Не все фиксы, исправления и обновления для продуктов Microsoft доступны для установки в консоли Windows Server Update Services WSUS. Например, у вас в настройках может быть отключена синхронизация обновлений для определенного продукта, версии Windows или класса обновлений. Также в консоли WSUS отсутствуют обновления, которые предназначены для решения конкретной проблемы и не подразумевают массовой установки всем пользователям. Однако, если вы можете вручную добавить (импортировать) во WSUS или SCCM (Configuration Manager) любое обновление, доступное в каталоге обновлений Microsoft (Microsoft Update Catalog).
К примеру, мы хотим добавить в список обновлений WSUS отсутствующее в нем обновление KB3125574 (convenience roll-up update, позволяющий исправить проблему высокой загрузки RAM службой wuauserv и долгого поиска обновлений в Windows).
Импорт обновления во WSUS с помощью Internet Explorer
- Откройте консоль WSUS;
- В дереве консоли щелкните ПКМ по разделу Updates и выберите пункт Import Updates;
- После этого запустится Internet Explorer, который автоматически перейдет на страницу Microsoft Update Catalog;При первом посещении сайта каталога обновлений Microsoft в IE нужно будет установить специальное ActiveX расширение. Желательно также добавить сайт Microsoft Update Catalog в доверенные. Можно зарегистрировать данный ActiveX компонент командой:
regsvr32 c:\Windows\SysWOW64\MicrosoftUpdateCatalogWebControl.dll
- С помощью поиска найдите нужные вам обновления (KB) и добавьте их в корзину кнопкой Add (желательно добавлять во WSUS не более 20-30 обновлений за раз);
- Затем откройте корзину, нажав на ссылку View basket;
- Установите галку Import directly into Windows Server Update Services (если данная опция недоступна, проверьте что у вас имеются права администратора на сервере WSUS) и нажмите на кнопку Import;
- Дождитесь окончания загрузки обновлений (если загрузка прервется, повторите ее);
- Затем найдите добавленные вами обновления в консоли WSUS (в разделе All Updates). Одобрите установку обновлений на нужные группы компьютеров (как правило проще всего привязать компьютеры к группам WSUS через GPO).
Таким образом на WSUS сервер можно импортировать любые обновления из каталога Microsoft, в том числе драйвера, Service Pack, Feature Packs и т.д.
Ошибки импорта обновлений и драйверов во WSUS
В WSUS запущенном на Windows Server 2019/2016 при импорте обновлений вы можете столкнуться с ошибкой:
"This update cannot be imported into Windows Server Update Services. Cause: it is not compatible with your version of WSUS"
При появлении такой ошибки вам нужно вручную изменить URL адрес, который генерируется после нажатия на кнопку Import Updates. Замените в URL адресе
http://catalog.update.microsoft.com/… &Protocol=1.20
на
Protocol=1.80
.
Должна получиться примерно такая ссылка:
http://catalog.update.microsoft.com/v7/site/Home.aspx?SKU=WSUS&Version=10.0.14393.2248&ServerName=<servername>&PortNumber=8530&Ssl=False&Protocol=1.80
Если при импорте обновлений во WSUS появляется ошибка Failed (error number: 80131509), включите поддержку усиленного шифрования TLS 1.2 для версии .Net Framework 4 на сервере WSUS. Для этого нужно в реестре задать параметру SchUseStrongCrypto значение 1.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Добавление обновление во WSUS с помощью PowerShell
Вы можете добавить обновления на сервер WSUS с помощью PowerShell. Для этого нужно скачать файл обновления из каталога обновлений Microsoft и получить его GUID.
Найдите нужную вам KB в консоли WSUS и щёлкните по его названию. Откроется веб страница с описанием обновления. Скопируйте значение updateid, скачайте MSU файл обновления на локальный диск.
Подключитесь к серверу WSUS из консоли PowerShell:
$WsusSrv = Get-WsusServer
(если вы запустили консоль PowerShell непосредственно на сервере WSUS)
$WsusSrv = Get-WsusServer -Name msk-wsus -PortNumber 8531 –UseSsl
(если вы подключаетесь к серверу WSUS удаленно)
Теперь можно добавить скачанное обновление на WSUS. Используется следующая команда импорта:
$WsusSrv.ImportUpdateFromCatalogSite('UpdateGUID', 'Update.msu')
Например:
$WsusSrv.ImportUpdateFromCatalogSite(‘a5e40bf9-f1dc-4e6d-93e7-b62c6bf1ce3e’, c:\ps\updates\kb5005260.msu)
Можно проверить, что обновление импортировано успешно:
Просмотреть информацию про обновление можно так:
$WsusSrv.SearchUpdates(‘kb5005260’) | fl *
При импорте обновления через PowerShell может появится ошибка:
Exception calling “ImportUpdateFromCatalogSite” with “2” argument(s): “The underlying connection was closed: An unexpected error occurred on a send.” + CategoryInfo : NotSpecified: (:) [], MethodInvocationException + FullyQualifiedErrorId : WebException
Здесь также причина в том, что PowerShell пытается установить подключение к сайту через TLS 1.0, которое блокируется сервером WSUS. Для решения проблемы нужно добавить параметр SchUseStrongCrypto на сервере WSUS (и перезагрузить его):
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
После этого импорт обновления на сервер WSUS из PowerShell будет работать корректно.
А если при переходе в каталог Центра обновлений не появляется кнопок «Добавить», а есть только «Скачать» ? Хотя перехожу из консоли WSUS’А
Такое происходит если открыть сайт _не_ в IE.
В том то и дело, ч то в ИЕ
1. Какая версия IE? Желательно 11.
2. Добавьте сайт в доверенные
3. Был ли запрос на установку ActiveX расширения для работы с каталогом обновлений? Возможно оно не установилось
Добрый день. При попытке импорта обновления появляется ошибка:
Текст внутри ошибки:
С прокси всё в порядке — обновления скачиваются и устанавливаются на комьютерах сети. Что где надо настроить чтобы эта схема заработала?
Пробую ставить браузер Edge Chromium.
Та же проблема.
Причем в разных доменах на независимых друг от друга WSUSах. Появилась одновременно везде.
Пробовали через IE? Ничего другого вроде и не поддерживалось.
У вас тоже прокси?
Прокси естественно есть, непрозрачный, всё работает — и IE, и WSUS — затык только с импортом обновлений в WSUS.
Мне помогло при такой ошибке импорта обновлений через прокси
https://docs.microsoft.com/en-us/answers/questions/88238/is-there-a-general-problem-with-wsus-servers-that-1.html
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Аналогично.
Можно ли импортировать без подключения к интернету?
В теории можно попробовать получить GUID обновления (в адесной строке), затем скачать msu файл и импортировать на WSUS с помощью PowerShell:
$update = 'C:\temp\windows10.0-kb4580390-x64_743bc31f33bf399c7f15ab020df685780faf4cb5.msu'
$GUID = 'd4c8b6ac-dc65-499e-9158-9866cc02272c'
(Get-WsusServer).ImportUpdateFromCatalogSite($GUID,$update)
Здравствуйте. Можно ли описанным методом с PS импортировать обновление, которое распространяется как EXE файл ? Или поддерживается импорт только MSU?
Для wsus было неофициально ресширение, позволяющее распространить msi, exe файлы как пакеты обновлений:
Wsus Package Publisher
_https://github.com/DCourtel/Wsus_Package_Publisher
ЗЫ. Сам не пользовался.
Мне помогло при ошибке импорта:
Помогло ручное обновление конфигурации Net. Framework через реестр (принудительное использование стойкой криптографии):
Для 32-битных процессов:
Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\[.NET_version]
Добавить: Тип: DWORD Имя: SchUseStrongCrypto Value: 1
Для 64-битных процессов:
Path: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\[.NET_version]
Добавить: Тип: DWORD Имя: SchUseStrongCrypto Value: 1
Внес изменения в обе ветки.
Данное решение нашел здесь: https://www.robvit.com/windows-server-2019/authentication-failed-because-the-remote-party-has-closed-the-transport-stream/
Источник: https://social.technet.microsoft.com/Forums/office/ru-RU/c8f2880d-ea24-420e-ac8e-baddc7130be7/105410961080107310821072?forum=wsusru
Доброго всем времени суток. На WS2022 так и не удалось импортировать обновление.
Ошибка 80131509 при импорте из IE и ошибка при использовании PS. Предлагаемые методы решения испробовал. Не помогло…
Вот теперь думаю: может стоит копать куда-то в настройки IIS?
На компьютере прямой доступ в интернет или через прокси?
В комментарии выше, коллега пишет (Andrew 26.07.2022):
Помогло ручное обновление конфигурации Net. Framework через реестр (принудительное использование стойкой криптографии):
Для 32-битных процессов:
Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\[.NET_version]
Добавить: Тип: DWORD Имя: SchUseStrongCrypto Value: 1
Для 64-битных процессов:
Path: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\[.NET_version]
Добавить: Тип: DWORD Имя: SchUseStrongCrypto Value: 1
Внес изменения в обе ветки.
Доброго времени суток. Простите что долго не отвечал.
Первое: интернет прямой.
Второе: да, реестр правил. Обе ветки.
Ну не хочет он импоритовать обновления. Ну ни в какую. Ни онлайн, ни оффлайн. В WS2012R2 я делал это из Update Catalog с помощью IE без проблемм. В WS2022 не получается.
В WS2022 у вас используется именно IE, а не MS Edge? может быть не работает, если IE отключен…
Добрый день.
IE используется. Однозначно. 100%. Специально устанавливал его браузером по умолчанию, чтобы команда импорта из консоли WSUS открывалась в нем, а не в Edge.
В целом проблема не сказать чтобы была критична, но у MS бывают внеплановые обновления, которые они (MS) почему-то не распространяют через WSUS. Крайний такой пример с октябрьским обновлением. KB5018410 имело проблемы и было оперативно заменено на KB5020435, которое во WSUS не пришло. Только качать из Update Catalog и распространять в ручную. Вот потому и вспомнил про импорт, а он не сработал.
Вот кстати тред похож на вашу проблему
_https://techcommunity.microsoft.com/t5/windows-server-for-it-pro/issue-cannot-import-updates-to-wsus-due-to-erroneous-redirection/m-p/3053457
Говорят, проверьте чтобы url адрес был без www
+ разрешите Windows самой выбирать версию TLS
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1 /F
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1 /F