wsus невозможно сохранить конфигурацию так как сервер еще обрабатывает
Wsus невозможно сохранить конфигурацию так как сервер еще обрабатывает
Вопрос
Имеется сервер WSUS 3.2.7600.226 установлен на windows server 2008 r2
система установлена на диске C, sql-база и контент расположены на диске E (объем 300Гб).
тк свободного место на диске E не было вообще (0 Кб), а встроенный мастер очистки сервера не освобождал место была вручную очищена папка с контентом E:\WSUS\WsusContent и выполнена команда wsusutil reset для нового закачивания контента в папку.
после этого в течении суток при попытке зайти в консоль сервера (запустить синхронизацию) через некоторое время (пара минут) выдается ошибка:
консоль при этом повисает и появляется кнопка Сброс серверного узла (если ее нажать, то консоль так же повиснет через примерно минуту).
пока консоль работает и, если попробовать изменить какие-либо параметры в окне параметра выдается сообщение:
«Сохранить конфигурацию не удалось, поскольку сервер еще обрабатывает предыдущее изменение конфигурации.»
При этом в логе Приложений системы каждую минуту появляются предупреждения:
Ночью в логе событий Приложений так же несколько раз была ошибка:
Есть ли возможность понять причину недоступности консоли в течении столь продолжительного промежутка времени и устранить ее?
Удаление старых обновлений на Windows Server Update Services (WSUS)
За время работы службы Windows Server Update Services (WSUS), она съедает все доступное дисковое пространство. Обусловлено это тем, что WSUS хранит все версии обновлений, которые он скачал с узла Microsoft Update.
Периодически рекомендуется запускать из консоли WSUS утилиту Мастер очистки диска (wsusutil.exe) для удаления старых версий обновлений. При помощи Мастер очистки диска (wsusutil.exe), можно удалить только обновлений WSUS, которые не были развернуты в течении последнего месяца.
Нормального способа удалить старые файлы обновлений WSUS нет. Оптимальный вариант выход из положения это полностью очистить все файлы обновлений и выкачать заново только нужные. Сделать это можно разными способами, рассмотрим наиболее изящный способ.
Выделяем все утвержденные обновления и переводим их в состояние «Отклонено».
Переходим в Параметры — Файлы и языки обновлений. Выбираем пункт «Не хранить файлы обновлений локально«. Нажимаем ОК. Процесс применения настроек (занимает несколько минут). Необходимо дождаться завершения операции применения. Если зайти повторно в настройки, то можно увидеть сообщение: «Невозможно сохранить конфигурация, так как сервер еще обрабатывает предыдущее изменение конфигурации«. Периодически открывая окно дождаться когда процесс закончится (исчезнет сообщение, а кнопки станут доступны).
Переходим в Параметры — Мастер очистки сервера (он полностью очистит папку WSUSContent от файлов обновлений).
Переходим в Параметры — Файлы и языки обновлений. Выбираем пункт «Хранить файлы обновлений локально на этом сервере«, отмечаем галочкой пункт «Скачивать файлы обновлений на сервер только после утверждения обновлений«. Переходим во вкладку «Языки обновлений» и выбираем только нужные языки обновлений.
Теперь можно утверждать необходимые обновления.
WSUS Server «Cannot save configuration because the server is still prcoessing..»
I recently set up a WSUS server in our environment. Everything has been going well for the last couple months, until I tried to change something. I noticed that the server was downloading updates for all languages, what a waste! I went in to the WSUS admin panel and changed the «Update File and Languages» setting by removing everything except English. Now the server will not synchronize (it crashes the admin panel). And when I look at any other settings, it says «Cannot save configuration because the server is still processing a previous configuration change».
I figured the server needed some time to process the change; that was last week. It’s been running for a least 4 days now and has not finished «processing».
Any suggestions are appreciated!
Weeks later, the problem persisted.
I ended up uninstalling the WSUS role and deleting the database. Then I reinstalled the role; seems to be working fine now.
Some sort of status indicator would really help in this situation.
26 Replies
Have you tried just simply rebooting the WSUS server. Sometimes it just sits there saying processing when the task is already done. Happened to me before i rebooted the server and when it booted back up the setting that I had changed were made and everything was working again.
Have you tried just simply rebooting the WSUS server. Sometimes it just sits there saying processing when the task is already done. Happened to me before i rebooted the server and when it booted back up the setting that I had changed were made and everything was working again.
As I recollect, removing language settings from a WSUS server invokes a RESET to reconcile all of the files that exist with the files that are supposed to exist (removing languages would result in the deletion of many tens of gigabytes of files, quite possibly).
Unfortunately, depending on the vintage of the WSUS server, and the number of updates synchronized, it’s quite possible that the RESET task can take *DAYS* to complete. and NO. there is NO known way to terminate this task. Even if you stop the database service, or reboot the server, the «database knows» that there is an uncompleted RESET task in progress, and it resumes processing that task.
As I recollect, removing language settings from a WSUS server invokes a RESET to reconcile all of the files that exist with the files that are supposed to exist (removing languages would result in the deletion of many tens of gigabytes of files, quite possibly).
Unfortunately, depending on the vintage of the WSUS server, and the number of updates synchronized, it’s quite possible that the RESET task can take *DAYS* to complete. and NO. there is NO known way to terminate this task. Even if you stop the database service, or reboot the server, the «database knows» that there is an uncompleted RESET task in progress, and it resumes processing that task.
I suspected this might be the issue, but it’s pretty excessive. The server has been online doing WSUS for a max of 3 months. It’s a Hyper-V guest on a very powerful host, so it has plenty of resources to work with. I made the change sometime last week, so I guess it’s been at least 5 days since the change.
I’ll report back if it ever finishes.
Weeks later, the problem persisted.
I ended up uninstalling the WSUS role and deleting the database. Then I reinstalled the role; seems to be working fine now.
Some sort of status indicator would really help in this situation.
Some sort of status indicator would really help in this situation.
I’ve also dropped an inquiry with the WSUS product group about getting some information on what triggers the restart of this process within the database. If we can identify the trigger, then we can manually remove the trigger, allowing the process to be aborted via a database service restart.
The trigger in the database is in the [tbSingletonData] table. The following statement run from SSMS should work:
Then restart the Update and WID services. This will probably leave your WSUS setup in an inconsistent state, but it will allow you to get back into the console to change settings and run the cleanup routines.
Thanks, that worked like a charm!
Just wondering, did anyone find out if changing the language pack invokes a wsus content reset?
Did you ever find out if changing the language packs invokes a wsus content folder reset?
My situation is a bit different but getting the same error:
I attempted to move the Updates Location to a installed hard drive. After the move completely or possibly before the move completed the drive disappeared from Disk Management. This tells me the drive failed during or just after the WSUS Update location move completed.
Now, I have installed a working hard drive picked the same drive letter. But now when I use the move command from the WSUS Utility I get a message that states the WSUS Service cannot be stopped even if I stop the service manually first.
«cannot save configuration because the server is still processing a previous configuration change»%uFEFF
When I go to the WSUS Management User interface. Please help as this process most likely will never complete because of the Hard Drive failure.
whats ssms (any clues on how to run that reset would help)
Praizar Ltd is an IT service provider.
Brand Representative for AJ Tek
Have a peak at my Adamj Clean-WSUS script. It is the last WSUS Script you will ever need.
It will email the report out to you or save it to a file, or both.
James UPDATE tbSingletonData did the trick for me!
Since this was on an old SBS2008 I was not very hot to the idea off reinstalling WSUS.
It has woked! Thanks
TAL ICT Consulting BV is an IT service provider.
UPDATE tbSingletonData SET ResetStateMachineNeeded = 0
and starting sql man studioa as admin saved my life,
I looked a week for a solution until I found this..
Have a peak at my Adamj Clean-WSUS script. It is the last WSUS Script you will ever need.
It will email the report out to you or save it to a file, or both.
I’m running SBS 2011, and some of the reviews have stated that I do not run your WSUS script or upgrade to PowewrShell as it might break some of the SBS wizards. Is this correct or can I use the script once I’ve upgraded PowerShell?
Brand Representative for AJ Tek
Have a peak at my Adamj Clean-WSUS script. It is the last WSUS Script you will ever need.
It will email the report out to you or save it to a file, or both.
I’m running SBS 2011, and some of the reviews have stated that I do not run your WSUS script or upgrade to PowewrShell as it might break some of the SBS wizards. Is this correct or can I use the script once I’ve upgraded PowerShell?
If you think about how powershell is used and how it’s developed, all the commands are backwards compatible to version 2 so theoretically (and in practice with some of the users of my script) it works fine. I can’t offer a guarantee though. If it was my box, I would upgrade it to version 4 or later.
Устранение неполадок с синхронизацией и импортом WSUS
Применяется к: Windows Server Update Services
Начиная с июля 2020 г. у пользователей возникли проблемы синхронизации и импорта WSUS с конечными точками обновления Windows (WU) или Microsoft Update (MU).
В этой статье описывается устранение некоторых распространенных проблем. Некоторые из этих методов устранения неполадок (например, захвата сети) можно использовать и для многих других проблем.
Конечные точки
В настоящее время WSUS использует следующие конечные точки для синхронизации метаданных:
Большинство серверов WSUS должны синхронизироваться с этой новой конечной точкой. Начиная с июля 2020 г. эта конечная точка принимает только подключения безопасности транспортного слоя (TLS) 1.2. Некоторые шифры были отключены.
Эта старая конечная точка будет в конечном итоге списана. Дополнительные сведения см. в рублях End of synchronization for WSUS 3.0 SP2. Эта конечная точка поддерживает подключения TLS 1.2, TLS 1.1 и TLS 1.0.
Эта старая конечная точка списалась с эксплуатации, подключение к ней завершится сбой.
При проблеме синхронизации WSUS или ручного импорта сначала проверьте конечную точку, с которой вы синхронизируете:
Откройте окно командной подсказки PowerShell на сервере WSUS.
Чтобы найти текущую конечную точку синхронизации, запустите следующий скрипт PowerShell:
Windows Server 2012 и более поздние версии должны быть настроены для использования https://sws.update.microsoft.com конечной точки. Если вы все еще используете или измените новую конечную точку, следуя шагам в https://sws1.update.microsoft.com https://fe2.update.microsoft.com синхронизации WSUS, сбой с soapException. При необходимости устранение неполадок с подключением с https://sws.update.microsoft.com конечной точкой.
Выпуск 1. Ручной импорт не удается, но синхронизация успешно
Многие пользователи импортируют обновления в WSUS вручную, а некоторые обновления необходимо импортировать вручную. Например, предварительные обновления, выпущенные в третью и четвертую недели месяца, должны импортироваться вручную. Начиная с конца июля 2020 г., возможно, вы не сможете импортировать обновления вручную.
Однако некоторые серверы WSUS могут успешно импортировать обновления. И обычная синхронизация с WU и MU продолжает работать.
Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.
Устранение неполадок 1
Запустите скрипт PowerShell в конечных точках, чтобы определить конечные точки использования серверов WSUS. Вероятно, вы увидите, что рабочие серверы общаются с серверами или с ошибками. https://fe2.update.microsoft.com https://sws1.update.microsoft.com https://sws.update.microsoft.com
Проверьте файл %Program Files%\Update Services\LogFiles\SoftwareDistribution.log на ошибки при импорте обновлений вручную. И посмотрите на ошибки, похожие на следующий пример:
В следующем сообщении в ошибке указывается, что сервер WSUS пытался подключиться к WU/MU с помощью TLS, но wu/MU закрыл подключение:
Существующее подключение было принудительно закрыто удаленным хостом.
На следующем скриншоте показан сетевой захват попытки подключения.
В сетевом захвате кадр 874 — это пакет Client Hello, использующий TLS 1.0. Frame 877 — это ответ сервера. Ответ включает флаги ACK (A) и RST (R). Так как конечная точка поддерживает только подключения TLS 1.2, она отказано в подключении и выдает https://sws.update.microsoft.com ответ сброса.
Разрешение проблемы 1
Эта проблема возникает из-за того, что функции импорта WSUS не могут использовать TLS 1.2.
Чтобы устранить эту проблему, используйте один из следующих методов:
Чтобы установить клавиши реестра, см. в перенастройке для сильной криптографии. Перезапустите сервер после набора ключей реестра.
Создайте или w3wp.exe.config файл, чтобы включить TLS 1.2.
Это изменение будет применяться w3wp.exe созданных экземпляров независимо от того, относятся ли они к WSUS. W3wp.exe TLS 1.2, если удаленная сторона поддерживает эту версию. Если включены TLS 1.1 и TLS 1.0, W3wp.exe согласовывать эти протоколы, если целевой сайт не поддерживает TLS 1.2.
Если файл %SystemRoot%\system32\inetsrv\w3wp.exe.config не существует, выполните следующие действия:
Создайте новый файл с именем W3wp.exe.config в %SystemRoot%\system32\inetsrv папке.
Откройте файл в текстовом редакторе, например Блокнот.
Добавьте в файл следующие строки и сохраните файл:
Если файл %SystemRoot%\system32\inetsrv\w3wp.exe.config уже существует, выполните следующие действия:
Откройте файл в Блокнот или другом текстовом редакторе.
Добавьте в элемент следующие строки и сохраните файл:
После создания или обновления W3wp.exe.config откройте окно командной подсказки, а затем запустите для перезапуска iisreset всех рабочих процессов. Проверьте, работает ли ручной импорт.
Выпуск 2. Сбой ручного импорта после отключения TLS 1.1 или TLS 1.0
TLS 1.1 и TLS 1.0 постепенно отламывются, так как считаются небезопасными. После отключения этих протоколов вы больше не сможете импортировать обновления. Однако синхронизация продолжает работать.
Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.
Устранение неполадок 2
Журналы WSUS, в которых включены версии SSL/TLS при его старте. Чтобы определить версии SSL/TLS, выполните следующие действия:
Перезапустите службу WSUS.
Запустите iisreset по повышенной командной подсказке, чтобы заставить WSUS пройти последовательность запуска.
Откройте консоль WSUS и подключите ее к серверу.
Откройте, %Program Files%\Update Services\LogFiles\SoftwareDistribution.log и посмотрите записи, которые начинаются в протоколе SCHANNEL. Вы должны видеть записи, похожие на следующий пример:
Эти записи показывают, что отключены TLS 1.1 и TLS 1.0 и включен TLS 1.2.
Если процесс импорта не удается, softwareDistribution.log регистрирует следующую запись ошибки:
На следующем скриншоте показан сетевой захват попытки подключения.
В захвате сети на кадрах 1518-1520 покажите трехначерное рукопожатие (SYN, SYN ACK, ACK) между клиентом и сервером. Frame 1536 — это пакет ACK FIN с сервера WSUS.
WSUS закрывает подключение, так как все протоколы, которые он знает, как использовать для импорта (SSL3, TLS 1.0, TLS 1.1), отключены и не могут использовать TLS 1.2.
Разрешение проблемы 2
Эта проблема похожа на выпуск 1, в котором импорт WSUS не может использовать TLS 1.2. Чтобы устранить эту проблему, используйте решение проблемы 1.
Проблема 3. Сбой синхронизации на Windows Server 2012 и Windows Server 2012 R2 WSUS, которые применяют только обновления только для безопасности
Windows Server 2012 и Windows Server 2012 R2 содержат следующие треки обновления:
WSUS Windows Server 2012 и Windows Server 2012 R2 не может использовать TLS 1.2 для синхронизации, если не установлен один из следующих ежемесячных откатов или более позднего ежемесячного докатки:
Изменение, которое позволяет WSUS использовать TLS 1.2, является исправлением без обеспечения безопасности, оно включено только в ежемесячные откаты.
Некоторые пользователи предпочитают устанавливать только обновления только для безопасности и никогда не устанавливать ежемесячные откаты. Поэтому на серверах WSUS нет обновления, которое позволяет установить TLS 1.2. После изменения конечной точки для приемки только подключений TLS 1.2 эти серверы WSUS больше не могут синхронизироваться https://sws.update.microsoft.com с конечной точкой. Эта проблема также возникает на недавно установленном Windows Server 2012 или Windows Server 2012 WSUS-сервере R2, который не устанавливал ежемесячные откаты.
Устранение неполадок 3
Если на сервере WSUS установлены правильные обновления, WSUS будет входить в журнал, какие версии SSL/TLS включены при его старте. Выполните следующие действия на сервере WSUS:
Перезапустите службу WSUS.
Запустите iisreset из командной подсказки повышенной высоты, чтобы заставить WSUS пройти последовательность запуска.
Откройте консоль WSUS и подключите ее к серверу.
Если вы не можете найти эти записи, это означает, что обновление, которое включает TLS 1.2, не установлено.
Если синхронизация не удается, softwareDistribution.log регистрит следующее сообщение об ошибке:
На следующем скриншоте показан сетевой захват попытки подключения.
Разрешение проблемы 3
Чтобы устранить эту проблему, установите последнюю ежемесячную откатку для Windows Server 2012 или Windows Server 2012 R2. Также применяем решение для выпуска 1, чтобы предотвратить сбой ручного импорта.
Выпуск 4. Сбой синхронизации после июля 2020 г., если WSUS интегрирован с Configuration Manager
Многие установки WSUS интегрированы с точками обновления Microsoft Endpoint Configuration Manager программного обеспечения (SUP). После июля 2020 г. могут возникнуть сбои в синхронизации, если диспетчер конфигурации настроен для синхронизации драйверов Surface.
Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.
Устранение неполадок 4
Когда возникает эта проблема, записи, похожие на следующий пример, регистрируются в Wsyncmgr.log:
Кроме того, %Program Files\Update Services\LogFiles\SoftwareDistribution.log в файле в журнале печатались следующие ошибки:
Эти ошибки указывают на то, что подключение было закрыто. Эта проблема возникает из-за того, что в диспетчере конфигурации используется функция импорта WSUS. Таким образом, он имеет те же ограничения.
Разрешение проблемы 4
Выпуск 5. Синхронизация не удается после июля 2020 г. из-за ограниченных шифров
Вы можете отключить различные шифры для защиты подключений TLS. Начиная с июля 2020 г. серверы WSUS больше не могут синхронизироваться с WU/MU. Кроме того, при смене на прием только подключений https://sws.update.microsoft.com TLS 1.2 удаляются некоторые шифры.
Эта проблема возникает на серверах WSUS, которые работают Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 или Windows Server 2019.
Устранение неполадок 5
При синхронизации в файле регистрируются следующие %Program Files\Update Services\LogFiles\SoftwareDistribution.log ошибки:
Однако эти записи не являются полезными для определения того, есть ли у вас проблемы с шифром.
В этой ситуации используйте захват сети или проверьте объекты прикладной групповой политики (GPOs). Чтобы проверить применимые GPOs, запустите следующую команду по повышенной командной подсказке:
Откройте GPReport.html в браузере.
Поиск SSL Cipher Suite Order и параметр SSL Cipher Suites. Обычно этот параметр не настроен. Если она настроена, может возникнуть проблема, так как нет общего шифра с WU/MU.
С августа 2020 г. поддерживает https://sws.update.microsoft.com следующие шифры:
Со временем этот список изменится, так как по мере улучшения технологии шифры будут постепенно слабеть.
Если GPO применяется, и он не указывает один из этих шифров, связь с WU/MU не удается.
На следующем скриншоте показан захват сети.
Разрешение проблемы 5
Для устранения данной проблемы выполните следующие действия.
Для Windows Server 2016 и Windows Server 2019 включим один из следующих шифров:
Для Windows Server 2012 2012 r2 включаем один из следующих шифров:
Если шифры не установлены GPO, найдите следующий подкай реестра:
Добавьте один из необходимых шифров в значение Functions ключа реестра.
Перезапустите сервер WSUS.
Чтобы предотвратить сбои ручного импорта, также применяем решение для проблемы 1.
Успешное подключение
На следующих скриншотах покажите успешное подключение, Windows Server 2016 WSUS-сервер синхронизирует обновления.
В сетевом захвате кадр 191 — это пакет Client Hello, использующий TLS 1.2. В кадре подробно показано, какие шифры были отправлены клиентом. Frame 195 — это пакет Server Hello с конечной точки. TLSCipherSuite, выбранный wu, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Сертификат сервера также отправляется в пакете Server Hello.
Дополнительная настройка подключения происходит в кадрах 196-203. Затем в кадре 207 начинается передача данных приложением (WSUS) и конечной https://sws.update.microsoft.com точкой.
Примечание о прокси-серверах
При использовании прокси-сервера необходимо знать IP-адрес внутреннего интерфейса прокси-сервера, так как WSUS не взаимодействует напрямую с конечными точками WU. Если вы не можете получить IP-адрес прокси-сервера, поиск захвата сети для запросов CONNECT и поиск URL-адреса конечной точки Windows обновления.