Jump to content

Recommended Posts

Проблема следующая: при запуске задачи "Синхронизация обновлений Windows Update", она доходит до 9% и останавливается на них. При этом в логах на сервере сообщения "Загрузка задачи обновления Windows: непредвиденная ошибка. #1573 (413) [MS-WSUSSS] [SOAP-ENV:Server] Произошла ошибка 413". Стоит Windows Server 2016, родной брандмауэр отключен, себе обновления с серверов Microsoft он нормально качает и ставит. Сервер администрирования версии 10.5.1781. Несколько дней назад была такая же проблема, но в тот раз политиками был назначен выключенный WSUS сервер. После того, как я вывел сервер администрирования из под этой политики, все заработало, но ненадолго. 

Share this post


Link to post

Ссылка

Разобрался, в чем дело. Ошибка появляется, когда я изменяю категории обновлений. Когда возвращаю назад - все проходит нормально. Баг или фича? Что делать в таком случае?

Share this post


Link to post

image.png.be42afd49330c51b2d933a73dd35de9f.png

Верну галочку напротив пункта "Драйверы" и все пройдет нормально.

Share this post


Link to post

Соберите пожалуйста трассировки KSC сервера и консоли в момент возникновения ошибки.

Спасибо!

Share this post


Link to post

Здравствуйте,

Спасибо за информацию!

Пожалуйста, уточните, при воспроизведении какого сценария были собраны трассировки?

СпасибО!

Share this post


Link to post

Запустил "Синхронизация обновлений Windows Update" и дождался ошибки.

Edited by Adanius

Share this post


Link to post

Спасибо за информацию!

Пожалуйста, приложите к своему ответу также эвентлоги Касперского, системы и приложений.

 

Share this post


Link to post
On 6/25/2018 at 11:23 AM, Adanius said:

Запустил "Синхронизация обновлений Windows Update" и дождался ошибки.

Причина в том, что при выборе чекбокса "Все продукты" формируется очень большой запрос на сервер Microsoft, который возвращает ошибку.

Необходимо выбрать на вкладке "Продукты" именно те продукты, для которых требуется загрузить обновления.

Большое количество выбранных продуктов (более 200) так же может привести к ошибке 413.

Спасибо.

Share this post


Link to post

Еще небольшой вопрос. Для обновления рабочих станций дефолтная политика работы KSC в качестве WSUS норм, но для серверов хотелось бы настроить, чтобы обновление windows автоматически скачивались, но устанавливались только по расписанию (скажем, раз в неделю), либо вручную. Это настраивается в GPO, но каспер ставит свою политику и эти настройки игнорируются (насколько я понял). Есть ли возможность это сделать? Или продукт на такое не рассчитан?

Share this post


Link to post
2 hours ago, Adanius said:

Еще небольшой вопрос. Для обновления рабочих станций дефолтная политика работы KSC в качестве WSUS норм, но для серверов хотелось бы настроить, чтобы обновление windows автоматически скачивались, но устанавливались только по расписанию (скажем, раз в неделю), либо вручную. Это настраивается в GPO, но каспер ставит свою политику и эти настройки игнорируются (насколько я понял). Есть ли возможность это сделать? Или продукт на такое не рассчитан?

Добрый день.

В свойствах задачи "Установить обновления и закрыть уязвимости" есть опция "Загрузить обновления на устрйства без установки". В случае с третьесторонними обновлениями они будут скопированы в указанную папку, с обновлениями Windows - в специальную папку обновлений Windows, после чего они могут быть вручную установлены администратором. Если правила задачи затрагивают только обновления Windows, эта настройка будет эквивалентна описанному поведению.

Спасибо.

Share this post


Link to post
1 час назад, Kirill Tsapovsky сказал:

В свойствах задачи "Установить обновления и закрыть уязвимости" есть опция "Загрузить обновления на устрйства без установки". В случае с третьесторонними обновлениями они будут скопированы в указанную папку, с обновлениями Windows - в специальную папку обновлений Windows, после чего они могут быть вручную установлены администратором. Если правила задачи затрагивают только обновления Windows, эта настройка будет эквивалентна описанному поведению.

Правильно ли я понял, что в случае настройки сервера администрирования в роли WSUS-сервера, политику установки обновлений никак не изменить, и компьютер в определенное каспером время будет обращаться к серверу администрирования и качать обновления, экспресс-файлы которых тот получил с помощью задачи "Синхронизация обновлений с Windows Update". Для рабочих станций подходит, но не для серверов.

Если обновления ставятся с помощью задачи и включен активный режим, то компьютер обращается к серверам обновлений, на которые он настроен и передает эти данные серверу админстрирования. Из этого вытекает, что компьютер должен быть настроен на сервера обновлений Microsoft (либо другой WSUS-сервер), но скачивание и установка обновлений должны быть отключены, так? И отработает ли задача установки обновлений, если компьютер, скажем, настроен на мертвый WSUS-сервер (в случае расширенной лицензии и корректно отработанной задачи синхронизации обновлений на сервере администрирования)?

Edited by Adanius

Share this post


Link to post
2 hours ago, Adanius said:

Правильно ли я понял, что в случае настройки сервера администрирования в роли WSUS-сервера, политику установки обновлений никак не изменить, и компьютер в определенное каспером время будет обращаться к серверу администрирования и качать обновления, экспресс-файлы которых тот получил с помощью задачи "Синхронизация обновлений с Windows Update". Для рабочих станций подходит, но не для серверов.

Если обновления ставятся с помощью задачи и включен активный режим, то компьютер обращается к серверам обновлений, на которые он настроен и передает эти данные серверу админстрирования. Из этого вытекает, что компьютер должен быть настроен на сервера обновлений Microsoft (либо другой WSUS-сервер), но скачивание и установка обновлений должны быть отключены, так? И отработает ли задача установки обновлений, если компьютер, скажем, настроен на мертвый WSUS-сервер (в случае расширенной лицензии и корректно отработанной задачи синхронизации обновлений на сервере администрирования)?

Если выбрана опция "Загружать обновления, но не устанавливать", отдельной настройки для расписания установки таких обновлений в KSC нет, эта задача выполняется локально администратором.

Для использования KSC в режиме WSUS никакая дополнительная настройка Windows Update-агентов не требуется. В таком режиме доступна загрузка обновлений только с серверов Microsoft.

Спасибо.

Share this post


Link to post
22 минуты назад, Kirill Tsapovsky сказал:

Если выбрана опция "Загружать обновления, но не устанавливать", отдельной настройки для расписания установки таких обновлений в KSC нет, эта задача выполняется локально администратором.

Это понятно. Вопрос был в том, смогут ли установиться нужные обновления, если на сервере, куда мы эти обновления захотим установить, например, нет доступа во внешку. Я это спрашиваю, потому, что при активном и пассивном режимах поиска обновлений, сервер администрирования использует обращения клиентов к серверам Microsoft. А что если клиент не может к серверам Microsoft обратиться в силу разных причин?

29 минут назад, Kirill Tsapovsky сказал:

Для использования KSC в режиме WSUS никакая дополнительная настройка Windows Update-агентов не требуется. В таком режиме доступна загрузка обновлений только с серверов Microsoft.

KSC тянет обновления с Microsoft, а клиенты с KSC, тут вопросов нет. Вопрос в том, KSC для этого ставит клиентам свою политику, в том числе, расписание установки обновлений. Можно ли штатными средствами изменить данное расписание?

Share this post


Link to post

https://support.kaspersky.ru/learning/courses/kl_109.10/unit1_chapter3, слайд 26: "Кроме того, при использовании Сервера администрирования в роли WSUS-сервера на клиентском компьютере меняются настройки работы Windows Update. Даже если настройки WUA определены в доменной политике, Агент администрирования переписывает их на ежедневный запуск по расписанию в 10:00 утра. Таким образом, даже если на Сервере администрирования не настроены задачи поиска обновлений и уязвимостей, а также установки обновлений, проверка доступных обновлений все равно будет выполняться и у пользователей появляется возможность установить их стандартными средствами Windows Update."

Если для нас ежедневный запуск в 10:00 утра не самое удобное решение, можно что-нибудь сделать? И если на конечном компьютере нет доступа в интернет и сервер администрирования не используется в качестве WSUS-сервера, сможет ли KSC установить на него все необходимые обновления? Или для этого ему необходимо получить информацию с Windows Update?

Share this post


Link to post
В 10.07.2018 в 20:50, Adanius сказал:

https://support.kaspersky.ru/learning/courses/kl_109.10/unit1_chapter3, слайд 26: "Кроме того, при использовании Сервера администрирования в роли WSUS-сервера на клиентском компьютере меняются настройки работы Windows Update. Даже если настройки WUA определены в доменной политике, Агент администрирования переписывает их на ежедневный запуск по расписанию в 10:00 утра. Таким образом, даже если на Сервере администрирования не настроены задачи поиска обновлений и уязвимостей, а также установки обновлений, проверка доступных обновлений все равно будет выполняться и у пользователей появляется возможность установить их стандартными средствами Windows Update."

Если для нас ежедневный запуск в 10:00 утра не самое удобное решение, можно что-нибудь сделать? И если на конечном компьютере нет доступа в интернет и сервер администрирования не используется в качестве WSUS-сервера, сможет ли KSC установить на него все необходимые обновления? Или для этого ему необходимо получить информацию с Windows Update?

В сети есть WSUS сервер. После того, как в настройках политики агента администрирования будет установлена галка "Использовать Сервер администрирования в роли WSUS-сервера", комп по прежнему будет управляться WSUSом и галка повлияет только на расписание запуска поиска обновлений или админы не смогут влиять на установку обновлений согласуя их на WSUSе (обновлениями может будет рулить только через KSC)?

Share this post


Link to post

Добрый день.

 

Если на сервера администирования выполнить полный цикл настроек и не интегрировать его с уже имеющимся WSUS то управлять обновлениями на рабочих станциях смогут только администраторы KSC.

Больше информации вы сможете найти в руководстве для администратора:

Синхронизация обновлений Windows Update с Сервером администрирования

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.