web-dev-qa-db-ja.com

Windows Server 2016がWSUS経由で更新されない

Windows Server 2016で実行されているWSUSサーバーがあります。WSUSは更新を検出し、2012サーバーを含むすべてのシステムに送信します。 WSUSは更新を検出しますが、2016サーバーのいずれにも送信しません。

必要な更新は0と表示され、すべての更新が「インストール済みまたは該当なし」と表示されます。これらはサーバーの新規インストールであり、昨年の11月に作成されたディスクイメージから直接インストールされています。

いずれかのサーバーでレポートを実行し、製品フィルターを「Windows Server 2016」に設定した場合、31個のアップデートがインストールされているか、適用されません。

31個の更新すべてが承認「インストール」に設定されています。それらすべてのステータスは「該当なし」です。これらはすべて重要な更新とセキュリティの更新です。

問題のサーバーの1つにインストールされている更新を手動で実行し、これらの「該当なし」の更新がインストールされていないことを確認しました。

これらのサーバーはすべてフレッシュインストールであり、更新プログラムのインストール後にサーバーが再起動しないようにするOUにあり、手動で再起動するのは私だけです。インストールされているため、アップデートはありません。 Windows Server 2016の新規インストールに適用可能な更新がないとは信じられません。

BITSおよびWindows Updateサービスが実行されていることを確認しました。wuauclt/ reportnowおよびwuauclt/detectnowを実行しました。何も実行されないようです。クリーンアップウィザードを実行して、置き換えられたすべての更新を拒否して削除します。マシンがADとWSUSの正しいグループにあることを確認しました。影響を受けるマシンのレジストリで、WSUSサーバーをポイントしていて、pingを実行できることを確認しました。クライアントはWSUSサーバーからpingを実行できます。ファイアウォールやポートブロッカーなどはありません。まったく何もインストールされていない完全に新しい2016サーバーインストールを作成しました。役割もファイアウォールもウイルススキャナーも何もありません。空のサーバーに接続を強制しようとしました。WSUSはサーバーが存在することを検出しましたが、それはそれについてです。

他のすべてのOSは正常に動作します。この問題があるのは2016サーバーのみです。これは間違いなくWSUSサーバーの問題です。レジストリに移動してMicrosoftsサーバーに戻すと、更新が検出されます。

誰が問題を引き起こしているのか、それをどのように修正するのか考えていますか?

ありがとう。

編集-更新:まだ問題があります。 2台目の2016 WSUSサーバーをインストールしようとしましたが、同じ問題が2016サーバーでのみ発生しました。

私は2019サーバーをインストールしようとしました(違いはないと思いますが...)。変わりはない。

グループポリシーも除外しました。私は2016テストサーバーを単独で、継承がブロックされたOUに配置しました。 GPOリンクしたのは、2019サーバーを指すWSUSサーバー設定のみでした。マシンは他のポリシーを取得していません。テストで構成されているウイルススキャナーやファイアウォールもありません。 2016年サーバー、彼らは同じセグメントにさえあります。

2012年から2016年にますます多くのサーバーを変換しています。これは、サーバーのどれもがWSUSから更新を取得しないため、これがますます問題になることを意味します...望まない限り、マイクロソフトに電話する...

windowswsuswindows-server-2016
10
Redwizard000

わかりました。マイクロソフトのテクニカルサポート部門で3週間過ごした後、問題を解決しました。

問題は、デュアルスキャンがWindows Update(オンライン)に接続しようとして失敗したことです。失敗すると、システムは試行を停止し、WSUSへの接続を拒否します。

追加の問題は、サーバーインストールメディアにバグがあり、デュアルスキャンが変更されないことです。ポリシーを無視し、デフォルトのアップデートソースであるWindows Updateを保持します。

これを修正するには、次のことを行う必要があります。問題のあるサーバーのPowershellで次のコマンドを実行します。

$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
$MUSM.Services | select Name, IsDefaultAUService

次のようなものが返されます。

Windows Update Standalone Installer - False   
Windows Server Update Service - False   
Windows Update - True

「Windows Update-True」と表示されている場合、GPOと表示されていても、それがデフォルトのソースです...

まず、サーバーに次のパッチがインストールされていることを確認してください。

kb4103720およびkb4462928

あなたはそれらの両方が必要です。それらは両方とも巨大であり、それらは両方ともインストールに永遠に1日を要し、両方ともサーバーの再起動を必要とします。

これらのKBはデュアルスキャンの問題を修正するため、サーバーはGPOに応答して、使用するデフォルトのソースを通知します。

次に、WSUSサーバーのみを使用するようにサーバーに通知するようにグループポリシーを構成する必要があります。マイクロソフトによると、これらは必要な設定です(私はそれらのいくつかについては疑わしいですが、それぞれをテストしていません...物事が最終的に機能しているだけで満足しています)

コンピューターの構成>ポリシー>管理用テンプレート>システム>デバイスのインストール

デバイスドライバーのソースの場所の検索サーバーを指定

Set to "Enabled"  
Select search order: "Do not search Windows Update"

デバイスドライバーの更新用の検索サーバーを指定

Set to "Enabled"  
Select Update Server: "Search Managed Server"

コンピューターの構成>ポリシー>管理用テンプレート>システム>インターネット通信の管理>インターネット通信の設定

すべてのWindows Update機能へのアクセスをオフにします(Microsoftspeakでは、オンラインサーバーを意味し、「更新を取得できないようにする」ではありません)

Set to "Enabled"

ストアへのアクセスをオフにする

Set to "Enabled"

コンピューターの構成>ポリシー>管理用テンプレート> Windowsコンポーネント> Windows Update

更新延期ポリシーがWindows Updateに対するスキャンを引き起こすことを許可しません

Set to "Enabled"

スケジュールされた自動更新のインストールでは、ログオンしたユーザーによる自動再起動はありません

Set to "Enabled"

イントラネットのMicrosoft更新サービスの場所を指定

Set to "Enabled"  
Set the intranet update service for detecting updates: "http://[YOUR SERVER]:8530"  
Set the intranet statistics server:"http://[YOUR SERVER]:8530"  
Set the alternate download server: "http://[YOUR SERVER]:8530"  
Uncheck the box Download files with no Url in the metadata if alternate download server is set

このGPOが有効になっているOUにサーバーを移動します。2016サーバー専用のServers OUに別のOUを作成し、これにGPO=をリンクしました。

上記のPowerShellコマンドを再度実行します。

今は言うべきです

 Name                                   IsDefaultAUService    
-------                                 --------------------------  
Windows Server Update Service              True  
Windows Update                             False

「Windows Server Update Service」がTrueになったら、動作するはずです。

これが他の誰かの役に立つことを願っています。これは確かにイライラする問題でした...

印のない紙幣、金の延べ棒、スコッチで寄付を受け入れます。

7
Redwizard000

Webをスキャンすると、@ Redwizard000が提案されたすべてのものが表示されるので、@ Redwizard000がこれを解決するために本当に一生懸命に試みたことがわかります( https://serverfault.com/a/940236/203726 を参照) = @ Redwizard000が最終的に問題を解決した方法について)。私の経験を読んでください:

私の場合、WSUSサーバーはWindows Server 2012 R2で実行されていて、すべてのパッチがあり、VBクリーンアップスクリプトが実行されていることがわかりました)、クリーンアッププロセスを実行しました(これには数時間かかりました) 、Windows 10マシンへの更新を提供できますが、新しいWindows Server 2016クライアントマシンはWSUSから更新を取得できず、0x8024401cエラーメッセージが表示されました。WSUSサーバーで唯一役立つのは、IIS https://serverfault.com/a/835941 で説明されているように、WSUSアプリケーションプールのアプリケーションプールリソースの制限(キューの長さ、制限間隔、プライベートメモリ制限などがあります) =および https://blogs.msdn.Microsoft.com/the_secure_infrastructure_guy/2015/09/02/windows-server-2012-r2-wsus-issue-clients-cause-the-wsus-app-pool- to-become-unsensitive-with-http-503 / その後IISを再起動します。更新のチェックには、IISサーバーから約2GBytesのメモリが必要で、約8分かかりました。ティエラーメッセージは消えましたが...

..クライアントのWindows Server 2016マシンは、アップデートの0%を無期限にダウンロードできなくなる。これを回避するには、最近の累積的な更新を手動で(クライアントのWindows Server 2016マシンで) http://www.catalog.update.Microsoft.com/home.aspx からダウンロードする必要がありました(またはMicrosoftのWindows更新サーバーを一時的に使用して、累積的な更新を取得し、それをインストールしますbefore WSUSを使用するように設定を変更します。

pdate:「 Windows 10またはWindows Server 2016ではWindows Updateが0%でスタックしている というMSサポート記事があり、Windows Updateエージェントを更新する方法について説明していますRTM version(10.0.14393.0)beforeを過ぎたWindows 10/2016/2019クライアントマシンでは、WSUSを使用できます。これは、前の段落。

4
Anon

私はそのような問題がありました、2016はエラーをスローします:_0x8024401c_、そしてWSUSでは0% updated (not reported yet)を表示します。

これを修正するために、IIS(詳細設定))およびすべての2016サーバーのWSUSアプリケーションプールの値を変更しました。

_Queue Length: 25000 from 1000
Limit Interval (minutes): 15 from 5
"Service Unavailable" Response: TcpLevel from HttpLevel
_

次に https://community.spiceworks.com/scripts/show/2998-adamj-clean-wsus に移動し、指示に従ってコードをコピーして貼り付けます。

  1. _Clean-WSUS.ps1_という名前を付けます
  2. 必要なソフトウェアをインストールする
  3. _.\Clean-WSUS.ps1 -FirstRun_を実行します
  4. 最後に、_.\Clean-WSUS.ps1 -DirtyDatabaseCheck_

この男は間違いなく寄付に値します!

3
Vacheslav

グループポリシーでこの設定をしている場合は、レジストリキー[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]を確認することをお勧めします。キーのバックアップを作成して削除し、gpupdate /forceを実行して再作成します。

私の場合、バックアップと新しいレコードを比較した後、"DisableWindowsUpdateAccess"=dword:00000000というキーが問題の原因であることがわかりました。このキーはサードパーティによって作成されました。

0
Nixphoe

同じ問題、同じシナリオ。サイトサーバーソフトウェアの更新ポイント構成の分類から[アップグレード]をオフにします。

他の提案はコマンドラインを行うことでした

「c:\ Program Files\Update Services\Tools \」「wsusutil.exe postinstall/servicing」

しかし、MSからの詳しい説明を待っているので、まだそのプロセスを経ていません。

0
Kevin

同じ問題が発生しました。修正方法は次のとおりです。

  1. ポリシー(これがグループポリシーでもローカルポリシーでも)で、「Windows Updateの場所に接続しない」というポリシーを有効にします。これにより、サーバーがMicrosoft/Windows Updateに接続できなくなります。
  2. ポリシーでは、「Microsoft Updateの場所を指定」に代替の更新サーバーを追加しました。これは、レポートおよび更新サーバーと同じサーバーでした。
  3. Windows Updateの[詳細オプション]で、[機能の更新を延期する]チェックボックスをオフにしました

これを実行した後、WSUSを介してサーバーに完全にパッチを適用することができました。これは、2つの異なる環境の2つのサーバーで確認されています。最も重要な変更は、更新を延期するオプションをオフにすることですが、他の変更も、ネットで読んだ内容に基づいて更新の問題を引き起こす可能性があります。

0
Allen Howard

実際に行う必要があるのは、サービススタックを更新することだけです。 https://support.Microsoft.com/en-us/help/4485447/servicing-stack-update-for-windows-1 。再起動も必要ありません。これを実行すると、WSUSへのレポートが正常に開始されます。

0
Mark Borchert