Проблемы WSUS и KES

[ЭдНик]

KES начал блокировать подключения к рабочих станций доменному серверу обновлений WSUS.
Сервер обновлений (WSUS) определяется доменной политикой, кроме того, на рабочих станциях возможны обновления и с сервера обновлений Microsoft.
При этом, при проверке обновлений с доменного сервера WSUS, центр обновлений ошибок не выдает, тем не менее обновлений не находит, и отчеты об обновлениях на сервер WSUS не отсылает.
При попытке поиска обновлений на сервере обновлений Microsoft выдается ошибка 8024500С.
После удаления Агента администрирования и KES, и дальнейшей перерегистрации рабочей станции на WSUS (wuauclt /detectnow /resetauthorization) с принудительной отсылкой отчета на WSUS (wuauclt /reportnow), ситуация с обновлениями приходит в норму.
 

Есть подозрение, что KES создает в реестре windows две ветки:

WindowsUpdate
и
WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4}

Где WindowsUpdate указывает на локальный сервер (WUServer=http://127.0.0.1:1550),
WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} наш доменный сервер WSUS (WUServer=http://WSUS:8530)

В разделе WindowsUpdate указывается параметр DoNotConnectToWindowsUpdateInternetLocations=1, что собственно и вызывает ошибку 8024500С.

Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.
Убирание параметра к возврату настроек реестра не ведут
 

Как на всех компах в домене вернуть назад нормальные настройки WSUS без операций сноса KES и ручного передергивания регистрации на WSUS?

Саппорт Каспера молчит как рыба об лед...

[Goddeimos13]

19 часов назад, ЭдНик сказал:

Предположительно это ситуация возникает, когда в политике Агента администрироания установлен параметр использовать его как WSUS сервер.

Так и есть.

19 часов назад, ЭдНик сказал:

Убирание параметра к возврату настроек реестра не ведут

А в GPO заданы настройки подключения к http://WSUS:8530?

И что выдаёт на машинах команда PS?

Get-WUServiceManager

 

[ЭдНик]

3 часа назад, Goddeimos13 сказал:

Так и есть.

А в GPO заданы настройки подключения к http://WSUS:8530?

И что выдаёт на машинах команда PS?

Get-WUServiceManager

 

В GPO установелено. Вывод источника обновленbй на компах следующий (как ветке WindowsUpdate):

 

AcceptTrustedPublisherCerts :  1
WUServer : http://localhost:1550
WUStatusServer : http://localhost:1550
TargetGroup : Automatic Windows Update Policy
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 1

 

А вот в ветке WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} как раз как по GPO:

 

AcceptTrustedPublisherCerts : 1
WUServer : http://WSUS:8530
WUStatusServer : http://WSUS:8530
TargetGroup : Windows Workstation
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 0

 

Сносишь Каспера, перечитываешь политики (gpupdate /force) - и все встает на место, ветка WindowsUpdate-{601C5C5E-2C8F-4507-B11C-CE0EC46C42F4} иp реестра исчезает и вывод источника обнолвений как по GPO
 

AcceptTrustedPublisherCerts : 1
WUServer : http://WSUS:8530
WUStatusServer : http://WSUS:8530
TargetGroup : Windows Workstation
TargetGroupEnabled : 1
DoNotConnectToWindowsUpdateInternetLocations : 0
 

 

[Goddeimos13]

3 часа назад, ЭдНик сказал:

Сносишь Каспера, перечитываешь политики (gpupdate /force) - и все встает на место

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Изменено 24 марта, 2023 пользователем Goddeimos13

[ЭдНик]

41 минуту назад, Goddeimos13 сказал:

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Ну не всего Каспера, а только агента администрирования. Но если не сносить - то не получится, в том то и проблема.
Причем у меня на некоторых серверах и стоял только Агент администрирования, и это он  чудит, а не КЕS

[ЭдНик]

24.03.2023 в 15:04, Goddeimos13 сказал:

А если не сносить KES. А просто сделать gpupdate?

Вообще KES не принимает участие в обновлении Windows Update. Это задача и политика агента.

Ларчик просто открывался....

Помимо снятия галочки на параметре "Использовать Сервер администрирования в качестве WSUS-сервера" в политике Агента админситрирования необходимо "закрыть" замок на параметре "Редактирование запрещено" - и все возвращается на круги своя...