Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

KES начал блокировать подключения к рабочих станций доменному серверу обновлений WSUS.
Сервер обновлений (WSUS) определяется доменной политикой, кроме того, на рабочих станциях возможны обновления и с сервера обновлений Microsoft.
При этом, при проверке обновлений с доменного сервера WSUS, центр обновлений ошибок не выдает, тем не менее обновлений не находит, и отчеты об обновлениях на сервер WSUS не отсылает.
При попытке поиска обновлений на сервере обновлений Microsoft выдается ошибка 8024500С.
После удаления Агента администрирования и KES, и дальнейшей перерегистрации рабочей станции на WSUS (wuauclt /detectnow /resetauthorization) с принудительной отсылкой отчета на WSUS (wuauclt /reportnow), ситуация с обновлениями приходит в норму.
 

Есть подозрение, что KES создает в реестре windows две ветки:

WindowsUpdate
и
WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4}

Где WindowsUpdate указывает на локальный сервер (WUServer=http://127.0.0.1:1550),
WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} наш доменный сервер WSUS (WUServer=http://WSUS:8530)

В разделе WindowsUpdate указывается параметр DoNotConnectToWindowsUpdateInternetLocations=1, что собственно и вызывает ошибку 8024500С.

Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.
Убирание параметра к возврату настроек реестра не ведут
 

Как на всех компах в домене вернуть назад нормальные настройки WSUS без операций сноса KES и ручного передергивания регистрации на WSUS?

Саппорт Каспера молчит как рыба об лед...

Опубликовано
19 часов назад, ЭдНик сказал:

Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.

Так и есть.

19 часов назад, ЭдНик сказал:

Убирание параметра к возврату настроек реестра не ведут

А в GPO заданы настройки подключения к http://WSUS:8530?

И что выдаёт на машинах команда PS?

Get-WUServiceManager

 

Опубликовано
3 часа назад, Goddeimos13 сказал:

Так и есть.

А в GPO заданы настройки подключения к http://WSUS:8530?

И что выдаёт на машинах команда PS?

Get-WUServiceManager

 

В GPO установелено. Вывод источника обновленbй на компах следующий (как ветке WindowsUpdate):

 

AcceptTrustedPublisherCerts :  1
WUServer : http://localhost:1550
WUStatusServer : http://localhost:1550
TargetGroup : Automatic Windows Update Policy
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 1

 

А вот в ветке WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} как раз как по GPO:

 

AcceptTrustedPublisherCerts 1
WUServer : http://WSUS:8530
WUStatusServer : http://WSUS:8530
TargetGroup : Windows Workstation
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 0

 

Сносишь Каспера, перечитываешь политики (gpupdate /force) - и все встает на место, ветка WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} иp реестра исчезает и вывод источника обнолвений как по GPO
 

AcceptTrustedPublisherCerts 1
WUServer : http://WSUS:8530
WUStatusServer : http://WSUS:8530
TargetGroup : Windows Workstation
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 0
 

 

Опубликовано (изменено)
3 часа назад, ЭдНик сказал:

Сносишь Каспера, перечитываешь политики (gpupdate /force) - и все встает на место

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Изменено пользователем Goddeimos13
Опубликовано
41 минуту назад, Goddeimos13 сказал:

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Ну не всего Каспера, а только агента администрирования. Но если не сносить - то не получится, в том то и проблема.
Причем у меня на некоторых серверах и стоял только Агент администрирования, и это он  чудит, а не КЕS

  • 3 недели спустя...
Опубликовано
24.03.2023 в 15:04, Goddeimos13 сказал:

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Ларчик просто открывался....

Помимо снятия галочки на параметре "Использовать Сервер администрирования в качестве WSUS-сервера" в политике Агента админситрирования необходимо "закрыть" замок на параметре "Редактирование запрещено" - и все возвращается на круги своя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Rgn
      Автор Rgn
      Добрый день, коллеги
      Уточните, пожалуйста, существует ли функционал в KSC временное открытие USB.
      Знаю что в KES можно направить фаил, после чего его направить на ответственного сотрудника, но этот вариант не очень подходит.
      Возможно ли в политике в разделе контроль устройств , в разделе доверенные устройства указать период предоставления доступа к USB-накопителям?  
    • Сергей Специалист
      Автор Сергей Специалист
      Подскажите, сможет ли KES 12.9.0.384 заменить шлюз?
      Имеется компьютер, который собирает данные с датчиков (подсеть оборудования на одном интерфейсе), которые должны уйти в БД на сервере Oracle (офисная подсеть на другом интерфейсе).
      Сисадмин считает, что для защиты компьютера перед ним нужно ставить FireWall с двумя правилами - 1. Разрешающее исходящие на сервер по TCP 1521; 2. Блокирующее всё остальное.
      Достаточно ли в KES настроить "Сетевой экран" на запрет всего IP-диапазона офисной подсети, а в "Защите от сетевых угроз" настроить исключение для порта, протокола и IP-адреса?
      Или я что-то не догоняю?
    • IvanCherneev
      Автор IvanCherneev
      Добрый день!
      Очень нужен дистрибутив Kaspersky Endpoint Security 11.10. Поделитесь дистрибутивом, пожалуйста.
    • mamruc
      Автор mamruc
      Доброго!
      На рабочих станция с установленным KES 11.8.0.384 и 12.3.0.493 накатанаполитика контроля устройств (съемные диски - запрещать) см. скрины.
      Все работало прекрасно, но в определенный момент обнаружилось, что съемные диски работают!!! Политика применяется - все хорошо.
      Если зайти локально на рабочую станцию через KSC , что в политике вместо запрета стоит в зависимости от шины подключения см. скрин 4.  Если ручками поменять - все работает. 
      Кто сталкивался?  И почему это могло произойти...
      KSC 14





    • Rgn
      Автор Rgn
      Добрый день, коллеги
      Подскажите  пожалуйста, какие порты должны быть открыты на межсетевом экране, чтобы KES получал обновления от KSC
×
×
  • Создать...