WSUS – Проблемы с клонированными клиентами с дублирующимися SusClientId

При вводе в эксплуатацию партии новых рабочих станций HP с предустановленной ОС Windows 7 Pro OEM столкнулись с ситуацией, когда новые клиентские компьютеры успешно обновлялись с локального сервера WSUS, но при этом не появлялись на консоли WSUS. Вернее сказать, на консоли отображался лишь один новый компьютер, который последним обратился на WSUS. Изучив WindowsUpdate.log на нескольких таких клиентских компьютерах, стало очевидно, что каждый из них использует один и тот же SusClientId, что и приводит к цикличному переписыванию на WSUS сведений о новых клиентах.

Информация об уникальном идентификаторе клиента WSUS оказалась идентичной в реестре на всех новых компьютерах из этой поставки.

Сверив SID на этих компьютерах, и убедившись в его идентичности, стало понятно, что «ноги растут» из некорректного разлива образа ОС.

Осознавать то, что один из крупнейших мировых вендоров позволяет себе и сегодня такие промахи, конечно неприятно, учитывая то, что степень фрустрации при этом сгущается ещё и воспоминаниями о Double UUID.

Описанию проблемы на WSUS с клиентами с идентичными SusClientId посвящена статья KB903262 — A Windows 2000-based, Windows Server 2003-based, or Windows XP-based computer that was set up by using a Windows 2000, Windows Server 2003, or Windows XP image does not appear in the WSUS console. Исходя из описанных в ней инструкций, мы можем создать пакетный файл, с помощью которого выполним регенерацию SusClientId и перерегистрацию клиента на WSUS:

После выполнения этого пакетного файла на проблемной клиентской системе, через несколько минут клиент должен появиться на консоли WSUS как отдельная самостоятельная сущность.

Для того чтобы избежать подобной проблемы, при подготовке образа для развертывания ОС Windows перед выполнением «запаковки» ОС с помощью средства Sysprep, нужно создать файл Sysprep.inf в каталоге с файлом Sysprep.exe с следующим содержанием:

Дополнительные источники информации:

• The WSUS Support Team Blog — Resolving the duplicate SUSClientID issue, or “Why don’t all my clients show up in the WSUS console?”
• TechNet Forum — WSUS — Полезные советы

Устранение неполадок с агентами клиентов WSUS

В этой статье вы можете диагностировать и устранять проблемы с агентами cлужбы Windows Server Update Services (WSUS).

Оригинальная версия продукта: cлужбы Windows Server Update Services
Исходный номер КБ: 10132

При проблемах с агентами клиентов WSUS они могут проявляться многими способами. Ниже перечислены некоторые распространенные проблемы:

• Это может быть проблемой с настройками клиента для групповой политики.
• Это может быть проблема с BITS.
• Это может быть проблема со службой агентов WSUS.
• Это может быть связано с сетевой проблемой, которая не позволяет клиенту достичь сервера.
• Это может быть проблема с магазином агентов автоматического обновления.
• Это может быть проблема, из-за которой у клиентов имеются дублирующиеся ID клиента WSUS, вызванные клонированием дисков.

Убедитесь, что клиент настроен правильно

При устранении неполадок с клиентом WSUS сначала убедитесь, что клиент правильно настроен. Убедитесь, что клиент получает соответствующую групповую политику Active Directory, а также сведения о сервере WSUS. Это можно сделать, подав следующую команду:

Откройте текстовый файл в блокноте и найдите имя политики WSUS. Например, если политика WSUS называется WSUS, ее можно найти в файле GPRESULT.TXT в разделе Параметры компьютера в разделе Объекты прикладной групповой политики. Ниже приведен пример:

Если параметров WSUS нет, возможные причины:

• В системе нет групповой политики из домена.
• Групповой политика не ориентирована на клиентскую систему.

Чтобы устранить эту проблему, убедитесь в успешном обновлении групповой политики для каждого клиента и правильной настройке параметра WSUS.

Чтобы обновить групповую политику клиента, запустите GPUpdate /force из командной подсказки.

Дополнительные сведения о настройке групповой политики для клиентов WSUS см. в дополнительных сведениях о настройке автоматических обновлений с помощью групповой политики.

Проверка проблем, связанных с BITS

Background Intelligent Transfer Service (BITS) — это служба, используемая WSUS для скачивания обновлений из Microsoft Update на основной сервер WSUS и с серверов WSUS для своих клиентов. Некоторые проблемы с загрузкой могут быть вызваны проблемами с битами на сервере или клиентских компьютерах. При устранении неполадок при загрузке необходимо убедиться, что bits работает должным образом на всех затронутых компьютерах.

Служба BITS должна работать под учетной записью LocalSystem по умолчанию. Чтобы настроить службу для работы под правильной учетной записью, выполните следующие действия:

Откройте командную подсказку и запустите следующую команду:

Между obj= и LocalSystem должно возникать пространство. В случае успешной работы необходимо получить следующий вывод:

Остановка и перезапуск BITS.

Чтобы просмотреть состояние службы BITS, откройте командную подсказку и запустите следующую команду:

Если биты запущены, вы должны увидеть следующий вывод:

Если BITS не запущен, вы увидите следующий вывод:

Обычно можно разрешить проблемы с BITS, остановив службу и перезапустив ее. Чтобы остановить и перезапустить службу BITS, запустите следующие команды из командной подсказки:

Чтобы остановить и перезапустить BITS, необходимо войти в систему в качестве локального администратора.

BITS не удается запустить

Если служба BITS не запустится, в журнале событий можно найти любую ошибку, связанную с БИТС. Для диагностики причин этих ошибок можно использовать следующую таблицу.

Имя ошибки	Код ошибки	Описание
ERROR_SERVICE_DOES_NOT_EXIST	0x80070424	Ниже см. раздел о восстановлении конфигурации BITS.
ERROR_SERVICE_NOT_IN_EXE	0x8007043B	BITS не указан в качестве одной из служб в группе svchost netsvcs
ERROR_SERVICE_DISABLED	0x80070422	Биты отключены. Включить службу BITS.
ERROR_SERVICE_DEPENDENCY_DELETED ERROR_SERVICE_DEPENDENCY_FAIL	0x80070433, 0x8007042c	Служба, появляемая в списке зависимостей службы BITS, не может быть запущена. Убедитесь, что список зависимостей для службы BITS является правильным: Windows Vista: RpcSs, EventSystem (также http.sys и LanManWorkstation при включенном одноранговом кэшинге) Windows Server 2003: Rpcss, EventSystem Windows XP: Rpcss Windows 2000: Rpcss, SENS, Wmi
ERROR_PATH_NOT_FOUND	0x80070003	Pre-Windows Vista: %ALLUSERSPROFILE%\Microsoft\Network не существует
ERROR_FILE_NOT_FOUND	0x80070002	Ключ Параметры отсутствует. Убедитесь, что существуют следующие ключи и значения: HKLM\SYSTEM\CurrentControlSet\Services\BITS\Parameters\ServiceDll = %SystemRoot%\System32\qmgr.dll
REGDB_E_CLASSNOTREG, EVENT_E_INTERNALERROR	0x80040154, 0x80040206	BITS для Windows 2000 зависит от служб SENS и EventSystem. Если каталог COM+ поврежден, bits может привести к сбою с этим кодом ошибки.

Задания BITS не удается

Если клиент правильно настроен для получения обновлений, биты настроены правильно, а биты, как представляется, начинаются и работают должным образом, может возникнуть проблема, из-за которой сами задания BITS не работают. Чтобы проверить это, посмотрите в журнале событий все ошибки, связанные с BITS. Для диагностики причин этих ошибок можно использовать следующую таблицу.

Имя ошибки	Код ошибки	Описание
E_INVALIDARG	0x80070057	Неправильное имя прокси-сервера было указано в параметрах прокси-сервера Internet Explorer пользователя. Эта ошибка также рассматривается при поставке учетных данных для схем проверки подлинности, которые не являются NTLM/Negotiate, но имя пользователя или пароль являются null. Измените параметры прокси-сервера Internet Explorer пользователя на допустимый прокси-сервер. Или измените учетные данные, чтобы они не были NULL-именем пользователя или паролем для схем, помимо NTLM/Negotiate.
ERROR_WINHTTP_NAME_NOT_RESOLVED	0x80072ee7	Сервер/прокси-сервер не удалось разрешить с помощью BITS. Internet Explorer на той же машине в контексте владельца задания будет видеть ту же проблему. Попробуйте загрузить один и тот же файл через веб-браузер с помощью контекста владельца задания.
ERROR_HTTP_INVALID_SERVER_RESPONSE	0x80072f78	Это преходящая ошибка, и задание будет продолжать скачивать.
BG_E_INSUFFICIENT_RANGE_SUPPORT	0x80200013	BITS использует заглавные элементы диапазона в http-запросах для запроса частей файла. Если сервер или прокси-сервер не понимают диапазон запросов и возвращает полный файл вместо запрашиваемого диапазона, BITS ставит задание в состояние ERROR с этой ошибкой. Захват сетевого трафика во время ошибки и проверьте, получают ли запросы HTTP GET с помощью заголовка Range допустимые ответы. Проверьте прокси-серверы, чтобы убедиться, что они правильно настроены для поддержки запросов range.
BG_E_MISSING_FILE_SIZE	0x80200011	Когда BITS отправляет HEAD-запрос, а сервер/прокси-сервер не возвращает в ответ заготвку Content-Length, BITS ставит задание в состояние ERROR с этой ошибкой. Проверьте прокси-сервер и сервер WSUS, чтобы убедиться, что они настроены правильно. Известно, что это поведение проявляется в некоторых версиях прокси-сервера Apache 2.0.
BG_E_HTTP_ERROR_403	0x80190193	Когда сервер возвращает ответ HTTP 403 в любом из запросов, BITS ставит задание в состояние ERROR с этим кодом ошибки. HTTP 403 соответствует запрету: доступ запрещен. Проверьте разрешения доступа для учетной записи, которая работает с заданием.
ERROR_NOT_LOGGED_ON	0x800704dd	Служба SENS не получает уведомления о логотипе пользователя. Bits (версия 2.0 и более поздние версии) зависит от уведомлений с логотипом от диспетчера управления службой, что, в свою очередь, зависит от службы SENS. Убедитесь, что служба SENS запущена и запущена правильно.

Ремонт поврежденной конфигурации BITS

Чтобы восстановить поврежденную конфигурацию службы BITS, можно ввести конфигурацию службы BITS вручную.

Это действие следует предпринять только в тех случаях, когда все другие попытки устранения неполадок потерпели неудачу. Чтобы изменить конфигурацию BITS, необходимо быть администратором.

Чтобы восстановить поврежденную конфигурацию BITS, выполните следующие действия:

Откройте командную подсказку.

Введите следующие команды, нажмите ВВОД после ввода каждой команды:

Остановка и перезапуск BITS.

Проблемы со службой агентов WSUS

Убедитесь, что служба обновления Windows может успешно запуститься.

Чтобы просмотреть текущее состояние службы обновления Windows, откройте командную подсказку и запустите следующую команду:

Если WUAUSERV запущен, вы должны увидеть следующий вывод:

Если WUAUSERV не запущен, вы увидите следующий вывод:

Убедитесь, что вы можете успешно запустить службу WUAUSERV. Чтобы остановить и перезапустить WUAUSERV, необходимо войти в систему в качестве локального администратора.

Чтобы запустить службу WUAUSERV, запустите следующие команды из командной подсказки:

Если агент клиента не запустится должным образом, проверьте версию агента обновления Windows. Если агент не обновлен, обнови агент обновления Windows до последней версии.

После запуска исправления или обновления агента запустите wuauclt /detectnow . Проверьте windowsupdate.log, чтобы убедиться, что нет проблем.

Убедитесь, что сервер WSUS можно достичь от клиента

Убедитесь, что вы можете получить доступ к URL-адресу http:// /iuident.cab и скачать файл без ошибок.

Если сервер WSUS недостижим от клиента, наиболее вероятными причинами являются следующие:

• У клиента есть проблема с разрешением имен.
• Существует проблема, связанная с сетью, например проблема конфигурации прокси.

Используйте стандартные процедуры устранения неполадок, чтобы убедиться, что разрешение имен работает в сети. Если разрешение имен работает, следующим шагом является проверка проблем с прокси-серверами. Проверьте windowsupdate.log (C:\windows), чтобы узнать, есть ли ошибки, связанные с ) прокси. Вы можете запустить proxycfg команду, чтобы проверить параметры прокси WinHTTP.

При ошибках прокси перейдите в lan-параметры Internet Explorer > Tools Connections, настройте правильный прокси и убедитесь, что вы можете получить доступ к > > указанному URL-адресу WSUS.

После этого можно скопировать эти параметры прокси-сервера пользователя в прокси-параметры WinHTTP с помощью proxycfg -u команды. После заданных параметров прокси запустите из командного запроса и проверьте wuauclt /detectnow windowsupdate.log на факт ошибок.

Восстановление магазина агентов автоматического обновления

При проблемах с загрузкой обновлений и ошибках, связанных с магазином рассылки программного обеспечения, выполните следующие действия на клиенте:

• Остановите службу автоматических обновлений, sc stop wuauserv выключив командный запрос.
• Переименовать папку рассылки программного обеспечения (например, C:\Windows\SoftwareDistribution).
• Перезапустите службу автоматического обновления с sc start wuauserv помощью командной подсказки.
• Из командного запроса запустите wuauclt /resetauthorization /detectnow .
• Из командного запроса запустите wuauclt /reportnow .

Проверка для клиентов с тем же ИД SUSclient

Может возникнуть проблема, из-за которой на консоли появляется только один клиент WSUS. Или вы можете заметить, что из группы клиентов на консоли одновременно появляется только один, но точный, который появится, со временем может измениться. Эта проблема может произойти, когда системы изображения и клиенты в конечном итоге с той же SUSclientID .

Для тех клиентов, которые не работают должным образом из-за того SUSclientID же, выполните следующие действия:

Остановите службу автоматических обновлений, sc stop wuauserv выключив командный запрос.

Удаление SUSclientID ключа реестра из следующего расположения:

Перезапустите службу автоматического обновления с sc start wuauserv помощью командной подсказки.

Из командного запроса запустите wuauclt /resetauthorization /detectnow .

Из командного запроса запустите wuauclt /reportnow .