WSUS Troubleshooting Steps

Hieronder staat de gids die ik gebruik bij het troubleshooten van een kapotte WSUS installatie. Dit kan zich manifesteren als een server console error, het altijd populaire “it’s just not reporting in”, of via het event log. Ik loop met je door de componenten van WSUS en hoe je kunt controleren of ze allemaal goed functioneren.

Eerst een opmerking over wat er beschikbaar is op jouw platform.
Als je op Windows 7/8/Server 2008R2/2012R2 zit dan werkt wuauclt voor jou.
Het enige echte commando dat je moet kennen is wuauclt /resetauthorization /detectnow.
wauauclt /reportnow doet niet wat je denkt en is niet erg nuttig.

Als je op Windows 10/Server 2016 zit dan is wuauclt depricated en heb je UsoClient.
usoclient.exe startscan om ontbrekende patches op te sporen
usoclient.exe refreshsettings om instellingen te vernieuwen als er wijzigingen zijn aangebracht
usoclient.exe startdownload om patches te downloaden
usoclient.exe startinstall om patches te installeren

Je hebt ook de mogelijkheid om Powershell te gebruiken om een scanverzoek te initiëren.

(New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()

Over Powershell gesproken, Microsoft stelt een aantal cmdlets beschikbaar voor het beheer van WSUS Server.Om te zien of deze voor u beschikbaar zijn voert u

Get-Command -Module UpdateServices

Deze cmdlets zijn primair gericht op het uitrollen en beheren van de server, patches, en computers, niet op het oplossen van problemen.

Op de client is er een WindowsUpdate-module, maar de enige functie daarvan is Get-WindowsUpdateLog, dat wordt gebruikt voor het genereren van een leesbaar WindowsUpdate.log-bestand in Windows 10.

Er bestaat een PS-module van derden voor het beheer van Windows Update op de client.

Install-Module PSWindowsUpdate Import-Module PSWindowsUpdate Add-WUServiceManager -ServiceID 7971f918-a847-4430-9279-4a52d1efe18d Get-Command -Module PSWindowsUpdate Get-WUList –MicrosoftUpdate Get-WUInstall –MicrosoftUpdate –AcceptAll –AutoReboot 

Database

WSUS heeft de optie om gebruik te maken van een interne WID (Windows Internal DB) of SQL-database. Ik ga ervan uit dat de WID is geïnstalleerd op het standaard pad C:\Windows\WID\.
Fouten met betrekking tot de database (anders dan fragmentatie) treden meestal op tijdens de installatie, vaak tijdens de taakvolgorde na de installatie.
Hoewel het mogelijk is om verbinding te maken met de WID en de SUSDB te laten vallen, worden fouten in dit stadium meestal het best verholpen door een volledige de-installatie en herinstallatie.
Voor referentie doeleinden geef ik aan dat u SQLCMD of SQL Mgmt Studio kunt gebruiken om verbinding te maken met de DB.
De verbindings string is np:\.\pipe\MICROSOFT##WID\tsql\query

select name from sys.sysdatabasesdrop table susdbselect name from sys.sysdatabases

Uninstallation

Uninstall met behulp van Server Manager.
Zorg ervoor dat de WSUS content folder weg is, evenals de IIS WSUS Administration site.
Het verwijderen van WSUS verwijdert niet altijd de WID. Verwijder deze in Powershell met Uninstall-WindowsFeature -Name windows-internal-database
Reboot en verwijder c:\windows\WID\SUSDB.mdf en SUSDB_log.ldf bestanden.

Installatie

Met het selecteren van de WSUS-rol installeert Windows ASP.NET 4.6, RSAT Tools, IIS, en de Windows Process activation service.

Installeer vanaf een administratieve Powershell-prompt

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services -IncludeManagementTools

Voordat u vervolgens de GUI start, voert u het volgende uit:

Check the client

Er zijn nogal wat mogelijke oorzaken voor het feit dat een client geen updates ontvangt. Ik zal een reeks stappen voor probleemoplossing doorlopen en aan het eind twee scripts geven om de client te “resetten” als niets anders werkt.

Controleer de vrije ruimte op de harde schijf.

Controleer het Windowsupdate-log.
Op Windows 10 opent u een beheerders Powershell-prompt en voert u Get-Windowsupdatelog uit. Het logboek wordt op het bureaublad weergegeven. Wacht tot het commando klaar is met uitvoeren.
Op Windows 7 controleer C:\Windows\WindowsUpdate.log
Dit zou moeten aangeven of het probleem is gebaseerd op de client of een probleem met de communicatie naar een extern eindpunt.

De eenvoudigste eerste stap in het oplossen van problemen met de client is het uitvoeren van de Windows Update Troubleshooter.
Op Windows 10 gaat u naar de Microsoft iFixIt for WSUS site.
Dit zal u vragen om de Windows Update Troubleshooter te downloaden (in cab bestandsformaat). Sla dit op en voer het uit.
Kiest u Windows 7 op deze pagina, dan wordt u gevraagd om met de rechtermuisknop op Netwerk te klikken (in uw systeemvak) en “Problemen oplossen”. U kunt deze stap waarschijnlijk overslaan.

Probeer op Windows 10 een online updatecontrole.

Controleer of de service wordt uitgevoerd.
Get-Service -Name wuauserv

Volgende controle om te zien of de client WSUS-instellingen ontvangt van Groepsbeleid.
Uitvoeren gpresult /scope computer om te zien of uw beleid voor WSUS-instellingen wordt toegepast op de machine.
Vraag in het clientregister naar WSUS-instellingen met Get-ItemProperty HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate

Telnet kan worden gebruikt om problemen met de poortconnectiviteit te controleren. Als u een telnet verbinding probeert te maken met een open en toegankelijke poort, opent telnet een nieuw leeg opdrachtvenster. Als de poort onbereikbaar is, zal het commando gewoon mislukken. Probeer een verbinding te maken met de WSUS server en de poort. Als de verbinding mislukt, controleer dan de firewallinstellingen.
telnet wsus.server.com 8530

Laten we Powershell gebruiken om de connectiviteit te testen.
Test-NetConnection -ComputerName <WSUS_Server> -Port 8530 -InformationLevel Detailed

Vergeet niet de voor de hand liggende stap van het controleren van het Event-log.
Gebeurtenislogboek van applicaties en app- en servicelogboeken > Microsoft > Windows > WindowsUpdateClient

Soms kunnen antivirus- of andere beveiligingsagenten voor eindpunten de netwerkcommunicatie verstoren. Overweeg deze uit te schakelen of te verwijderen voor het testen.

Uitvoeren sfc /scannow vanaf een administratieve opdrachtprompt om te controleren op bestandscorruptie die de client kan beïnvloeden.

Als u zowel werkende als niet-werkende clients in WSUS hebt, controleer dan c:\program files\update services\WebServices\ClientWebServices op een web.config-bestand en vergelijk een werkend bestand met een niet-werkend bestand op verschillen.

Als deze client afkomstig is van een OS-image en Sysprep niet is uitgevoerd, kan het probleem zijn dat meerdere clients dezelfde SUSClientID-sleutel gebruiken.
Controleer HKLM\Software\Microsoft\Windows\CurrentVersion\WIndowsUpdate en verwijder de huidige SUSClientID.
Run wuauclt /resetauthorization /detectnow vanaf een verhoogde opdrachtprompt.

De onderstaande volgorde wist de lokale cache van de Windows Update client
De onderstaande volgorde registreert een machine opnieuw bij de WSUS Server:

Controleer de server

Controleer de vrije ruimte op de harde schijf, voor het boot volume en het repository volume.

Controleer de Windows Update-service
Get-Service -name WsusService

Controleer de IIS-service
Get-Service -name W3SVC

Luistert de server? Controleer de open poorten.
netstat -an | findstr 853*

Kunt u naar
You should see a blue and tan Client Service info page.
If not, we can try resetting the port. Open an elevated command prompt and run wsusutil usecustomwebsite false bladeren. Dit verandert de poort die WSUS gebruikt van 8530 naar 80, dus controleer of er niets op poort 80 draait.
Draai nu wsusutil usecustomwebsite true gevolgd door iisreset /restart. Dit verandert de poort terug naar 8530 en "reset" de configuratie.

Controleer de firewall regels.
Controleer server side logging: c:\program files\updateservices\logfiles\SoftwareDistribution
Run sfc /scannow om te controleren op bestandscorruptie.

WSUSUtil.exe
  • wsusutil.exe reset
    • Controleert of elke update metadata rij in de database corresponderende update bestanden heeft die zijn opgeslagen in het bestandssysteem. Als update-bestanden ontbreken of beschadigd zijn, downloadt WSUS de update-bestanden opnieuw.
  • wsusutil.exe checkhealth
    • Controleer Application eventlog op vermeldingen met bron “Windows Server Update Services”
  • wsusutil.exe usecustomwebsite
    • Verandert de poort die WSUS gebruikt. “Reset” de poort ook tijdens de wijziging.

IIS

Controleer op fouten in de http-verbinding in c:\windows\system32\logfiles\httperr\

Controleer IP-bindingen.
Controleer of de Application Pool wordt uitgevoerd.

Controleer IIS-logboeken op verbindingsfouten c:\inetpub\logs\logfiles
De standaard IIS-installatie door het WSUS-installatieprogramma installeert echter geen loggingcomponent.
U moet dit inschakelen onder Manage Computer > Roles > Web Server > Web Server > Health & Diag > HTTP Logging

En daar hebt u het. Als deze handleiding het probleem niet heeft verholpen, dan hoop ik dat u in ieder geval het defecte onderdeel bent tegengekomen en een beter idee heeft waar u uw Google-zoekopdrachten op moet richten.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.