Перейти к содержанию

Проблемы WSUS и KES


Рекомендуемые сообщения

KES начал блокировать подключения к рабочих станций доменному серверу обновлений WSUS.
Сервер обновлений (WSUS) определяется доменной политикой, кроме того, на рабочих станциях возможны обновления и с сервера обновлений Microsoft.
При этом, при проверке обновлений с доменного сервера WSUS, центр обновлений ошибок не выдает, тем не менее обновлений не находит, и отчеты об обновлениях на сервер WSUS не отсылает.
При попытке поиска обновлений на сервере обновлений Microsoft выдается ошибка 8024500С.
После удаления Агента администрирования и KES, и дальнейшей перерегистрации рабочей станции на WSUS (wuauclt /detectnow /resetauthorization) с принудительной отсылкой отчета на WSUS (wuauclt /reportnow), ситуация с обновлениями приходит в норму.
 

Есть подозрение, что KES создает в реестре windows две ветки:

WindowsUpdate
и
WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4}

Где WindowsUpdate указывает на локальный сервер (WUServer=http://127.0.0.1:1550),
WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} наш доменный сервер WSUS (WUServer=http://WSUS:8530)

В разделе WindowsUpdate указывается параметр DoNotConnectToWindowsUpdateInternetLocations=1, что собственно и вызывает ошибку 8024500С.

Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.
Убирание параметра к возврату настроек реестра не ведут
 

Как на всех компах в домене вернуть назад нормальные настройки WSUS без операций сноса KES и ручного передергивания регистрации на WSUS?

Саппорт Каспера молчит как рыба об лед...

Ссылка на комментарий
Поделиться на другие сайты

19 часов назад, ЭдНик сказал:

Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.

Так и есть.

19 часов назад, ЭдНик сказал:

Убирание параметра к возврату настроек реестра не ведут

А в GPO заданы настройки подключения к http://WSUS:8530?

И что выдаёт на машинах команда PS?

Get-WUServiceManager

 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Goddeimos13 сказал:

Так и есть.

А в GPO заданы настройки подключения к http://WSUS:8530?

И что выдаёт на машинах команда PS?

Get-WUServiceManager

 

В GPO установелено. Вывод источника обновленbй на компах следующий (как ветке WindowsUpdate):

 

AcceptTrustedPublisherCerts :  1
WUServer : http://localhost:1550
WUStatusServer : http://localhost:1550
TargetGroup : Automatic Windows Update Policy
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 1

 

А вот в ветке WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} как раз как по GPO:

 

AcceptTrustedPublisherCerts 1
WUServer : http://WSUS:8530
WUStatusServer : http://WSUS:8530
TargetGroup : Windows Workstation
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 0

 

Сносишь Каспера, перечитываешь политики (gpupdate /force) - и все встает на место, ветка WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} иp реестра исчезает и вывод источника обнолвений как по GPO
 

AcceptTrustedPublisherCerts 1
WUServer : http://WSUS:8530
WUStatusServer : http://WSUS:8530
TargetGroup : Windows Workstation
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 0
 

 

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, ЭдНик сказал:

Сносишь Каспера, перечитываешь политики (gpupdate /force) - и все встает на место

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Изменено пользователем Goddeimos13
Ссылка на комментарий
Поделиться на другие сайты

41 минуту назад, Goddeimos13 сказал:

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Ну не всего Каспера, а только агента администрирования. Но если не сносить - то не получится, в том то и проблема.
Причем у меня на некоторых серверах и стоял только Агент администрирования, и это он  чудит, а не КЕS

Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...
24.03.2023 в 15:04, Goddeimos13 сказал:

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Ларчик просто открывался....

Помимо снятия галочки на параметре "Использовать Сервер администрирования в качестве WSUS-сервера" в политике Агента админситрирования необходимо "закрыть" замок на параметре "Редактирование запрещено" - и все возвращается на круги своя...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • androv
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
    • zimok
      От zimok
      Коллеги, Добрый день!
      Прошу подсказать, а был ли опыт по возможности установки Kaspersky Endpoint Security for Windows по средством ansible ? Именно установкой по средством ansible роли и ОС Windows.
    • Timur644
      От Timur644
      Доброго дня всем.
      Антивирус KES последний раз активировал 3 года назад, сейчас забыл как происходит активация.
      Нынешней работе стоит KES 12.6, Kaspersky Security for Linux Mail Server 8.0.3.30. для нескольких доменов. (про него прочитал что тоже через Сервер активируется)
      Лицензия истекает 13.10.2024, ключ уже есть.
      Подскажите пожалуйста как быть с активацией, ближе к дате надо запустить задачу или в тот день?
    • Совух белобокий
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
    • Sqwerno
      От Sqwerno
      Добрый день.
      Это продолжение моей проблемы, на которую так никто и не ответил, приведу текст ниже;
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
       
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему"
      Не дождавшись ответа, я просто решил поставить новую систему.
      Скачал iso-файл, поставил. Начал процесс переустановки. На моменте выбора диска необходимо отформатировать диск, что у меня не получилось. Пытался удалить разделы, они просто не удаляются.
      Пробовал через diskpart, говорит, что отказано в доступе, хотя графа "только для чтения" выключена. Попробовал уже все, что есть на просторах интернета, уже начинаю сдаваться. Думаю, что проблема в битых секторах диска. Все это делал на установочной среде флешки.
       
      UPD: В биосе я также выключил Secure Boot
×
×
  • Создать...