VietNetwork.Vn

Bài đăng này sẽ đề cập đến một số phương pháp cơ bản để khắc phục sự cố và khắc phục các sự cố phổ biến với Dịch vụ Cập nhật Máy chủ Windows (WSUS) của Microsoft.

Trước tiên, chúng tôi sẽ đề cập đến một số điều cần kiểm tra và xác nhận trên chính máy chủ WSUS.

1. Kiểm tra dịch vụ WSUS

Điều đầu tiên bạn muốn làm là kiểm tra xem WSUS có đang thực sự chạy và hoạt động như mong đợi hay không.

PS C:\Users\Administrator> Get-Service -name WsusService

Status   Name               DisplayName
------   ----               -----------
Running  WsusService        WSUS Service
Trong trường hợp này, dịch vụ WSUS đang báo cáo là đang chạy. Nếu không, bạn có thể chạy 'Restart-Service -name WsusService' để thử khởi động lại nó. Theo mặc định, dịch vụ này chạy với tư cách là người dùng Dịch vụ mạng.

2. Kiểm tra dịch vụ IIS

Ngoài ra, chúng tôi cần đảm bảo rằng dịch vụ W3SVC đang chạy là IIS, vì đây là dịch vụ thực sự lắng nghe các kết nối đến trên các cổng TCP 8530 cho HTTP và 8531 cho HTTPS. Theo mặc định, dịch vụ này chạy dưới dạng tài khoản hệ thống cục bộ.

PS C:\Users\Administrator> Get-Service -name W3SVC

Status   Name               DisplayName
------   ----               -----------
Running  W3SVC              World Wide Web Publishing Service
Một lần nữa nếu dịch vụ này không chạy, hãy thử lệnh 'Restart-Service -name W3SVC' để khởi động lại nó. Khi nó đang chạy, chúng ta có thể sử dụng lệnh netstat để xác nhận rằng máy chủ WSUS đang lắng nghe chính xác lưu lượng truy cập đến trên các cổng này như minh họa bên dưới.

Troubleshoot WSUS configuration and deployments
Posted by Jarrod on February 20, 2017 Leave a comment (5) Go to comments

This post will cover some basic methods to troubleshoot and fix common problems with Microsoft's Windows Server Update Services (WSUS).

This post is part of our Microsoft 70-744 Securing Windows Server 2016 exam study guide series. For more related posts and information check out our full 70-744 study guide.
WSUS Server Checks

First we'll cover some things to check and confirm on the WSUS server itself.
Check WSUS Service

The first thing you'll want to do is check that WSUS is actually running and working as expected.

PS C:\Users\Administrator> Get-Service -name WsusService

Status   Name               DisplayName
------   ----               -----------
Running  WsusService        WSUS Service

In this instance the WSUS service is reporting as running. If it's not you can run the 'Restart-Service -name WsusService' to attempt to restart it. This service runs as the Network Service user by default.
Check IIS Service

Additionally we need to ensure that the W3SVC service is running which is IIS, as this is the service that actually listens for incoming connections on TCP ports 8530 for HTTP and 8531 for HTTPS. This service runs as the local system account by default.

PS C:\Users\Administrator> Get-Service -name W3SVC

Status   Name               DisplayName
------   ----               -----------
Running  W3SVC              World Wide Web Publishing Service

Again if this service is not running, try the 'Restart-Service -name W3SVC' command to restart it. Once it's running, we can use the netstat command to confirm that the WSUS server is correctly listening for incoming traffic on these ports as demonstrated below.

PS C:\Users\Administrator> netstat -an | findstr 8530*
  TCP    0.0.0.0:8530           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8531           0.0.0.0:0              LISTENING
  TCP    [::]:8530              [::]:0                 LISTENING
  TCP    [::]:8531              [::]:0                 LISTENING

Ở đây chúng ta có thể thấy rằng máy chủ WSUS của chúng ta thực sự đang lắng nghe trên cả 8530 và 8531 trên cả IPv4 và IPv6, vì vậy có vẻ tốt về mặt đó.

3. Kiểm tra kết nối cổng

Chỉ vì máy chủ WSUS đang lắng nghe các kết nối trên đúng cổng không có nghĩa là máy khách của bạn có thể kết nối. Theo mặc định, tường lửa của Windows sẽ chạy trên máy chủ WSUS, tuy nhiên khi bạn cài đặt WSUS, nó sẽ tự động định cấu hình hai cổng vào. các quy tắc được gọi là "WSUS" cho phép cả TCP 8530 và 8531 thông qua, như minh họa bên dưới.


Kiểm tra xem các quy tắc gửi đến được phép này có còn hiệu lực không và nếu không, hãy bật chúng hoặc tạo quy tắc mới nếu cần.

4. Kiểm tra tệp nhật ký

Cuối cùng, nếu mọi thứ ở phía máy chủ đều ổn, hãy xem các tệp nhật ký WSUS. Nếu bạn tìm thấy bất kỳ thông báo lỗi cụ thể nào ở đây, chúng phải đủ chi tiết để bạn thực hiện điều tra thêm (hay còn gọi là đưa lỗi vào Google).

C:\Program Files\Update Services\LogFiles\Change.log – Tệp này chứa thông tin về những thứ đã thay đổi trong WSUS, nó có thể hữu ích để xem mọi thay đổi gần đây đã diễn ra và gây ra sự cố bạn đang gặp phải.

Bây giờ chúng tôi đã xác nhận rằng mọi thứ trông ổn từ góc độ của máy chủ, chúng tôi sẽ thực hiện một số kiểm tra từ máy khách, đó là máy tính Windows kết nối với máy chủ WSUS để tải xuống các bản cập nhật từ đó.

5. Kiểm tra dịch vụ cập nhật Windows

Để hệ thống máy khách Windows thực sự thực hiện cập nhật Windows, dịch vụ wuauserv sẽ được chạy. Nếu dịch vụ này không chạy, bản cập nhật Windows sẽ không thể chạy, vì vậy hãy khởi động lại nếu cần. Theo mặc định, dịch vụ này chạy dưới dạng tài khoản hệ thống cục bộ.

PS C:\Users\Administrator> Get-Service -name wuauserv

Status   Name               DisplayName
------   ----               -----------
Running  wuauserv           Windows Update
6. Kiểm tra kết nối cổng

Vì chúng tôi đã xác nhận rằng máy chủ WSUS đang lắng nghe trên các cổng TCP 8530 và 8531 với các quy tắc tường lửa phù hợp của Windows, bây giờ chúng tôi sẽ xác nhận rằng chúng tôi có thể kết nối với các cổng này từ hệ thống máy khách. Theo mặc định, tường lửa Windows cho phép tất cả lưu lượng truy cập ra bên ngoài, do đó, theo mặc định, tường lửa Windows trên hệ thống máy khách sẽ không ngăn kết nối ra bên ngoài trừ khi bạn đang chạy các quy tắc tùy chỉnh.

Ngoài ra, điều này không bao gồm bất kỳ tường lửa nào khác mà bạn có thể đang chạy giữa máy khách và máy chủ WSUS, vì vậy hãy kiểm tra xem những tường lửa này cũng được định cấu hình với các quy tắc thích hợp nếu bạn có chúng.

Cách yêu thích của tôi để nhanh chóng kiểm tra kết nối cổng trong Windows là với ứng dụng khách telnet phải được cài đặt trước. Sau khi cài đặt, chỉ cần chỉ định máy chủ WSUS và cổng mà bạn muốn kiểm tra, như minh họa bên dưới.

PS C:\Users\Administrator> telnet wsus.example.com 8530
Điều này có thể được chạy thông qua Command Prompt hoặc PowerShell. Nếu thành công, màn hình sẽ trống. Bạn có thể thoát khỏi ứng dụng khách telnet bằng cách nhấn phím Control và ], sau đó gõ thoát và nhấn enter.

Để biết thêm thông tin về cách kiểm tra khả năng kết nối của cổng, hãy xem hướng dẫn của chúng tôi về cổng ping.

Ngoài ra, bạn cũng có thể thử tải trang   Đăng nhập để xem liên kết (thay thế   Đăng nhập để xem liên kết bằng máy chủ WSUS của riêng bạn) từ trình duyệt máy khách, nếu thành công, trang sẽ chỉ có màu trắng không có nguồn. Nếu bạn gặp một số lỗi kết nối khác thì điều này có thể cho thấy sự cố.

7. Kiểm tra chính sách nhóm

Nếu kết nối có vẻ tốt thì tiếp theo, bạn có thể muốn xác nhận rằng chính sách nhóm chính xác đang thực sự được áp dụng cho máy khách đang gặp sự cố khi cập nhật. Chúng ta có thể xem Bộ chính sách kết quả (RSoP) bằng lệnh gpresult, như được hiển thị bên dưới. Tham số /r chỉ được sử dụng để hiển thị dữ liệu tóm tắt.

Applied Group Policy Objects
-----------------------------
    Default Domain Controllers Policy
    Default Domain Policy
    WSUS
Chúng ta có thể thấy rằng GPO 'WSUS' của chúng ta thực sự được áp dụng cho máy khách này mà chúng ta đã chạy gpresult trên đó.

Chúng tôi có thể tiến thêm một bước này và cũng kiểm tra xem các mục đăng ký đã được đặt theo GPO chưa. Trong hình ảnh bên dưới, chúng tôi đang xem HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate hiển thị cho chúng tôi tên của máy chủ WSUS đã chỉ định và nhóm mục tiêu được đặt trong WSUS GPO.


8. Kiểm tra tệp nhật ký

Cuối cùng, nếu mọi thứ ở phía máy khách đều ổn, hãy xem các tệp nhật ký cập nhật Windows. Để tạo những thứ này, hãy chạy lệnh ghép ngắn PowerShell 'Get-WindowsUpdateLog'. Thao tác này sẽ ghi tệp WindowsUpdate.log vào C:\Users\<user>\Desktop\

Thông tin ở đây sẽ cung cấp cho bạn một số ý tưởng về những điều cần kiểm tra khi bạn gặp sự cố với WSUS để bạn có thể khắc phục các sự cố phổ biến. Điều quan trọng cần nhớ là vị trí của các tệp nhật ký để bạn có thể nhanh chóng xác định vấn đề thực sự là gì và sau đó điều tra thêm từ đó.