Jump to content
Adanius

Recommended Posts

Adanius   

Adanius
Posted

Проблема следующая: при запуске задачи "Синхронизация обновлений Windows Update", она доходит до 9% и останавливается на них. При этом в логах на сервере сообщения "Загрузка задачи обновления Windows: непредвиденная ошибка. #1573 (413) [MS-WSUSSS] [SOAP-ENV:Server] Произошла ошибка 413". Стоит Windows Server 2016, родной брандмауэр отключен, себе обновления с серверов Microsoft он нормально качает и ставит. Сервер администрирования версии 10.5.1781. Несколько дней назад была такая же проблема, но в тот раз политиками был назначен выключенный WSUS сервер. После того, как я вывел сервер администрирования из под этой политики, все заработало, но ненадолго. 

Share this post

Link to post

Nikolay Arinchev   

Nikolay Arinchev
Posted

Здравствуйте,

Пожалуйста, приложите к своему ответу отчет GSI.

Спасибо!

Share this post

Link to post

Adanius   

Adanius
Posted

Ссылка

Разобрался, в чем дело. Ошибка появляется, когда я изменяю категории обновлений. Когда возвращаю назад - все проходит нормально. Баг или фича? Что делать в таком случае?

Share this post

Link to post

Adanius   

Adanius
Posted

image.png.be42afd49330c51b2d933a73dd35de9f.png

Верну галочку напротив пункта "Драйверы" и все пройдет нормально.

Share this post

Link to post

Konstantin Antonov   

Konstantin Antonov
Posted

Соберите пожалуйста трассировки KSC сервера и консоли в момент возникновения ошибки.

Спасибо!

Share this post

Link to post

Nikolay Arinchev   

Nikolay Arinchev
Posted

Здравствуйте,

Спасибо за информацию!

Пожалуйста, уточните, при воспроизведении какого сценария были собраны трассировки?

СпасибО!

Share this post

Link to post

Adanius   

Adanius
Posted (edited)

Запустил "Синхронизация обновлений Windows Update" и дождался ошибки.

Edited by Adanius

Share this post

Link to post

Nikolay Arinchev   

Nikolay Arinchev
Posted

Спасибо за информацию!

Пожалуйста, приложите к своему ответу также эвентлоги Касперского, системы и приложений.

 

Share this post

Link to post

Kirill Tsapovsky   

Kirill Tsapovsky
Posted
On 6/25/2018 at 11:23 AM, Adanius said:

Запустил "Синхронизация обновлений Windows Update" и дождался ошибки.

Причина в том, что при выборе чекбокса "Все продукты" формируется очень большой запрос на сервер Microsoft, который возвращает ошибку.

Необходимо выбрать на вкладке "Продукты" именно те продукты, для которых требуется загрузить обновления.

Большое количество выбранных продуктов (более 200) так же может привести к ошибке 413.

Спасибо.

Share this post

Link to post

Adanius   

Adanius
Posted

Еще небольшой вопрос. Для обновления рабочих станций дефолтная политика работы KSC в качестве WSUS норм, но для серверов хотелось бы настроить, чтобы обновление windows автоматически скачивались, но устанавливались только по расписанию (скажем, раз в неделю), либо вручную. Это настраивается в GPO, но каспер ставит свою политику и эти настройки игнорируются (насколько я понял). Есть ли возможность это сделать? Или продукт на такое не рассчитан?

Share this post

Link to post

Kirill Tsapovsky   

Kirill Tsapovsky
Posted
2 hours ago, Adanius said:

Еще небольшой вопрос. Для обновления рабочих станций дефолтная политика работы KSC в качестве WSUS норм, но для серверов хотелось бы настроить, чтобы обновление windows автоматически скачивались, но устанавливались только по расписанию (скажем, раз в неделю), либо вручную. Это настраивается в GPO, но каспер ставит свою политику и эти настройки игнорируются (насколько я понял). Есть ли возможность это сделать? Или продукт на такое не рассчитан?

Добрый день.

В свойствах задачи "Установить обновления и закрыть уязвимости" есть опция "Загрузить обновления на устрйства без установки". В случае с третьесторонними обновлениями они будут скопированы в указанную папку, с обновлениями Windows - в специальную папку обновлений Windows, после чего они могут быть вручную установлены администратором. Если правила задачи затрагивают только обновления Windows, эта настройка будет эквивалентна описанному поведению.

Спасибо.

Share this post

Link to post

Adanius   

Adanius
Posted (edited)
1 час назад, Kirill Tsapovsky сказал:

В свойствах задачи "Установить обновления и закрыть уязвимости" есть опция "Загрузить обновления на устрйства без установки". В случае с третьесторонними обновлениями они будут скопированы в указанную папку, с обновлениями Windows - в специальную папку обновлений Windows, после чего они могут быть вручную установлены администратором. Если правила задачи затрагивают только обновления Windows, эта настройка будет эквивалентна описанному поведению.

Правильно ли я понял, что в случае настройки сервера администрирования в роли WSUS-сервера, политику установки обновлений никак не изменить, и компьютер в определенное каспером время будет обращаться к серверу администрирования и качать обновления, экспресс-файлы которых тот получил с помощью задачи "Синхронизация обновлений с Windows Update". Для рабочих станций подходит, но не для серверов.

Если обновления ставятся с помощью задачи и включен активный режим, то компьютер обращается к серверам обновлений, на которые он настроен и передает эти данные серверу админстрирования. Из этого вытекает, что компьютер должен быть настроен на сервера обновлений Microsoft (либо другой WSUS-сервер), но скачивание и установка обновлений должны быть отключены, так? И отработает ли задача установки обновлений, если компьютер, скажем, настроен на мертвый WSUS-сервер (в случае расширенной лицензии и корректно отработанной задачи синхронизации обновлений на сервере администрирования)?

Edited by Adanius

Share this post

Link to post

Kirill Tsapovsky   

Kirill Tsapovsky
Posted
2 hours ago, Adanius said:

Правильно ли я понял, что в случае настройки сервера администрирования в роли WSUS-сервера, политику установки обновлений никак не изменить, и компьютер в определенное каспером время будет обращаться к серверу администрирования и качать обновления, экспресс-файлы которых тот получил с помощью задачи "Синхронизация обновлений с Windows Update". Для рабочих станций подходит, но не для серверов.

Если обновления ставятся с помощью задачи и включен активный режим, то компьютер обращается к серверам обновлений, на которые он настроен и передает эти данные серверу админстрирования. Из этого вытекает, что компьютер должен быть настроен на сервера обновлений Microsoft (либо другой WSUS-сервер), но скачивание и установка обновлений должны быть отключены, так? И отработает ли задача установки обновлений, если компьютер, скажем, настроен на мертвый WSUS-сервер (в случае расширенной лицензии и корректно отработанной задачи синхронизации обновлений на сервере администрирования)?

Если выбрана опция "Загружать обновления, но не устанавливать", отдельной настройки для расписания установки таких обновлений в KSC нет, эта задача выполняется локально администратором.

Для использования KSC в режиме WSUS никакая дополнительная настройка Windows Update-агентов не требуется. В таком режиме доступна загрузка обновлений только с серверов Microsoft.

Спасибо.

Share this post

Link to post

Adanius   

Adanius
Posted
22 минуты назад, Kirill Tsapovsky сказал:

Если выбрана опция "Загружать обновления, но не устанавливать", отдельной настройки для расписания установки таких обновлений в KSC нет, эта задача выполняется локально администратором.

Это понятно. Вопрос был в том, смогут ли установиться нужные обновления, если на сервере, куда мы эти обновления захотим установить, например, нет доступа во внешку. Я это спрашиваю, потому, что при активном и пассивном режимах поиска обновлений, сервер администрирования использует обращения клиентов к серверам Microsoft. А что если клиент не может к серверам Microsoft обратиться в силу разных причин?

29 минут назад, Kirill Tsapovsky сказал:

Для использования KSC в режиме WSUS никакая дополнительная настройка Windows Update-агентов не требуется. В таком режиме доступна загрузка обновлений только с серверов Microsoft.

KSC тянет обновления с Microsoft, а клиенты с KSC, тут вопросов нет. Вопрос в том, KSC для этого ставит клиентам свою политику, в том числе, расписание установки обновлений. Можно ли штатными средствами изменить данное расписание?

Share this post

Link to post

Adanius   

Adanius
Posted

https://support.kaspersky.ru/learning/courses/kl_109.10/unit1_chapter3, слайд 26: "Кроме того, при использовании Сервера администрирования в роли WSUS-сервера на клиентском компьютере меняются настройки работы Windows Update. Даже если настройки WUA определены в доменной политике, Агент администрирования переписывает их на ежедневный запуск по расписанию в 10:00 утра. Таким образом, даже если на Сервере администрирования не настроены задачи поиска обновлений и уязвимостей, а также установки обновлений, проверка доступных обновлений все равно будет выполняться и у пользователей появляется возможность установить их стандартными средствами Windows Update."

Если для нас ежедневный запуск в 10:00 утра не самое удобное решение, можно что-нибудь сделать? И если на конечном компьютере нет доступа в интернет и сервер администрирования не используется в качестве WSUS-сервера, сможет ли KSC установить на него все необходимые обновления? Или для этого ему необходимо получить информацию с Windows Update?

Share this post

Link to post

Berckut   

Berckut
Posted
В 10.07.2018 в 20:50, Adanius сказал:

https://support.kaspersky.ru/learning/courses/kl_109.10/unit1_chapter3, слайд 26: "Кроме того, при использовании Сервера администрирования в роли WSUS-сервера на клиентском компьютере меняются настройки работы Windows Update. Даже если настройки WUA определены в доменной политике, Агент администрирования переписывает их на ежедневный запуск по расписанию в 10:00 утра. Таким образом, даже если на Сервере администрирования не настроены задачи поиска обновлений и уязвимостей, а также установки обновлений, проверка доступных обновлений все равно будет выполняться и у пользователей появляется возможность установить их стандартными средствами Windows Update."

Если для нас ежедневный запуск в 10:00 утра не самое удобное решение, можно что-нибудь сделать? И если на конечном компьютере нет доступа в интернет и сервер администрирования не используется в качестве WSUS-сервера, сможет ли KSC установить на него все необходимые обновления? Или для этого ему необходимо получить информацию с Windows Update?

В сети есть WSUS сервер. После того, как в настройках политики агента администрирования будет установлена галка "Использовать Сервер администрирования в роли WSUS-сервера", комп по прежнему будет управляться WSUSом и галка повлияет только на расписание запуска поиска обновлений или админы не смогут влиять на установку обновлений согласуя их на WSUSе (обновлениями может будет рулить только через KSC)?

Share this post

Link to post

Evgeny_E   

Evgeny_E
Posted

Добрый день.

 

Если на сервера администирования выполнить полный цикл настроек и не интегрировать его с уже имеющимся WSUS то управлять обновлениями на рабочих станциях смогут только администраторы KSC.

Больше информации вы сможете найти в руководстве для администратора:

Синхронизация обновлений Windows Update с Сервером администрирования

Share this post

Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go To Topic Listing Защита для корпоративных пользователей
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.

  I accept