Posts tagged ‘установка обновлений’

новый видеоурок

Выдались свободные выходные, чтобы обкатать новую гарнитуру. Постарался рассказать все основы установки обновлений: от инсталляции WSUS до отчётов и дашбордов.

System Center Updates Publisher Preview

Позавчера появился новый SCUP. Теперь — с блекджеком поддержкой Windows 10, Windows Server 2016 и SCCM Current Branch.

Скачать можно здесь, а найти документацию по продукту здесь.

видео с Cireson Configuration Manager Day 2017

канал на Youtube

Господа, я привёл в порядок канал на Youtube, куда загрузил весь материал, который у меня есть, включая новый видеоурок по установке обновлений при помощи SCCM 2012 R2, который я записал ещё в марте.

С вас подписки, лайки, все дела.

документ по использованию Software Updates Management в System Center 2012 Configuration Manager

Microsoft выпустила официальный документ по использованию Software Updates Management в System Center 2012 Configuration Manager, в котором рассказано, как работает синхронизация и установка обновлений с точки зрения логов, модулей и передачи служебных файлов. Документ будет интересен опытным администраторам ConfigMgr.

Скачать документ можно здесь.

установка обновлений — вести с полей

Инженеры Microsoft написали очередную бесплатную книгу. В этот раз она посвящена опыту установки обновлений и подробному описанию технических деталей процессов:

Microsoft System Center Software Update Management Field Experience

Скачать книгу Microsoft System Center Software Update Management Field Experience можно здесь.

Больше книг по SCCM, как обычно, можно найти здесь.

первая синхронизация SUP и ID 6703

После установки WSUS и SUP не проходит первая синхронизация.

wsyncmgr.log:

Sync failed: WSUS update source not found on site BFT. Please refer to WCM.log for configuration error details.. Source: getSiteUpdateSource

STATMSG: ID=6703 SEV=E LEV=M SOURCE=»SMS Server» COMP=»SMS_WSUS_SYNC_MANAGER» SYS=sccmtest1.firma.com SITE=BFT PID=2144 TID=4260 GMTDATE=Thu Feb 19 02:00:00.445 2015 ISTR0=»getSiteUpdateSource» ISTR1=»WSUS update source not found on site BFT. Please refer to WCM.log for configuration error details.» ISTR2=»» ISTR3=»» ISTR4=»» ISTR5=»» ISTR6=»» ISTR7=»» ISTR8=»» ISTR9=»» NUMATTRS=0

Sync failed. Will retry in 60 minutes

В то же время в WCM.log нет никаких ошибок, только информация о бесконечных ежеминутных попытках синхронизироваться:

Attempting connection to WSUS server: sccmtest1.firma.com, port: 8530, useSSL: False

Successfully connected to server: sccmtest1.firma.com, port: 8530, useSSL: False

Category Product:a105a108-7c9b-4518-bbbe-73f0fe30012b (Windows Server 2012) not found on WSUS

Starting WSUS category sync from upstream…

WSUS sync was already in progress

WSUS sync running

WSUS sync running

WSUS sync running

Обычно после установки консоль WSUS открывать не нужно, поскольку всеми настройками WSUS управляет SUP.

Решение проблемы — открыть консоль, пройти мастер первой настройки до шага синхронизации каталога и закрыть мастер:

WSUS_configuration

Результат виден в WCM.log:

Successfully connected to server: sccmtest1.firma.com, port: 8530, useSSL: False

Successfully refreshed categories from WSUS server

Attempting connection to WSUS server: sccmtest1.firma.com, port: 8530, useSSL: False

Successfully connected to server: sccmtest1.firma.com, port: 8530, useSSL: False

Subscribed Update Categories <?xml version=»1.0″ ?>~~<Categories>~~ <Category Id=»Product:a105a108-7c9b-4518-bbbe-73f0fe30012b»><![CDATA[Windows Server 2012]]></Category>~~</Categories>

Attempting connection to WSUS server: sccmtest1.firma.com, port: 8530, useSSL: False

Successfully connected to server: sccmtest1.firma.com, port: 8530, useSSL: False

После этого первая синхронизации проходит успешно, результаты которой вы можете наблюдать в wsyncmgr.log.

блокирование обновлений при установке операционной системы

Если вы в процессе установки операционной системы хотите заблокировать какое-то обновление, например, установку Internet Explorer 11 при подготовке эталонного образа, вам нужно добавить параметр WUMU_ExcludeKB001=ID_обновления. Все последующие заблокированные обновления будут выглядеть как WUMU_ExcludeKB002, WUMU_ExcludeKB003 и т.д.

В MDT вам нужно добавить параметр в CustomSettings.ini:

4

В Configuration Manager этот параметр нужно добавить в виде переменной последовательности задач:

5

установка обновлений через MDT при захвате образа

Установить обновления перед захватом эталонного образа очень просто: через Windows Update или WSUS, а потом вручную запускать sysprep, монтировать capture .iso или иной вариант. У меня же была другая задача: в процессе Build and Capture через MDT подключиться к локальному WSUS, который существует в компании, и установить обновления оттуда, т.е. провести установку обновлений в полностью автоматическом режиме.

Во-первых, в процессе скачивания обновлений можно получить ошибку.

BDD.log и ZTIWindowsUpdate.log:

INSTALL — f49a461d-9fa0-484b-9db5-b14e9a3d9bd3 — Security Update for Windows 7 for x64-based Systems (KB2922229) — 1 MB

INSTALL — 9a5132e4-ca62-4f66-bbe2-d920e6252678 — Update for Microsoft PowerPoint 2010 (KB2837579) 32-Bit Edition — 14 MB

INSTALL — 952c45be-a107-4dae-8ccb-b3c91688bcd2 — Cumulative Security Update for Internet Explorer 8 for Windows 7 for x64-based Systems (KB2936068) — 16 MB

Scan complete, ready to install updates. Count = 181

Begin Downloading…

ZTI ERROR — Unhandled error returned by ZTIWindowsUpdate: Object doesn’t support this property or method (438)

Этот баг пришёл в MDT 2013 с MDT 2012 Update 1. Для исправления бага со скачиванием обновлений нужно исправить в файле ZTIWindowsUpdate.wsf строку:

result(» & UpdateResult.GetUpdateResult(item).ResultCode & «) : » & UpdatesToDownload.Item(item).Title, MSIT_LogType

на

result(» & UpdateResult.GetProgress.GetUpdateResult(item).ResultCode & «) : » & UpdatesToDownload.Item(item).Title, MSIT_LogType

Во-вторых, мой WSUS работал через https.

Для настройки обновлений нужно экспортировать корневой сертификат:

1

Next-Next-задать имя сертификата-Next-Finish.

В свойствах DeploymentShare задаём адрес WSUS вида WSUSServer=http://имя сервера:порт или https, как в моём случае:

2
В Task Sequence включаем шаги Windows Update (Pre-Application Installation) и Windows Update (Post-Application Installation). Импорт сертификата через командную строку и запуск certutil.exe в процессе установки не получался, поэтому я решил импортировать сертификаты через создание приложения и простейший батник:

certutil.exe -addstore Root \\server\h$\Applications\root.cer
certutil.exe -addstore TrustedPublisher \\server\h$\Applications\root.cer

Соответственно, перед этим я поместил экспортированный сертификат в общую папку. Создание приложения затруднений не вызывает, в качестве строки запуска указываем созданный .bat-файл:

3

И добавляем установку этого приложения в Task Sequence:

4

Если же WSUS работает по http, то достаточно просто указать его адрес в свойствах DeploymentShare и активировать два шага в Task Sequence.

доклады с MMS 2013