репликации.

Вы ВСЕГДА хотите, чтобы для ваших серверов применялась другая политика. Последнее, что вам нужно, это перезагрузка сервера из-за обновления. Также обратите внимание на доступную полосу пропускания между сайтами при определении времени, в течение которого ваши рабочие станции опрашивают свои обновления. Последнее, что вам нужно, это сотни рабочих станций, загружающих обновления, когда ваши сотрудники пытаются войти в систему, чтобы работать в течение дня.

Сталкиваетесь ли вы с проблемами в сети, когда клиенты не отображаются в консоли сервера WSUS? В этом посте содержится пошаговое руководство по устранению проблемы.

Устранение неполадок

Шаг 1. Предположим, что вы используете групповые политики для применения параметров WSUS к своим клиентам, и они были правильно применены к компьютеру.

Выполнение следующей команды покажет вам, установлен ли ваш объект групповой политики.

Откройте приглашение от имени администратора и выполните команду: gpresult /r.

На рисунке выше мы видим, что к компьютеру правильно применен объект групповой политики WSUS, так что это не проблема, и вы можете перейти к шагу 2. В этом случае наш объект групповой политики называется GPO_WSUS_DR

Если ваш объект групповой политики не отображается в выходных данных, убедитесь, что компьютер находится внутри правильной организационной единицы, к которой применяется групповая политика, чтобы гарантировать, что объект групповой политики достигает объекта-компьютера.

Шаг 2. Убедившись, что объект групповой политики правильно применен к вашему клиенту, проверьте, какие параметры WSUS получает клиент. На этом шаге вы хотите убедиться, что в вашей среде нет другого объекта групповой политики, неправильно применяющего те же параметры и, таким образом, заменяющего правильные параметры объекта групповой политики.

Для этого откройте командную строку от имени администратора и введите: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Убедитесь, что выходные данные отображают правильную информацию для вашей среды.

Если вы подтвердите, что выходные данные правильно отображают параметры, настроенные вами в объекте групповой политики, вы можете перейти к шагу 3.

Если показанные параметры не совпадают с настроенными вами, вернитесь к управлению объектом групповой политики и убедитесь, что нет другой политики, применяющей такие же параметры. Рекомендуемый способ узнать, какой объект групповой политики применяет настройки к вашему клиенту, запустив: rsop.msc

Подробнее о Resultant Set of Policy можно узнать здесь.

Шаг 3. Пока все хорошо? Затем пришло время протестировать разрешение DNS, для этого выполните в командной строке следующее:

nslookup

Если проблем с разрешением DNS нет и вам удалось разрешить имя хоста WSUS от вашего клиента, перейдите к шагу 4.

Неверный результат? Убедитесь, что ваш клиент имеет правильные IP-адреса ваших DNS-серверов, настроенных в свойствах сетевой карты, если все в порядке на стороне клиента, подтвердите, есть ли у сервера WSUS запись A в вашей зоне DNS, если нет, пришло время добавить это!!

Шаг 4. Теперь пришло время проверить, разрешен ли обмен данными между клиентом и сервером WSUS. Порт WSUS по умолчанию, используемый для подключения, — 8530, поэтому, если в вашей среде установлен какой-либо другой порт, обязательно используйте соответствующий порт на этом этапе устранения неполадок.

Для этого загрузите инструмент Port Query и откройте его на клиентском компьютере:

Этот инструмент прост в использовании. Просто введите имя хоста сервера WSUS или его IP-адрес, а также порт WSUS и нажмите «Запрос», как показано выше.

Если вы получите вывод «ПРОСЛУШИВАЕТСЯ», как указано выше, трафик разрешен, и вы можете перейти к шагу 5.

Если вы получаете вывод «ФИЛЬТРИРОВАНО», ваш брандмауэр блокирует связь, и вы должны открыть его, чтобы пропустить трафик.

Шаг 5. Итак, ни один из вышеперечисленных шагов не помог решить вашу проблему? Давайте посмотрим, запущена ли служба Центра обновления Windows и правильно ли она настроена как автоматическая на вашем клиенте. Для этого запустите services.msc и проверьте состояние службы Центра обновления Windows.

Если все выглядит так же, как указано выше, вы можете перейти к следующему шагу. Если служба Центра обновления Windows не запущена, установите для нее значение «Автоматически» и запустите службу.

Шаг 6. Последним вариантом будет сброс реестра SusClientID на клиентском компьютере. Часто проблема такого типа может быть результатом клонирования виртуальной машины без выполнения на ней Sysprep, поэтому в вашей сети могут быть дубликаты идентификаторов.

Для этого выполните действия, показанные на рисунке ниже:

Подождите две минуты и обновите консоль WSUS, компьютер-клиент должен появиться в списке.

Все еще не работает?

Верно, в 95% случаев, когда я сталкивался с этой проблемой, мне помогал один из вышеперечисленных шагов.

Если после выполнения всех шагов ваш клиентский компьютер по-прежнему не отображается в консоли WSUS, возможно, у него более серьезная проблема в его ОС. Может быть вирус, или в нем отсутствует пакет обновлений. Вам нужно будет лечить этот клиент, используя различные методы восстановления ОС.

Кредиты: Ренан Родригес

Сегодня настало время построить бизнес своей мечты. Поделитесь своей миссией со всем миром и поразите своих клиентов.

Как долго вы ждали, прежде чем приступить к устранению неполадок клиентов? Обычно я устанавливаю и настраиваю WSUS в начале работы, а затем оставляю его в покое на несколько ДНЕЙ, прежде чем начать беспокоиться.

Вот шаги, которые я обычно выполняю, чтобы получить список компьютеров в консоли управления WSUS.

Решение

Прежде чем делать что-либо дальше, просто попробуйте выполнить следующие две команды PowerShell (на проблемном клиенте) и подождите несколько часов;

<р>1. Предполагая, что вы развертываете свои настройки WSUS с помощью GPO, убедитесь, что рассматриваемая машина действительно пытается применить политику, вы можете сделать это, запустив rsop.msc следующим образом:

Или запустив gpresult /R из командной строки

Примечание. Если вы не видите политику компьютера/параметры компьютера, т. е. видите только пользовательские настройки, возможно, вы не запускаете командное окно от имени «Администратор» (найдите cmd.exe > щелкните правой кнопкой мыши > «Запуск от имени администратора»).

<р>2. Если вы применяете GPO или напрямую через редактирование реестра, следующим шагом будет проверка существования записей реестра. Пуск > В поле «Найти/Выполнить» введите regedit . Перейдите к:

<р>3. Пуск > В поле «Найти/Выполнить» введите services.msc. Найдите службу Центра обновления Windows и убедитесь, что она запущена.

<р>4. Затем найдите фоновую интеллектуальную службу передачи и убедитесь, что она тоже запущена.

<р>6. Если все вышеперечисленное в порядке, вы можете попробовать принудительно зарегистрироваться с помощью следующей команды;

<р>7. Все события обновления записываются в журнал, вы можете найти журнал в c:windowsWindowsUpdate, откройте файл с помощью блокнота.

<р>8. Прокрутите до конца, а затем ищите ошибки вверх.

<р>9. Иногда, если вы создаете образ машины (или клонируете виртуальную машину), она сохраняет свой уникальный идентификатор обновления, если это происходит, то первая машина с этим идентификатором для регистрации попадает в список, а все остальные нет. Чтобы выяснить, является ли это вашей проблемой, найдите и остановите службу обновления Windows на уязвимом клиенте.

<р>10. Откройте редактор реестра и перейдите к:

Найдите и удалите запись SusClientId.

<р>11. Перезапустите службу Центра обновления Windows и выполните следующие две команды:

Обновление от 16.06.15

Получено по электронной почте от Патрика Могера:

Вы можете добавить неправильную привязку в IIS к сайту WSUS Administration.

Необходимо добавить привязку для порта 80, поскольку настроены только порты 8530 и 8531.

Читайте также: