Перейти к содержанию

Помогите разобраться с работой wsus на базе KSC 13.2

evonder

Автор evonder
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

evonder

evonder

Опубликовано
Опубликовано (изменено)

Добрый день, что-то никак не получается разобраться c настройкой wsus через касперского. В сети используется уже wsus на базе самого microsoft, но часть клиентов необходимо перевести на обновление через касперского.

 

Что я сделал, для нужного подразделения создал отдельную политику агента сервера администрирования, где включил галку использовать сервер в качестве сервера wsus, провел синхронизацию, на всех клиентах произошло замещение в настройках с локального wsus microsoft на localhost:1550, т.е. клиенты переключились на источник обновления на каспера.

  Затем я запускаю задачу синхронизация обновлений с windows update выбрав сборку os windows 1903 and later, в качестве пакетов тестово выбрал все, на классическом wsus у меня стоят только критические обновления и сек апдейты.

Прошла синхронизация, затем запускаю задачу для тестового подразделения поиск необходимых обновлений и закрытие уязвимостей. 

  Для тестовой машины текущая сборк 18363 это билд 1903 соответственно для ее апдейта нужно пройти 1909-2004 и так далее вплоть до h22. Но задача поиск обновлений выдает только 1 критическое обновление и то не связанное с обновлением системы. 

     Если запустить на самой машину сканирование обновлений вручную то она сама находит все нужные обновления, и тут возникают вопросы:

 

1) Почему через задачу поиск необходимых обновлений система не выдает все необходимые обновления в виде апдейтов системы которые сама система находит в ручном режиме.

2) Из мануала касперского соверешенно не понятно качает ли каспер обновления к себе централизиванно как классический wsus или нет, привожу выдержку из мануала:

 

Установите флажок Использовать Сервер администрирования в роли WSUS-сервера, чтобы загружать обновления Windows на Сервер администрирования и затем распространять их на клиентские устройства средствами Агента администрирования.

Если флажок снят, обновления Windows не загружаются на Сервер администрирования. В этом случае клиентские устройства получают обновления Windows напрямую с серверов Microsoft.

 

И тут же следует дальше следующий момент в этой же инструкции:

 

Если в мастере первоначальной настройки в окне Параметры управления обновлениями вы выбрали вариант Использовать Сервер администрирования в роли WSUS-сервера, задача синхронизации обновлений Windows Update создается автоматически. Запустить задачу можно в папке Задачи. Функция обновления программного обеспечения Microsoft доступна только после успешного завершения задачи Синхронизация обновлений Windows Update.

Задача Синхронизация обновлений Windows Update загружает с серверов Microsoft только метаданные. Если в сети не используется WSUS-сервер (сам же касперский работает wsus о чем они вообще ведут речь???) , то каждое клиентское устройство самостоятельно загружает обновления Microsoft с внешних серверов.

 

 Это мне сломало голову, так в итоге касперский грузит к себе обновления или нет? В первом случае они пишут что грузит во втором если в сети нет wsus то не грузит???

 

3) Синхронизация обновлений с windows через задачу не приводит к увеличению занимаемого места на сервере, почему?

 

Изменено пользователем evonder
ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

Так ...ну давайте по порядку ...

 

1. вы создали отдельную политику для агента на тестовую группу. и выбрали соответствующие настройки, и не забыли закрыть замками, проверили что политика применяется к устройствам.

Спойлер

665870900_.thumb.png.3490c003703c188d7b37a1404e1cdecc.png

 

2. у вас уже есть задача "Поиск уязвимостей и требуемых обновлений" и она запускается по расписанию выполняется на тестовых устройствах.

Спойлер

1331851896_.thumb.png.6cfc9285ad9cd958d8cb543894b290ee.png

Спойлер

797270204_.thumb.png.a97764ea420b21d3173a86339aa5be03.png

 

3. У вас есть и настроена задача "Синхронизация обновлений Windows Update"  в которой вы выбрали какие метеоданные система будет получать с серверов обновлений Microsoft для сравнения и поиска уязвимостей на ваших устройствах. Она выполняется по расписанию успешно. При этом метаданных хранятся в БАЗЕ и крайне не рекомндуется выбирать в задаче все обновления для всех продуктов так как хотя это и не сами обновления но метеоданные могут насчитывать несколько десятков гигабайт и в случаи если у вас например SQL Express моментально забьют базу по разрешённый придела в 10 Гб и положат систему.

Спойлер

207486132_.thumb.png.68f3a08698a2b21492c678e8638c54da.png

Спойлер

443230695_.thumb.png.8f9bd67663c2c9cae70cf346c1b77df5.png

Спойлер

1679114960_.thumb.png.6c2cc691dc0fdd8927d5597d83413e3c.png

 

4. Вы создали задачу "Установка требуемых обновлений и закрытия уязвимостей" запускается по расписания и действует на тестовую группу, в задачи вы выбрали все те же компоненты для закрытия что и в задачи синхронизации.

Спойлер

736774636_.thumb.png.67b2d1efaeaac5a800d6fb20429c5b33.png

Спойлер

219528635_.thumb.png.01800f77f065063440eb396f53615452.png

Спойлер

1484641944_.thumb.png.8f1aef7352cb8b3c683f623d8257d1c4.png

 

 

теперь как это работает

Задача "Поиск уязвимостей и требуемых обновлений" проверяет устройства и сравнивает состояния системы с теми метеоданными что ранее получила задача "Синхронизация обновлений Windows Update" и если в системе присутствуют модули для которых есть метеоданные на обновления они появиться в списке уязвимостей. Далее задача "Установка требуемых обновлений и закрытия уязвимостей" запускаясь по расписанию смотрит на список узявимостей сформированный задачей "Поиск уязвимостей и требуемых обновлений", после чего заставляет WUA обратится за обновлениями на KSC, который скачивает и складывает обновление в хранилище,

  • C:\ProgramData\KasperskyLab\adminkit\1093\.working\FTServer;
  • C:\ProgramData\KasperskyLab\adminkit\1093\.working\wusfiles. 

для последующего распространения

 

Так же вам стоит НЕ забывать принимать лицензионные соглашения для обновлений (если требуются) перед запуском задачи, в противном случаи установка таких обновлений завершится ошибкой "не принято лицензионное соглашение"

Так же рекомендовал бы включить модуль "Контроль программ" ( по умолчанию отключен), даже если не пользуетесь правилами контроля - он поможет собирать данные об исполняемых файлах запускающихся на устройстве что облегчит поиск уязвимостьей в софте сторонних производителей.

 

надеюсь объяснил понятно и корректно.

Изменено пользователем ElvinE5
evonder

evonder

Опубликовано
  • Автор
Опубликовано (изменено)

    Меня смущает тот момент, что задача для подразделения Поиск уязвимостей и требуемых обновлений не выводит в итоге список всех необходимых обновлений, и я не могу понять почему, я хочу видеть какие обновления ей необходимы установить, а тут оно показывает 1 обновления для адоба и все. В ручном режиме когда заходишь в центр обновлений на тестовой машине там сразу все пакеты показывает которые нужны и это точно работает через ksc wsus потом что там машина показывает все паки 1909-2004 и так далее, в классическом wsus система показывает только ближайший пакет, после установки которого нужно делать рескан заново и система выдаст следующий по порядку апдейт пак.

Изменено пользователем evonder
ElvinE5

ElvinE5

Опубликовано
Опубликовано

Сама задача только говорит успешно или нет она завершилась ... результат ее работы можно посмотреть тут ...

 

Спойлер

1449921888_.thumb.png.8276b2013385ab66359de61501649bb9.png

и тут ...

Спойлер

769012146_.thumb.png.8b5e9ce90cba8efa1ba9b51c2ef76d15.png

 

 

если вас интересует где необходимо применить конкретное обновление то можно так ...

Спойлер

1140680883_.thumb.png.578c4b2646b6b251b9e183fd23a2c6f8.png

 

а если какие нужны для конкретного устройства ...так ...

Спойлер

1057532053_.thumb.png.43f5147c72536dfe66c29de723780225.png

 

evonder

evonder

Опубликовано
  • Автор
Опубликовано (изменено)

Мне сейчас система не показывает необходимые обновления, хотя в обновлениях висит порядка 25 обновлений и среди них 5 апдейт паков для цепочек сборок вин. Синхронизация для устройства все это игнорирует, не могу понять почему. Запуск установки необходимых обновлений пишет что ставить ничего не нужно. В задаче установки выбрано все необходимое.

 

===========

  Если смотреть в свойствах клиента в разделе "применимые обновления" там масса обновлений, в том числе взаимозаменяемые, и стоит подпись не назначена установка, для этого нужно создавать отельную задачу? Или система сама должна определить что необходимо ставить и установит?

Изменено пользователем evonder

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fmlnuser
      wsus на базе ksc
      Автор fmlnuser
      Добрый день, имеется всус на базе ksc. Можно ли через него обновлять драйвера как это делается на wsusе от майкрософт? Так же интересует вопрос о необязательных обновлениях которые не получить через синхронизацию обновлений, на всусе от майкрософта можно было вручную добавить инсталяшку, а тут как?
    • 8Aleksej8
      KSC 13 wsus
      Автор 8Aleksej8
      Всем доброго дня!
      Возник вопрос, как отключить функцию wsus в KSC 12/13/14. В настройка политики агента администрирования в "обновления и уязвимости в программах" отключаю все (рис 1), отключаю задачу на "поиск уязвимостей и требуемых обновлений", но он все равно скачивает пачку обновлений (рис 2). Подскажите как можно этот процесс остановить?


    • ЭдНик
      Проблемы WSUS и KES
      Автор ЭдНик
      KES начал блокировать подключения к рабочих станций доменному серверу обновлений WSUS.
      Сервер обновлений (WSUS) определяется доменной политикой, кроме того, на рабочих станциях возможны обновления и с сервера обновлений Microsoft.
      При этом, при проверке обновлений с доменного сервера WSUS, центр обновлений ошибок не выдает, тем не менее обновлений не находит, и отчеты об обновлениях на сервер WSUS не отсылает.
      При попытке поиска обновлений на сервере обновлений Microsoft выдается ошибка 8024500С.
      После удаления Агента администрирования и KES, и дальнейшей перерегистрации рабочей станции на WSUS (wuauclt /detectnow /resetauthorization) с принудительной отсылкой отчета на WSUS (wuauclt /reportnow), ситуация с обновлениями приходит в норму.
       
      Есть подозрение, что KES создает в реестре windows две ветки:

      WindowsUpdate
      и
      WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4}

      Где WindowsUpdate указывает на локальный сервер (WUServer=http://127.0.0.1:1550),
      WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} наш доменный сервер WSUS (WUServer=http://WSUS:8530)
      В разделе WindowsUpdate указывается параметр DoNotConnectToWindowsUpdateInternetLocations=1, что собственно и вызывает ошибку 8024500С.

      Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.
      Убирание параметра к возврату настроек реестра не ведут
       
      Как на всех компах в домене вернуть назад нормальные настройки WSUS без операций сноса KES и ручного передергивания регистрации на WSUS?
      Саппорт Каспера молчит как рыба об лед...
    • Nova Blossom
      Отключение WSUS
      Автор Nova Blossom
      Добрый день!
      Тестируем SCCM, раньше его функции выполнял KSC. Решили попробовать сначала на тестовой группе. После снятия галочки "Использовать агент как WSUS" SCCM не может работать все-равно, ссылается на локалхост, а не на сервер SCCM.
      После ручной смены параметров в реестре, спустя секунд 10, заменяется обратно. Кто-нибудь сталкивался с такой проблемой? Как можно пофиксить?
    • Екатерина Васильева
      KSC Версия: 13.2.0.1511 задача "Синхронизация обновлений Windows Update" не отрабатывает
      Автор Екатерина Васильева
      Не отрабатывает задача "Синхронизация обновлений Windows Update" на KSC Версия: 13.2.0.1511, установлен на виртуальный Windows Server 2012 R2 Standart.
      Error 1182: 'HTTP error occurred'. Status 403. URL = 'http://download.windowsupdate.com/windowsupdate/redist/standalone/7.4.7600.226/WindowsUpdateAgent30-x86.exe'
×
×
  • Создать...