none
WSUS не видит клиентов, кроме себя. RRS feed

  • Вопрос

  • Доброго времени суток! Следующая проблема не дает покоя уже неделю:
    Имеется следующая сетка, поднятая на виртуалках
    Internal --> TMG --> DMZ. В Internal подняты AD,DNS,DC,WSUS. Компы в других сетях включены в домен, все друг друга видят, все ок. С помощью AD Users & Comp, создал OU туда добавил все компы, с помощью GPMC прикрутил к этому OU GPO Default Domain Policy, в котором изменил след параметры Configure Aut Updates, Specify Intranet Update Service location, в последнем указал адрес сервака с WSUS через 8530 порт. Попытался настроить новенький WSUS, но в результате он, такой не хороший видит, только себя :(. 

    Помогите, товарищи, сил моих нет ((.

    14 июня 2012 г. 9:05

Ответы

  • В соответствии с ней настроил правило, и о боги, WSUS стал видеть TMG сервак.

    Это не WSUS стал видеть, а TMG смог до него достучаться.

    В общем, путь, я так понимаю, Вам ясен: с каждой проблемной машиной (проблемные - это те, которые не могут достучаться до WSUS'а) разбираться в таком порядке:

    1. Смотреть windowsupdate.log и искать сначала строку "DNSserv:8530". Если строка есть, значит GPO, определяющая параметры WSUS'а до компа добралась и компьютер "знает", куда ему ходить за обновлениями.

    2. Если дальше в логах есть ошибки, то нужно проверять доступность соединения с сервером DNSserv на порту 8530. Для проверки можно использовать telnet (как я писал выше). Если доступности нет - разбираться в роутинге, резольвинге, пингах, файерволах и адресах, пока не появится доступность.

    3. Если доступность есть - разбираться, почему WSUS-agent ходит мимо (обычно в этом виновны настройки прокси на проблемном компе или NAT'а на шлюзах).

    PS. Заставлять клиентов (WSUS-agents) ходить на WSUS через TMG - это очень не здравая идея. Лучше уберите WSUS внутрь сети и заставьте его ходить через TMG за обновлениями.


    Сергей Панченко



    • Изменено Daemon-GTC 15 июня 2012 г. 11:51
    • Помечено в качестве ответа InGuarDin 19 июня 2012 г. 8:21
    15 июня 2012 г. 10:58

Все ответы

  • Покажите содержимое windowsupdate.log с проблемной клиенской машины.

    14 июня 2012 г. 10:44
    Отвечающий
  • Простите, а зачем вы Default Domain Policy к OU линкали? Обычно она на уровне домена применяется. Если хотите применить какие-либо параметры для конкретного OU, рекомендую создать отдельную политику. Меняя Default Domain Policy - меняете параметры для всего домена.

    Проверьте результирующую политику на клиентах с помощью консоли Resultant Set of Policy (применилась ли созданная Вами политика?)

    (mmc->add or remove snapin->Resultand Set of Policy, Generate RSoP data -> Logging mode -> this computer -> current user)

    Или можно посмотреть в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ (ключи WUServer, WUStatusServer)


    14 июня 2012 г. 10:58
  • Игорь, исправил, создал отдельную GPO, в не прописал необходимые настройки. Resultand Set of Policy на TMG машине выдает инфу о том, что изменены необходимые параметры новосозданным GPO. На машине же в DMZ  RSoP не позволяет увидеть ту же самую инфу и более того я в реестре не могу найти  такой путь.

    windowsupdate.log с TMG машины

    2012-06-14 23:00:34:199 796 b30 Agent  * WSUS server: http://DNSserv:8530
    2012-06-14 23:00:34:199 796 b30 Agent  * WSUS status server: http://DNSserv:8530
    2012-06-14 23:00:34:199 796 b30 Agent  * Target group: (Unassigned Computers)
    2012-06-14 23:00:34:199 796 b30 Agent  * Windows Update access disabled: No
    2012-06-14 23:00:34:206 796 b30 DnldMgr Download manager restoring 0 downloads
    2012-06-14 23:00:34:601 2888 4b8 Misc ===========  Logging initialized (build: 7.5.7601.17514, tz: +0400)  ===========
    2012-06-14 23:00:34:601 2888 4b8 Misc  = Process: C:\Program Files\Microsoft Forefront Threat Management Gateway\UpdateAgent.exe
    2012-06-14 23:00:34:601 2888 4b8 Misc  = Module: C:\Windows\system32\wuapi.dll
    2012-06-14 23:00:34:596 2888 4b8 COMAPI -------------
    2012-06-14 23:00:34:602 2888 4b8 COMAPI -- START --  COMAPI: Search [ClientId = Forefront TMG]
    2012-06-14 23:00:34:602 2888 4b8 COMAPI ---------
    2012-06-14 23:00:34:715 2888 4b8 COMAPI <<-- SUBMITTED -- COMAPI: Search [ClientId = Forefront TMG]
    2012-06-14 23:00:34:807 796 974 Report ***********  Report: Initializing static reporting data  ***********
    2012-06-14 23:00:34:807 796 974 Report  * OS Version = 6.1.7601.1.0.196882
    2012-06-14 23:00:34:807 796 974 Report  * OS Product Type = 0x0000000A
    2012-06-14 23:00:34:844 796 974 Report  * Computer Brand = Microsoft Corporation
    2012-06-14 23:00:34:844 796 974 Report  * Computer Model = Virtual Machine
    2012-06-14 23:00:34:846 796 974 Report  * Bios Revision = 090004 
    2012-06-14 23:00:34:846 796 974 Report  * Bios Name = BIOS Date: 03/19/09 22:51:32  Ver: 09.00.04
    2012-06-14 23:00:34:846 796 974 Report  * Bios Release Date = 2009-03-19T00:00:00
    2012-06-14 23:00:34:846 796 974 Report  * Locale ID = 1049
    2012-06-14 23:00:34:891 796 300 Agent *************
    2012-06-14 23:00:34:891 796 300 Agent ** START **  Agent: Finding updates [CallerId = Forefront TMG]
    2012-06-14 23:00:34:891 796 300 Agent *********
    2012-06-14 23:00:34:891 796 300 Agent  * Online = Yes; Ignore download priority = No
    2012-06-14 23:00:34:891 796 300 Agent  * Criteria = "(IsInstalled = 0 and IsHidden = 0 and CategoryIDs contains '84a54ea9-e574-457a-a750-17164c1d1679' and CategoryIDs contains 'e0789628-ce08-4437-be74-2495b842f43b') or (IsInstalled = 0 and IsHidden = 0 and CategoryIDs contains 'ae4483f4-f3ce-4956-ae80-93c18d8886a6' and CategoryIDs contains 'e0789628-ce08-4437-be74-2495b842f43b')"
    2012-06-14 23:00:34:891 796 300 Agent  * ServiceID = {00000000-0000-0000-0000-000000000000} Third party service
    2012-06-14 23:00:34:891 796 300 Agent  * Search Scope = {Machine}
    2012-06-14 23:01:19:083 796 974 AU ###########  AU: Initializing Automatic Updates  ###########
    2012-06-14 23:01:19:100 796 974 AU  # WSUS server: http://DNSserv:8530
    2012-06-14 23:01:19:100 796 974 AU  # Detection frequency: 22
    2012-06-14 23:01:19:100 796 974 AU  # Approval type: Pre-install notify (Policy)
    2012-06-14 23:01:19:100 796 974 AU  # Auto-install minor updates: No (User preference)
    2012-06-14 23:01:19:100 796 974 AU  # Will interact with non-admins (Non-admins are elevated (User preference))
    2012-06-14 23:01:19:162 796 974 AU Successfully wrote event for AU health state:0
    2012-06-14 23:01:19:162 796 974 AU Initializing featured updates
    2012-06-14 23:01:19:162 796 974 AU Found 0 cached featured updates
    2012-06-14 23:01:19:162 796 974 AU Successfully wrote event for AU health state:0
    2012-06-14 23:01:19:164 796 974 AU Successfully wrote event for AU health state:0
    2012-06-14 23:01:19:164 796 974 AU AU finished delayed initialization
    2012-06-14 23:01:53:500 796 300 Misc WARNING: Send failed with hr = 80072ee2.
    2012-06-14 23:01:53:500 796 300 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
    2012-06-14 23:01:53:500 796 300 PT  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
    2012-06-14 23:01:53:500 796 300 PT  + Caller provided credentials = No
    2012-06-14 23:01:53:500 796 300 PT  + Impersonate flags = 0
    2012-06-14 23:01:53:501 796 300 PT  + Possible authorization schemes used = 
    2012-06-14 23:01:53:501 796 300 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
    2012-06-14 23:01:53:501 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:01:53:501 796 300 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
    2012-06-14 23:01:53:501 796 300 PT WARNING: RefreshConfig failed: 0x80072ee2
    2012-06-14 23:01:53:501 796 300 PT WARNING: RefreshPTState failed: 0x80072ee2
    2012-06-14 23:01:53:502 796 300 PT WARNING: StartCategoryScan failed : 0x80072ee2
    2012-06-14 23:01:53:648 796 300 Agent  * WARNING: Exit code = 0x80072EE2
    2012-06-14 23:01:53:648 796 300 Agent *********
    2012-06-14 23:01:53:648 796 300 Agent **  END  **  Agent: Finding updates [CallerId = Forefront TMG]
    2012-06-14 23:01:53:648 796 300 Agent *************
    2012-06-14 23:01:53:648 796 300 Agent WARNING: WU client failed Searching for update with error 0x80072ee2
    2012-06-14 23:01:53:655 2888 780 COMAPI >>--  RESUMED  -- COMAPI: Search [ClientId = Forefront TMG]
    2012-06-14 23:01:53:656 2888 780 COMAPI  - Updates found = 0
    2012-06-14 23:01:53:656 2888 780 COMAPI  - WARNING: Exit code = 0x00000000, Result code = 0x80072EE2
    2012-06-14 23:01:53:656 2888 780 COMAPI ---------
    2012-06-14 23:01:53:656 2888 780 COMAPI --  END  --  COMAPI: Search [ClientId = Forefront TMG]
    2012-06-14 23:01:53:656 2888 780 COMAPI -------------
    2012-06-14 23:01:53:662 2888 4b8 COMAPI WARNING: Operation failed due to earlier error, hr=80072EE2
    2012-06-14 23:01:53:662 2888 4b8 COMAPI FATAL: Unable to complete asynchronous search. (hr=80072EE2)
    2012-06-14 23:01:53:664 2888 4b8 COMAPI -------------
    2012-06-14 23:01:53:664 2888 4b8 COMAPI -- START --  COMAPI: Search [ClientId = Forefront TMG]
    2012-06-14 23:01:53:664 2888 4b8 COMAPI ---------
    2012-06-14 23:01:53:667 2888 4b8 COMAPI <<-- SUBMITTED -- COMAPI: Search [ClientId = Forefront TMG]
    2012-06-14 23:02:53:501 796 300 Misc WARNING: Send failed with hr = 80072ee2.
    2012-06-14 23:02:53:501 796 300 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
    2012-06-14 23:02:53:501 796 300 PT  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
    2012-06-14 23:02:53:501 796 300 PT  + Caller provided credentials = No
    2012-06-14 23:02:53:501 796 300 PT  + Impersonate flags = 0
    2012-06-14 23:02:53:501 796 300 PT  + Possible authorization schemes used = 
    2012-06-14 23:02:53:501 796 300 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
    2012-06-14 23:02:53:501 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:02:53:502 796 300 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
    2012-06-14 23:02:53:502 796 300 PT WARNING: RefreshConfig failed: 0x80072ee2
    2012-06-14 23:02:53:502 796 300 PT WARNING: RefreshPTState failed: 0x80072ee2
    2012-06-14 23:02:53:502 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:02:53:502 796 300 Report WARNING: Reporter failed to upload events with hr = 80072ee2.
    2012-06-14 23:03:53:529 796 300 Misc WARNING: Send failed with hr = 80072ee2.
    2012-06-14 23:03:53:529 796 300 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
    2012-06-14 23:03:53:529 796 300 PT  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
    2012-06-14 23:03:53:529 796 300 PT  + Caller provided credentials = No
    2012-06-14 23:03:53:529 796 300 PT  + Impersonate flags = 0
    2012-06-14 23:03:53:529 796 300 PT  + Possible authorization schemes used = 
    2012-06-14 23:03:53:529 796 300 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
    2012-06-14 23:03:53:529 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:03:53:529 796 300 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
    2012-06-14 23:03:53:529 796 300 PT WARNING: RefreshConfig failed: 0x80072ee2
    2012-06-14 23:03:53:529 796 300 PT WARNING: RefreshPTState failed: 0x80072ee2
    2012-06-14 23:03:53:529 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:03:53:529 796 300 Report WARNING: Reporter failed to upload events with hr = 80072ee2.
    2012-06-14 23:03:53:637 796 300 Report CWERReporter finishing event handling. (00000000)
    2012-06-14 23:03:53:637 796 300 Report CWERReporter finishing event handling. (00000000)
    2012-06-14 23:03:53:642 796 300 Report REPORT EVENT: {17477BED-5DF1-4EAD-BBA9-6F5B2DAC9592} 2012-06-14 23:01:53:647+0400 1 148 101 {00000000-0000-0000-0000-000000000000} 0 80072ee2 Forefront TMG Failure Software Synchronization Windows Update Client failed to detect with error 0x80072ee2.
    2012-06-14 23:03:53:755 796 300 Report CWERReporter::HandleEvents - WER report upload completed with status 0x8
    2012-06-14 23:03:53:755 796 300 Report WER Report sent: 7.5.7601.17514 0x80072ee2 00000000-0000-0000-0000-000000000000 Scan 101 Managed
    2012-06-14 23:03:53:755 796 300 Report CWERReporter finishing event handling. (00000000)
    2012-06-14 23:04:53:562 796 300 Misc WARNING: Send failed with hr = 80072ee2.
    2012-06-14 23:04:53:563 796 300 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
    2012-06-14 23:04:53:563 796 300 PT  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
    2012-06-14 23:04:53:564 796 300 PT  + Caller provided credentials = No
    2012-06-14 23:04:53:564 796 300 PT  + Impersonate flags = 0
    2012-06-14 23:04:53:564 796 300 PT  + Possible authorization schemes used = 
    2012-06-14 23:04:53:564 796 300 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
    2012-06-14 23:04:53:564 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:04:53:564 796 300 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
    2012-06-14 23:04:53:564 796 300 PT WARNING: RefreshConfig failed: 0x80072ee2
    2012-06-14 23:04:53:564 796 300 PT WARNING: RefreshPTState failed: 0x80072ee2
    2012-06-14 23:04:53:564 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:04:53:564 796 300 Report WARNING: Reporter failed to upload events with hr = 80072ee2.
    2012-06-14 23:05:44:568 796 300 Misc WARNING: Send failed with hr = 80072ee2.
    2012-06-14 23:05:44:568 796 300 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
    2012-06-14 23:05:44:568 796 300 PT  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
    2012-06-14 23:05:44:568 796 300 PT  + Caller provided credentials = No
    2012-06-14 23:05:44:568 796 300 PT  + Impersonate flags = 0
    2012-06-14 23:05:44:568 796 300 PT  + Possible authorization schemes used = 
    2012-06-14 23:05:44:568 796 300 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
    2012-06-14 23:05:44:568 796 300 PT WARNING: PTError: 0x80072ee2
    2012-06-14 23:05:44:568 796 300 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
    2012-06-14 23:05:44:569 796 300 PT WARNING: RefreshConfig failed: 0x80072ee2
    2012-06-14 23:05:44:569 796 300 PT WARNING: RefreshPTState failed: 0x80072ee2
    2012-06-14 23:05:44:569 796 300 PT WARNING: PTError: 0x80072ee2


    14 июня 2012 г. 12:56
  • Небольшая часть лога, думаю должно хватить. Сильно не пинайте, я новичок-самоучка :)
    • Изменено InGuarDin 14 июня 2012 г. 13:06
    14 июня 2012 г. 12:57
  • Судя по записи в логах:

     Agent  * WSUS server: http://DNSserv:8530

    Клиентская машина знает о Вашем WSUS. Но, судя по продолжению логов, она не может до него достучаться. Причины возможны следующие:

    1. Настройки firewall не пропускают HTTP-запросы от клиента к серверу на порт 8530 (при этом, возможно, пинги - пропускает).

    2. Неправильно разрешается имя DNSserv в адрес (или не разрешается вовсе) на клиентской машине. Я бы рекомендовал использовать здесь FQDN или вообще прописать IP-адрес.

    3. Доступ к инету осуществляется через прокси-сервер. При этом не указаны исключения, и HTTP-запрос к серверу DNSserv на порт 8530 тоже идёт через прокси.


    Сергей Панченко

    15 июня 2012 г. 4:24
  • Проверка на разрешение доменных имен, прошла успешно, явно проблема не в этом. Были мысли по поводу некорректной настройки AD, а именно о нераспространении политик. Проверил, все хорошо, политики применяются.

    Наверное  остается TMG, буду искать проблему. Если появятся идеи пишите, буду премного благодарен!
    15 июня 2012 г. 8:21
  • Вы проверили только п.2 из моего поста. Чтобы проверить п.1, нужно попробовать, например, из командной строки набрать:

    C:\>telnet DNSserv 8530
    

    тут возможно два варианта:

    1. Ответит "Подключение к DNSserv...", после чего на несколько минут "зависнет", после чего скажет: "Не удалось открыть подключение к этому узлу, на порт 8530: Сбой подключения". Этот вариант означает, что доступ к WSUS где-то перекрыт firewall'ом (или Ваш сервер висит на другом порту ;-) но это можно проверить командой netstat на сервере).

    2. Очистится экран, после чего нужно будет ввести: GET / HTTP/1.0 и дважды нажать ENTER. Сервер ответит:

    HTTP/1.1 403 Forbidden
    Content-Type: text/html
    Server: Microsoft-IIS/7.0
    X-Powered-By: ASP.NET
    Date: Fri, 15 Jun 2012 08:50:14 GMT
    Connection: close
    Content-Length: 1222
    ...
    

    Этот вариант означает, что соединиться с сервером Ваша машина может.

    После чего приступайте к разборкам с прокси-сервером, NAT'ом или что там у вас настроено.


    Сергей Панченко

    15 июня 2012 г. 8:52
  • Немного дополню: влияние прокси исключает вот эта строка лога:

    "SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>"

    она говорит о том, что на клиенте, откуда взят лог, WinHTTP-прокси не используется. Доступ в интернет, полагаю, там всё же есть. Попробуйте взять тестовую клиентскую машину (не TMG) и, накатив на неё политики, проверить работу WU. Также можно воспользоваться MATS для WU: http://support.microsoft.com/mats/windows_update

    15 июня 2012 г. 10:00
  • Развитие событий пошло по 1-му варианту, netstat -t выдал DNSserv:8530 Time_Wait.
    Так понимаю все уперлось в TMG, надо смотреть его.

    Нашел статью
    http://blogs.technet.com/b/isablog/archive/2009/11/28/using-windows-server-update-service-for-the-tmg-update-center.aspx

    В соответствии с ней настроил правило, и о боги, WSUS стал видеть TMG сервак. Добавил к источникам (From) сеть Perimeter (DMZ-zone с одним компьютером), но его WSUS по прежнему отказывается видеть.

    webDancer, MATS не работает грешит на  80072ee2.
    • Изменено InGuarDin 15 июня 2012 г. 10:42
    15 июня 2012 г. 10:01
  • В соответствии с ней настроил правило, и о боги, WSUS стал видеть TMG сервак.

    Это не WSUS стал видеть, а TMG смог до него достучаться.

    В общем, путь, я так понимаю, Вам ясен: с каждой проблемной машиной (проблемные - это те, которые не могут достучаться до WSUS'а) разбираться в таком порядке:

    1. Смотреть windowsupdate.log и искать сначала строку "DNSserv:8530". Если строка есть, значит GPO, определяющая параметры WSUS'а до компа добралась и компьютер "знает", куда ему ходить за обновлениями.

    2. Если дальше в логах есть ошибки, то нужно проверять доступность соединения с сервером DNSserv на порту 8530. Для проверки можно использовать telnet (как я писал выше). Если доступности нет - разбираться в роутинге, резольвинге, пингах, файерволах и адресах, пока не появится доступность.

    3. Если доступность есть - разбираться, почему WSUS-agent ходит мимо (обычно в этом виновны настройки прокси на проблемном компе или NAT'а на шлюзах).

    PS. Заставлять клиентов (WSUS-agents) ходить на WSUS через TMG - это очень не здравая идея. Лучше уберите WSUS внутрь сети и заставьте его ходить через TMG за обновлениями.


    Сергей Панченко



    • Изменено Daemon-GTC 15 июня 2012 г. 11:51
    • Помечено в качестве ответа InGuarDin 19 июня 2012 г. 8:21
    15 июня 2012 г. 10:58
  • Всем огромное спасибо за помощь! Проблема решена.
    19 июня 2012 г. 8:20