none
Обновление Windows 10 2004 без интернета не работает RRS feed

  • Вопрос

  • Приветствую!

    Столкнулся со следующей проблемой. Есть корпоративный сервер WSUS на котором утверждено обновление Win10 2004. Данное обновление прилетает на клиентские машины, но успешно устанавливается только на те из них, которым открыт доступ в интернет. Все машины, которым в организации интернет отрезан на граничном фаерволе обновиться не могут с ошибкой 80070057. Лог всус с клиентской машины:

    Installer completed. Process return code = 0x80070057, result = 0x80070057, callback pending = False
    Handler         Handler: Setup360 returned unknown error 80070057 for state 5, resetting state to Unknown
    Handler         State changed. was: Setup360_CompatToolPhase1(5), now: <invalid>(0)
    Handler         Saved state. m_dwState: <invalid>(0)
    Handler         *FAILED* [80070057] Method failed [CUHWinSetupHandler::Install:763]
    Handler         * END *   Windows Setup Install
    Agent           *FAILED* [80070057] Method failed [CAgentUpdateManager::InstallUpdate:11561]

    Как только машине даем доступ к интернету - обновление сразу же устанавливается.

    Подскажите, почему WSUS не может отдать самостоятельно по локальной сети полноценный дистрибутив обновления? Как сделать так, чтобы машины ничего не "дотягивали" из интернета, а полностью обновились от внутреннего WSUS-сервера. Со всеми остальными обновлениями проблем нет - WSUS их устанавливает самостоятельно.

    21 июня 2020 г. 8:25

Ответы

  • Проблема решена.

    Анализ логов показал, что в процессе обновления машина пытается достучаться до различного контента расположенного на ресурсе http://tlu.dl.delivery.mp.microsoft.com

    Домен tlu.dl.delivery.mp.microsoft.com каждый раз разрешается в совершенно разные IP-адреса. Таким образом, открывать адреса на брандмауэре не имеет смысла. Постоянно вводилось все больше исключений из десятков разных сетей!
    После тщательного поиска информации оказалось, что в некоторых установленных программах используется механизм «Динамические обновления».
    Обновления функций Windows находятся в этой категории!
    Суть этой технологии заключается в том, что, несмотря на сервер WSUS, обновление все равно будет загружать часть контента с конечных точек доставки Microsoft в Интернете! Причем, это происходит даже в том случае, когда на сервере WSUS настроены категории программного обеспечения Dynamic Updates.
    Вы можете прочитать об этом здесь: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-benefits-of-windows-10-dynamic-update/ba-p/467847
    Таким образом, чтобы исключить загрузку дополнительного контента, необходимо отключить функцию динамического обновления!
    Чтобы отключить его, просто создайте файл конфигурации ""% SystemDrive% \ users \ default \ appdata \ local \ microsoft \ windows \ wsus \ setupconfig.ini "с содержимым:
    [SetupConfig]
    DynamicUpdate = Disable


    Создайте групповую политику, которая копирует этот файл всем пользователям.

    Затем снова запустите Центр обновления Windows и предварительно удалите C: \ $ WINDOWS. ~ BT.

    Функции обновления установлены на всех машинах без дополнительной загрузки контента из интернета !!!


    • Помечено в качестве ответа IvanZ14 21 июля 2020 г. 6:36
    • Изменено IvanZ14 21 июля 2020 г. 6:45
    21 июля 2020 г. 6:36

Все ответы

  • Ошибка говорит о следующем:

    One or more arguments are not valid error — Invalid proxy server name was specified in the user’s IE settings and hence WinhttpSetProxySettings call fails with E_INVALIDARG error. BITS puts the job in TRANSIENT_ERROR with the same error code. For ex, if the proxy server is set to http://foo/bar/proxy.pac, this error will be seen. This error is also seen when credentials are supplied such that scheme is not NTLM/Negotiate, but username/password is NULL, since that is not valid (WinhttpSetCredentials fails with E_INVALIDARG. BITS 1.5 puts the job into ERROR state with BG_E_INVALID_RESPONSE in the above 2 cases, because of error code mapping E_INVALIDARG is always mapped to (BG_E_INVALID_SERVER_RESPONSE)

    21 июня 2020 г. 19:21
  • Не понимаю причем здесь прокси сервер. Остальные обновления устанавливаются нормально. Прокси сервер нужен для доступа к интернету, если я его открываю пользователю - все работает!

    Вопрос в том - как заставить ВСУС отдать пользователю обновление (конкретно это, т.к. остальные, повторяю, ставятся нормально) БЕЗ ВЗАИМОДЕЙСТВИЯ самого пользователя с интернетом! В организации большинству машин интернет заблокирован. Не понимаю, что мешает как раньше, безо всякого интернета раздать обновление по локальной сети.


    • Изменено IvanZ14 21 июня 2020 г. 20:25
    21 июня 2020 г. 20:15
  • Проблема решена.

    Анализ логов показал, что в процессе обновления машина пытается достучаться до различного контента расположенного на ресурсе http://tlu.dl.delivery.mp.microsoft.com

    Домен tlu.dl.delivery.mp.microsoft.com каждый раз разрешается в совершенно разные IP-адреса. Таким образом, открывать адреса на брандмауэре не имеет смысла. Постоянно вводилось все больше исключений из десятков разных сетей!
    После тщательного поиска информации оказалось, что в некоторых установленных программах используется механизм «Динамические обновления».
    Обновления функций Windows находятся в этой категории!
    Суть этой технологии заключается в том, что, несмотря на сервер WSUS, обновление все равно будет загружать часть контента с конечных точек доставки Microsoft в Интернете! Причем, это происходит даже в том случае, когда на сервере WSUS настроены категории программного обеспечения Dynamic Updates.
    Вы можете прочитать об этом здесь: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-benefits-of-windows-10-dynamic-update/ba-p/467847
    Таким образом, чтобы исключить загрузку дополнительного контента, необходимо отключить функцию динамического обновления!
    Чтобы отключить его, просто создайте файл конфигурации ""% SystemDrive% \ users \ default \ appdata \ local \ microsoft \ windows \ wsus \ setupconfig.ini "с содержимым:
    [SetupConfig]
    DynamicUpdate = Disable


    Создайте групповую политику, которая копирует этот файл всем пользователям.

    Затем снова запустите Центр обновления Windows и предварительно удалите C: \ $ WINDOWS. ~ BT.

    Функции обновления установлены на всех машинах без дополнительной загрузки контента из интернета !!!


    • Помечено в качестве ответа IvanZ14 21 июля 2020 г. 6:36
    • Изменено IvanZ14 21 июля 2020 г. 6:45
    21 июля 2020 г. 6:36