Minhas workstations não instalam os updates aprovados no WSUS

By: Caio Ribeiro César, Technical Reviewer: Carlos Brito

Neste post irei descrever alguns passos de troubleshooting que podem ser seguidos quando temos o problema de estações não se atualizarem com os últimos patches aprovados no WSUS.

1) Validando as configurações de Group Policy:

As opções de update do WSUS estão localizadas em GPO. Se você possui uma GPO configurada para diferentes OU’s, é necessário validar o tipo de configuração que você possui em:

Computer\Administrative Templates\Windows Components\Windows Update\

A principal configuração estará na setting “Configure Automatic Updates”:

* Para validar a política que está sendo aplicada na estação com o problema, basta executar o rsop.msc e ir até esta configuração > precedence;

** Para forçar a ativação de uma política, execute o comando “gpupdate /force”.

2) Valide os logs referentes ao client de Windows Update da estação em: %windir%\SoftwareDistribution\ReportingEvents.log.

No tail deste log você terá as informações relevantes aos últimos updates/status reports:

{22BF8028-E06D-4ACD-9765-46998FA68E7C} 2012-02-23 03:17:38:846-0200 1 147 101 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Software Synchronization Windows Update Client successfully detected 1 updates.

{5E1BA98E-5BCB-4AAC-B322-8DE169F6BB53} 2012-02-23 03:17:38:846-0200 1 156 101 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Pre-Deployment Check Reporting client status.

{01869BFF-9E59-4EBF-AF7A-DB4C89B9F0F6} 2012-02-23 03:17:52:609-0200 1 162 101 {B949A629-3497-4717-B7A3-CCF13B168C1F} 100 0 AutomaticUpdates Success Content Download Download succeeded.

{2C0A469D-EA7D-4457-BD11-DC50205356C0} 2012-02-23 03:17:52:609-0200 1 188 102 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Content Install Installation Ready: The following updates are downloaded and ready for installation. This computer is currently scheduled to install these updates on ?Friday, ?February ?24, ?2012 at 3:00 AM: - Definition Update for Microsoft Endpoint Protection - KB2461484 (Definition 1.121.175.0)

{1F90FD4B-B600-4562-88FB-65DCAF1D6A40} 2012-02-23 03:18:07:464-0200 1 183 101 {B949A629-3497-4717-B7A3-CCF13B168C1F} 100 0 AutomaticUpdates Success Content Install Installation Successful: Windows successfully installed the following update: Definition Update for Microsoft Endpoint Protection - KB2461484 (Definition 1.121.175.0)

3) Caso o problema seja com um update específico, o log a ser analisado será o %windir%\WindowsUpdate.log:

2012-02-22 13:44:42:486 1032 1960 AU Featured notifications is disabled.

2012-02-22 13:44:42:486 1032 1960 AU Setting AU scheduled install time to 2012-02-23 05:00:00

2012-02-22 13:44:42:486 1032 1960 AU Successfully wrote event for AU health state:0

2012-02-22 13:44:42:486 1032 1960 AU Successfully wrote event for AU health state:0

2012-02-22 13:44:46:367 1032 720 Report REPORT EVENT: {0546B3CD-0818-40DE-BDC3-045454A496A4} 2012-02-22 13:44:41:344-0200 1 147 101 {00000000-0000-0000-0000-000000000000} 0 0 SLAU Success Software Synchronization Windows Update Client successfully detected 0 updates.

2012-02-22 13:44:46:367 1032 720 Report CWERReporter finishing event handling. (00000000)

4) Valide as configurações do Automatic Update client:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

WUServer REG_SZ https://WSUSServerName

WUStatusServer REG_SZ https://WSUSServerName

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Quando configuramos o Automatic Update utilizando Group Policies, a política irá sobrescrever as preferências configuradas por usuários locais. Deste modo, a política irá redirecionar o serviço de Automatic Updates para o seu servidor WSUS:

Computer Configuration\Administrative Templates\Windows Components\Windows Update\Specify Intranet Microsoft Update Service Location

* Caso você receba uma mensagem de erro “The system was unable to find the specified registry key or value”, isto significa que o serviço de Automatic Update não foi configurado corretamente neste client.

5) Você pode forçar o client a receber os updates do servidor WSUS pela ferramenta “ wuauclt ”, resetando o Automatic Update client:

wuauclt.exe /resetauthorization /detectnow

Para executar este comando em uma estação remota, efetue o download do psexec e execute:

psexec \\nomedocomputador -d C:\windows\system32\wuauclt.exe /resetauthorization /detecnow

6) Existem diversas ferramentas disponibilizadas no site da Microsoft. Para o problema em questão, iremos utilizar a ferramenta “Client Diagnostic Tool”.

Esta ferramenta valida 4 funcões principais:

- Machine State:

a) Validação se o usuário possui privilégios administrativos;

b) Automatic Updates & BITS Services;

c) Versão do binário “wuaueng.dll” para validar a versão ativa do cliente.

- Configurações do client:

a) Validação do valor configurado em “AUOption” no registro.

- Configurações de Proxy:

a) No caso de clientes que utilizam proxy no IE, como os acessos ao WSUS são efetuados por http/https é efetuado o teste de acesso ao servidor do WSUS utilizando o proxy configurado no IE;

- Validação da URL do servidor:

a) A ferramenta irá obter os valores de WUServer/WUStatus e comparar com as versões do servidor;

b) A ferramenta irá validar o valor definido em UseWuServer;

c) A ferramenta irá efetuar o teste para determinar se o valor de “selfupdate” está presente.

Exemplo de um output da ferramenta:

C:\WINDOWS\system32>ClientDiag.exe

WSUS Client Diagnostics Tool

Checking Machine State

Checking for admin rights to run tool . . . . . . . . . PASS

Automatic Updates Service is running. . . . . . . . . . PASS

Background Intelligent Transfer Service is not running. PASS

Wuaueng.dll version 7.4.7600.226. . . . . . . . . . . . PASS

This version is WSUS 2.0

Checking AU Settings

AU Option is 4: Scheduled Install . . . . . . . . . . . PASS

Option is from Policy settings

Checking Proxy Configuration

Checking for winhttp local machine Proxy settings . . . PASS

Winhttp local machine access type

<Direct Connection>

Winhttp local machine Proxy. . . . . . . . . . NONE

Winhttp local machine ProxyBypass. . . . . . . NONE

Checking User IE Proxy settings . . . . . . . . . . . . PASS

User IE Proxy

proxy.caiocesar.corp:8080

User IE ProxyByPass

<local>

User IE AutoConfig URL Proxy

https://proxy.caiocesar.corp:8080/array.dll?Get.Routing.Script

User IE AutoDetect

AutoDetect in use

Checking Connection to WSUS/SUS Server

WUServer = https://wsus.caiocesar.corp

WUStatusServer = https://wsus.caiocesar.corp

UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

Connection to server. . . . . . . . . . . . . . . . . . PASS

SelfUpdate folder is present. . . . . . . . . . . . . . PASS