WSUS-не запускается ни одна служба под учетной записью IUSR_machinename
Здравствуйте,
После нормальной установки WSUS 3.0 SP2 сам сервис не работает как надо. Консоль запускается, обновления скачиваются. Но не могу присоединить ни один клиентский компьютер, в журнале Application Log появляются (через 6 часов) сообщения об ошибке запуска служб типа (или после перезапуска службы UpdateServices):
---------------------------------------------------------------------
Event type: Error
Event Source: Windows Update Services
Event Category; Client
Event ID: 13042
.....
Description: Self-update is not working
---------------------------------------------------------------------
И и так для всех служб:
Reporting Web Service (event id=12002)
Server Synchronization Web Service (event id=12032)
Client Web Service (event id=12022
SimpleAuth Web Service (event id=12042)
DSSAuthentication Service (event id=12052)
---------------------------------------------------------------------
В журнале SecurityLog полно сообщений об ошибке входа таких как:
---------------------------------------------------------------------
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 534
Date: 28.10.2009
Time: 14:06:42
User: NT AUTHORITY\SYSTEM
Computer: SERVERNAME
Description:
Logon Failure:
Reason: The user has not been granted the requested
logon type at this machine
User Name: IUSR_SERVERNAME
Domain: AV
Logon Type: 8
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: SERVERNAME
Caller User Name: NETWORK SERVICE
Caller Domain: NT AUTHORITY
Caller Logon ID: (0x0,0x3E4)
Caller Process ID: 3476
Transited Services: -
Source Network Address: -
Source Port:
---------------------------------------------------------------------
Менял IUSR_machinename на интегрированную идентификацию Windows-ничего не дало.
Права на каталоги WSUS соответствуют тем что приведены в "WSUS 3.0 SP2 Deployment Guide"
Попробовал заменить учетную запись с IUSR_machinename на учетку доменного админа - все заработало.
Как я понимаю-при установке IIS создалась локальная учет. запись IUSR_machinename, но она не доменная и не может действовать как NetworkService.
Для полноты картины: сервер Win server 2003 SP2, standalone (не DC), член домена, web-сайт установлен как default, на 80 порту, установлен SQL server 2005 Express SP3.
Пдскажите, пожалуйста - как выйти из этой ситуации ?
Ответы
По ошибке 13042 можно посмотреть вот эту статью: http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=.NET+Framework&ProdVer=2.0.50727&EvtID=13042&EvtSrc=Windows+Server+Update+Services&LCID=1033
либо воспользоваться следующими рекомендациями:
1. Within IIS verify that anonymous access is enabled for the /selfupdate
virtual directory and /clientwebservice application directory.
2. Reset the password of the IIS anonymous account IUSER_<computer> and
renew the password setting in IIS:
a. Open up IIS
b. Expand Web Sites > Right click SelfUpdate > Properties > Directory
Security tab
c. Click Edit on "Authentication and account control"
d. Enter the same password that was used to reset the IUSER account in AD
Users & Computers
e. Do the same with the below IIS componets :
ReportingWebService / ServerSynchronizationWebService / ClientWebService /
SimpleAuthWebService / DSSAuthenticationWebService
f. If you are using the Default Web site, you should also check the
password setting in it.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html- Помечено в качестве ответаAnatoly_A 16 ноября 2009 г. 4:21
Все ответы
- А в какие группы входит данный пользователь? Такое ощущение, что в своем вопросе вы сами дали ответ, в какую сторону копать.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html Этот пользователь входит в группу Guests.
Сразу скажу, что ошибку с запуском служб удалось частично устранить. Дело было в том, что в доменной политике, а именно в Computer Configuration->Windows Settings->Security Settings->User Rights Assignment в 2-х местах был запрещен доступ группе Guests. А именно, в :
-Deny logon locally,
-Deny logon access to this computer from the network,
Я в обоих политиках удалил группу Guests (и там и там - на всякий случай, не был уверен, где точно надо).
Это, полагаю, осталось в Domain Policy после миграции DC c платформы Win server 2000 на платформу Win server 2003
После этого ошибки исчезли, относящиеся почти ко всем службам, кроме "Self-update is not working". Также синхронно с появлением этой ошибки (в журнале Application Log), в журнале Security Log появляется ошибка:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 05.11.2009
Time: 10:31:16
User: NT AUTHORITY\SYSTEM
Computer: AV
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: IUSR_AV
Domain: AV
Logon Type: 8
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: AV
Caller User Name: NETWORK SERVICE
Caller Domain: NT AUTHORITY
Caller Logon ID: (0x0,0x3E4)
Caller Process ID: 856
Transited Services: -
Source Network Address: -
Source Port: -
После нее сразу там же фиксируется еще одна ошибка:
Event Type: Failure Audit
Event Source: Security
Event Category: Account Logon
Event ID: 680
Date: 05.11.2009
Time: 10:31:16
User: NT AUTHORITY\SYSTEM
Computer: AV
Description:
Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account: IUSR_AV
Source Workstation: AV
Error Code: 0xC000006A
Хочу добавить, что сам компьютер, где установлен WSUS, не появляется в списке компьютеров. Он настроен на получение обновлений с себя через созданную доменную политику (эта политика работает-проверено подключением к ней другого компьютера). Надо отметить, что на этом компьютере значок о появлении обновлений висит в трее.
Что еще тут может быть неправильно сделанного ?По ошибке 13042 можно посмотреть вот эту статью: http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=.NET+Framework&ProdVer=2.0.50727&EvtID=13042&EvtSrc=Windows+Server+Update+Services&LCID=1033
либо воспользоваться следующими рекомендациями:
1. Within IIS verify that anonymous access is enabled for the /selfupdate
virtual directory and /clientwebservice application directory.
2. Reset the password of the IIS anonymous account IUSER_<computer> and
renew the password setting in IIS:
a. Open up IIS
b. Expand Web Sites > Right click SelfUpdate > Properties > Directory
Security tab
c. Click Edit on "Authentication and account control"
d. Enter the same password that was used to reset the IUSER account in AD
Users & Computers
e. Do the same with the below IIS componets :
ReportingWebService / ServerSynchronizationWebService / ClientWebService /
SimpleAuthWebService / DSSAuthenticationWebService
f. If you are using the Default Web site, you should also check the
password setting in it.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html- Помечено в качестве ответаAnatoly_A 16 ноября 2009 г. 4:21
- Извините, не сразу смог все проверить.
Итак, ссылка на статью об ошибке 13042 не помогла. Тут хочу добавить, что при при проверке всех пунктов из статьи выяснил, что между тем, что приводится в "Microsoft Windows Server Update Services 3.0 SP2 Operations Guide" (равно как и для SP1)->Appendix C:IIS for Web Services есть несоответствия для:
"Properties of the API Remoting Web service" (вместо AuthFlags=21 на самом деле 20, вместо AuthAnonymous=True - установлено False)
"Properties of the Inventory Collection Web service" (нет свойств AppRoot, AppFriendlyName, AppIsolated, а в Path - на самом деле UpdateServices\Inventory, что еще кстати, противоречит данным приведенным на стр. 107 в разделе IIS vroots для раздела Inventory )
"Properties of the Selfupdate Web service" (свойство Path - на самом деле \WebServices\Selfupdate.
Но это так, для информации (может поправят :-) )
Помогло избавиться от ошибки 13042 Ваша рекомендация по сбросу пароля для пользователя IUSR_ <computer>
Только должен заметить, что при установке WSUS создался пользователь не в AD, а локальный, поэтому рекомендация - "the IUSER account in AD Users & Computers" не совсем подходит.
И еще при - сбросе пароля для Anonymous в Default WebSite, также было рекомендовано сменить пароли не только для указанных служб, а еще и для следующих:
aspclient, Content, Inventory, Selfupdate.
Я сменил для них всех. Потом после iisreset и перезапуска службы UpdateServices ошибки не появлялись.
Спасибо за помощь. :-)
P.S. Если можно проверьте, пожалуйста, указанные мною несоответствия. Если они подвтердятся-хорошо бы их исправить :-))
P.P.S. Правда сам сервер WSUS в списке компьютеров так и не виден, но думаю, это другая история
