SUS SP1 on win2003Ent. - clientii nu updateaza

Se da:

Windows 2003 Enterprise cu AD in mode native, standalone.
Clienti: winXP SP1

Software Update Services w/ SP1, configurat ca la carte, AU Client settings sunt deployed prin GPO, isi ia update-urile zilnic, le aprob, etc... numai ca clientii nu le downloadeaza.
asta se intampla subit de vreo luna..schibmari in GPO pe server nu au fost, dar brusc clientii nu isi mai trag update-urile... pagina de Automatic Updates din My Comp>poperties etc la clienti e "greyed-out", deci setarile prin GPO functioneaza.. tin sa va spun ca am verificat toate permisiile in IIS, si totu e asa cum trebe, nimik schimbat.

am incercat tot felu de "solutii" propuse pe newsgroupurile de la MS.... adica una singura .... un Force Update utility, care nu a avut efect.... va rog ceva ajutor....

uita-te pe aici, am mai povestit o data:

http://forum.softped...2&highlight=SUS

anyway, vezi scriptul asta  pentru verificarea setarilor de sus de pe computere.

ce iti sugerez prima oara este sa verifici log-urile de IIS, daca exista request din partea clientilor

revino cu noutati...

later: also check event log for automatic updates messages

danke, incerc maine si la servici... diseara incerc si la mine acasa...revin

I would appreciate a feedback ... SUS e un subiect f. putin discutat, deshi are nishte beneficii evidente in corporate LAN...

so, Pittick !?

da ... beneficiile sunt evidente, numai ca are o problema : IIS :( ... eu am migrat pe Apache cam peste tot ...

hmm ... in primul rand SUS se preteaza sa-l foloseshti only in LAN, deci nu pe server cu expunere la Internet. Also, este recomandat sa nu fie domain controller, ci member server (minimized importance).

nu intru in amanunte despre cum potzi securiza un server de IIS + SUS (criptari, certificate, kerberos, urlscan ...) ...  in cazul asta nu mi se pare o problema sa il foloseshti, atata vreme cat IIS-ul e folosit numai pentru SUS.

Again, pana sa saritzi ca multe atacuri au loc din interior  ganditzi-va la toate aspectele:

- cat de mult balansezi "security vs usability"
- ce informatzii protejezi
- ce nivel de access rishti in momentul in care foloseshti o componenta cu un grad de risc mai mare (mai precis, ce pierzi daca serverul este compromis)

.. etc.

In concluzie, pentru o companie, protejata corespunzator de un firewall, cu politici de securitate bine definite (agreate, semnate de useri), cu un admin care shtie ceva mai mult decat install / uninstall, SUS este un server f.f. recomandat.

finally, renuntzati la ideea ca Windows-ul este un produs slab din punct de vedere al securitatii (Tyby, shtiu ca eshti de acord cu asta): shi Windows-ul shi Linux-ul pot fi configurate dezastruos; la fel de bine amandoua pot fi facute sa mearga struna.

Ideea este sa nu fii exclusivist shi sa adoptzi varianta cea mai buna la problema pusa ....

Stiu ca am deviat putin de la subiect; my point este ca exista destule tehnologii MS care sunt folosite f. putin sau subapreciate ...

my 2 cents

:oK: got it ... chiar am in plan sa-l bag pe un member server cat de curand ...

probabil ca dau atunci mai multe informatii si dau si in tine (tot atunci :drac:)

scuze de intarziere reply-ului, am fost ocupat si nu am fost nici p-acasa.

mdeci, am incercat toate solutiile astea..toti zic acelasi lucru, icnearca aia ,fa aia :D ..dar nimeni n-a venit sa zica "domne, uite asta am avut, uite ce-am facut si s-a rezolvat"..in fine, nu imi permit sa refac toata ierarhia mai ales ca e foarte mare si deja e folosita..asa ca folosesc Hyenna pt patch deployment momentan.

man, nu a zis nimeni de refacut ierarhia ... cat despre solutii oferite, no offence, dar n-am visat infrastructura ta peste noapte ca sa pot sa zic "acolo e buba !" ;)

btw: nu ti-am propus sa faci nimic care sa afecteze clientii, ci doar un pic de investigatie:

- ce zice logul IIS-ului ( am zis ce sa cauti)
- ce eroare ai in log-ul clientului
- contul de anonymous sa fie OK
- nu s-a jucat nimeni cu un url scan pe server
- numele serverului specificat in GPO poate fi rezolvat de catre client

etc ...

btw: sunt familiar cu ierarhie de servere SUS care deservesc cca 3.000 clienti, deci shtiu sigur ca se poate ;) ...

@tyby: anytime :oK:

de URLScan nu se pune problema.
O sa ii dau paste la log-uri aici.

Ma refeream la ierarhia serverelor..am 6.

O sa postez pe seara cand ajung acasa ce si cum.