Wdrożenie WSUSa – „dziwna” metoda usuniecia błedów samoaktualizacji i konsoli MMC

Parę dni temu stanąłem przed zadaniem wdrożenia WSUSa w szkolnej pracowni. W sumie żaden problem dla kogoś kto już to robił. Domena oparta o Windows 2008, dwa kontrolery z czego jeden w wersji 64-bitowej. I to właśnie na nim postanowiłem zainstalować i skonfigurować WSUSa. Oczywiście zgodnie z dobrymi praktykami i zaleceniami Microsoftu serwer WSUS powinien stanąć na dedykowanej maszynie jednak z braku takowej, role usług domenowych i WSUS muszą działać na jednym serwerze.
Nie będę się zagłębiał w opis instalacji, bo to można doczytać w Internecie, ale napisze o rożnych błędach, które pojawiły się podczas wdrożenia oraz jakie było końcowe rozwiązanie.

Pierwsze podejście:
Instalacja z kreatora dodawania ról serwera dodaje nam WSUSa 3.0 SP2, IISa w wersji 7 oraz wewnętrzną bazę danych systemu Windows. Witryna WSUS jest witryną domyślną i wisi na porcie 80. Czyli zupełny standard. Ok, wszystko sie zainstalowało działa…No nie do końca. Konsola WSUS co jakiś czas się resetuje generując do logów błąd ID 7053 sugerując skasowanie z appdata%\Microsoft\MMC\ przystawki wsus.mmc. Praca w niej staje sie mocno uciążliwa. Niestety sugerowane rozwiązanie nie działa.

W Internecie jest wiele innych propozycji rozwiązanie tego problemu min:

  • ponowne zarejestrowania ASP.NET (WSUS wymaga Frameworka .NETa w wersji 2.0),
  • wyłączenie interakcji z pulpitem usługi Publikowania stron WWW,
  • wyłączenie 32-bitowych filtrów ISAPI w środowisku 64-bitowym
  • ograniczenie członkostwa użytkownika uruchamiającego konsole WSUSa do kilku grup zabezpieczeń (członkostwo w wielu rożnych komuś powodowało w/w będy)

Niestety, w moim przypadku żadna z wymienionych nie zadziała. Co dziwne identycznie objawy były na 32-bitowym systemie, na którym testowo także zainstalowałem serwer WSUS. Reinstalacja (także ręczna) także niczego nie dała, błędy konsoli pozostały.

Podejście drugie.
Odinstalowałem wszystko: WSUS, IIS, wewnętrzna baza danych systemu Windows) i postanowiłem zainstalować ręcznie (poprzez kreatora nie dałbym rady) starszą wersje serwera WSUS SP1. Wymagania jakie musi spełniać system są tu http://technet.microsoft.com/en-us/library/cc708484%28v=ws.10%29.aspx.
Wszystko poszło gładko. W pierwszej fazie wstrzymałem się z instalowanie dodatku Service Pack 4 do wewnętrznej bazy danych chcąc wyeliminować wpływ wszystkich poprawek. Uruchomienie konsoli, chwila pracy i mile zaskoczenie. Konsola już sie nie resetuje. Jednak żeby nie było tak różowo zaczęły się pojawiać inne błędy:
ID13042 Samoaktualizacja nie działa – a za dokładnie 10 min od niego zdarzenie informacyjne ID 13040 Samoaktualizacja działa.

I tak jak poprzednio jest kilka propozycji rozwiązania tego błędu:

  • wyłączenie SSLa dla witryny WSUS (w tym katalogu wirtualnego SelfUpdate)
  • włączenie dostępu anonimowego do w/w witryny
  • nadanie praw dostępu do C:\Windows\temp usłudze USUGA SIECIOWA
  • nadanie praw dostępu do C:\Windows\Microsoft.NET\Framework lub C:\Windows\Microsoft.NET\Framework64 usłudze USŁUGA SIECIOWA
  • nadanie praw do bazy danych WSUSa anonimowemu użytkownikowi IUSR
  • nadanie odpowiednich praw dostepu do wirtualnego katalogu SelfUpdate oraz domyślnej witryny WSUSa.

Generalnie u mnie wszystko wydawało się być w porządku za wyjątkiem praw dostępu do C:Windows\Temp dla USŁUGI SIECIOWEJ. Także te prawa jej nadałem. Niestety błędów to nie wyeliminowało. Postanowiłem zainstalować SP4 do wewnętrznej bazy danych. Błędy samoaktualizacji pozostały, błędów konsoli nadal nie było. No to pozostało zaktualizować WSUSa 3.0 SP1 do SP2. Przy okazji chciałem sprawdzić czy wrócą błędy ID 7053. Aktualizacja przebiegła pomyślnie. I co najważniejsze: żadne błędy związane z praca WSUS już się nie pojawiają 🙂 Ani z konsolą ani z samoaktualizacją.

Podsumowując procedura wyglądała tak:

  • instalacja IIS (wg wymagań związanych serwerem WSUS)
  • instalacja WSUS 3.0 SP1
  • nadane praw dostępu do c:\Windows\Temp dla użytkownika USŁUGA SIECIOWA
  • uaktualnienie wewnętrznej bazy danych – do wersji SP4
  • uaktualnienie serwera WSUS do wersji WSUS 3.0 SP2

Procedura dziwna ale skuteczna. U mnie zadziałała. Natomiast zdecydowanym ograniczeniem takiego rozwiązania są okoliczności kiedy możemy je zastosować. O ile przy wdrożeniu możemy sobie pozwolić na kilka reistalek poszczególnych wersji komponentów o tyle w środowisku już pracującym moze być to mocno uciążliwe lub nawet niemożliwe.

Dodaj komentarz