Be The Blogger : 전산병의 근무일지

증상 : 거지같은 win10이 업데이트를 못받아가서 구글링해서 나온대로 .esd MIME까지 건드렸는데 업데이트 못받아가는 현상 발생

SSL문제인가 싶어 IIS Manager에 bindings에 Http는 8530, https는 8531로 되어있던 것을 https바인딩을 제거해버림
제거 후 IISRESET, WSUS SERVICE를 차례로 리셋 했는데
계속 다음과 같은 에러가 나는 것이었다.

 Exception: System.ServiceModel.ServiceActivationException: The service '/ClientWebService/client.asmx' cannot be activated due to an exception during compilation.  The exception message is: Could not find a base address that matches scheme https for the endpoint with binding BasicHttpBinding. Registered base address schemes are [http].. ---> System.InvalidOperationException: Could not find a base address that matches scheme https for the endpoint with binding BasicHttpBinding. Registered base address schemes are [http].


다음의 테크넷에서 천금같은 해결방법을 찾았다. 여기 해결방법 링크

C:\Program Files\Update Services\Tools\wsusutil.exe usecustomwebsite false
 C:\Program Files\Update Services\Tools\wsusutil.exe usecustomwebsite true


false로 바꾸면 기본 wsus 포트가 80으로 바뀌고
true 로 바꾸면 기본 wsus 포트가 8530으로 바뀌는데
Using port number: 8530

이렇게 된 후에 이벤트 로그도 없어지고 정상적으로 원복이 되었던 것이다!

저 오류로그가 발생하는 동안 클라이언트에서 업데이트를 확인하면 오류번호 뜨면서 바로 업데이트가 실패하는 것까지 확인하였다.

느낀점
함부로 건들지 말자
wsusutil.exe가 만능이다

배운점
http://127.0.0.1:8530/ClientWebService/client.asmx
정상적으로 웹페이지가 뜨면 정상, 오류가 발생하면 서비스 재기동, 그래도 안되면 위의 명령어로 서비스가 살아나는지 확인

1. 기본적인 서버의 확인사항
1) RDP로 접속 가능하게끔 시스템 - 원격 데스크톱 설정
보안되지 않은 모든 형식의 업데이트 가능하게끔 체크해줌

2) RDP 방화벽에서 막히지 않게끔 3389번 Inbound규칙에 등록해줌

3) 컴퓨터 이름이 랜덤하게 생성되니, 컴퓨터 이름을 바꿔줌

4) Diskmgmt.msc에서 WSUS로 쓸 iSCSI 디스크를 초기화해줌(GPT방식으로 함)
-> 여기서 diskmgmt가 디스크 정보를 못 불러 오는 경우(unable to connect to virtual disk service) : services.msc 들어가서 virtual disk라는 서비스를 한 번 실행해줌...그래도 안되서 리부팅 해줬더니 붙음

5) 기타 사항 : IP주소 할당해줌

2. 그다음 서버 구성 Wizard 실행 ->  Add roles and features -> WSUS


3. WSUS 설치 완료 후 WSUS 구성 마법사 step by step으로 설치

1) upstream서버가 있을경우 동기화 하는 step에서 시간이 10분 정도 걸림
2) 서버 포트를 8530에서 80으로 바꿔야 하는 경우 -> 2012 WSUS 포트 변경 방법
C:\Program Files\Update Services\Tools\WSUSutil usecustomwebsite false

3) 전부 설치하고 마지막 마침 단계에서 초기 동기화 시작을 체크한다.

4. 여기가 끝이 아니다.
1) 그다음에 컴퓨터 그룹을 바로 만들어줘야한다.(기존 쓰던 환경 IP주소 그대로 이관시) - 그렇지 않으면 클라이언트들이 unassigned computer에 들어가게 된다.

2) 그리고 한 15분간 synchronization을 한다. 단, 이때 디스크에 실제로 업데이트 파일이 들어가지 않더라!

3) 업데이트 서비스에서 unapproved된 것들을 approve 해주어야
그제서야 task manager에서 볼 때, Ethernet과 Disk 가 골고루 스루풋이 생기며 업데이트 설치 파일들을 받아오기 시작한다.

4) 80포트로 바꿀시 업데이트 서비스가 접속이 되지 않아 당황하게 되는데
이 때 자신의 80포트로 접속해야한다.

1. 내가 운영중인 WSUS의 Options-Products and Classifications에서
Classification 항목에 보면
Critical Updates
Definition Updates
Security Updates
3가지 항목에 체크 후 운영중이다.
캡처가 불가능하므로, 아래 그림은 구글에서 가져왔다.

Update Rollups나 Updates는 하고 싶으나
파일시스템 용량 문제로 체크를 하지 않았다.

그런데 사용을 하다가 간혹 문제가 발생한다.
예를들어, 지금까지 Windows 7은 Service Pack 1 까지 나왔는데,
Windows 7 Service Pack 1 for x64-based System(KB976932)의 경우
용량이 912.4MB이다.(용량이 크다)
해당 KB는 분류가 'Service Packs'이므로 나의 WSUS 에 저장되지 않는다.

따라서 나의 고객 중 SP1을 설치하고 싶은 사용자는 내 WSUS를 통해서 받아갈 수 없다는 말이 된다.



Windows Update 를 수행하는 Client PC의 가장 심각한 문제점이 두가지가 있는데, 하나는 Windows Update Services(wuauserv)가 실행되는동안에는 CPU Core 하나 전체를 svchost.exe 프로세스가 점유하는 현상이 발생하는 것이고,
나머지 하나는 업데이트 확인이 오래 걸린다는 것이다.

예를들면 이런 화면이 심한 경우 15시간도 걸린 적이 있다.

이를 해결하는 방법으로 다음의 링크를 참조한다.

윈도우 업데이트 시 CPU과점유 및 업데이트 확인 지연 해결 방법

다만 2015년 11월 배포된 KB3102810은 분류가 Critical Updates였으므로 나의 WSUS 리스트에 있었다. 해당 KB를 설치하면 svchost.exe가 점유하던 증상은 사라지는 것으로 확인되었다.
하지만 문제는 이 KB 설치 이후 Trusted Installer가 시작과 동시에 어느정도 점유를 한다. 또한 CPU 100% 점유 이슈가  해결되지 않는 Client PC 들이 있다.
특히, 업데이트를 확인할 때마다 svchost.exe가 CPU를 불규칙적으로 50%이상 꾸준히 점유하는 것을 볼 수 있다.

<수정>
이를 해결해 주는 것이 2016년 7월 21일에 릴리즈된 KB3172605다.
이 KB들의 경우 분류가 'Updates'이다

(2016년 5월 16일에 릴리즈된 KB3125574는 4월까지의 롤업이라고 하며 CPU점유 문제랑 관련 없는 업데이트이다.)

 

SP1의 경우 초기에 설치가 된 상태로 배포하였으므로 지금까지 WSUS에 없어도 문제 될 것은 없었다. IE 11이 분류가 'Update Rollups'여서 Import 시킨 히스토리가 하나 있다.
하지만 우리 컴퓨터 환경에 필요한, 이 파일은 나의 WSUS에 Import 시켰다.

앞으로도 비슷한 Update가 나올 경우 WSUS 운영을 어떻게 가져가야 할지 고민이 앞선다. 파일시스템 자원을 최소한으로 가져가면서도 필요한 업데이트가 있을때마다 부지런하게 Import 시켜주는 것이 최선인지 조금 더 연구를 해봐야 하겠다.


※ 추가로 해결이 필요한 이슈 : WSUS에서 컴퓨터 목록 조회만 하면 오류가 발생하면서 reset server node를 눌러야 하는 것인지? 왜 자꾸 오류가 뜰까? 메모리 문제인가?