Get*_*ock 5 wsus proxy group-policy windows-update windows-server-2003-r2
稍等片刻,听听。这将是一个漫长的过程。过去几个月,我们在非常特定的 Microsoft Server 2003 R2 机器上的更新遇到了问题。这个问题让我和我们的常驻服务器管理员感到困惑,因为我们无法弄清楚究竟是什么导致了问题。
以下是详细信息:
我们的网络: 该网络是一个中/小型组织,拥有大约 (500) 台计算机和 20 多台服务器。主要 DC 和关键服务都在 Server 2012 (r1) 上,而一些较旧的应用程序/服务在 2008 R2 上运行。此外,还有少量 Server 2003 R2 机器运行主要是遗留应用程序和服务,它们将在明年被替换或过时。
问题: 问题在于,在这几台 2003 R2 服务器中,其中三台表现出奇怪的行为。当他们突然(在同一更新周期中)无法正确安装更新时,我们首先收到了这种行为的警报,我们通过监控软件收到了警报。
Windows 更新: 在有问题的机器上,我们能够很好地连接到 Windows 更新 URL,但任何实际检查更新的尝试都将导致
错误编号:0x80244016
在 Windows 更新页面中。此错误代码对应于无效的 URL。当我们通过 WSUS 时,URL 应该是(我们已经检查了所有服务器)到我们的 WSUS 服务器的 FQDN 和端口 \NOC3.sub.domain.com:8888 。我们发现此时通过 winHTTP 代理设置阻止了流量。所以,当这个问题发生时,我们可以使用
proxycfg -h
并清除代理设置。运行 Windows 更新,它将成功连接。
这就是它变得有趣的地方: 现在,这一切都很好,但它会变得更好。所以下一个 Windows 更新大约在上个月出现,并且仔细观察,完全相同的服务器再次出现完全相同的问题。现在,我们有点怀疑为什么相同的代理设置会重新应用。当然,我们认为这可能是一项没有正确禁用或可能只是错误应用的旧政策。因此,我们都为域控制器上 GPM 中的服务器搜索了所有适用的 GPO,寻找可能与这种奇怪的、现在重复出现的策略(?) ) 代理服务器设置。没有应用任何提及代理服务器的政策。然后,我在机器上运行了 RSOP。
变得陌生: 所以在运行 RSOP 之后,一切似乎都加载好了。直到我尝试打开本地计算机 --> 管理模板文件夹。首先,打开文件夹需要很长时间。然后,当它最终运行时,会出现与 AER_####.adm 相关的错误消息。不仅是错误,而且您还会在同一文件夹中显示多种语言的策略设置。现在,我不太会阅读阿拉伯语、中文、意大利语或日语,但我将假设这些是不同语言的策略设置的副本。我发现通过清除 %root%\system\inf 文件夹中的 .adm 文件,至少可以让 RSOP 加载管理模板而不会出错。*注:后来的研究表明,AER####.adm 文件与错误报告有关;
第一次尝试解决: 因此,我凭直觉将无关的 .adm 文件移动到另一个文件夹;然后我跑了一个
gp更新/强制
在受影响的服务器上。*注意:此服务器仍然具有“卡住”代理服务器设置。重新启动后,代理设置似乎与我们想要的无代理设置保持一致。
但遗憾的是,这种喜悦是暂时的: 在最近的更新周期中,我们收到警报,服务器再次未获得更新。同样的问题,同样错误的代理服务器设置。*注意:代理服务器设置指向我们曾经用作网络代理的内部服务器,因此我们不考虑“安全风险”atm。我还再次检查了 RSOP,无关的 .adm 文件又恢复原状。因此,在这一点上,我确信问题在于正在修改我们的策略以生成这些新的 AER####.adm 文件(策略或某些外部设备/程序正在更改我们的策略) . 我在网络上的任何地方都没有发现任何此类内容的引用,而且我不了解组策略的内部机制,因为它们应用于服务器 2003 R2 操作系统以在这一点上进行更深入的研究。所以我问你,帮助!
结论: 所以这是我确定的:
对此问题的任何建议或见解都会很棒。谢谢你的时间!