Лечение сервера WSUS методом ожидания


С утра запустил установку обновлений  на WSUS сервере. После перезагрузки сервер перестал получать отчеты от клиентов. В логе клиента Windows 7:


2018-06-13 16:54:47:422 456 20c0 PT WARNING: ReportEventBatch failure, error = 0x8024400E, soap client error = 7, soap error code = 400, HTTP status code = 200
2018-06-13 16:54:47:422 456 20c0 PT WARNING: SOAP Fault: 0x000190
2018-06-13 16:54:47:422 456 20c0 PT WARNING: faultstring:Server was unable to process request. ---> The type initializer for 'Microsoft.UpdateServices.Internal.Reporting.WebService' threw an exception. ---> Login failed for user 'NT AUTHORITY\NETWORK SERVICE'. Reason: Server is in script upgrade mode. Only administrator can connect at this time.
2018-06-13 16:54:47:422 456 20c0 PT WARNING: ErrorCode:(null)(0)
2018-06-13 16:54:47:422 456 20c0 PT WARNING: Message:(null)
2018-06-13 16:54:47:422 456 20c0 PT WARNING: Method:(null)
2018-06-13 16:54:47:422 456 20c0 PT WARNING: ID:(null)
2018-06-13 16:54:47:422 456 20c0 Report WARNING: Reporter failed to upload events with hr = 8024400e.

Смотрим на сервере WSUS в логе C:\Windows\WID\Log\Error.log:


2018-06-13 13:54:04.64 spid17s Starting up database 'SUSDB'.
2018-06-13 13:54:04.68 spid9s Starting up database 'model'.
2018-06-13 13:54:04.87 Logon Error: 18401, Severity: 14, State: 1.
2018-06-13 13:54:04.87 Logon Login failed for user 'NT AUTHORITY\NETWORK SERVICE'. 2018-06-13 13:54:04.64 spid17s Starting up database 'SUSDB'.
2018-06-13 13:54:04.68 spid9s Starting up database 'model'.
2018-06-13 13:54:04.87 Logon Error: 18401, Severity: 14, State: 1.
2018-06-13 13:54:04.87 Logon Login failed for user 'NT AUTHORITY\NETWORK SERVICE'. Reason: Server is in script upgrade mode. Only administrator can connect at this time. [CLIENT: <named pipe>] Only administrator can connect at this time. [CLIENT: <named pipe>]

«Reason: Server is in script upgrade mode.» — и что с этим делать? Ответ — ничего! Точнее просто ждать. На моём сервере база обновилась и перешла в рабочее состояние через 5 часов.

Решил записать эту напоминалку, т.к. пару лет назад такое уже было, а вспомнить, как лечилось не смог. Ситауция проявилась только из-за утреннего  ручного обновления сервера: обычно он обновляется ночью и к началу рабочего дня уже находится в рабочем состоянии.

Реклама

О проблемах установки обновлений


Своевременная установка обновлений это хорошая профилактика от вирусных атак. Это ещё раз подтверждает последння волна червей, начавшаяся с WannaCry.

И вот вроде бы все нужные обновления регулярно ставим, но червь как-то просочился на несколько компьютеров. По совокупности защитных мер ничего страшного не произошло, тем не менее выводы на будущее надо было сделать. Читать далее

Windows XP — живее всех живых


После вселенских разоблачений спалившихся агентов 007 компания Microsoft выпустила множество обновлений безопасности для всех версий Windows, включая Windows XP.

Если с обновлениями новых версий проблем нет: работает обновление через Интернет и через локальные WSUS серверы, то с Windows XP сложнее: в последние годы после окончания расширенной поддержки Windows XP был изменен не только формат пакетов обновления, но протокол, по которому системы обновляются.

В результате нам остаётся скачивать обновления для Windows XP и ставить их только вручную. Если есть SCCM, то можно сделать пакет с обновлениями и установить их за один заход. Это не сложно: используйте ключи quiet и norestart. Рекомендую не лениться и установить эти обновления, т.к. вирусы и трояны под эти дыры уже гуляют по белу свету.

Более подробно о всех обновлениях можно прочитать с статье June 2017 security update release. В частности для Windows XP смотрите Microsoft security advisory 4025685 — в этой же статье про Windows Vista, Windows 8, or Windows Server 2003 снятых с поддержки.

Изменения в модели обновлений Windows 7 и 8.1


Источник https://blogs.technet.microsoft.com/windowsitpro/2016/08/15/further-simplifying-servicing-model-for-windows-7-and-windows-8-1/

С октября 2016 года будут только кумклятивные обновления двух видов: кумулятивное обновление безопасности (включает все ранее выпущенные обновления безопасности) и полное кумулятивное обновление (включает все ранее выпущенные обновления безопасности и иные обновления).

Для .Net аналогично: будет только одно полное кумулятивное обновление (включает все ранее выпущенные обновления безопасности и иные обновления) для всех версий сразу и только одно обновление безопасности (включает все ранее выпущенные обновления безопасности) для все версий сразу. Эти пакеты будут только обновлеть установленные версии, но не будут ставить новые версии .Net.

Как видно, модель обновления максимально приближается к модели обновлений Windows 10. Размер обновлений ожидаем соответствующий.

Опыт внедрения Internet Explorer 11 в корпоративной среде – Часть 2.


Продолжение Опыт внедрения Internet Explorer 11 в корпоративной среде.

После одобрения установки IE11 на рабочие места через некоторое время на WSUS стало видно, что есть некоторое число компьютеров с ошибкой установки. Для пользователей это плохо ещё и потому, что IE11 пытается установиться раз в сутки повторно, замедляя работу компьютера.

В логе IE11_Main.log (находится в c:\windows) обнаружились строки:

01:17.782: ERROR: WMI query for Hotfixes timed out. Query string: ‘Select HotFixID from Win32_QuickFixEngineering WHERE HotFixID=»KB2729094″‘ Error: 0x00040004 (262148).

01:18.016: INFO: KB2729094 could not be download is not installed.

Читать далее

Обновления для Microsoft Visual C++ Redistributable Package


Логическая бомба с установкой обновлений безопасности. На WSUS сервере выбраны продукты, которые используются: система, Office и т.п. Обновления безопасности для них ставятся везде, где нужно.

Выполняем проверку сканером MBSA, и он показывает необходимость установки обновлений безопасности для Microsoft Visual C++ Redistributable Package. В WSUS эти обновления не приезжают, потому что продукты Visual Studio не одобрены! – нет такого продукта у пользователей.

Импортировал в WSUS обновления:

Kb 973923 Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package

Kb 2538243 Microsoft Visual C++ 2008 SP1 Redistributable Package

Kb 2565063 Microsoft Visual C++ 2010 Service Pack 1

В результате выяснилось, что пакеты очень популярны и должны быть установлены на практически все серверы и рабочие станции.

Вот такая интересная засада может случится – пользуйтесь почаще Microsoft Baseline Security Analyzer.

Миграция с WSUS на SCCM


Установка обновлений через WSUS достаточна проста. Если тщательно проработать группы и правила автоматического одобрения, то установка обновлений становится совсем не обременительной для администраторов. Более того, можно использовать скрипты для управления установкой обновлений, чтобы еще более повысить гибкость и удобство. Для небольших компаний такой подход идеальный.

Если же инфраструктура усложняется и растет в объемах, появляются многочисленные группы серверов и пользователей требующих особого подхода, то гибкости WSUS может уже не хватать. Обычно в такой инфраструктуре появляется Configuration Manager, и через какое-то время все процессы управления начинают тяготеть к SCCM. В том числе это касается установки обновлений.

И тут начинается ломка сознания: как жалко ломать настроенный и отлаженный механизм WSUS и заново отстраивать новый в SCCM! А сколько сил и времени это займет!

Оказывается, не все так ужасно – все уже написано до нас! Мне попалась статья Migrating from WSUS to Configuration Manager, в которой описаны скрипты миграции. Первый скрипт выгружает из WSUS список групп и одобренных для них обновлений, а второй импортирует эту информацию в SCCM, создавая в нем группы и включая в них нужные обновления. Эти скрипты не сделают всю работу за нас, но саму черновую да! Администратору остается (всего лишь!) продумать и реализовать процедуры установки обновлений, используя все расширенные возможности SCCM, которых нет в WSUS.