本文档介绍影响 Windows Server Update Services (WSUS) 的已知问题。其中包含安装 WSUS 的建议和要求。请查看 Microsoft 下载中心 (
[url]http://go.microsoft.com/fwlink/?LinkId=48126[/url]
) 以获得本文档的可能更新内容(文档可能为英文)。
开始之前
问题 1:必须安装 IIS
Microsoft® Windows Server™ Update Services (WSUS) 要求安装 Internet 信息服务 (IIS)。但在 Microsoft Windows Server 2003 和 Microsoft Windows® 2000 Server 上,默认情况下不安装 IIS,因此 Windows Server Update Services 安装程序可能无法继续,并且会显示错误消息,指出未安装 IIS。
要安装 IIS,请执行以下操作:
1.
打开“控制面板”。
2.
双击“添加或删除程序”。
3.
单击“添加/删除 Windows 组件”。
4.
在“组件”列表中,单击“应用程序服务器”。
5.
单击“详细信息”。
6.
选中“ASP.NET”复选框。启用“网络 COM+ 访问”,Internet 信息服务 (IIS) 将自动被选中。
7.
选择“Internet 信息服务(IIS)”,然后单击“详细信息”以查看 IIS 可选组件的列表。
8.
选择要安装的所有可选组件。
注意:
“万维网服务”可选组件包括一些重要的子组件,例如 Active Server Pages 组件和远程管理 (HTML)。要查看并选择这些子组件,请单击“万维网服务”,然后单击“详细信息”。单击“确定”,直到返回到“Windows 组件向导”。
1.
单击“下一步”并完成“Windows 组件向导”。
2.
安装 IIS 之后,运行 Windows Server Update Services 安装程序。
问题 2:对于运行 Windows 2000 Server 的服务器,IIS 中至少需要有一个网站才能安装 WSUS
运行 Windows Server Update Services 安装程序时,如果 IIS 中没有站点,该安装程序可能无法创建网站。例如,如果将 Software Update Services (SUS) 1.0 站点当作 IIS 中的唯一站点并在安装 WSUS 之前删除了该站点,则会发生上述情况。
在这种情况下,需要使用 Internet 信息服务 (IIS) 管理器管理单元创建一个新网站。创建完毕后,可以在 WSUS 安装期间选择该站点或指定一个新站点。
如果已尝试安装 WSUS,但由于没有站点而导致安装程序失败,请打开 IIS 管理器管理单元并删除站点“Web Site #1”。然后按照前面所述的步骤,再次运行安装程序。
问题 3:安装必备组件
软件要求
下表显示了所支持的每个操作系统所需的软件。运行 WSUS 安装程序之前,请确保 WSUS 服务器满足以下列表中的要求。如果任何一项更新要求在安装完成后重新启动计算机,则应在安装 WSUS 之前执行重新启动。
操作系统 要求 下载
所有操作系统
Microsoft Internet 信息服务 (IIS) 5.0
从操作系统进行安装。
请参阅问题 1:必须安装 IIS。
所有操作系统
Background Intelligent Transfer Services (BITS) 2.0
对于 Windows Server 2003 操作系统,请参阅下载中心 (
[url]http://go.microsoft.com/fwlink/?LinkId=47251[/url]
) 上的用于后台智能传输服务 (BITS) 2.0 和 WinHTTP 5.1 Windows Server 2003 的更新程序 (KB842773),文档可能为英文。
对于 Windows Server 2000 操作系统,请参阅下载中心 (
[url]http://go.microsoft.com/fwlink/?LinkId=46794[/url]
) 上的用于后台智能传输服务 (BITS) 2.0 和 WinHTTP 5.1 Windows 2000 的更新程序 (KB842773),文档可能为英文。
Windows Server 2003
用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1
用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1(文档可能为英文)
或者,访问 Windows Update,浏览关键更新和 Service Pack,然后安装用于 Windows Server 2003 的 Microsoft .NET Framework 1.1 Service Pack 1。
Windows Server 2003
与 Microsoft SQL 完全兼容的数据库软件
暂缺
Windows 2000 Server
与 Microsoft SQL 完全兼容的数据库软件
如果您未使用 Microsoft SQL Server 2000,则可以安装 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)。该安装需要分几步来完成。有关详细信息,请参阅下面的“在 Windows 2000 上安装 MSDE”。
Windows 2000 Server
Microsoft Internet Explorer 6.0 Service Pack 1
Internet Explorer 6 Service Pack 1(文档可能为英文)
Windows 2000 Server
Microsoft .NET Framework 1.1 可重分发软件包
Microsoft .NET Framework 1.1 可重分发软件包(文档可能为英文)
Windows 2000 Server
Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 1.1 Service Pack 1(文档可能为英文)
或者,访问 Windows Update,浏览关键更新和 Service Pack,然后安装用于 Windows Server 2000 的 Microsoft .NET Framework 1.1 Service Pack 1。
除上述要求外,在必要时,WSUS 还会在您的服务器上安装或配置 ASP.NET 1.1。(WSUS 安装程序将配置 ASP.NET。)
在 Windows 2000 上安装 MSDE 2000
如果将 Windows 2000 用于 WSUS,但您无法访问 Microsoft SQL Server 2000,则应在运行 WSUS 安装程序之前,首先安装 Microsoft SQL Server 2000 Desktop Engine (MSDE)。如果已经在 WSUS 服务器上安装了 MSDE,则无需为 WSUS 安装一个专门的 MSDE 实例,而只需在 WSUS 安装过程中指出现有实例的名称。
在 Windows 2000 Server 上安装 MSDE 需要四个步骤。首先,必须下载 MSDE 存档文件并将其展开至 WSUS 服务器上的文件夹中。其次,使用命令提示符和命令行选项来运行 MSDE 安装程序,设置 sa 密码,并将 WSUS 指定为实例名称。然后,在 MSDE 安装完成后,确认 WSUS 实例是否在作为 NT 服务运行。最后,必须在 MSDE 中添加安全修补程序以保护 WSUS 服务器。
步骤 1:下载并展开 MSDE 存档文件
您必须下载 MSDE 存档文件并将其展开至 WSUS 服务器上的文件夹中。请参阅 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Release A(文档可能为英文)。
步骤 2:安装 MSDE
使用命令提示符和命令行选项来运行 MSDE 安装程序,设置 sa 密码,并将 WSUS 指定为实例名称。在 MSDE 安装完成后,确认 WSUS 实例是否在作为 NT 服务运行。
要安装 MSDE,设置 sa 密码并指定实例名称,请执行以下操作:
1.
在命令提示符下,导航到在“步骤 1:下载并展开 MSDE 存档文件”中指定的 MSDE 安装文件夹。
2.
键入以下命令:setup sapwd=”password” instancename=WSUS
其中 password 是此 MSDE 实例上 sa 帐户的强密码,instancename 是数据库实例的名称。或者,可以使用 WSUS 数据库的默认实例名称(而不是“WSUS”)。如果选择这样做,则不必在命令行参数中键入 instancename=WSUS。此命令将启动 MSDE 安装程序,设置 sa 密码,并将此 MSDE 实例命名为您指定的任意值。
步骤 3:确认是否已安装 MSDE 的 WSUS 实例
1.
单击“开始”,然后单击“运行”。
2.
在“打开”框中,键入 services.msc,然后单击“确定”。
向下滚动服务列表,确认是否存在名为 MSSQL$WSUS(如果 instancename 使用“WSUS”)或 MSSQLSERVER(如果使用默认 instancename)的服务。
步骤 4:启动 MSDE 实例。
在 MSDE 安装结束时,必须启动该实例。如果 instancename 使用“WSUS”,则将启动“MSSQL$WSUS”。如果使用默认 instancename,则将启动 MSSQLSERVER。除非启动该服务,否则 WSUS 将无法使用数据库实例。
步骤 5:更新 MSDE
必须下载并安装布告栏 MS03-031:SQL Server 累积安全修补程序。
要下载该安全修补程序,请参阅 SQL Server 2000(32 位)安全修补程序 MS03-031(文档可能为英文)。
问题 4:最小磁盘空间要求
下面列出了安装 Windows Server Update Services 的最小磁盘空间要求:
• 系统分区需要 1 GB
• 存储数据库文件的卷需要 2 GB
• 其他预计安装内容需要 6 GB(基于其他预计安装内容的大小)
问题 5:安装最新版本的 WSUS 之前,必须先使用“添加或删除程序”卸载早期版本的 WSUS
如果计划在安装了 Windows Update Services 试用版 1 或试用版 2 的服务器上安装 Windows Server Update Services,则需要先使用“控制面板”中的“添加或删除程序”来卸载早期版本。
问题 6:WSUS 要求在 SQL Server 中打开嵌套触发器选项
默认情况下该选项处于打开状态,但是它可能会被 SQL Server 管理员关闭。
如果计划将 SQL Server 数据库用作 Windows Server Update Services 数据存储库,则 SQL Server 管理员应首先确认服务器上的嵌套触发器选项已打开,然后 WSUS 管理员才能安装 WSUS 并在安装期间指定该数据库。
WSUS 安装程序会打开 RECURSIVE_TRIGGERS 选项(该选项是数据库特定的选项);但不会打开嵌套触发器选项(该选项是服务器全局选项)。
要查看嵌套触发器是否已打开,请使用以下命令:
sp_configure ‘nested triggers’
要在 SQL Server 中打开嵌套触发器选项,请在运行 SQL Server 的计算机上通过批处理文件运行以下命令:
sp_configure ‘nested triggers’, 1
GO
RECONFIGURE
GO
问题 7:WSUS 安装程序命令行参数
您可以执行 WSUS 的无人值守安装。有关详细信息和命令行参数的信息,请参阅部署 Microsoft Windows Server Update Services部署 Microsoft Windows Server Update Services 中的“附录 A:无人值守安装”(文档可能为英文)。
返回页首
已知问题
问题 1:IIS 锁定向导
如果在运行 Windows2000 Server 的计算机上运行 Internet 信息服务 (IIS),请从 Microsoft TechNet 的 IIS 锁定工具页安装最新版本的 IIS 锁定向导(包括 URLScan)。Microsoft 强烈建议安装此工具以帮助您确保 IIS 服务器的安全。“IIS 锁定向导”工作时会关闭易受***的 IIS 功能,从而可以降低安全风险。
注意:
WSUS 安装程序不会安装这些组件。您必须手动安装它们。无需在运行 Windows Server 2003 的计算机上安装 IIS 锁定,因为该功能已内置于 Windows Server 2003 中。
问题 2:不支持直接在数据库中更改 WSUS 配置
Windows Server Update Services 将其配置数据存储在数据库(MSDE 或 SQL Server)中。但是,不支持通过直接访问数据库的方式更改配置数据。管理员不应尝试通过这种方式来修改 WSUS 配置。您可以通过使用 WSUS 控制台或调用 WSUS API 来更改 WSUS 配置。
问题 3:必须启用活动脚本才能访问 WSUS 管理站点
在管理员工作站上,必须将 Internet Explorer 配置为允许活动脚本,您才能使用 Internet Explorer 来访问 WSUS 管理站点。
问题 4:IIS 在 WSUS 安装期间将重新启动
Windows Server Update Services 安装程序将在不发出通知的情况下重新启动 IIS。这可能会影响组织中的现有网站。
问题 5:运行终端服务的服务器不支持 WSUS
对于此 Windows Server Update Services 版本,建议您不要在运行终端服务的服务器上安装 WSUS。
问题 6:更改 WSUS 或 SMS 管理点 (MP) 虚拟目录访问方式
默认情况下,Windows Server Update Services 的内容虚拟目录被设置为通过匿名进行访问。如果将此设置更改为要求身份验证,客户端将会收到身份验证错误并被拒绝访问 WSUS,从而无法下载更新。这是一个已知问题:当要求隐式身份验证时,Winhttp.dll 将使用错误的身份验证上下文,从而导致身份验证质询失败。为了防止发生这种问题,请确保将 WSUS 服务器和 SMS MP 设置为以匿名方式访问 IIS 虚拟目录。
问题 7:在 Windows Small Business Server 2003 上安装 WSUS 时,必须修改默认网站 WSUS 虚拟根目录的访问设置,才允许 WSUS 客户端从服务器进行自我更新
WSUS 服务器在默认网站(位于端口 80)的主目录下安装了两个虚拟根目录(SelfUpdate 和 ClientWebService)和一些文件。这样,客户端便可通过默认网站进行自我更新。默认情况下,在 Windows Small Business Server 2003 上,默认网站被配置为拒绝访问服务器上的 IP 或本地主机以外的任何 IP 或本地主机。这表示拒绝访问 SelfUpdate 和 ClientWebService 虚拟根目录,因此客户端将无法进行自我更新。要为客户端授予自我更新所需的访问权,请在默认网站的 SelfUpdate 和 ClientWebService 虚拟根目录上完成以下步骤。
1.
依次单击虚拟根目录的“属性”、“目录安全性”和“IP 地址和域名限制”,然后单击“编辑”。
2.
选择“授权访问”,然后单击“确定”。关闭所有属性页面。
问题 8:在 Small Business Server 上安装 WSUS – 集成问题
• 如果 Windows Small Business Server 2003 使用 ISA 代理服务器访问 Internet,则必须在“设置”用户界面中手动输入以下内容:代理服务器设置、代理服务器名称和端口。
• 如果 ISA 使用的是 Windows 身份验证,则应当以“域\用户”(用户属于“Internet Users”组)形式输入代理服务器凭据。
问题 9:将计算机从一个计算机组移动到另一个计算机组时, 可能最多需要一小时才能从管理控制台中的新组中看到该计算机
首次将某台计算机分配到某个目标组时,将使用目标组的信息来修改该计算机上的数据。数据将定期刷新或每小时刷新一次。因此,当计算机从一个计算机组移动到另一个计算机组时,这些信息可能最多需要一小时才能在客户端上刷新并在 WSUS 管理控制台中按照更改后的样子显示。
问题 10:如果在成员服务器上安装了 WSUS,然后要将该成员服务器升级为域控制器,则应当先卸载 WSUS
如果在成员服务器上安装了 WSUS,然后要将该成员服务器升级为域控制器,需要执行以下步骤:
1.
卸载 WSUS。
2.
将服务器升级为域控制器。
3.
重新安装 WSUS。
问题 11:如果要将 WSUS 服务器从域控制器降级为成员服务器,需要先卸载 WSUS
如果域控制器上运行的是 WSUS 服务器,并且要将该域控制器降级为成员服务器,则需要完成以下步骤:
1.
卸载 WSUS 并保留数据库。
2.
创建一个名为 ASPNET 的用户帐户。
3.
在命令提示符下,键入 aspnet_regiis -i。
4.
重新安装 WSUS 并使用保留的数据库。
问题 12:如果在安装 WSUS 之后又安装了 .NET Framework 1.0 或 2.0,将不显示 WSUS 管理控制台
这是因为 .NET Framework 1.0 是在 IIS 中注册的,而该 WSUS 服务器需要 .NET Framework 1.1。要解决此问题,请打开 aspnet_regiis.exe 并运行以下命令,其中 website id 是包含在以下注册表项中的值:
HKLM\Software\Microsoft\WindowsUpdateServices\Server\Setup\IISTargetWebsiteIndex
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\ReportingWebService
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\ClientWebService
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\SimpleAuthWebService
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\WSUSAdmin
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\AdministrationWebService
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\ServrSyncWebService
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\DssAuthWebService
• %windir%\Microsoft.NET\Framework\v1.1.4322\\aspnet_regiis.exe -s W3SVC\<website id>\ROOT\Content
问题 13:远程 SQL 限制
对于在安装有其余 WSUS 应用程序的计算机之外的计算机上运行数据库软件,WSUS 提供的支持非常有限。
• 不能将 Windows 2000 Server 作为远程 SQL 对的前端计算机。
• 不能将配置为域控制器的服务器作为远程 SQL 对的前端或后端。
• 不能将 WMSDE 或 MSDE 作为后端计算机上的数据库软件。
• 有关远程 SQL 问题的详细信息,请参阅部署 Microsoft Windows Server Update Services部署 Microsoft Windows Server Update Services 中的“附录 C:远程 SQL”(文档可能为英文)。
问题 14:与父上游服务器相比, 复制下游服务器可能拥有较少的批准
与父上游服务器相比,复制下游服务器可能拥有较少的批准。原因是在上游服务器上完成该内容的下载之前,安装批准不会流入下游服务器。
问题 15:如果同步失败,则重试同步
如果同步失败,则可能收到一条错误消息。如果发生这种情况,首先应该尝试进行同步。
问题 16:尝试访问 WSUS 管理控制台时,出现 System.IO.FileNotFoundException 错误消息
如果收到以下错误消息,则可能需要调整 Network Service 或 ASP.NET 帐户上的权限:
System.IO.FileNotFoundException:找不到文件或程序集名称 xxxxxx.dll,或其依存关系之一
其中 xxxx 是一个随机的名称。
要解决这个问题,请在 Windows Server 2003 操作系统中,授予 Network Service 帐户对 %systemroot%\Temp 的读/写访问权限。在 Windows 2000 Server 中,授予 ASP.NET 帐户对 %systemroot%\Temp 的读/写访问权限。
问题 17:SQL 安全更新 MS03-031 (KB815495)
此更新可能显示为安装在 WSUS 服务器上,即使在客户端上安装实际上已失败也是如此。从而造成向客户端重新提供软件包。可以通过不批准在服务器上进行更新来解决这个问题。
问题 18:IIS 设置在 RTM 升级期间丢失。
如果在装有上一版本 WSUS(例如 RC)的服务器上安装 WSUS RTM,则 WSUS RTM 将卸载旧版本,然后再安装新版本。这表示将删除 IIS 中与 WSUS 关联的虚拟根目录和文件。
如果已在默认网站上安装 WSUS,则将丢失对 WSUS 虚拟根目录所设定的任何与 WSUS 相关的设置。例如,如果已为 SSL 配置 WSUS 虚拟根目录,以便保护 WUS,则需要在安装 WSUS 的 RTM 版本之后重新配置它们。注意:您将在未启用 SSL 的 WSUS 控制台上接收到一个通知。
如果已经在非默认网站上安装 WSUS,则该 WSUS 网站级别上的所有其他设置都将丢失。
问题 19:使用主机标头
如果要在 IIS 中向默认网站(WSUS 网站)分配主机标头值,则需要向 IP 地址列表添加“所有未分配”或一个已分配的 IP 地址,而不必向默认网站添加主机标头值。该主机标头还应该被添加到非默认网站中
警告:这可能会影响 Microsoft SharePoint 和 Exchange 的功能。
问题 20:在启用 Internet Explorer 加固的计算机上,需要将 WSUS 控制台 URL 添加到受信的站点和本地 Intranet Web 内容区域的列表中
如果在计算机上已启用 Internet Explorer 加固(也称为 Microsoft Windows Server 2003 Internet Explorer 增强安全配置组件),并且没有将 WSUS 控制台添加到受信任的站点和本地 Intranet Web 内容区域中,则每当在 WSUS 控制台中打开一页时,会提示您提供用户凭据。
要将 WSUS 控制台添加到本地 Intranet 和受信任的站点 Web 内容区域中,请执行以下操作:
1.
打开“Internet 选项”(例如,单击“开始”,指向“控制面板”,然后单击“Internet 选项”)。
2.
在“安全”选项卡上,依次单击“本地 Intranet”、“站点”和“高级”,添加 URL (
[url]http://WSUSServername/WSUSAdmin[/url]
),然后单击“确定”。
3.
依次单击“受信任的站点”和“站点”,添加 WSUS 控制台 URL,单击“确定”,然后再次单击“确定”,以退出“Internet 选项”。
问题 21:从 WSUS 候释版中升级时失败
由于自更新树问题,从 WSUS 候释版中进行升级可能会失败。如果在您尝试升级的同时,多个客户端进行自更新,则可能发生这种情况。
要解决此问题,请尝试以下操作:
1.
断开 WSUS 服务器的网络连接,确保客户端无法与该服务器相连。
2.
在命令提示符下,键入:iisrestart /reset,然后按 Enter。
3.
运行该升级。
问题 22:某些 SUS 1.0 中的批准未能迁移到 WSUS。
从 SUS 1.0 迁移到 WSUS 时,SUS 1.0 服务器上的某些批准将不会迁移到 WSUS 服务器。这是由于对 SUS 1.0 可用的许多更新对于 WSUS 不再可用。另外,由于 WSUS 支持的更新比 SUS 更多,因此在迁移过程完成后,您的 WSUS 服务器上可能存在许多未经批准的重要更新。
Microsoft 强烈建议您从 SUS 1.0 中迁移后,查看 WSUS 服务器上那些未经批准的更新。
有关从 SUS 1.0 迁移到 WSUS 的更多信息,请参阅
[url]http://go.microsoft.com/fwlink/?LinkId=48042[/url]
上的从 Software Update Services 迁移到 Windows Server Update Services 的循序渐进指南(文档可能为英文)。