Windows 10 не может загрузить пакеты апгрейдов с WSUS (0x80244019)

WSUS на базе Windows Server 2012 и выше поддерживает возможность установки на Windows 10 не только обычных обновлений безопасности и исправлений, но и крупных пакетов обновлений (в терминологии Microsoft – апгрейдов). Но прямо из коробки этот функционал не работает, такие апгрейды (в концепции Windows 10 называются Redstone ) на клиенты просто не закачиваются. Разберемся в проблеме.

Во WSUS на Windows Server 2012 появился новый тип классов обновлений – Upgrades. Включается он в консоли WSUS в разделе Options ->Product and Classification -> вкладка Classification. Нас интересует опция Upgrades (если она не включена, не спешите ее включать!).

Если включить эту опцию, то сервер WSUS все равно не будет загружать апгрейды, выдавая при загрузке ошибку. Чтобы сервер WSUS начал скачивать пакеты апгрейдов, нужно на WSUS сервере установить отдельное обновление: KB 3095113 (https://support.microsoft.com/en-us/kb/3095113).

Примечание. Если у вас ранее уже была активирована классификация Upgrades и выполнялась синхронизация, после установки KB 3095113 придется провести очистку базы WSUS с помощью следующих PowerShell команд:

1. Отключаем классификацию Upgrades Get-WsusClassification | Where-Object -FilterScript <$_.Classification.Title -Eq “Upgrades”>| Set-WsusClassification –Disable
2. Удаляем из базы информацию об этик апгрейдах $wsus = Get-WsusServer
   $wsus.SearchUpdates(“version 1511, 10586, 1607”) | foreach
3. Осталось включить классификацию Upgrades Get-WsusClassification | Where -FilterScript <$_.Classification.Title -Eq “Upgrades”>| Set-WsusClassification
4. И повторно запустить синхронизацию. $sub = $s.GetSubscription()
   $sub.StartSynchronization()

Но это еще не все, даже после установки KB 3095113 на сервере, пакеты апгрейдов на клиентах все равно не появляются. В журналах WindowsUpdate.log на ПК с Windows 10 появляется можно найти ошибку 0x80244019:

2016/08/24 15:32:36.3654849 1064 2660 DownloadManager BITS job <84234abb-06ce-4251-941c-281b4424eb32>failed, updateId = 8CB55544-8521-238E-AAFB-422D647DC0A6.200, hr = 0x80190194. File URL = _http://wsus.mydomain.com:8530/Content/7C/6F5CAF07827FAE0E37739F3222603EAF38808B7C.esd, local path = C:\Windows\SoftwareDistribution\Download\dc0dc85b32300fe505d5d9a2f479c1b0\10586.0.151029-1700.th2_release_CLIENTENTERPRISE_VOL_x64fre_en-us.esd

2016/08/24 15:33:36.3658125 1064 2660 DownloadManager Progress failure bytes total = 2659650046, bytes transferred = 18574952

2016/08/24 15:33:36.3845664 1064 2660 DownloadManager Error 0x80244019 occurred while downloading update; notifying dependent calls.

В логе видна попытка закачать файл ESD (новый формат распространения образа ОС), —7C/6F5CAF07827FAE0E37739F3222603EAF38808B7C.esd с сервера. Попробуйте открыть этот URL в браузере – появится ошибка 404. Дело в том, что этот тип файлов не разрешен в настройках IIS и его передача блокируется.

Чтобы разрешить серверу WSUS передавать ESD файлы, откройте консоль Internet Information Service (IIS) Manager, перейдите на сайт WSUS Administration и выберите каталог Content. В настройках IIS выберите раздел Mime Types.

Добавьте новый тип MIME (Add MIME type):

Расширение файла: .esd

Тип MIME: application/octet-stream

Совет. То же самое можно сделать командами:

cd %windir%\system32\inetsrv
appcmd set config /section:staticContent /+»[fileExtension=’.esd’,mimeType=’application/octet-stream’]»

Перезапустите службу IIS (iisreset) и выполните повторную синхронизацию на клиентах. Клиенты Windows 10 должны начать закачивать esd файлы и могут приступать к установке пакетов обновлений.

Одобрение обновлений на WSUS в Windows Server 2012 R2/2016

Довольно долго статья об методиках и особенностях утверждения (одобрения) обновлений на сервере Windows Server Update Services (WSUS) у меня лежала в черновиках, и по настойчивым просьбам одного из постоянных подписчиках я решил ее закончить и опубликовать.

Одна из основных задач администратора WSUS является управление обновлениями, одобренными для установки на компьютерах и сервера Windows. Сервер WSUS после установки и настройки начинает регулярно скачивать обновления для выбранных продуктов с серверов Microsoft Update.

Целевые группы компьютеров WSUS

После того, как обновления попали в базу данных WSUS, они могут быть установлены на компьютеры. Но, прежде чем компьютеры начнут качать и ставить новые обновления, их должен одобрить (или отклонить) администратор WSUS. Важно иметь в виду, что в большинстве случаев перед установкой обновлений на продуктивные системы их нужно обязательно тестировать на нескольких типовых рабочих станциях и серверах.

Для организации процесса тестирования и установки обновления на компьютерах и серверах домена администратор WSUS должен создать группы компьютеров. В зависимости от задач бизнеса, типов рабочих мест пользователей и категорий серверов можно создавать различные группы компьютеров. В общем случае в консоли WSUS в разделе Computers -> All computers имеет смысл создать следующие группы на WSUS:

1. Test_Srv_WSUS — группа с тестовыми серверами (некритичные для бизнеса сервера и выделенные сервера с тестовой средой, идентичной продуктивной);
2. Test_Wks_WSUS — тестовые рабочие станции;
3. Prod_Srv_WSUS — продуктивные сервера Windows;
4. Prod_Wks_WSUS — все рабочие станции пользователей.

Данные группы компьютеров можно наполнить серверами вручную (обычно это имеет смысл для тестовых групп) либо вы можете привязать компьютеры и сервера к группам WSUS с помощью групповой политики Enable client-side targeting (Разрешить клиенту присоединение к целевой группе).

После того, как группы созданы, вы можете одобрить для них обновления. Есть два способа утверждения обновлений для установки на компьютерах: ручное и автоматическое обновление.

Ручное одобрение и установка обновлений через WSUS

Откройте консоль управления WSUS (Update Services) и выберите секцию Updates. В ней отображается результирующий отчет о доступных обновлениях. В этом разделе по-умолчанию присутствую 4 подраздела: All Updates, Critical Updates, Security Updates и WSUS Updates. Вы можете одобрить конкретное обновление к установке, найдя его в одном из этих разделов (вы можете воспользоваться поиском по имени KB в консоли поиска обновлений или номеру бюллетеня безопасности Microsoft), или же можно отсортировать обновления по дате выпуска, или номерам.

Выведите список еще не утвержденных обновлений (фильтр — Approval=Unapproved). Найдите нужное обновление, щелкните по нему ПКМ и выберите в меню пункт Approve.

В появившемся окне выберите группу компьютеров WSUS, для которых нужно одобрить установку данного обновления (например, Test_Srv_WSUS). Выберите пункт Approve for Install. Можно одобрить обновление сразу для всех групп компьютеров, выбрав пункт All Computers, либо для каждой группы индивидуально. Например, сначала вы можете одобрить установку обновлений на группе тестовых компьютеров, а через 4-7 дней, если проблем не выявлено, одобрите установку обновления на все компьютеры.

Появится окошко с результатами процесса утверждения обновления. Если обновление успешно одобрено, появится надпись Success. Закройте это окно.

Как вы поняли, это ручная схема одобрения конкретных обновлений. Она достаточно трудоемка, т.к. каждое обновление нужно одобрять индивидуально. Если вы не хотите одобрять обновления вручную, вы можете создать правила автоматического одобрения обновлений (auto-approval).

Настройка правил автоматического одобрения обновлений на WSUS

Автоматическое одобрение позволяет сразу, без вмешательства администратора, одобрить новые обновления, которые появились на сервере WSUS и назначить их для установки на клиентов. Автоматическое одобрение обновлений WSUS основано на правилах одобрения.

В консоли управления WSUS откройте раздел Options и выберите Automatic Approvals.

В появившемся окне на вкладке Update Rules указано только одно правило с именем Default Automatic Approval Rule (по умолчанию оно отключено).

Чтобы создать новое правило, нажмите на кнопку New Rule.

Правило состоит из 3 шагов. Вам нужно выбрать необходимые свойства обновления, выбрать на какие группы компьютеров WSUS нужно одобрить обновление и имя правила.

Щелкая на каждую синюю ссылку, откроется соответствующее окно свойств.

Например, вы можете включить автоматическое одобрение обновлении безопасности для тестовых серверов. Для этого в секции Choose Update Classifications выберите пункт Critical Updates, Security Updates, Definition Updates (остальные галки снимите). Затем в диалоге Approve the update for выберите группу WSUS с именем Test_Srv_WSUS.

На вкладке Advanced вы можете выбрать, нужно ли автоматически одобрять обновления для самой службы WSUS и нужно ли дополнительно одобрять обновления, которые были изменены Microsoft. Обычно все галки на этой вкладке включены.

Теперь, когда в очередной второй вторник месяца ваш сервер WSUS закачает новые обновления (или при ручном импорте обновлений), они будут одобрены для автоматической установки на тестовой группе. Клиенты Windows по умолчанию выполняют сканирование новых обновлений на сервере WSUS каждые 22 часа. Чтобы критичные компьютеры получали новые обновления как можно скорее, вы можете изменить частоту таких синхронизаций с помощью политики Automatic Update detection frequency до нескольких часов (также вы можете выполнить сканирование обновлений вручную с помощью модуля PSWindowsUpdate). При большом количестве клиентов на сервере WSUS (более 2000 компьютеров), производительность сервера обновлений со стандартными настройками может оказаться недостаточной, поэтому ее необходимо оптимизировать (см. статью).

Отзыв установленных обновлений на WSUS

Если одно из одобренных обновлений оказалось проблемным и вызывает ошибки на компьютерах или серверах, администратор WSUS может его отозвать. Для этого нужно найти обновление в консоли WSUS и выбрать Decline. Затем укажите

Теперь выберите группу WSUS, для которой нужно отменить установку и выбрать Approved for Removal. Через некоторое время обновление будет удалено на клиенте (подробнее процесс описан в статье Способы удаления обновлений Windows.

Методика одобрения обновлений WSUS для продуктивных сред

После того, как вы установили и протестировали обновления на тестовых группах и убедились, что пробам нет (обычно на тестирование достаточно 3-6 дней), вы можете одобрить новые обновления для установки на продуктивные системы. Также нельзя автоматически утвердить обновления с некоторой задержкой (например, через 7 дней) на продуктивные системы.

К сожалению, консоль WSUS не представляет возможности скопировать все одобренные обновления из одной группы компьютеров WSUS в другую. Вы можете по одному искать новые обновления и вручную утверждать их для установки на продуктивнее группы серверов и компьютеров. Это довольно долго и утомительно.

Для себя я сделал небольшой PowerShell скрипт, который собирает список обновлений, одобренных для тестовой группы и автоматически одобряет все обнаруженные обновления на продуктивную группу (см. статью Копирование одобренных обновлений между группами WSUS). Теперь я запускаю этот скрипт через 7 дней после установки обновлений и тестирования обновлений на тестовых группах. Если среди патчей обнаружились проблемные, их необходимо отклонить на тестовой группе.

Служба самостоятельного обновления WSUS не отправляет автоматические обновления

В этой статье приводится решение проблемы, из-за которой клиентские компьютеры не получают обновления при использовании службы самостоятельного обновления Microsoft cлужбы Windows Server Update Services (WSUS) для отправки автоматических обновлений.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 920659

Симптомы

При попытке использовать службу самостоятельного обновления WSUS для отправки автоматических обновлений на клиентские компьютеры клиентские компьютеры не получают обновления. Кроме того, клиентские компьютеры не сообщают серверу WSUS.

В этом случае консоль администрирования WSUS занося в журнал следующее сообщение об ошибке:

Проверьте конфигурацию сервера. Не удалось связаться с одним или более компонентами службы обновления. Проверьте состояние сервера и убедитесь, что служба Обновления Windows Server запущена.
Не работающие службы: selfUpdate

Журнал событий также может включать следующее событие:

Причина

Эта проблема может возникнуть, если верно одно или несколько из следующих условий:

• Отсутствуют или неправильно настроены разрешения для каталога, или IUSR_ ComputerName была удалена из группы C:\Program Files\Update Service\SelfUpdate «Пользователи».
• Виртуальный каталог SelfUpdate отсутствует на сервере WSUS.
• Виртуальный каталог SelfUpdate не настроен для сайта по умолчанию через порт 80.
• Виртуальный каталог SelfUpdate не имеет разрешений анонимного доступа.
• Веб-сайт по умолчанию настроен на использование указанных IP-адресов и отсутствует запись для 127.0.0.1.
• Веб-сайт по умолчанию не имеет разрешений анонимного доступа.
• На сервере WSUS также установлена Windows SharePoint Services Microsoft. Ресурсы WSUS не были исключены из управления SharePoint.
• Установка Selfupdate.msi неисправна. Таким образом, файлы отсутствуют в подпапок

Решение

Чтобы устранить эту проблему, необходимо иметь следующие минимальные разрешения для каталога C:\Program Files\Update Service\SelfUpdate.

Group	Permissions
Администраторы	Полный доступ
Системные	Полный доступ
Домен, пользователи или локальные/пользователи	Чтение&execute, Read, List Folders
IUSR_ ComputerName	Чтение&execute, Read, List Folders

IUSR_ ComputerName представляет имя хоста сервера, на котором запущены IIS, на котором установлены WSUS. Если эта учетная запись входит в группу пользователей, вам не нужно явно определять эти разрешения.

Чтобы устранить проблему, из-за которой отсутствует виртуальный каталог selfUpdate или в веб-сайте, привязанном к порту 80, отсутствует виртуальный каталог selfUpdate, запустите файл Selfupdate.msi, расположенный в папке Program files\Update services\Setup.

Чтобы устранить проблемы, из-за которых у виртуального каталога SelfUpdate нет разрешений на анонимный доступ, откройте диспетчер IIS, разойдите веб-сайт по умолчанию, щелкните правой кнопкой мыши виртуальный каталог SelfUpdate и выберите «Свойства» . На вкладке «Безопасность каталога» щелкните «Изменить» в области «Проверка подлинности» и «Управление доступом». Убедитесь, что анонимный доступ включен.

Этот шаг также следует выполнить для веб-сайта по умолчанию. Дерево selfUpdate не работает, если имеется веб-сайт, привязанный к определенному IP-адресу в конфигурации IIS. Обходным решением является либо настройка конфигурации IIS для ответа на «Все ненаправленные» адреса, либо добавление 127.0.0.1 в список IP-адресов, используемых для selfUpdate.

Используйте консоль управления СЛУЖБЫ IIS, чтобы убедиться, что на сервере настроена одна из следующих двух конфигураций.

Конфигурация 1: службы WSUS установлены на веб-сайте по умолчанию

Настройте веб-сайт по умолчанию с помощью следующих параметров:

• SelfUpdate
• Содержимое
• ClientWebService
• SimpleAuthWebService
• WSUSAdmin
• ReportingWebService
• DssAuthWebService
• ServerSyncWebService

Конфигурация 2: службы WSUS установлены на настраиваемом веб-сайте

Настройте веб-сайт по умолчанию на порту 80 с помощью следующих параметров:

Настройте администрирование WSUS на порту 8530 со следующими настройками:

• SelfUpdate
• Содержимое
• ClientWebService
• SimpleAuthWebService
• WSUSAdmin
• ReportingWebService
• DssAuthWebService
• ServerSyncWebService

Независимо от выбранной конфигурации необходимо также проверить следующие параметры:

• Необходимо настроить виртуальный каталог selfUpdate на веб-сайте по умолчанию или любом другом веб-сайте для прослушивания порта 80.
• Виртуальный каталог SelfUpdate указывает на C:\Program Files\Update Service\SelfUpdate.
• Виртуальный каталог WSUSAdmin — это единственный виртуальный каталог в СЛУЖБАХ IIS, для системы безопасности должен быть установлена встроенная проверка подлинности Windows. Установите для всех остальных виртуальных каталогов безопасность «Анонимный доступ включен».

Status

Корпорация Майкрософт подтвердила, что это проблема.

Дополнительные сведения

При использовании служб IIS можно переместить каталог SelfUpdate на другой веб-сайт. Для этого выполните следующие действия:

1. Нажмите кнопку«Начните», щелкните «Выполнить»,введите«Администрирование управления», а затем дважды щелкните диспетчер служб IIS.
2. Разйдите папку «Веб-сайты» и выберите узел администрирования WSUS.
3. Щелкните правой кнопкой мыши узел SelfUpdate, найдите пункт «Все задачи» и выберите «Сохранить конфигурацию в файл».
4. Введите имя файла и сохраните его в другой папке. Этот файл будет применяться в шагах с 9 по 12.
5. Щелкните правой кнопкой мыши узел ClientWebService, выберите «Все задачи» и выберите «Сохранить конфигурацию в файл».
6. Введите имя файла и сохраните его в той же папке, которая использовалась на шаге 4. Этот файл будет применяться в шагах 13-15.
7. Выберите веб-сайт по умолчанию или другой веб-сайт, работающий на порту 80.
8. Щелкните веб-сайт правой кнопкой мыши, выберите пункт «Новый» и выберите виртуальный каталог (из файла).
9. Выберите каталог, в котором сохранены самоустановка и ClientWebService.xml в шагах 4 и 6.
10. Выберите файл SelfUpdate.xml и нажмите кнопку «Открыть».
11. Нажмите кнопку «Чтение файла», выберите файл selfUpdate, который теперь указан в списке «Выберите конфигурацию для импорта» и нажмите кнопку «ОК».
12. В диалоговом окне «Диспетчер IIS» введите имя нового виртуального каталога в поле «Псевдоним» и нажмите кнопку «ОК».
13. Выберите XML-файл ClientWebService и нажмите кнопку «Открыть».
14. Нажмите кнопку «Чтение файла», выберите файл selfUpdate, который теперь указан в списке «Выберите конфигурацию для импорта» и нажмите кнопку «ОК».
15. В диалоговом окне «Диспетчер IIS» введите имя нового виртуального каталога в поле «Псевдоним» и нажмите кнопку «ОК».
16. Если это новый веб-сайт, запустите его в диспетчере IIS. Если это существующий веб-сайт, перезапустите его из диспетчера IIS.

Ссылки

Дополнительные сведения об автоматических обновлениях в Windows см. в описании функции автоматического обновления в Windows.