Windows Server 2016 не скачивает обновления через прокси

Обнаружил одну интересную особенность в службе обновлений Windows Server 2016. В том случае, если у вас не используется внутренний WSUS сервер, и ОС должна обновляться напрямую с серверов Windows Update в Интернет, то при использовании прокси-сервера для доступа наружу, при попытке загрузить обновления через центр обновлений, в Windows Server 2016 процесс загрузки зависает на этапе скачивания апдейтов на 0% (Downloading Updates 0%).

Что интересно, клиенту Windows Update удалось отправить/загрузить метаданные обновлений (список необходимых обновлений успешно сформировался), но ни одно из них не загружается.
Сформируем и откроем журнал WindowsUpdate.log с помощью командлета Get-WindowsUpdateLog.

Как вы видите, BITS не может закачать файлы с ошибкой 80246008.

Как оказалось, простая установка параметров прокси-сервера для Internet Explorer в Windows Server 2016 RTM (10.0.14393) не работает так, как в предыдущих версиях Windows. Чтобы клиент Windows Update в Windows Server 2016 мог получать доступ в Интернет через прокси, нужно принудительно указать системный прокси для winhttp.

Выведем текущие настройки прокси-сервера для WinHTTP:

netsh winhttp show proxy

Direct access (no proxy server).

Как вы видите, параметры прокси-сервера для WinHTTP не заданы указаны.

Задать настройки системного прокси для WinHTTP можно так:

netsh winhttp set proxy proxy-server=»192.168.0.14:3128″ bypass-list=»*.winitpro.ru»

Или так, импортировав настройки из IE (настройки прокси в Internet Explorer нужно предварительно задать вручную или настроить через GPO):

netsh winhttp import proxy source=ie

После изменения настроек прокси службу Windows Update нужно перезапустить:

После того, как были указан прокси для WinHTTP, Windows Server 2016 начал закачивать обновления с узлов Windows Update.

Аналогичной проблеме подвержена RTM версия Windows 10.

Также не забудьте, что вы не сможете получать обновления через прокси сервер с авторизацией, т.к. клиент Windows Update не поддерживает возможность авторизации на прокси (в отличии от PowerShell). Чтобы корректно работала служба обновлений Windows, нужно на прокси сервере разрешить анонимный доступ к серверам обновлений Microsoft. Список URL указан ниже:

• update.microsoft.com
• * .update.microsoft.com
• download.windowsupdate.com
• * .download.windowsupdate.com
• download.microsoft.com
• * .download.microsoft.com
• windowsupdate.com
• * .windowsupdate.com
• ntservicepack.microsoft.com
• wustat.windows.com
• mp.microsoft.com
• * .mp.microsoft.com

Чтобы корректно работала служба обвинений (последнее слово точно должно быть таким?)

А то! Вы обвиняетесь в том, что давно не обновляетесь!

Скорее так:
Вы обвиняетесь в том, что используете процессор не последнего поколения и приговариваетесь к отключению от обновлений!

На самом деле это довольно логично. Ведь если на машине не залогинен никакой пользователь, то откуда брать настройки прокси? Если же мы говорим о сервере, то чаще всего там ситуация именно такая. Следовательно если настроить автоматическое получение обновлений, то работать оно не сможет т.к. нет залогиненого пользователя и нет настроек прокси. Другое дело, что я бы не стал на серверах настраивать автоматическое обновление, но это уже каждый сам решает.
По поводу списка доменов. После _долгих_ экспериментов я пришел к такому списку:
*.microsoft.com
microsoft.com
*.windowsupdate.com
windowsupdate.com
*.trafficmanager.net
trafficmanager.net

Открывать более детально по поддоменам не вижу смысла. Во-первых их там реально много. Во-вторых ну нет ничего страшного если будет доступ к *.microsoft.com, а вот жизнь сисадмину упростит сильно. Я прошу учесть, что такой список родился не на пустом месте, а в результате мониторинга сетевой активности. Дело в том, что система помимо собственно обновлений обращается еще к различным ресурсам (например проверяет списки отозванных сертификатов — CRL). Это тоже важные ресурсы наряду с обновлениями. И я рекомендую открыть анонимный доступ к этим доменам не только с серверов но и с рабочих станций.

И в догонку (хотя это уже не относится к обновлениям). Касаемо загрузки CRL. На машинах с которых идёт активная работа с интернетом (как правило это юзерские машины) системный компонент MicrosoftCryptoAPI постоянно обращается к различным доменам для скачивания CRL. Так вот если используется выход в интернет через прокси, то для корректной работы этого механизма тоже должен быть прописан системный прокси, это во-первых. Во-вторых MicrosoftCryptoAPI обращается к прокси тоже анонимно (за редким исключением). И в-третьих всё это усугубляется тем, что доменов куда он может обратится множество. Таким образом если прокся не выпустит анонимные обращения от MicrosoftCryptoAPI, то система проверки отзыва сертификатов функционировать не будет. Причём это не вызывает никаких видимых эффектов. Просто тихо не работает и всё. Чем это грозит и насколько критично каждый пусть сам додумает.

Грозит это «разными тупняками системы» при работе с сетью, локальной в том числе. Сам видел как ОС призадумываются, ожидая получения CRL или отбоя по таймауту. Причем пути по которым скачиваются эти списки, не только мракософтовские. По внутренним правилам службы ИБ к примеру эти компы вообще не должны иметь выход в инет, а работать (нормально, без тормозов) то надо. И это еще цветочки, бывает, что без этих списков , не работают какие-либо сервисы, что логично в принципе.

Как заставить Windows Server 2016 проверять наличие обновлений

есть ли программный способ заставить Windows проверять наличие обновлений? Я установил обновление с помощью API Центра Обновления Windows, но следующий экран не обновляется.

API Центра Обновления Windows говорит, что требуется перезагрузка —

Я пробовал следующие команды в качестве администратора, но ни один из них не обновил экран —

2 ответов

утилиты командной строки в Windows 10 и Windows Server 2016 и далее изменились для Центра Обновления Windows.

вы должны использовать usoclient StartScan начать сканирование.

есть и другие варианты —

StartScan используется для запуска сканирования StartDownload используется для начала загрузки патчей

StartInstall используется для установки загруженных патчи

RefreshSettings обновить Настройки, если были сделаны какие-либо изменения

StartInteractiveScan может запрашивать ввод пользователя и / или открывать диалоги, чтобы показать прогресс или сообщайте об ошибках

RestartDevice перезагрузить устройство, чтобы закончить установку обновлений

ScanInstallWait Комбинированное Сканирование Скачать Установить

ResumeUpdate Возобновить Установку Обновления При Загрузке

Почему Windows Server 2016 не качает обновления через прокси-сервер

Обнаружил одну интересную особенность в службе обновлений Windows Server 2016. В том случае, если у вас не используется внутренний WSUS сервер, и ОС должна обновляться напрямую с серверов Windows Update в Интернет, то при использовании прокси-сервера для доступа наружу, при попытке загрузить обновления через центр обновлений, в Windows Server 2016 процесс загрузки зависает на этапе скачивания апдейтов на 0% (Downloading Updates 0%).

Что интересно, клиенту Windows Update удалось отправить/загрузить метаданные обновлений (список необходимых обновлений успешно сформировался), но ни одно из них не загружается.
Сформируем и откроем журнал WindowsUpdate.log с помощью командлета Get-WindowsUpdateLog .

2018/06/04 16:24:21.8312332 588 4116 DownloadManager BITS job initialized: JobId =
2018/06/04 16:24:21.8436054 588 4116 DownloadManager Downloading from http://download.windowsupdate.com/c/msdownload/update/software/defu/2017/09/nis_engine_1af0e4b80bf4028f8dac56ebf186b392e4e72486.exe to C:\Windows\SoftwareDistribution\Download\f71ddf93ec2d087c819cf75c55ddfda2\1af0e4b80bf4028f8dac56ebf186b392e4e72486 (full file)
2018/06/04 16:24:21.8452605 588 4116 DownloadManager New download job for UpdateId F608EDA4-2E84-433A-A8C9-8117411F91A8.200
2018/06/04 16:24:21.8545291 588 4116 DownloadManager Download job E3AA21C9B-4BC2-443E-2342-8F693CE1443E resumed.
2018/06/04 16:24:21.8734449 588 4116 DownloadManager Failed to connect to the DO service; (hr = 80040154)
2018/06/04 16:24:21.8734462 588 4116 DownloadManager GetDOManager() failed, hr=80246008, hrExtended=80040154
2018/06/04 16:24:21.8734472 588 4116 DownloadManager Failed creating DO job with hr 80246008
2018/06/04 16:24:21.8772521 588 4116 DownloadManager DO download failed with error 80246008[Extended: 80040154], falling back to BITS and retrying with new Download Job.

Как вы видите, BITS не может закачать файлы с ошибкой 80246008 .

Как оказалось, простая установка параметров прокси-сервера для Internet Explorer в Windows Server 2016 RTM (10.0.14393) не работает так, как в предыдущих версиях Windows. Чтобы клиент Windows Update в Windows Server 2016 мог получать доступ в Интернет через прокси, нужно принудительно указать системный прокси для winhttp.

Выведем текущие настройки прокси-сервера для WinHTTP:

Обновление для Windows Server 2016 и 10 Windows, версия 1607 обслуживания в стеке: 13 ноября 2018 г.

Аннотация

Функция пропуска уязвимость при Windows неправильно Приостанавливает шифрование BitLocker устройства. Злоумышленник, имеющий физический доступ к питание выход системы может воспользоваться этой уязвимостью, чтобы получить доступ к зашифрованным данным. Чтобы воспользоваться уязвимостью, злоумышленник должен получить физический доступ к целевой системе до следующей перезагрузки системы. Обновление для системы безопасности устраняет уязвимость, обеспечивая резюме Windows устройство шифрования BitLocker. Для получения дополнительных сведений об уязвимости, перейдите к .

Как получить это обновление

Метод 1. Центр обновления Windows

Это обновление будет загружено и установлено автоматически.

Примечание. Это обновление также доступно через cлужбы Windows Server Update Services (WSUS).

Метод 2: Каталог Центра обновления Майкрософт

Для получения отдельного пакета для данного обновления перейдите на веб-сайт каталога Центра обновления Майкрософт.

Сведения о развертывании

Корпорация Майкрософт рекомендует установить последние обслуживания обновление стека (SSU) для операционной системы перед установкой последней версии накопительного обновления (LCU). SSU повышают надежность процесса обновления для устранения потенциальных проблем при установке LCU и применение исправления для системы безопасности Microsoft. Для получения дополнительных сведений см. служебного стека.

Дополнительные сведения о развертывании данного обновления для системы безопасности следующей статье Microsoft Knowledge Base:

Дополнительная информация

Предварительные условия

Обслуживания обновление стека (SSU) (KB4132216) должны быть установлены перед установкой данного обновления безопасности.

Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки этого обновления.

Сведения о замене обновлений

Это обновление заменяет обновление .

Ссылки

Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.

Сведения о файлеАнглийского языка (США) версия данного обновления программного обеспечения устанавливает файлы, атрибуты которых указаны в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, даты и время могут изменяться при выполнении определенных операций с файлами. Сведения о файле Windows 10

Загрузка обновлений windows server 2016

Общие обсуждения

• Изменен тип Petko Krushev Microsoft contingent staff, Moderator 21 мая 2018 г. 7:27

Все ответы

Как вариант попробуйте так:

dism /online /cleanup-image /restorehealth

По результатам напишите

Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

Команда может выполняться достаточно длительное время, дождитесь окончания выполнения команды перезагрузите сервер попробуйте обновить ос.

По результатам напишите.

Не забудьте выложить результат работы dism

Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

Dism использует Windows Update, как один из источников для восстановления. Если у Вас проблемы с WU, то процесс может зависнуть на неопределённое время. (но даже если есть соединение, то восстановление может потребовать много времени — часы! Дождитесь полного завершения выполнения команды. Она либо выполнится до конца, либо пройдёт сообщение об ошибке).

Вы можете добавить в конце команды ключ /limitAccess Тогда Dism будет использовать только локальные ресурсы, но если есть повреждения в WinSxS, то восстановление не будет успешным. Вы можете также примонтировать свой исправный образ в качестве источника для DISM локально.

а памяти достаточно?

что у вас с файлом подкачки и свободной озу?

The opinion expressed by me is not an official position of Microsoft

Объём файла подкачки — 1280 МБ.

Объём оперативной памяти — 8 ГБ, из них используется лишь 36%.

The opinion expressed by me is not an official position of Microsoft

Скачайте версию самого последнего обновления SSU (KB4090914), которое подходит для вашей версии Windows, из Каталога Центра обновления Майкрософт .

Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

Антивирус стоит на сервер? Как давно обновлялся сервер? Защитник Windows у вас включен?

Нет, стороннее решение я не использую, работает Защитник Windows. Кстати интересно, что сканирование тоже не удаётся выполнить:

Но защита включена.
Не могу сказать было ли вообще обновление с момента последней установки.
Свойства сервера не показывают эти процессы:

Может выключена служба, отвечающая за такие процессы? посмотрите, не затрагивают ли выключенные службы такие задачи:

Скачайте версию самого последнего обновления SSU (KB4090914), которое подходит для вашей версии Windows, из Каталога Центра обновления Майкрософт .

Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку «Пометить как ответ» или проголосовать «полезное сообщение». Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

При попытке поставить КВ4090914 выдаёт ошибку «Обновление не применимо к вашему компьютеру»
Выполнил команду, результат:

This posting is provided «AS IS» with no warranties, and confers no rights.

Вы логи смотрели? У вас судя по всему проблема куда глубже чем отсутствие апдейтов, думаю в логах множество падений приложений.

This posting is provided «AS IS» with no warranties, and confers no rights.

Нашёл отчёт, который зафиксирован системой падением данного приложения.