Adanius Posted June 22, 2018 Проблема следующая: при запуске задачи "Синхронизация обновлений Windows Update", она доходит до 9% и останавливается на них. При этом в логах на сервере сообщения "Загрузка задачи обновления Windows: непредвиденная ошибка. #1573 (413) [MS-WSUSSS] [SOAP-ENV:Server] Произошла ошибка 413". Стоит Windows Server 2016, родной брандмауэр отключен, себе обновления с серверов Microsoft он нормально качает и ставит. Сервер администрирования версии 10.5.1781. Несколько дней назад была такая же проблема, но в тот раз политиками был назначен выключенный WSUS сервер. После того, как я вывел сервер администрирования из под этой политики, все заработало, но ненадолго. Share this post Link to post
Nikolay Arinchev Posted June 22, 2018 Здравствуйте, Пожалуйста, приложите к своему ответу отчет GSI. Спасибо! Share this post Link to post
Adanius Posted June 23, 2018 Ссылка Разобрался, в чем дело. Ошибка появляется, когда я изменяю категории обновлений. Когда возвращаю назад - все проходит нормально. Баг или фича? Что делать в таком случае? Share this post Link to post
Konstantin Antonov Posted June 23, 2018 О каких категориях идет речь, опишите подробнее что вы сделали. Спасибо! Share this post Link to post
Adanius Posted June 23, 2018 Верну галочку напротив пункта "Драйверы" и все пройдет нормально. Share this post Link to post
Konstantin Antonov Posted June 23, 2018 Соберите пожалуйста трассировки KSC сервера и консоли в момент возникновения ошибки. Спасибо! Share this post Link to post
Nikolay Arinchev Posted June 25, 2018 Здравствуйте, Спасибо за информацию! Пожалуйста, уточните, при воспроизведении какого сценария были собраны трассировки? СпасибО! Share this post Link to post
Adanius Posted June 25, 2018 (edited) Запустил "Синхронизация обновлений Windows Update" и дождался ошибки. Edited June 25, 2018 by Adanius Share this post Link to post
Nikolay Arinchev Posted June 25, 2018 Спасибо за информацию! Пожалуйста, приложите к своему ответу также эвентлоги Касперского, системы и приложений. Share this post Link to post
Nikolay Arinchev Posted June 25, 2018 Спасибо за информацию! Завели Issue 2824155. Share this post Link to post
Kirill Tsapovsky Posted June 26, 2018 On 6/25/2018 at 11:23 AM, Adanius said: Запустил "Синхронизация обновлений Windows Update" и дождался ошибки. Причина в том, что при выборе чекбокса "Все продукты" формируется очень большой запрос на сервер Microsoft, который возвращает ошибку. Необходимо выбрать на вкладке "Продукты" именно те продукты, для которых требуется загрузить обновления. Большое количество выбранных продуктов (более 200) так же может привести к ошибке 413. Спасибо. Share this post Link to post
Adanius Posted June 28, 2018 Еще небольшой вопрос. Для обновления рабочих станций дефолтная политика работы KSC в качестве WSUS норм, но для серверов хотелось бы настроить, чтобы обновление windows автоматически скачивались, но устанавливались только по расписанию (скажем, раз в неделю), либо вручную. Это настраивается в GPO, но каспер ставит свою политику и эти настройки игнорируются (насколько я понял). Есть ли возможность это сделать? Или продукт на такое не рассчитан? Share this post Link to post
Kirill Tsapovsky Posted June 28, 2018 2 hours ago, Adanius said: Еще небольшой вопрос. Для обновления рабочих станций дефолтная политика работы KSC в качестве WSUS норм, но для серверов хотелось бы настроить, чтобы обновление windows автоматически скачивались, но устанавливались только по расписанию (скажем, раз в неделю), либо вручную. Это настраивается в GPO, но каспер ставит свою политику и эти настройки игнорируются (насколько я понял). Есть ли возможность это сделать? Или продукт на такое не рассчитан? Добрый день. В свойствах задачи "Установить обновления и закрыть уязвимости" есть опция "Загрузить обновления на устрйства без установки". В случае с третьесторонними обновлениями они будут скопированы в указанную папку, с обновлениями Windows - в специальную папку обновлений Windows, после чего они могут быть вручную установлены администратором. Если правила задачи затрагивают только обновления Windows, эта настройка будет эквивалентна описанному поведению. Спасибо. Share this post Link to post
Adanius Posted June 28, 2018 (edited) Del Edited June 28, 2018 by Adanius Share this post Link to post
Adanius Posted June 28, 2018 (edited) 1 час назад, Kirill Tsapovsky сказал: В свойствах задачи "Установить обновления и закрыть уязвимости" есть опция "Загрузить обновления на устрйства без установки". В случае с третьесторонними обновлениями они будут скопированы в указанную папку, с обновлениями Windows - в специальную папку обновлений Windows, после чего они могут быть вручную установлены администратором. Если правила задачи затрагивают только обновления Windows, эта настройка будет эквивалентна описанному поведению. Правильно ли я понял, что в случае настройки сервера администрирования в роли WSUS-сервера, политику установки обновлений никак не изменить, и компьютер в определенное каспером время будет обращаться к серверу администрирования и качать обновления, экспресс-файлы которых тот получил с помощью задачи "Синхронизация обновлений с Windows Update". Для рабочих станций подходит, но не для серверов. Если обновления ставятся с помощью задачи и включен активный режим, то компьютер обращается к серверам обновлений, на которые он настроен и передает эти данные серверу админстрирования. Из этого вытекает, что компьютер должен быть настроен на сервера обновлений Microsoft (либо другой WSUS-сервер), но скачивание и установка обновлений должны быть отключены, так? И отработает ли задача установки обновлений, если компьютер, скажем, настроен на мертвый WSUS-сервер (в случае расширенной лицензии и корректно отработанной задачи синхронизации обновлений на сервере администрирования)? Edited June 28, 2018 by Adanius Share this post Link to post
Kirill Tsapovsky Posted June 28, 2018 2 hours ago, Adanius said: Правильно ли я понял, что в случае настройки сервера администрирования в роли WSUS-сервера, политику установки обновлений никак не изменить, и компьютер в определенное каспером время будет обращаться к серверу администрирования и качать обновления, экспресс-файлы которых тот получил с помощью задачи "Синхронизация обновлений с Windows Update". Для рабочих станций подходит, но не для серверов. Если обновления ставятся с помощью задачи и включен активный режим, то компьютер обращается к серверам обновлений, на которые он настроен и передает эти данные серверу админстрирования. Из этого вытекает, что компьютер должен быть настроен на сервера обновлений Microsoft (либо другой WSUS-сервер), но скачивание и установка обновлений должны быть отключены, так? И отработает ли задача установки обновлений, если компьютер, скажем, настроен на мертвый WSUS-сервер (в случае расширенной лицензии и корректно отработанной задачи синхронизации обновлений на сервере администрирования)? Если выбрана опция "Загружать обновления, но не устанавливать", отдельной настройки для расписания установки таких обновлений в KSC нет, эта задача выполняется локально администратором. Для использования KSC в режиме WSUS никакая дополнительная настройка Windows Update-агентов не требуется. В таком режиме доступна загрузка обновлений только с серверов Microsoft. Спасибо. Share this post Link to post
Adanius Posted June 28, 2018 22 минуты назад, Kirill Tsapovsky сказал: Если выбрана опция "Загружать обновления, но не устанавливать", отдельной настройки для расписания установки таких обновлений в KSC нет, эта задача выполняется локально администратором. Это понятно. Вопрос был в том, смогут ли установиться нужные обновления, если на сервере, куда мы эти обновления захотим установить, например, нет доступа во внешку. Я это спрашиваю, потому, что при активном и пассивном режимах поиска обновлений, сервер администрирования использует обращения клиентов к серверам Microsoft. А что если клиент не может к серверам Microsoft обратиться в силу разных причин? 29 минут назад, Kirill Tsapovsky сказал: Для использования KSC в режиме WSUS никакая дополнительная настройка Windows Update-агентов не требуется. В таком режиме доступна загрузка обновлений только с серверов Microsoft. KSC тянет обновления с Microsoft, а клиенты с KSC, тут вопросов нет. Вопрос в том, KSC для этого ставит клиентам свою политику, в том числе, расписание установки обновлений. Можно ли штатными средствами изменить данное расписание? Share this post Link to post
Adanius Posted July 10, 2018 https://support.kaspersky.ru/learning/courses/kl_109.10/unit1_chapter3, слайд 26: "Кроме того, при использовании Сервера администрирования в роли WSUS-сервера на клиентском компьютере меняются настройки работы Windows Update. Даже если настройки WUA определены в доменной политике, Агент администрирования переписывает их на ежедневный запуск по расписанию в 10:00 утра. Таким образом, даже если на Сервере администрирования не настроены задачи поиска обновлений и уязвимостей, а также установки обновлений, проверка доступных обновлений все равно будет выполняться и у пользователей появляется возможность установить их стандартными средствами Windows Update." Если для нас ежедневный запуск в 10:00 утра не самое удобное решение, можно что-нибудь сделать? И если на конечном компьютере нет доступа в интернет и сервер администрирования не используется в качестве WSUS-сервера, сможет ли KSC установить на него все необходимые обновления? Или для этого ему необходимо получить информацию с Windows Update? Share this post Link to post
Berckut Posted August 23, 2018 В 10.07.2018 в 20:50, Adanius сказал: https://support.kaspersky.ru/learning/courses/kl_109.10/unit1_chapter3, слайд 26: "Кроме того, при использовании Сервера администрирования в роли WSUS-сервера на клиентском компьютере меняются настройки работы Windows Update. Даже если настройки WUA определены в доменной политике, Агент администрирования переписывает их на ежедневный запуск по расписанию в 10:00 утра. Таким образом, даже если на Сервере администрирования не настроены задачи поиска обновлений и уязвимостей, а также установки обновлений, проверка доступных обновлений все равно будет выполняться и у пользователей появляется возможность установить их стандартными средствами Windows Update." Если для нас ежедневный запуск в 10:00 утра не самое удобное решение, можно что-нибудь сделать? И если на конечном компьютере нет доступа в интернет и сервер администрирования не используется в качестве WSUS-сервера, сможет ли KSC установить на него все необходимые обновления? Или для этого ему необходимо получить информацию с Windows Update? В сети есть WSUS сервер. После того, как в настройках политики агента администрирования будет установлена галка "Использовать Сервер администрирования в роли WSUS-сервера", комп по прежнему будет управляться WSUSом и галка повлияет только на расписание запуска поиска обновлений или админы не смогут влиять на установку обновлений согласуя их на WSUSе (обновлениями может будет рулить только через KSC)? Share this post Link to post
Evgeny_E Posted August 23, 2018 Добрый день. Если на сервера администирования выполнить полный цикл настроек и не интегрировать его с уже имеющимся WSUS то управлять обновлениями на рабочих станциях смогут только администраторы KSC. Больше информации вы сможете найти в руководстве для администратора: Синхронизация обновлений Windows Update с Сервером администрирования Share this post Link to post