PDA

Visualizza versione completa : [windos sever 2003] WSUS


k501
08-02-2008, 17.23.26
Accidenti! Sto macinando WSUS (3.0) per la prima volta e non ne capisoc nulla! A parte il classico wizard che parte in automatico dopo l'installazione, come si fa a richiamarlo in seguito per apporre modifiche o altro?
Ho trovato diversi link e guide online... Ma nessuna dice come richiamare l'interfaccia una volta chiusa.

Tecno214
08-02-2008, 18.07.58
LA versione 3.0 di WSUS, a differenza della versione 2.0 che si appoggiava di default all'interfaccia web, viene gestita tramite MMC di Windows..
Per richiamarla devi andare in

Start > Esegui > wsus.msc

Oppure puoi trovare il collegamento a wsus.msc in

c:\Programm\Update Services\administrationsnapin\wsus.msc

Esiste poi l'opzione di attivare la consolle anche da un clients remoto ma presuppone che, in fase di istallazione dello stesso WSUS, venga istallata l'apposita opzione lato Client!

Se hai bosogno di ulteriori info chiedi pure!

Losko
08-02-2008, 18.44.48
Oltre a quanto detto da Tecno :)
puoi trovare il collegamento negli Strumenti di Amministrazione di Windows Server, raggiungibili o dal menu Start o da Pannello di controllo ;)
Ciauz

k501
11-02-2008, 15.28.50
Ottimo! Grazie per l'aiuto. E' possibile che vi chiederò ulteriori delucidazioni sull'argomento, prossimamente, anche se spero in cuor mio di riuscir ad arrangiarmi...
Ciao ;)

Losko
11-02-2008, 15.33.25
Ottimo! Grazie per l'aiuto. E' possibile che vi chiederò ulteriori delucidazioni sull'argomento, prossimamente, anche se spero in cuor mio di riuscir ad arrangiarmi...
Ciao ;)
Se hai bisogno sai dove trovarci ;)

k501
14-02-2008, 11.45.14
Fatto! Installato WSUS sul server, installato report viewer e modificata la group policy di dominio active directory. Risultato: compaiono 69 ( :eek: ) pc in lista con aggiornamenti da approvare. Il problema è che non tutti i computer sono presenti, in lista ne mancano ancora! Ad esempio manca pure il mio, nonostante sia in dominio, con indirizzo statico e senza nessun firewall installato! Ho chiuso perfino quello standard di Windows XP (il pc è con service pack2, windows xp pro).
C'è un modo per "caricarlo" manualmente nella lista dei pc in rete di WSUS? A me non sembra vi sia un comando od una voce nei menù...
Per piacere aiutatemi, a costo di dover fare un censimento e di aggiungere quelli mancanti un pò alla volta, uno ad uno....

Tecno214
14-02-2008, 12.31.49
Non hai modo di caricarlo manualmente ma ti do un paio di consigli e registri da modificare..
Sui pc che NON VEDI in consolle WSUS lancia il tools CLIENT-DIAG che trovi qui..

http://absoblogginlutely.net/mtblogarchive/005304.php

Analizzane il log, magari postandolo anche...
A questo punto ti sarà chiaro dove poter andare ad intervenire in caso di problemi.
Nel caso in cui problemi non ce ne siano prova a lanciare dai client un

gpupdate /force

e vedi se risolvi.

Se non risolvi ugualmente ti posterò poi un paio di registri da modificare!

k501
14-02-2008, 15.22.26
Ecco il log.
Provato anche con il comando gpupdate /force ma senza risultato.

A me non sembra ci siano problemi dal log, anche perchè se ce ne fossero immagino non veda nessun pc in rete, invece ne vede alcuni, altri no...


WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.0.6000.381. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 4: Scheduled Install . . . . . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
WUServer = http://sus.xxxxx.local
WUStatusServer = http://sus.xxxxx.local
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS
Connection to server. . . . . . . . . . . . . . . . . . PASS
SelfUpdate folder is present. . . . . . . . . . . . . . PASS

Press Enter to Complete

PS=le "X" sono state volutamente messe per oscurare il nome del dominio (http://sus.xxxxx.local)

Tecno214
14-02-2008, 16.05.34
Il log non evidenzia voci colorate in giallo od in rosso quindi?!

Cominciamo con appurare una cosa.
I pc che non risultano nella consolle di WSUS sono stati per caso clonati tramite SYSPREP o altra utility usando la medesima immagine di partenza?!

TE lo chiedo perchè è importante per procedere oltre usando un metodo oppure un altro metodo!!

k501
14-02-2008, 16.10.34
Il log non evidenzia voci colorate in giallo od in rosso quindi?!

Cominciamo con appurare una cosa.
I pc che non risultano nella consolle di WSUS sono stati per caso clonati tramite SYSPREP o altra utility usando la medesima immagine di partenza?!

TE lo chiedo perchè è importante per procedere oltre usando un metodo oppure un altro metodo!!

Intendi dire se è stata creata un'immagine di partenza del sistema operativo dei client e anzichè formattarla è stata usata quest'ultima?
Se è questo che intendi, la risposta è sì! Per la maggior parte, anche quelli che già son presenti nella lista WSUS

Tecno214
14-02-2008, 17.45.34
Perfetto, anzi no!
Nel caso di client XP GENERALMENTE non ci sono problemi, i problemi nascono soprattutto in presenza di clients con W2000.
Il problema principale è LA DUPLICAZIONE DEI SID all'interno del dominio, WSUS riconosce un solo SID, lo abbina ad una macchina che in quel momento è attiva e trascura le altre con i SID uguali!

Procedi come di seguito:
Scaricati questa utility

NEW SID (http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx)

lanciala e controlla tutti i pc con i SID duplicati.
A questo punto entra come admin locale della macchina, lancia il tools e lascia che il programma in automatico assegni un nuovo SID al pc.
A questo punto devi operare sui registri come di seguito...

*) Stoppa il servizio "Aggiornamenti Automatici"

*) Cancella i seguenti registri:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" AccountDomainSid

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" PingID

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" SusClientId

*) Riavvia il servizio Aggiornamenti Automatici

*) Infine da riga di comando digita: wuauclt /resetauthorization /detectnow

Esiste una CMD in rete che fa tutto in automatico ed è questo che ti posto sotto (copia-incolla in un file di testo e salva in .cmd)

@echo off
Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following:
Echo 1. Stops the wuauserv service
Echo 2. Deletes the AccountDomainSid registry key (if it exists)
Echo 3. Deletes the PingID registry key (if it exists)
Echo 4. Deletes the SusClientId registry key (if it exists)
Echo 5. Restarts the wuauserv service
Echo 6. Resets the Authorization Cookie
Echo 6. More information on http://msmvps.com/Athif
Pause
@echo on
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow
Pause

A questo punto dopo il riavvio del pc, il medesimo dovrebbe comparire nella consolle di WSUS.
Fammi sapere eventuali problemi.

k501
15-02-2008, 11.24.34
Ciao e grazie!!!
Ora provo con il mio per vedere se viene aggiunto nella fatidica lista.

Ora però mi si è presentato un problema nuovo! Ai computer già presenti non viene scaricato nessun aggiornamento, nonostante siano tutti approvati! Questo però non accadeva la prima volta, infatti 4 aggiornamenti sono andati a buon fine, dal giorno dopo non più!
Ho dato un'occhiata al file log di una postazione, ci sono diversi WARNING, eccone un pezzo:

2008-02-13 17:12:38:189 868 d54 PT WARNING: GetCookie failure, error = 0x8024400D, soap client error = 7, soap error code = 300, HTTP status code = 200
2008-02-13 17:12:38:189 868 d54 PT WARNING: SOAP Fault: 0x00012c
2008-02-13 17:12:38:189 868 d54 PT WARNING: faultstring:Fault occurred
2008-02-13 17:12:38:189 868 d54 PT WARNING: ErrorCode:InvalidCookie(1)
2008-02-13 17:12:38:189 868 d54 PT WARNING: Message:(null)
2008-02-13 17:12:38:189 868 d54 PT WARNING: Method:"http://www.microsoft.com/SoftwareDistribution/Server/ClientWebService/GetCookie"
2008-02-13 17:12:38:189 868 d54 PT WARNING: ID:1c27d314-ee33-48f8-a22e-376c3b0fc6d9
2008-02-13 17:12:38:189 868 d54 PT WARNING: PTError: 0x80244015
2008-02-13 17:12:38:189 868 d54 PT WARNING: GetCookie_WithRecovery failed : 0x80244015
2008-02-13 17:12:38:189 868 d54 PT WARNING: RefreshCookie failed: 0x80244015
2008-02-13 17:12:38:189 868 d54 PT WARNING: RefreshPTState failed: 0x80244015
2008-02-13 17:12:38:790 868 d54 PT WARNING: Cached cookie has expired or new PID is available

:mm:

Se si trattassde del proxy... Lo escludo, in quanto la sincronizzazione riesce a farla. ecco cosa ne risulta con il comando: proxycfg -u



Updated proxy settings
Current WinHTTP proxy settings under:
HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\
WinHttpSettings :

Direct access (no proxy server).
:mm:

Tecno214
15-02-2008, 12.03.16
Mah, l'errore è del tutto nuovo e in genere, errori di connettività vengono sempre segnalati con il tools client.diag che ti ho segnalato (tra l'altro l'errore assume una colorazione diversa e ben visibile).

Prova a fare una pulizia dei files temporanei sia sul server WSUS che sui clients..
L'ho buttata lì, è la prima cosa che mi viene in mente.

Tecno214
15-02-2008, 12.07.58
Altra cosa...
Potrebbe essere anche il Parser XML che non è aggiornato.
Scaricalo da questo link e istallalo lato client/server

http://www.microsoft.com/downloads/details.aspx?FamilyID=28494391-052B-42FF-9674-F752BDCA9582&displaylang=en

Riavvia la macchina e riregistra le seguenti dll facendoti uno script (.cmd) con queste istruzioni...
-----------------------------------
regsvr32 MSXML3.dll
regsvr32 WUAPI.DLL
regsvr32 WUAUENG.DLL
regsvr32 WUAUENG1.DLL
regsvr32 WUCLTUI.DLL
regsvr32 WUPS.DLL
regsvr32 WUWEB.DLL
-------------------------------

Fammi sapere se risolvi...

k501
15-02-2008, 12.27.48
Ma quante ne sai? :)
Grazie ancora per l'aiuto; provo e poi ti dico...
Ciaooo

Tecno214
15-02-2008, 12.46.17
Beh, di istallazioni di WSUS oramai sarò almeno a 20 tra la versione 2 e la 3...

Grazie comunque, fammi sapere!

k501
19-02-2008, 12.00.19
Perfetto, anzi no!
Nel caso di client XP GENERALMENTE non ci sono problemi, i problemi nascono soprattutto in presenza di clients con W2000.
Il problema principale è LA DUPLICAZIONE DEI SID all'interno del dominio, WSUS riconosce un solo SID, lo abbina ad una macchina che in quel momento è attiva e trascura le altre con i SID uguali!

Procedi come di seguito:
Scaricati questa utility

NEW SID (http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx)

lanciala e controlla tutti i pc con i SID duplicati.
A questo punto entra come admin locale della macchina, lancia il tools e lascia che il programma in automatico assegni un nuovo SID al pc.
A questo punto devi operare sui registri come di seguito...

*) Stoppa il servizio "Aggiornamenti Automatici"

*) Cancella i seguenti registri:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" AccountDomainSid

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" PingID

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" SusClientId

*) Riavvia il servizio Aggiornamenti Automatici

*) Infine da riga di comando digita: wuauclt /resetauthorization /detectnow

Esiste una CMD in rete che fa tutto in automatico ed è questo che ti posto sotto (copia-incolla in un file di testo e salva in .cmd)

@echo off
Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following:
Echo 1. Stops the wuauserv service
Echo 2. Deletes the AccountDomainSid registry key (if it exists)
Echo 3. Deletes the PingID registry key (if it exists)
Echo 4. Deletes the SusClientId registry key (if it exists)
Echo 5. Restarts the wuauserv service
Echo 6. Resets the Authorization Cookie
Echo 6. More information on http://msmvps.com/Athif
Pause
@echo on
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow
Pause

A questo punto dopo il riavvio del pc, il medesimo dovrebbe comparire nella consolle di WSUS.
Fammi sapere eventuali problemi.

Ciao, torno ad aggiornarti sulla situazione.
Ho eseguito la procedura qui sopra ma ancora il pc (sto provando con il mio) non viene riconosciuto.
Per il resto: i pc presenti in lista wsus non installano gli aggiornamenti. Ho fatto l'approvazione ma sulla colonna a fianco nel report mi compare sempre "not installed" anche dopo continui refresh. Se cliccko con la manina sopra tale scritta mi si apre la finestra che dovrebbe contenere il dettaglio dell'errore, cioè il motivo per cui non ha installato, invece sta scritto:

No events are available. This may be because the client has not yet sent the event or the events have been purged from the server. Please refer to %WINDIR%\WindowsUpdate.log on xxxx.xxxx.local for details.

cosa significa? come procedo?
:mm:

Losko
19-02-2008, 12.36.57
Prima di modificare i SID hai rimosso i computer dal dominio? (sempre se sono in dominio).

k501
19-02-2008, 13.04.35
Urca! No! L'ho semplicemente tolto dalla rete scollegandone il cavo... Che stupido non ci ho neanche pensato...

Tecno214
20-02-2008, 09.13.10
Intanto cambia il SID come ti ha consigliato Losko assicurandoti, tramite NEWSID, che lo stesso sia stato cambiato e non ve ne siano di duplicati in rete!
Poi riprova con la mia procedura che ti ho postato, in genere non fallisce!

k501
20-02-2008, 15.09.18
L'altro problema riguarda i client presenti; gli aggiornamenti sono stati approvati, scaricati, ma non installati. Aprendo il report client per client lo status dell'installazione è "failed".
Allora ho guardato il registro eventi di alcuni e sono presenti windows update agent in errore con ID 16 e 20. Quindi ho aperto il log "windowsupdate" in locale è c'è un warning (credo su tutti, ne ho controllato una gran parte solo)
La descrizione del warning:

WARNING: AU found no suitable session to launch client in

Facendo una ricerca nel web ho trovato diverse soluzioni/cause del messaggio. In particolar modo sottolineano insufficienti diritti del client o una group policy. Ho controllato, non può trattarsi della prima ipotesi in quanto il warning è presente sia nei client con utente amministratore di PC che in quelli senza. E le policy risultano apposto...
Secondo il vostro parere, da cosa può essere dovuto?

Tecno214
20-02-2008, 15.19.14
Io proverei a distribuire, sempre via policy di dominio questa policy:

Configurazione Computer > Modelli Amministrativi > Componenti di Windows > Windows Update > Consenti a non amministratori......

In alternativa il registro da editare è questo...

HKEYLM - Software - Policies - Microsoft - Windows - Windows Update - Elevatenonadmins (setta il valore ad 1)

Poi rirpova e fammi sapere!

Losko
20-02-2008, 15.30.06
Per il momento non ho da aggiungere altro, ti ha già detto Tecno214 il da farsi ;)
Tienici aggiornati :)

k501
20-02-2008, 16.42.46
Io proverei a distribuire, sempre via policy di dominio questa policy:

Configurazione Computer > Modelli Amministrativi > Componenti di Windows > Windows Update > Consenti a non amministratori......

In alternativa il registro da editare è questo...

HKEYLM - Software - Policies - Microsoft - Windows - Windows Update - Elevatenonadmins (setta il valore ad 1)

Poi rirpova e fammi sapere!

Niente, già a posto, verificato ma non è neppure quello.

Tecno214
20-02-2008, 16.48.10
Hai verificato che la policy sia stata SETTATA e/o DISTRIBUITA oppure hai controllato il registro?!

Tecno214
20-02-2008, 17.03.22
Altra cosa...
Puoi postsrmi l'elenco delle policies riguardanti WSUS che hai passato ai clients in modo da avere un quadro più prociso della situazione?!

k501
20-02-2008, 17.47.05
Hai verificato che la policy sia stata SETTATA e/o DISTRIBUITA oppure hai controllato il registro?!

Entrambe le cose...

k501
20-02-2008, 17.58.07
Altra cosa...
Puoi postsrmi l'elenco delle policies riguardanti WSUS che hai passato ai clients in modo da avere un quadro più prociso della situazione?!

...Guarda sto provando ad allegare il file, ma le condizioni sono di non superare i 54k e i 500x500 pixel. Così piccolo diventa illeggibile! Posso provare ad incollarlo. Domani mattina, ormai.
Grazie, buona serata a tutti voi ;)

Losko
20-02-2008, 18.14.55
Leggi questa guida: http://www.sysadmin.it/pages/guide/guide.asp?ID=92
dovrebbe fare al caso tuo.

k501
21-02-2008, 11.46.17
Leggi questa guida: http://www.sysadmin.it/pages/guide/guide.asp?ID=92
dovrebbe fare al caso tuo.

(Y)
Grazie! Ora ci dò un'occhiata.
Temo comunque possa trattarsi di privilegi/diritti di installazione sul pc, perchè ho analizzato 4 desktopdove non vengono installati gli aggiornamenti. Infatti disconnettendo la sessione dell'utente di dominio ed entrando come administrator di dominio il sistema mi segnala la presenza di aggiornamenti, appare il "balloon" in basso a destra con la richiesta di clicckare per l'installazione. Ho provato a mettere gli utenti come power user, ma ancora una volta, lasciandoli entrare con la loro utenza, la richiesta di installazione scompare. NON vorremmo mai arrivare a mettere tutti gli utenti come amministratori di macchina per 2 ragioni: sono troppi, dislocati non solo nella sede dove sono io, ma anche bergamo, Venezia. Secondo, sarebbe esporre a pericoli la rete...

Ora vedo se riesco ad incollare il file dello screenshot sulle nostre policy, quello con il percosro che mi avete segnalato.

Tecno214
21-02-2008, 12.08.43
E' molto, molto strano perchè la policy che ti ho postato, relativa appunto ai NON AMMINISTATORI, server appunto per abilitare i "normal User" ad effettuare istallazione degli aggiornamenti a prescindere da tutte le altre policy settate! :wall:
Farò comunque altre ricerche, intanto è già buono aver limitato il campo di azione!

Prova comunque a fare questa prova..

*) Vai nel DC, Active Directory > Computers
*) selezionane uno che non riesce ad aggiornarsi..
*) Tasto DX > All Task > Resultant set policy (planned)

Vai sempre avanti selezinando "authenticated user" come parametro e controlla se le policy che riguardano WSUS vengono ben applicate..

Computer Configuration > Administrative Templates > Windows Component > Windows Update.

Tecno214
21-02-2008, 12.13.17
http://www.microsoft.com/italy/technet/community/mvp/editoriali/wsus.mspx

In questa altra guida schematica trovarai anche la spiegazione di TUTTE le policy WSUS e l'unica che, secondo anche la guida va settata, è proprio quella che ti ho linkato.
Nel mio network oltretutto ho un bel pò di "normal user" limitati che però ricevono regolarmente gli aggiornamenti con la sola abilitazione di quella policy.
Vacci a capire qualcosa!

k501
21-02-2008, 13.03.48
Dopo varie imprecazioni sono riuscito ad allegarvi questo.
Mi sembra tutto ok, no?
Procedo con le ultime istruzioni che mi avete passato.
Grazie ancora ;)

k501
21-02-2008, 14.25.34
E' molto, molto strano perchè la policy che ti ho postato, relativa appunto ai NON AMMINISTATORI, server appunto per abilitare i "normal User" ad effettuare istallazione degli aggiornamenti a prescindere da tutte le altre policy settate! :wall:
Farò comunque altre ricerche, intanto è già buono aver limitato il campo di azione!

Prova comunque a fare questa prova..

*) Vai nel DC, Active Directory > Computers
*) selezionane uno che non riesce ad aggiornarsi..
*) Tasto DX > All Task > Resultant set policy (planned)

Vai sempre avanti selezinando "authenticated user" come parametro e controlla se le policy che riguardano WSUS vengono ben applicate..

Computer Configuration > Administrative Templates > Windows Component > Windows Update.

Fatto.
Ho esportato la lista della policy applicata ad un client:

Setting State GPO Name
Configure Automatic Updates Enabled NOME DOMINIO
Specify intranet Microsoft update service location Enabled NOME DOMINIO
Enable client-side targeting Enabled NOME DOMINIO
Reschedule Automatic Updates scheduled installations Enabled NOME DOMINIO
No auto-restart for scheduled Automatic Updates installations Enabled NOME DOMINIO
Allow Automatic Updates immediate installation Enabled NOME DOMINIO
Re-prompt for restart with scheduled installations Enabled NOME DOMINIO
Allow non-administrators to receive update notifications Enabled NOME DOMINIO

Tecno214
21-02-2008, 14.46.10
Enable client-side targeting Enabled NOME DOMINIO

Questa prova a toglierla, il gruppo di destinazione lo metti poi successivamente.
A volte ho notato che fa solo confusione!
Per il resto è tutto ok!

k501
21-02-2008, 16.12.41
Enable client-side targeting Enabled NOME DOMINIO

Questa prova a toglierla, il gruppo di destinazione lo metti poi successivamente.
A volte ho notato che fa solo confusione!
Per il resto è tutto ok!

Ok, adesso aspetto un pò e vediamo cosa succede. ;)

k501
25-02-2008, 14.10.38
Aggiornamento...
Ciao.
Allora: è capitato questo, ho tolto dal dominio due portatili, uno dei quali trattasi del mio, li ho messi in workgroup, eliminato eventuali "tracce" rimaste in active directory in lista "computers" sostituito il SID con l'utility consigliata, riavviato. il primo log-on è stato fatto in locale on diritti di amministratore. Rimesso in dominio entrambi i portatili e riavviato una seconda volta. Il risultato è stato che solo uno dei due è stato riconosciuto da WSUS e visualizzabile in "non assigned". :mm: Boh... Mistero...

Per quanto riguarda l'altra segnalazione, ho scoperto che ad alcuni client appare il "fumetto" con la richiesta di installazione aggiornamenti, ma non vanno a buon fine perchè gli utenti non accettano la richiesta. Ma è possibile fare in modo che gli aggiornamenti vengano installati ugualmente, nascondere il "fumetto" all'utente ed evitare il riavvio del computer qualora prosegua con gli aggiornamenti? Vorrei automatizzare questa cosa evitando che siano gli utenti a decidere! :inkaz:

Quali sono le GP da settare per fare tutto ciò?

Tecno214
25-02-2008, 18.34.53
All'interno della policy..

Configura Aggiornamenti automatici

Come hai settato l'opzione? (1, 2,3 o 4?)

Settando su 4 i pc scaricano gli aggiornamenti e li istallano all'orario che hai pianificato sempre nella stessa policy (SOLO CON 4).
Sempre con l'opzione 4 settata puoi configurare anche

* Consenti istallazione immediata aggiornamenti (funziona solo per quelli che non richiedono riavvio).

Facendo così comunque gli aggiornamenti vengono sempre scaricati in liocale senza che l'utente debba decidere nulla. Probabilmente non hai settato l'opzione "4" all'interno di Configura Aggiornamenti automatici!

Losko
25-02-2008, 18.40.04
All'interno della policy..

Configura Aggiornamenti automatici

Come hai settato l'opzione? (1, 2,3 o 4?)

Settando su 4 i pc scaricano gli aggiornamenti e li istallano all'orario che hai pianificato sempre nella stessa policy (SOLO CON 4).
Sempre con l'opzione 4 settata puoi configurare anche

* Consenti istallazione immediata aggiornamenti (funziona solo per quelli che non richiedono riavvio).

Facendo così comunque gli aggiornamenti vengono sempre scaricati in liocale senza che l'utente debba decidere nulla. Probabilmente non hai settato l'opzione "4" all'interno di Configura Aggiornamenti automatici!
(Y)

k501
26-02-2008, 14.17.42
tanto per info, dopo il cambio del SID nel mio portatile e dopo aver fatto partire il cmd:

@echo off
Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following:
Echo 1. Stops the wuauserv service
Echo 2. Deletes the AccountDomainSid registry key (if it exists)
Echo 3. Deletes the PingID registry key (if it exists)
Echo 4. Deletes the SusClientId registry key (if it exists)
Echo 5. Restarts the wuauserv service
Echo 6. Resets the Authorization Cookie
Echo 6. More information on http://msmvps.com/Athif
Pause
@echo on
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win dowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow
Pause

ho lanciato il file di diagnostica client e questa volta mi ha dato questo risultato:



WSUS Client Diagnostics Tool

Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.0.6000.381. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Control Panel

Checking Proxy Configuration
Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . NONE
Winhttp local machine ProxyBypass. . . . . . . NONE
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . NONE
User IE ProxyByPass. . . . . . . . . . . . . . NONE
User IE AutoConfig URL Proxy . . . . . . . . . NONE
User IE AutoDetect
AutoDetect not in use

Checking Connection to WSUS/SUS Server
AU does not have Policy Set
AU does not have Policy Set
UseWuServer is disabled . . . . . . . . . . . . . . . . FAIL

Press Enter to Complete

interessante l'ultimo step di cui l'esito è FAIL! Che roba!
Naturale, dal momento che non vieneancora riconosciuto il pc nel WSUS. resta da capire perchè :mm:

k501
26-02-2008, 14.30.42
Questa è la policy come è settata in active directory.
Boh! Io non capisco proprio, alcuni client si comportano in maniera diversa! Non capisoc dove sia l'inghippo :wall:

Tecno214
26-02-2008, 15.11.27
CErchiamo di arrivare alla soluzione..

1) Verifica che non ci siano altre OU (organization unit) in Active Directory che abbiamo settato un'altro criterio a livello di policy di WSUS (o non l'abbiano settato affatto).

2) Da uno dei clients di WSUS lancia il Client.Diag di WSUS (il tools di diagnostica).

3) Sempre dal solito clients verifica dentro a Pannello di controllo > Aggiornamenti automatici come è settata la policy.

4) Quanti clients hai nella rete? Te lo chiedo perchè, dato l'orario che hai impostato (le 17, un momento di presumibile traffico lato sulla LAN) la rispostadel server WSUS potrebbe essere nulla oppure non avvenire affatto.
Però osserveresti che i clients che difettano non sono sempre i soloti e comunque le policy dovrebbero essre comunque distribuite!!

Bun lavoro!!

Tecno214
26-02-2008, 15.16.07
Per quanto riguarda il tuo pc sembra che non sia abilitato l'uso di WSUS..
*) Sei sicuro che sia regolarmente in dominio e che digerisca bene le policy del dominio stesso?
*) Non è che stai lavorando come amministratore locale?
*) Setta questo registro sul tuo pc..

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\AU]

UseWUServer"=dword:00000001 (dovrebbe essere settata a 0 in questo momento)

PRova!

k501
26-02-2008, 16.08.14
Per quanto riguarda il tuo pc sembra che non sia abilitato l'uso di WSUS..
*) Sei sicuro che sia regolarmente in dominio e che digerisca bene le policy del dominio stesso?
*) Non è che stai lavorando come amministratore locale?
*) Setta questo registro sul tuo pc..

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\AU]

UseWUServer"=dword:00000001 (dovrebbe essere settata a 0 in questo momento)

PRova!


Oh bella! Non ci crederai ma nel registro arrivo fino a:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows

Ma manca il resto del percorso! :eek:
Ora lo aggiungo a manina e stiamo a vedere!
Grazie! Sono debitore ad entrambi per l'aiuto che mi state dando! :act:

Tecno214
26-02-2008, 17.53.22
Azz......!!

Ti manca tutta la parte di WSUS, sfido che non ti si collega..
Fai prima a esportare quel registro AL COMPLETO (e non solo la chiave che ti ho postato) opure in alternativa copia/incolla questo e rinominalo in .reg

-----------------------------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\AU]
"AutoInstallMinorUpdates"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000e
"DetectionFrequency"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"UseWUServer"=dword:00000001
-----------------------------------------------------------------------------------

E anche questo (in un altro files .reg)
-----------------------------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://nomeserver"
"WUStatusServer"="http://nomeserver"
-----------------------------------------------------------------------------------

Ci arriveremo in fondo, abbi fede!!

Losko
27-02-2008, 09.53.24
A me a questo punto mi sorge una domanda: Come è possibile che gli manca quella parte di registro? :mm:

k501
27-02-2008, 10.47.08
A me a questo punto mi sorge una domanda: Come è possibile che gli manca quella parte di registro? :mm:

Buongiorno!
E' una domanda lecita che mi pongo pure io!
Prima di lanciare i files reg verifico il registro per accertarmi che mancano, poi vi aggiorno.
E' molto strano...

k501
27-02-2008, 11.02.34
Allora...
Mi manca la parte sotto la chiave "AU", mentre nella chiave "windowsUpdate" mi ritrovo tutto...
Ora provo ad aggiungere quello che manca.
Grazie... ;)

PS=ho un valore dword in più nella chiave WindowsUpdate, che non è presente nella compilazione che mi hai consigliato:
TargetGroupEnabled con valore 0
Che faccio? lo lascio? lo modifico?

Losko
27-02-2008, 11.07.37
Qui: https://www.microsoft.com.nsatc.net/downloads/details.aspx?FamilyID=3ba03939-a5a9-407b-a4b0-1290ba5182f8&displaylang=it trovi una guida su WSUS (Download)
Qua: http://technet2.microsoft.com/windowsserver/it/library/912b37d7-021e-4c95-b317-49dd15b4611c1040.mspx?mfr=true (versione online).

Losko
27-02-2008, 11.14.00
TargetGroupEnabled con valore 0
Quella chiave indica che il computer non fa parte di nessun gruppo di WSUS

k501
27-02-2008, 12.24.27
Quella chiave indica che il computer non fa parte di nessun gruppo di WSUS


:eek: :eek: :eek:

Quindi.... Da modificare?
I gruppi li ho già creati, attendo che il pc venga riconosciuto.

Losko
27-02-2008, 12.33.17
No lasciala cosi, una volta che il computer viene inserito in WSUS verrà visualizzato come appartenente in nessun gruppo. Lo aggiungerai tu successivamente una volta che WSUS te lo riconosce ;)

Tecno214
27-02-2008, 12.45.23
Infatti, fai come ti ha detto Losko, quella è una chiave di poca importanza ai fini del funzionamento!

k501
28-02-2008, 14.40.16
Ragazzi, ci siamo! Il mio portatile è stato riconosciuto alla fine! Ora non mi resta che passare client x client e fare la stessa cosa, solo per quelli non ancora integrati in WSUS.
Che disperazione... Intanto ha scaricato ed installato in locale la metà degli aggiornamenti disponibili. C'è una policy che regola le verifiche ogni 16 ore sui client, quindi aspetterò ancora fino a domani. Vi terrò aggiornati syull'esito nei prossimi giorni.
Un grazie sincero, :act:

Tecno214
28-02-2008, 15.12.28
Come una gravidanza ma alla fine ce l'abbiamo fatta!!

Sono proprio contento!! (B) (B) (B) (un boccale di birra per uno)!!

Losko
28-02-2008, 15.30.05
Ragazzi, ci siamo! Il mio portatile è stato riconosciuto alla fine! Ora non mi resta che passare client x client e fare la stessa cosa, solo per quelli non ancora integrati in WSUS.
Che disperazione... Intanto ha scaricato ed installato in locale la metà degli aggiornamenti disponibili. C'è una policy che regola le verifiche ogni 16 ore sui client, quindi aspetterò ancora fino a domani. Vi terrò aggiornati syull'esito nei prossimi giorni.
Un grazie sincero, :act:
Bene. (Y) Comunque se ha già iniziato il download degli aggiornamenti dal server WSUS vuol dire che le configurazioni sia lato server che lato client dovrebbero essere giuste.
Come una gravidanza ma alla fine ce l'abbiamo fatta!!

Sono proprio contento!! (B)(B)(B) (un boccale di birra per uno)!!
Ho appena finito di pranzare, preferirei un amaro. :D

k501
28-02-2008, 17.32.41
Beh... Se quando è decisa la data e la città (vicenza o padova) per il raduno nel veneto (vedi off topic) se passate da queste parti la birra (o l'amaro) è offerto!

Losko
28-02-2008, 17.39.30
Beh... Se quando è decisa la data e la città (vicenza o padova) per il raduno nel veneto (vedi off topic) se passate da queste parti la birra (o l'amaro) è offerto!
Un pochetto lontano ma comunque ci penso :D

Tecno214
28-02-2008, 18.53.36
Io però dqa Emoli potrei anche venire...
Dove lo trovo il relativo thread?

Losko
28-02-2008, 19.00.18
Io però dqa Emoli potrei anche venire...
Dove lo trovo il relativo thread?
Si trova nella sezione Off Topic precisamente qui: http://forum.wintricks.it/showthread.php?t=130989
A questo proposito, leggi di là ti ho lasciato un msg ;)