稍等片刻,听我说。这将是一个漫长的过程。过去几个月,我们在特定的 Microsoft Server 2003 R2 机器上遇到了更新问题。这个问题让我和我们的常驻服务器管理员困惑不已,因为我们无法弄清楚到底是什么导致了这个问题。
以下是详细信息:
我们的网络: 该网络是一个中小型组织,拥有大约 (500) 台计算机和 20 多台服务器。主要 DC 和关键服务均在 Server 2012 (r1) 上运行,而一些较旧的应用程序/服务则在 2008 R2 上运行。此外,还有少量的 Server 2003 R2 计算机,主要运行旧版应用程序和服务,这些应用程序和服务将在明年被替换或淘汰。
问题: 问题是,在这几台 2003 R2 服务器中,有三台表现出奇怪的行为。我们第一次注意到这种行为是因为它们突然(在同一个更新周期内)无法正确安装更新,并通过我们的监控软件收到警报。
Windows更新: 在有问题的机器上,我们可以正常连接到 Windows 更新 URL,但任何实际检查更新的尝试都会导致
错误编号:0x80244016
在 Windows 更新页面中。此错误代码对应于无效的 URL。由于我们正在通过 WSUS,因此 URL 应该是并且(我们已经在所有服务器上检查过)指向我们的 WSUS 服务器的 FQDN 和端口 \NOC3.sub.domain.com:8888 。我们发现此时通过 winHTTP 代理设置阻止了流量。因此,当出现此问题时,我们可以使用
代理配置-h
并清除代理设置。运行 Windows 更新,它将成功连接。
这就是有趣的地方: 现在,一切都会好起来,但情况会变得更好。所以下一次 Windows 更新在上个月发布,然后,完全相同的问题再次出现在完全相同的服务器上。现在,我们有点怀疑为什么相同的代理设置会重新应用。当然,我们认为这可能是一个未正确禁用或可能只是错误应用的旧策略。因此,我们都在域控制器上的 GPM 中搜索了所有适用于服务器的 GPO,寻找任何可能与这个奇怪的、现在重新出现的策略 (?) 有关的已应用策略,该策略导致我们的服务器以某种方式恢复到这个 (错误的) 代理服务器设置。没有应用任何提及代理服务器的策略。然后,我在机器上运行了 RSOP。
它变得更加奇怪: 因此,在运行 RSOP 后,一切似乎都加载正常。直到我尝试打开本地计算机 --> 管理模板文件夹。首先,打开文件夹需要很长时间。然后,当它最终运行时,会出现与 AER_####.adm 相关的错误消息。不仅会出现错误,而且您会在同一个文件夹中看到多种语言的策略设置。现在,我不太能读懂阿拉伯语、中文、意大利语或日语,但我会假设这些是不同语言的策略设置的重复。我发现,通过清除 %root%\system\inf 文件夹中的 .adm 文件,至少可以让 RSOP 加载管理模板而不会出现错误。*注意:后来的研究表明,AER####.adm 文件与错误报告有关;当您考虑接下来会发生什么时,这很奇怪:
首次尝试解决: 因此,我凭直觉将多余的 .adm 文件移动到另一个文件夹;然后我运行了一个
gpupdate /force
在受影响的服务器上。 *注意:此服务器仍保留“卡住”的代理服务器设置。重新启动后,代理设置似乎仍保留了我们想要的无代理设置。
但不幸的是,喜悦只是暂时的: 在最近的更新周期中,我们收到警告,服务器再次无法获得更新。同样的问题,同样的错误代理服务器设置。 *注意:代理服务器设置指向我们曾经用作 Web 代理的内部服务器,因此我们目前不认为存在“安全风险”。我还再次检查了 RSOP,多余的 .adm 文件又回到了原位。因此,此时,我确信问题出在修改我们的策略的任何东西上,以至于生成了这些新的 AER####.adm 文件(策略或某些正在更改我们策略的外部设备/程序)。我在网上任何地方都找不到类似的东西,而且我不了解组策略的内部机制,因为它们应用于服务器 2003 R2 操作系统,目前无法深入研究。所以我请求您帮忙!
结论: 因此我可以肯定的是:
- 该问题仅出现在 2003 R2 服务器上
- 该问题并不影响所有 2003 R2 服务器
- 没有任何已应用(甚至处于活动状态)的策略与此当前代理设置有任何关联,该设置似乎会不定期地重新应用
- 在本地服务器上手动禁用代理设置后,更新将正常运行
- 再次强调,它不会一直处于禁用状态
任何关于这个问题的建议或见解都非常好。感谢您的时间!