Scritto da:
admin in data: marzo 27, 2009 13.07 - Letto 5309 volte
Introduzione
Il seguente articolo analizza alcune situazioni che possono insorgere durante il deployment di WSUS (Windows Server Update Services) e descrive quali strumenti si hanno a disposizione per risolvere le problematiche e monitorare la funzionalità del servizio.
Sommario
Nel caso in cui nella rete si abbiano computer con SID (Security ID) identici, dovuto al fatto che l'installazione è stata eseguite tramite il restore di un'immagine identica su più computer si riscontreranno malfunzionamenti dovuti al fatto che WSUS distribuirà gli aggiornamenti solo ad una macchina in quanto non sarà in grado di distinguerle.
Se ci si trova in questa situazione la cosa migliore è quella di modificare il SID su computer prima che questi vengano assegnati al server WSUS utilizzando il tool SysPrep (a riguardo si faccia riferimento al seguente articolo Utilizzo dello strumento Sysprep per automatizzare la corretta distribuzione di Windows XP) oppure tramite l'utility NewSID che permette l'operazione in modo più agevole, ma che non gode del supporto tecnico Microsoft. Se i computer appartengono ad un dominio occorrerà rimuoverli dal dominio prima di rigenerare il SID e quindi aggiungerli successivamente. Per controllare il SID assegnato ad un computer è possibile utilizzare l'utility PSGetSID.
Se invece i computer con SID identico sono già stati assegnati al server WSUS oltre a modificare il Security ID come descritto precedentemente occorrerà arrestare il servizio wuauserv (Aggiornamenti automatici), eliminare il riferimento al SID utilizzato da WSUS e memorizzato nel registro, riavviare il servizio wuauserv quindi resettare l'Authorization Cookie di WSUS e avviare il processo di rilevamento. Uno script che esegue le operazioni descritte è disponibile al seguente link Delete Duplicate SUS Client IDs.
In allegato all'articolo è disponibile un esempio di applicazione scritta utilizzando il .NET Framework 1.1 che mediante l'uso della API LookupAccountName ottiene il SID del computer e lo memorizza in un database access e consente di visualizzare in forma tabellare i SID raccolti evidenziando quelli duplicati come mostrato in figura 1. E' anche possibile avviare l'applicazione con il parametro /q per registrare il sid della macchina corrente senza visualizzare alcuna interfaccia grafica in modo da porla inserire ad esempio in uno script di avvio per fare un'analisi di computer che dovranno essere gestiti da WSUS. Scarica l'utility da qui!
Figura 1
Se il server di WSUS fallisce durante il download degli aggiornamenti nel log degli eventi viene registrato il seguente l'evento 10032:
Tipo evento: Errore
Origine evento: Windows Server Update Services
Categoria evento: Core
ID evento: 10032
Descrizione: Il server non riesce a scaricare alcuni aggiornamenti.
Per risolvere questa situazione, che può essere dovuta ad un errore durante il download da Microsoft Update oppure a problemi con il servizio BITS, è possibile provare la seguente procedura:
- Controllare che il servizio BITS (Servizio trasferimento intelligente in background) sia impostato per l’avvio automatico.
(E’ possibile eseguire l’impostazione tramite il comando sc config bits start= auto).
- Riavviare il servizio BITS.
(E’ possibile eseguire l’operazione tramite i comandi net stop bits e net start bits).
-
Eseguire una sincronizzazione:
- Selezionare il nodo Sincronizzazioni nella console di WSUS.
- Selezionare Sincronizza nel pannello Azioni.
-
Eseguire un controllo della funzionalità di WSUS:
- Aprire il prompt dei comandi
- Posizionarsi nella directory %ProgramFiles%\Update Services\Tools.
- Eseguire il comando wsusutil checkhealth.
- Controllare l’esito del comando nella sezione Applicazione del log degli eventi, se non sono stati riscontrati problemi dovrebbe venire registrato il seguente evento:
Tipo evento: Informazioni
Origine evento: Windows Server Update Services
Categoria evento: Core
ID evento: 10000
Descrizione: WSUS funziona correttamente.
Potrebbe accadere che alcuni client su cui è installato Office 2003 si verifichi un'elevato utilizzo della CPU per alcuni minuti dopo in special modo dopo il riavvio come indicato nel seguente Issues with High CPU Utilization. Il problema in realtà non affligge solo i client di WSUS ma può verificarsi anche su computer configurati per eseguire automaticamente gli aggiornamenti automatici da Microsoft Update.
Al momento la soluzione è quella di installare la nuova versione del client di Automatic Updates (Build 0374) distribuito automaticamente da WSUS in fare di detect e di installare o l'hotfix descritta nella KB 927891. Il client Automatic Updates è disponibile anche come download dai seguenti link:
http://download.windowsupdate.com/v7/windowsupdate/ redist/standalone/WindowsUpdateAgent30-x86.exe
http://download.windowsupdate.com/v7/windowsupdate/ redist/standalone/WindowsUpdateAgent30-x64.exe
http://download.windowsupdate.com/v7/windowsupdate/ redist/standalone/WindowsUpdateAgent30-ia64.exe
Per maggiori informazioni su questa problematica si veda il seguente post sul blog del WSUS Product Team: Svchost /MSI issue follow up.
Un problema simile può verificarsi anche durante la distribuzione delle definizioni antimalware di Forefront Client Security per maggiori informazioni si faccia riferimento al seguente link: Forefront Client Security - Problemi WSUS.
Per default i client Windows Update registrano le informazioni delle transazioni eseguite nel seguente file %windir%\Windowsupdate.log, per ulteriori informazioni su come interpretare tale file si faccia riferimento al seguente articolo How to read the Windowsupdate.log file.
In caso di problemi è possibile abilitare la generazione di un log in %systemroot%\Windowsupdate.log tramite le seguenti chiavi di registro:
Il Client Diagnostic Tool, disponibile al seguente link Microsoft Windows Server Update Services Tools and Utilities, consente controllare le impostazioni client e di eseguire test di funzionalità come mostrato in Figura 2.
Figura 2
Per default il server WSUS registra le informazioni nei seguenti log memorizzati nella directory %ProgramFiles%\Update Services\LogFiles:
- Change.log in cui sono registrate le informazioni relative al database di WSUS.
- SoftwareDistribution.log in cui sono registrate le informazioni sula sincronizzazione degli aggiornamenti aggiornamenti
Il Server Diagnostic Tool, disponibile al seguente link Microsoft Windows Server Update Services Tools and Utilities, consente di eseguire operazioni di amministrazione (esecuzione della sincronizzazione, eliminazione dei file non necessari e abilitazione del foreground content download) e di visualizzare lo status dei job BITS, i log di installazione e debug e le informazioni di configurazione. Per una descrizione dell'opzioni a linea di mando di faccia riferimento al file readme.txt.
Il deploy di WSUS sebbene non sia onerosa dal punto di vista dell'installazione e delle configurazioni da eseguire (a tal proposito si vedano Guida dettagliata introduttiva all'utilizzo di Microsoft Windows Server Update Services 3.0 e Guida dettagliata introduttiva all'utilizzo di Microsoft Windows Server Update Services) va comunque pianificata facendo un'attenta analisi della situazionne del parco macchine e del software che si intende gestire. Vale poi sempre il consiglio di distribuire gli aggiornamenti prima in ambiente di test o comunque non critici per la produttività aziendale.
(a cura di Ermanno Goletto - SysAdmin.it)