TWed2k - 軟體求助討論區 - [問題]VPN與WSUS、AD之間的關係..

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#1 : 2008-8-28 10:17 PM 只看本作者	送花 (0) 送出中...

菜鳥MIS或者稱為IT水電工..
有幾個問題想請教大家^^

公司的網路環境分成總公司與數個據點，
各分據點與總公司之間透過承租HiNet VPN（Hi Link）
做構連 ... 區分成數個不同網段
例總公司 192.168.1.0/24
   據點1  192.168.2.0/24
   據點2  192.168.3.0/24

平時互相利用網路芳鄰做一些檔案交換，
目前正在規劃架設WSUS與AD的環境 ..
WSUS的部分已在進行測試，主機在總公司內，
只要設定內部網路更新位置為http://wsus
Client即可連線到WSUS Server，並下載更新檔案，

但是透過VPN連線的據點，卻無法加入納管，
設定更新來源 http://wsus 或是直接輸入IP，
都無法與WSUS做連線 ...
猜測是因為走VPN的關係，總公司內網走192.168.1.253(實體防火牆)
據點與總公司互連透過Hi Link 的SHDSL設備 192.168.1.254
故據點無法解析到WSUS主機 .. 僅可做網芳檔案共享！

未來會將據點納入總公司AD主機做控管，
只是初步計畫是先測試WSUS一陣子，再來搞AD，
不曉得這樣的情況該怎麼解決呢？

[pokitw0912 在  2008-8-28 11:12 PM 作了最後編輯]

相關關鍵字: VPN WSUS

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

wugen
銀驢友〔初級〕

今日心情

．積分： 491
．文章： 1953
．收花： 3888 支
．送花： 1977 支
．比例： 0.51
．在線： 1763 小時
．瀏覽： 17110 頁
．註冊： 6664 天
．失蹤： 4026 天

#2 : 2008-8-28 10:30 PM 只看本作者	送花 (0) 送出中...

鍵盤上少了6和8嗎?　IP位置都不完整....

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#3 : 2008-8-28 10:40 PM 只看本作者	送花 (0) 送出中...

引用:

wugen寫到:

鍵盤上少了6和8嗎?　IP位置都不完整....

真是昏了頭.. 一時疏忽感謝指正！！

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Yves
鐵驢友〔中級〕

今日心情

．積分： 52
．文章： 83
．收花： 246 支
．送花： 45 支
．比例： 0.18
．在線： 274 小時
．瀏覽： 22961 頁
．註冊： 6282 天
．失蹤： 1386 天

#4 : 2008-8-29 02:57 PM 只看本作者	送花 (0) 送出中...

這個跟HiLink沒關係吧?

引用:

故據點無法解析到WSUS主機 .. 僅可做網芳檔案共享！

確定一下呦,
1. 這句的意思是據點的電腦可以連到WSUS那台主機的共享嗎?
2. ping WSUS會有回應嗎? 我猜問題出在無法解析WSUS這個主機名稱. 不過你提到用IP也不行, 所以很不確定
3. 附上WSUS Client檢測工具, 看有無fail的地方 WSUS Client Diag Tool
4.看一下Client端 C:\WINDOWS\WindowsUpdate.log 裡面的錯誤訊息

[Yves 在 2008-8-29 03:13 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

wugen
銀驢友〔初級〕

今日心情

．積分： 491
．文章： 1953
．收花： 3888 支
．送花： 1977 支
．比例： 0.51
．在線： 1763 小時
．瀏覽： 17110 頁
．註冊： 6664 天
．失蹤： 4026 天

#5 : 2008-8-29 04:59 PM 只看本作者	送花 (0) 送出中...

現在才發現昨晚打的回應沒傳出去...

有去確認WSUS所使用的port有在防火牆和路由器上做設定嗎?(80, 443, 8350, 看你是怎樣設的)

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#6 : 2008-8-29 06:43 PM 只看本作者	送花 (0) 送出中...

引用:

Yves寫到:

這個跟HiLink沒關係吧?

引用:

故據點無法解析到WSUS主機 .. 僅可做網芳檔案共享！

確定一下呦,
1. 這句的意思是據點的電腦可以連到WSUS那台主機的共享嗎?
2. ping WSUS會有回應嗎? 我猜問題出在無法解析WSUS這個主機名稱. 不過你提到用IP也不行, 所以很不確定
3. 附上WSUS Client檢測工具, 看有無fail的地方 WSUS Client Diag Tool
4.看一下Client端 C:\WINDOWS\WindowsUpdate.log 裡面的錯誤訊息

[Yves 在 2008-8-29 03:13 PM 作了最後編輯]

總公司裡面的電腦可以連到WSUS主機
也可以ping的到

據點的部分之前測試
有的電腦ping的到WSUS主機
有的電腦ping不到...
滿詭異的 ..

感謝提供Client端的檢測工具..
我再透過VNC幫據點的電腦測試看看

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#7 : 2008-8-29 06:47 PM 只看本作者	送花 (0) 送出中...

引用:

wugen寫到:

現在才發現昨晚打的回應沒傳出去...

有去確認WSUS所使用的port有在防火牆和路由器上做設定嗎?(80, 443, 8350, 看你是怎樣設的)

port 80 有開放
所以VPN不會影響囉？
縱使在255.255.255.0的MASK底下，
透過VPN還是會變成相同網段嗎？

所以即使192.168.1.0/24跟192.168.2.0/24
之間仍然是區域網路，因為VPN這塊很不熟悉..
有勞釋移

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#8 : 2008-8-29 06:50 PM 只看本作者	送花 (0) 送出中...

剛剛利用遠端連線與VNC測試了一部外點電腦..

總公司WSUS主機：

Windows 2003 Server SP2 連接網際網路
IP: 192.168.1.99/24
Port 80 跑WSUS服務
ping 得到 192.168.17.4

重新整理所有加入WSUS Client電腦清單
192.168.17.4 外點電腦仍未加入WSUS Client 清單

為了讓Client更好連..
在WSUS主機裝了DNS，電腦名稱指向WSUS 192.168.1.99

外點電腦：

Windows XP PRO SP2 無連接網際網路
IP: 192.168.17.4/24
Port 80 可用
ping 得到 192.168.1.99

加入WSUS更新來源http://wsus
下指令強制更新
gpupdate /force
wuauclt.exe /detectnow

DNS設定為 192.168.1.99
nslookup 找到主機 wsus 192.168.1.99

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
以上的設定仍然是無法成功將外點電腦，
透過VPN網路加入總公司WSUS主機 ...
請問問題的癥結點可能出現在哪邊呢？

WSUS的更新來源，可否設定為IP?
因群組原則設定的範例為http開頭...
若直接設定IP是否也可行呢

[pokitw0912 在 2008-8-29 09:47 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Yves
鐵驢友〔中級〕

今日心情

．積分： 52
．文章： 83
．收花： 246 支
．送花： 45 支
．比例： 0.18
．在線： 274 小時
．瀏覽： 22961 頁
．註冊： 6282 天
．失蹤： 1386 天

#9 : 2008-8-30 04:23 PM 只看本作者	送花 (3) 送出中...

Hilink VPN跟我們平常所說的VPN不太一樣.
目前只知會過濾動態路由封包,其它你當點對點專線來看就好了. 所以啥port都可以開.
查一下外點電腦%windir%\WindowsUpdate.log跑一下Client Diag 到
Help Center 查錯誤代碼看看吧.....
-----對不起, 測試的時後打錯IP

-----
現在確認GPO可以用IP來設定
等待你的Diag訊息
另外有人提到用IE開http://WSUS/iuident.cab 看有沒有出現下載, 沒的話順便PO錯誤原因

[Yves 在 2008-9-2 12:14 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#10 : 2008-9-1 07:39 PM 只看本作者	送花 (0) 送出中...

引用:

Yves寫到:

Hilink VPN跟我們平常所說的VPN不太一樣.
目前只知會過濾動態路由封包,其它你當點對點專線來看就好了. 所以啥port都可以開.
另外, 我試起來WSUS不能用IP設定. 所以你一定要用DNS/WINS或HOSTS來解析了..

[Yves 在 2008-9-1 03:40 PM 作了最後編輯]

DNS 我有架起來

也就是外點電腦nslookup 可以找到總公司DNS主機名稱wsus
對應IP 192.168.1.99
也ping 得到 192.168.1.99
真是不解為什麼外點電腦會無法成功加入WSUS

=======================================
今天上班精神不是很集中，
果然又出包了

還好只是小差錯...
每天要告訴我自己.. 我是來上班來練功的不是來想說那個女同事還不錯

=============================================

WSUS好像當機了還怎樣..
連不進去明天上班再測試看看

[pokitw0912 在 2008-9-2 08:30 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#11 : 2008-9-3 06:52 PM 只看本作者	送花 (0) 送出中...

09/03 Update

利用WSUS Client檢測工具

檢測出 DNS 無法反解 wsus
將更新來源指定為IP 可通過檢測工具，
並加入WSUS電腦清單中 ..

但仍有其他加不進來的，情形如下 ..
=============================================
Case I

執行WSUS Client檢測工具
Automatic Update Services is running 顯示紅色的 FAIL
其餘皆Pass，不管是用登錄檔還是手動編輯群組原則，
下完以下兩個指令，仍無反應 ...
gpupdate /force
wuauclt.exe /detectnow
=============================================
Case II

執行WSUS Client檢測工具
出現找不到元件
應用程式無法啟動，因為找不到WINHTTP.dll ...
不管是用登錄檔還是手動編輯群組原則，
下完以下兩個指令，仍無反應 ...
gpupdate /force
wuauclt.exe /detectnow
=============================================
Case III

執行WSUS Client檢測工具
全部PASS 無任何錯誤 ..
不管是用登錄檔還是手動編輯群組原則，
下完以下兩個指令，仍無反應 ...
gpupdate /force
wuauclt.exe /detectnow
(共通點都有裝avast防毒軟體，試過暫停防護仍無解，
無法確定是否為防毒軟體的問題 ..)
=============================================
Case IX

執行WSUS Client檢測工具
全部PASS 無任何錯誤 ..
無法手動編輯群組原則，
下完以下兩個指令，仍無反應 ...
gpupdate /force
wuauclt.exe /detectnow
(共通點..出現於 Windows 2000)

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Yves
鐵驢友〔中級〕

今日心情

．積分： 52
．文章： 83
．收花： 246 支
．送花： 45 支
．比例： 0.18
．在線： 274 小時
．瀏覽： 22961 頁
．註冊： 6282 天
．失蹤： 1386 天

#12 : 2008-9-4 11:26 AM 只看本作者	送花 (2) 送出中...

Case I
Windows Update Service沒啟動
net start wuauserv試試
Case II
BITS 背景下載更新, Windows Update必用
WINHTTP 讓程式可以用HTTP連線的API
裝BITS,WINHTTP
BITS & WINHTTP
Case III & IX 看log查錯誤代碼, 檢查防火牆有無封鎖, ....等

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

pokitw0912
銅驢友〔高級〕

poki

．積分： 161
．文章： 1573
．收花： 788 支
．送花： 810 支
．比例： 1.03
．在線： 2432 小時
．瀏覽： 12241 頁
．註冊： 7970 天
．失蹤： 2 天

#13 : 2008-9-6 06:18 PM 只看本作者	送花 (0) 送出中...

引用:

Yves寫到:

Case I
Windows Update Service沒啟動
net start wuauserv試試
Case II
BITS 背景下載更新, Windows Update必用
WINHTTP 讓程式可以用HTTP連線的API
裝BITS,WINHTTP
BITS & WINHTTP
Case III & IX 看log查錯誤代碼, 檢查防火牆有無封鎖, ....等

我在CMD打 net start wuauserv顯示沒這個指令＠＠
是要在執行那邊打嗎？

裝BITS,WINHTTP => 無法安裝，顯示找不到瀏覽器

Case III & IX 看log查錯誤代碼, 檢查防火牆有無封鎖, ....等
防火強未開啟 ..Orz

發現情況真的很詭異 ..
還有電腦是前幾天加的，今天才出現在清單裡，
是因為HiLink的關係嗎？感覺這網路環境還滿怪異的
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Case I 已解決

解決方法控制台服務裡的 Automatic Update Service 被停用 ..將它重新啟用就好

[pokitw0912 在 2008-9-10 10:04 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆