Устранение неполадок подсистемы Windows для Linux

Статья
11/16/2023

Мы рассмотрели некоторые распространенные сценарии устранения неполадок с WSL, но также вы можете просмотреть сведения о проблемах, опубликованные в репозитории продуктов WSL в GitHub.

Регистрация сведений о проблеме, отчета об ошибке, запроса на функцию

Функция обработки проблем в репозитории продуктов WSL позволяет:

Выполнять поиск сведений о существующих проблемах, чтобы найти информацию, связанную с возникшей проблемой. Обратите внимание, что в строке поиска можно удалить is:open, чтобы включить в результаты поиска проблемы, которые уже были решены. Рассмотрите возможность комментирования или одобрения любых открытых проблем, чтобы выразить свою заинтересованность в их продвижении в качестве приоритетных.
Регистрировать сведения о новых проблемах. Если вы обнаружили проблему с WSL, о которой нет упоминаний, вы можете нажать зеленую кнопку New issue (Новая проблема), а затем выбрать элемент WSL - Bug Report (WSL — отчет об ошибках). Вам нужно будет включить название проблемы, номер сборки Windows (выполните cmd.exe /c ver, чтобы узнать номер текущей сборки), независимо от того, используете ли вы WSL 1 или WSL 2, текущую версию ядра Linux (выполните wsl.exe --status или cat /proc/version), номер версии дистрибутива (выполните lsb_release -r), а также любые другие версии используемого программного обеспечения, сведения о действиях для воспроизведения, ожидаемом поведении, фактическом поведении, а также журналы диагностики, если они доступны и применимы. Дополнительные сведения см. в разделе, посвященном вкладу в WSL.
Отправить запрос на функцию, нажав зеленую кнопку New issue (Новая проблема) и выбрав Feature request (Запрос на функцию). Вам нужно будет ответить на несколько вопросов, описывающих ваш запрос.

Кроме того, вы можете сделать следующее:

Зарегистрировать сведения о проблеме с документацией, используя репозиторий документов WSL. Чтобы внести изменения в документацию по WSL, ознакомьтесь с руководством для участников разработки портала "Документация" Майкрософт.
Зарегистрировать сведения о проблеме с Терминалом Windows, используя репозиторий продуктов Терминала Windows, если проблема связана с Терминалом Windows, консолью Windows или пользовательским интерфейсом командной строки.

Проблемы с установкой

Сбой установки с ошибкой 0x80070003
- Подсистема Windows для Linux работает только на системном диске (обычно это диск C:). Убедитесь, что дистрибутивы хранятся на системном диске.
- В Windows 10 откройте Параметры ->System ->служба хранилища ->More служба хранилища Параметры: изменение места сохранения нового содержимого
- В Windows 11 откройте Параметры ->System ->служба хранилища ->Advanced storage settings ->Where new content is saved
Сбой WslRegisterDistribution с ошибкой 0x8007019e
- Дополнительный компонент "Подсистема Windows для Linux" не включен.
- Выберите Панель управления ->Программы и компоненты ->Включение или отключение компонентов Windows -> установите флажок Подсистема Windows для Linux или используйте командлет PowerShell, упомянутый в начале этой статьи.
Сбой установки с ошибкой 0x80070003 или ошибкой 0x80370102.
- Убедитесь, что в BIOS вашего компьютера включена виртуализация. Расположение этого параметра зависит от компьютера, но обычно он находится в разделе настроек ЦП в BIOS.
- Для WSL2 требуется, чтобы ЦП поддерживал функцию преобразования адресов второго уровня (SLAT), которая появилась в процессорах Intel Nehalem (Intel Core 1-го поколения) и AMD Opteron. Более старые ЦП (например, Intel Core 2 Duo) не смогут запускать WSL2, даже если платформа виртуальной машины успешно установлена.
При попытке обновления возникает ошибка Invalid command line option: wsl --set-version Ubuntu 2.
- Убедитесь, что у вас включена подсистема Windows для Linux и используется сборка Windows 18362 или выше. Чтобы включить WSL, выполните эту команду в командной строке PowerShell с правами администратора: Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux.
Не удалось завершить запрошенную операцию из-за ограничения системы виртуального диска. Файлы виртуального жесткого диска должны быть распакованными, незашифрованными и не разреженными.
- Отмените выбор "Сжатие содержимого" (а также "Шифрование содержимого", если это проверка) путем открытия папки профиля для дистрибутива Linux. Он должен находиться в подпапке файловой системы Windows, для примера: %USERPROFILE%\AppData\Local\Packages\CanonicalGroupLimited....
- В этом профиле дистрибутива Linux должна находиться папка LocalState. Щелкните эту папку правой кнопкой мыши, чтобы отобразить меню параметров. Выберите "Свойства > дополнительно", а затем убедитесь, что флажки "Сжатие содержимого для экономии места на диске" и "Шифрование содержимого для защиты данных проверка" не выбраны (не проверка). Если вам будет предложено применить это только к текущей папке или ко всем вложенным папкам и файлам, выберите "только эта папка", так как вы очищаете флаг сжатия. После этого команда wsl --set-version будет работать правильно.

Screenshot of WSL distro property settings

Примечание.

В этом примере папка LocalState для дистрибутива Ubuntu 18.04 расположена по адресу C:\Users<имя_пользователя>\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc.

Чтобы получать обновленные сведения, проверьте ветку № 4103 в документации GitHub WSL, где отслеживается эта проблема.

Термин WSL не распознан как имя командлета, функции, файла скрипта или действующей программы.
- Убедитесь, что установлен дополнительный компонент Подсистема Windows для Linux. Кроме того, эта ошибка возникнет, если вы используете устройство ARM64 и выполняете эту команду в PowerShell. Вместо этого запустите wsl.exe из PowerShell Core или командной строки.
Error: Windows Subsystem for Linux has no installed distributions (Ошибка. Для подсистемы Windows для Linux не установлены дистрибутивы).
- Если эта ошибка возникает после установки дистрибутивов WSL, выполните следующие действия:
1. Запустите дистрибутив минимум один раз, прежде чем вызывать его из командной строки.
2. Проверьте, не выполняются ли две отдельные учетные записи пользователей. Выполнение основной учетной записи пользователя с повышенными разрешениями (в режиме администратора) не должно приводить к этой ошибке. Но следует убедиться, что вы случайно не запустили встроенную учетную запись администратора, поставляемую в Windows. Это отдельная учетная запись пользователя, для которой установленные дистрибутивы WSL не будут отображаться по умолчанию. Дополнительные сведения см. в статье Включение и отключение встроенной учетной записи администратора.
3. Исполняемый файл WSL устанавливается только в собственный системный каталог. При выполнении 32-разрядного процесса в 64-разрядной системе Windows (в ARM64 в любом несобственном сочетании) для размещенного несобственного процесса доступна другая папка System32. (Один 32-разрядный процесс отображается на диске x64 Windows на диске \Windows\SysWOW64.) Вы можете получить доступ к системе native32 из размещенного процесса, выполнив поиск в виртуальной папке: \Windows\sysnative Хотя фактически эта папка не будет присутствовать на диске, сопоставитель путей в файловой системе найдет ее.
Ошибка. Это обновление применяется только к компьютерам с подсистема Windows для Linux.
- Чтобы установить пакет обновления MSI для ядра Linux, нужно сначала включить WSL. В случае сбоя отображается следующее сообщение: This update only applies to machines with the Windows Subsystem for Linux.
- Есть три возможные причины, по которым вы видите это сообщение:
1. Вы используете старую версию Windows, которая не поддерживает WSL 2. Требования к версиям и ссылки пакеты обновления см. на шаге 2.
2. Компонент WSL не включен. Необходимо вернуться к шагу 1 и убедиться, что на компьютере включен необязательный компонент WSL.
3. Когда он будет включен, перезагрузите компьютер, чтобы изменения вступили в силу, и повторите попытку.
Error: WSL 2 requires an update to its kernel component. For information please visit https://aka.ms/wsl2kernel. (Ошибка. Для WSL 2 требуется обновление компонента ядра. Дополнительные сведения см. здесь: https://aka.ms/wsl2kernel).
- Эта ошибка возникает, если пакет ядра Linux отсутствует в папке %SystemRoot%\system32\lxss\tools. Чтобы устранить ошибку, установите пакет обновления MSI для ядра Linux, как описано на шаге 4 в этих инструкциях по установке. Возможно, вам потребуется удалить пакет MSI в разделе Установка и удаление программ, а затем снова установить его.

Распространенные проблемы

Я использую Windows 10 версии 1903, но не вижу параметры для WSL 2.

Скорее всего, это связано с тем, что на компьютере еще не установлены исправления для WSL 2. Чтобы решить эту проблему самым простым способом, перейдите в параметры Windows, нажмите кнопку "Проверить наличие обновлений" и установите последние обновления в системе. Изучите полные инструкции по получению исправления для старой версии.

Если после нажатия кнопки "Проверить наличие обновлений" вы не получили обновление, можно установить исправления KB4566116 вручную.

Ошибка: 0x1bc, когда `wsl --set-default-version 2`

Это может произойти, если язык интерфейса или язык системы не является английским.

wsl --set-default-version 2
Error: 0x1bc
For information on key differences with WSL 2 please visit https://aka.ms/wsl2

Фактическая ошибка для 0x1bc:

WSL 2 requires an update to its kernel component. For information please visit https://aka.ms/wsl2kernel

См. сведения о проблеме 5749.

Не удается получить доступ к файлам WSL из Windows

Файловый сервер протокола 9p предоставляет службу на стороне Linux, которая позволяет Windows получить доступ к файловой системе Linux. Если вы не можете получить доступ к WSL с помощью \\wsl$ в Windows, возможно, это вызвано неправильным запуском 9P.

Чтобы убедиться в этом, можно проверить журналы запуска с помощью команды dmesg |grep 9p. Если ошибки есть, отобразятся сведения о них. Выходные данные выглядят следующим образом:

[    0.363323] 9p: Installing v9fs 9p2000 file system support
[    0.363336] FS-Cache: Netfs '9p' registered for caching
[    0.398989] 9pnet: Installing 9P2000 support

См . этот поток GitHub для дальнейшего обсуждения этой проблемы.

Не удается запустить дистрибутив WSL 2, а в выходных данных отображается только WSL 2.

Если язык интерфейса не английский, возможно, отображается усеченная версия текста ошибки.

C:\Users\me>wsl
WSL 2

Чтобы устранить эту проблему, перейдите по адресу https://aka.ms/wsl2kernel и установите ядро вручную, следуя инструкциям на этой странице документации.

`command not found` при выполнении Windows .exe в Linux

Пользователи могут запускать исполняемые файлы Windows, например notepad.exe, прямо в среде Linux. Но иногда это действие приводит к ошибке "Команда не найдена", как показано ниже:

$ notepad.exe
-bash: notepad.exe: command not found

Если в $PATH нет путей Win32, взаимодействие не будет находить exe.exe. Чтобы проверить это, выполните echo $PATH в среде Linux. Ожидается, что в выходных данных появится путь Win32 (например, /mnt/c/Windows). Если вы не видите эти пути Windows, скорее всего переменная PATH перезаписана оболочкой Linux.

Ниже приведен пример файла /etc/profile на ОС Debian, который вызывал такую проблему:

if [ "`id -u`" -eq 0 ]; then
  PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
else
  PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games"
fi

Чтобы решить эту проблему в среде Debian, нужно удалить приведенные выше строки. Вы также можете добавить значения в переменную $PATH во время назначения, как показано ниже, но это может вызвать другие проблемы с WSL и VSCode.

if [ "`id -u`" -eq 0 ]; then
  PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH"
else
  PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games:$PATH"
fi

Дополнительные сведения см. в описании проблем 5296 и 5779.

"Ошибка: 0x80370102 не удалось запустить виртуальную машину, так как требуемая функция не установлена".

Включите компонент платформы виртуальных машин Windows и убедитесь, что в BIOS включена виртуализация.

Проверка требований к системе Hyper-V
Если компьютер является виртуальной машиной, включите вложенную виртуализацию вручную. Запустите PowerShell с администратором и выполните следующую команду, заменив <VMName> имя виртуальной машины на хост-системе (вы можете найти имя в диспетчере Hyper-V):
```
Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true
```
Следуйте рекомендациям производителя компьютера, чтобы включить виртуализацию. Как правило, для проверки того, что эти функции включены в ЦП, может использоваться BIOS системы. Инструкции для этого процесса могут быть разными для разных компьютеров, один из примеров вы можете изучить в этой статье от Bleeping Computer.
Перезагрузите компьютер после включения дополнительного компонента Virtual Machine Platform.
Убедитесь, что запуск гипервизора включен в конфигурации загрузки. Это можно проверить, выполнив следующее (с повышенными правами PowerShell):
```
 bcdedit /enum | findstr -i hypervisorlaunchtype
```
Если вы видите hypervisorlaunchtype Off, это значит, что гипервизор отключен. В окне PowerShell с повышенными привилегиями выполните следующее:
```
 bcdedit /set hypervisorlaunchtype Auto
```
Кроме того, если у вас установлены сторонние гипервизоры, (например, VMware или VirtualBox), убедитесь, что это последние версии, поддерживающие HyperV (VMware 15.5.5+ и VirtualBox 6+), или что они выключены.
Если вы получаете эту ошибку на виртуальной машине Azure, проверка, чтобы убедиться, что доверенный запуск отключен. Вложенная виртуализация не поддерживается на виртуальных машинах Azure.

Узнайте больше о том, как настроить вложенную виртуализацию при запуске Hyper-V на виртуальной машине.

WSL не имеет сетевого подключения на рабочем компьютере или в среде Enterprise

В средах Business или Enterprise могут быть настроенные параметры брандмауэра Защитника Windows для блокировки несанкционированного сетевого трафика. Если для слияния локальных правил установлено значение "Нет", сеть WSL не будет работать по умолчанию, и ваш администратор должен будет добавить правило брандмауэра, чтобы разрешить это поведение.

Чтобы подтвердить настройку слияния локальных правил:

Windows Firewall settings screenshot

Откройте раздел "Брандмауэр Защитника Windows с повышенной безопасностью" (он отличается от раздела "Брандмауэр Защитника Windows" на Панели управления).
Щелкните правой кнопкой мыши вкладку "Брандмауэр Защитника Windows с расширенной безопасностью на локальном компьютере".
Выберите "Свойства".
Выберите вкладку "Общедоступный профиль" в открывшемся окне.
Выберите "Настроить" в разделе "Параметры".
Установите флажок в открывшемся окне "Настройка параметров для общедоступного профиля", чтобы проверить, задано ли параметру "Слияние правил" значение "Нет". Это приведет к блокировке доступа к WSL.

Инструкции по изменению этого параметра брандмауэра см. в разделе "Настройка брандмауэра Hyper-V".

В WSL отсутствует подключение к сети после подключения к сети VPN

Если после подключения к VPN в Windows оболочка Bash утрачивает подключение к сети, попробуйте воспользоваться этим обходным решением в Bash. Это решение позволит вручную переопределить разрешение DNS с помощью /etc/resolv.conf.

Запишите DNS-сервер виртуальной частной сети. Для этого выполните ipconfig.exe /all
Создайте копию существующего resolv.conf, выполнив sudo cp /etc/resolv.conf /etc/resolv.conf.new
Разорвите связь с текущим файлом resolv.conf, выполнив команду sudo unlink /etc/resolv.conf.
sudo mv /etc/resolv.conf.new /etc/resolv.conf
Измените /etc/wsl.conf и добавьте это содержимое в файл. (Дополнительные сведения об этом см. в статье Расширенная конфигурация.)

[network]
generateResolvConf=false

Открытие /etc/resolv.conf и
a. Удалите первую строку из файла с комментарием, описывающим автоматическое создание.
b. Добавьте запись DNS из пункта 1 выше в качестве первой записи в списке DNS-серверов.
c. Закройте файл.

После отключения VPN необходимо будет отменить изменения в /etc/resolv.conf. Для этого введите следующее:

cd /etc
sudo mv resolv.conf resolv.conf.new
sudo ln -s ../run/resolvconf/resolv.conf resolv.conf

Проблемы с VPN Cisco Anyconnect с WSL в режиме NAT

Cisco Any Подключение VPN изменяет маршруты таким образом, чтобы предотвратить работу NAT. Существует обходное решение для WSL 2. Ознакомьтесь с руководством Подключение по Администратор клиента Secure Mobility Client Администратор mobility client, выпуск 4.10. Устранение неполадок с любыми Подключение.

Проблемы с подключением WSL к виртуальным сетям при включенном режиме зеркального подключения

Зеркальный сетевой режим в настоящее время является экспериментальным параметром в конфигурации WSL. Традиционная архитектура сети NAT WSL может быть обновлена до нового сетевого режима под названием "Зеркальный сетевой режим". Если для экспериментального networkingMode параметра задано mirroredзначение, сетевые интерфейсы, имеющиеся в Windows, зеркало в Linux для повышения совместимости. Дополнительные сведения см. в блоге командной строки: обновление WSL за сентябрь 2023 г.

Некоторые виртуальные сети были протестированы и подтверждены несовместимы с WSL, в том числе:

Bitdefender версии 26.0.2.1
OpenVPN версии 2.6.501
"Mcafee Сейф Подключение" версии 2.16.1.124

Проблемы с управлением входящим трафиком, полученным узлом Windows на виртуальную машину WSL

При использовании зеркального сетевого режима (экспериментального networkingMode набора mirrored) некоторый входящий трафик, полученный узлом Windows, никогда не будет размещен на виртуальной машине Linux. Этот трафик выглядит следующим образом:

Порт UDP 68 (DHCP)
TCP-порт 135 (разрешение конечной точки DCE)
Порт UDP 5353 (mDNS)
TCP-порт 1900 (UPnP)
TCP-порт 2869 (SSDP)
TCP-порт 5004 (RTP)
TCP-порт 3702 (WSD)
TCP-порт 5357 (WSD)
TCP-порт 5358 (WSD)

WSL автоматически настраивает определенные параметры сети Linux при использовании зеркало сетевого режима. Любые пользовательские конфигурации этих параметров при использовании зеркало сетевого режима не поддерживаются. Ниже приведен список параметров WSL:

Имя параметра	Значение
https://sysctl-explorer.net/net/ipv4/accept_local/	Включено (1)
https://sysctl-explorer.net/net/ipv4/route_localnet/	Включено (1)
https://sysctl-explorer.net/net/ipv4/rp_filter/	Отключено (0)
https://sysctl-explorer.net/net/ipv6/accept_ra/	Отключено (0)
https://sysctl-explorer.net/net/ipv6/autoconf/	Отключено (0)
https://sysctl-explorer.net/net/ipv6/use_tempaddr/	Отключено (0)
addr_gen_mode	Отключено (0)
disable_ipv6	Отключено (0)
https://sysctl-explorer.net/net/ipv4/arp_filter/	Включено (1)

Проблемы с контейнером Docker в WSL2 с включенным зеркальным сетевым режимом при выполнении в пространстве имен сети по умолчанию

Существует известная проблема, из-за которой контейнеры Docker Desktop с опубликованными портами (docker run –publish/-p) не будут созданы. Команда WSL работает с командой Docker Desktop для решения этой проблемы. Чтобы обойти проблему, используйте сетевое пространство имен узла в контейнере Docker. Задайте тип сети с помощью параметра --network host, используемого в команде Docker Run. Альтернативным решением является перечисление опубликованного номера порта в ignoredPorts параметре экспериментального раздела в файле конфигурации WSL.

Суффиксы DNS в WSL

В зависимости от конфигураций в wslconfig-файле WSL будет иметь следующие суффиксы DNS:

Если для сетиMode задано значение NAT:

Вариант 1. По умолчанию суффикс DNS не настроен в Linux.

Вариант 2. Если туннелирование DNS включено (для dnsTunneling задано значение true в wslconfig) Все суффиксы WINDOWS DNS настроены в Linux, в параметре поиска /etc/resolv.conf

Суффиксы настраиваются в файле /etc/resolv.conf в следующем порядке, как и в том порядке, в котором dns-клиент Windows пытается выполнить суффиксы при разрешении имени: глобальные суффиксы DNS, а затем дополнительные суффиксы DNS, а затем суффиксы DNS интерфейса.

При изменении суффиксов WINDOWS DNS это изменение будет автоматически отражено в Linux.

Случай 3. Если туннелирование DNS отключено и DNS-прокси SharedAccess отключен (dnsTunneling имеет значение false, а dnsProxy имеет значение false в Wslconfig) Один DNS-суффикс настроен в Linux в параметре /etc/resolv.conf.

Если в DNS-суффиксах Windows есть изменение, это изменение не отражается в Linux.

Один суффикс DNS, настроенный в Linux, выбирается из суффиксов DNS для каждого интерфейса (глобальные и дополнительные суффиксы игнорируются).

Если Windows имеет несколько интерфейсов, эвристика используется для выбора одного DNS-суффикса, который будет настроен в Linux. Например, если в Windows есть VPN-интерфейс, суффикс выбирается из этого интерфейса. Если VPN-интерфейс отсутствует, суффикс выбирается из интерфейса, который, скорее всего, дает подключение к Интернету.

Если для параметра networkingMode задано значение Mirrorred:

Все суффиксы DNS Windows настроены в Linux в параметре поиска /etc/resolv.conf.

Суффиксы настраиваются в /etc/resolv.conf в том же порядке, что и в случае 2) в режиме NAT

При изменении суффиксов WINDOWS DNS это изменение будет автоматически отражено в Linux.

Примечание. Дополнительные суффиксы DNS можно настроить в Windows с помощью SetInterfaceDns Параметры — приложения Win32 | Microsoft Learn с флагом DNS_SETTING_SUPPLEMENTAL_SEARCH_LIST задан в параметре Параметры

Устранение неполадок DNS в WSL

Конфигурация DNS по умолчанию, когда WSL запускает контейнер в режиме NAT, требуется, чтобы устройство NAT на узле Windows служило DNS-сервером для контейнера WSL. Когда DNS-запросы отправляются из контейнера WSL на это устройство NAT на узле Windows, dns-пакет перенаправляются с устройства NAT в службу общего доступа на узле; ответ отправляется в обратном направлении обратно в контейнер WSL. Для этого процесса пересылки пакетов в общий доступ требуется правило брандмауэра, чтобы разрешить входящий пакет DNS, созданный службой HNS, когда WSL первоначально запрашивает HNS создать виртуальную сеть NAT для своего контейнера WSL.

Из-за этого NAT — конструктор общего доступа существует несколько известных конфигураций, которые могут нарушить разрешение имен из WSL.

1. Корпоративная может отправлять политику, которая не разрешает локальные правила брандмауэра, разрешая только определенные правила корпоративной политики.

Если это задано предприятием, созданное правило брандмауэра HNS игнорируется, так как это локально определенное правило. Для работы этой конфигурации предприятие должно создать правило брандмауэра, чтобы разрешить UDP-порту 53 в службу общего доступа, или WSL можно задать для использования туннелирования DNS. Можно увидеть, настроено ли это, чтобы не разрешать локальные правила брандмауэра, выполнив указанные ниже действия. Обратите внимание, что в этом разделе отображаются параметры для всех 3 профилей: домен, частный и общедоступный. Если он установлен в любом профиле, пакеты будут заблокированы, если виртуальный сетевой адаптер WSL назначен этим профилем (по умолчанию — общедоступный). Это только фрагмент первого профиля брандмауэра, возвращаемого в PowerShell:

PS C:\> Get-NetFirewallProfile -PolicyStore ActiveStore
Name                            : Domain
Enabled                         : True
DefaultInboundAction            : Block
DefaultOutboundAction           : Allow
AllowInboundRules               : True
AllowLocalFirewallRules         : False

AllowLocalFirewallRules:False means the locally defined firewall rules, like that by HNS, will not be applied or used.

2. И Enterprise может отправлять групповые политики и параметры политики MDM, которые блокируют все правила входящего трафика.

Эти параметры переопределяют любое правило брандмауэра allow-Inbound. Таким образом, этот параметр блокирует правило брандмауэра UDP, созданное HNS, и поэтому не позволит WSL разрешать имена. Для работы этой конфигурации необходимо задать WSL для использования туннелирования DNS. Этот параметр всегда блокирует DNS-прокси NAT.

Из групповой политики:

Конфигурация компьютера \ Администратор istrative templates \ Network \ Подключение ions \ Network Подключение ions \ Брандмауэр Защитника Windows \ Профиль домена | Стандартный профиль

"Брандмауэр Защитника Windows: не разрешать исключения" — включено

Из политики MDM:

./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/Shielded

./Vendor/MSFT/Firewall/MdmStore/DomainProfile/Shielded

./Vendor/MSFT/Firewall/MdmStore/PublicProfile/Shielded

Можно увидеть, настроено ли это не разрешать правила входящего брандмауэра, выполнив следующие действия (см. приведенные выше предупреждения в профилях брандмауэра). Это только фрагмент первого профиля брандмауэра, возвращаемого в PowerShell:


PS C:\> Get-NetFirewallProfile -PolicyStore ActiveStore
Name                            : Domain
Enabled                         : True
DefaultInboundAction            : Block
DefaultOutboundAction           : Allow
AllowInboundRules               : False

AllowInboundRules: False means that no inbound Firewall rules will be applied.

3. Пользователь проходит через Безопасность Windows настройки приложений и проверка элемент управления "Блокирует все входящие подключения, в том числе в списке разрешенных приложений".

Windows поддерживает согласие пользователя для того же параметра, который может применяться корпорацией Enterprise, на которую ссылается выше .2. Пользователи могут открыть страницу параметров "Безопасность Windows", выбрать параметр "Защита сети брандмауэра", выбрать профиль брандмауэра&, который нужно настроить (домен, частный или общедоступный), а в разделе "Входящие подключения" проверка элемент управления "Блокировать все входящие подключения, в том числе в списке разрешенных приложений".

Если это задано для общедоступного профиля (это профиль по умолчанию для виртуальной сетевой карты WSL), правило брандмауэра, созданное HNS, чтобы разрешить UDP-пакетам общий доступ будет заблокирован.

Это должно быть не проверка для конфигурации DNS-прокси NAT для работы из WSL или WSL можно задать для использования туннелирования DNS.

4. Правило брандмауэра HNS, позволяющее пакетам DNS предоставить общий доступ, может стать недопустимым, ссылаясь на предыдущий идентификатор интерфейса WSL. Это недостаток в HNS, который был исправлен с последним выпуском Windows 11. В предыдущих выпусках, если это происходит, это не легко обнаружить, но у него есть простая работа:

Остановка WSL
1. wsl.exe –shutdown
Удалите старое правило брандмауэра HNS. Эта команда PowerShell должна работать в большинстве случаев: 1.Get-NetFirewallRule -Name "HNS*" | Get-NetFirewallPortFilter | where Protocol -eq UDP | where LocalPort -eq 53 | Remove-NetFirewallRule
Удаление всех конечных точек HNS
1. Примечание. Если HNS используется для управления другими контейнерами, такими как MDAG или Песочница Windows, они также должны быть остановлены.
2. hnsdiag.exe delete all
Перезагрузка или перезапуск службы HNS
При перезапуске WSL HNS создаст новые правила брандмауэра, правильно предназначенные для интерфейса WSL.

При запуске WSL или установке дистрибутива возвращается код ошибки

Следуйте инструкциям по сбору журналов WSL в репозитории WSL на GitHub для сбора подробных журналов и отправки проблемы на сайте GitHub.

Обновление WSL

Есть два компонента подсистемы Windows для Linux, которые могут требовать обновления.

Чтобы обновить саму подсистему Windows для Linux, используйте команду wsl --update в PowerShell или CMD.
Чтобы обновить определенные двоичные файлы пользователя дистрибутива Linux, используйте команду apt-get update | apt-get upgrade в дистрибутиве Linux, который требуется обновить.

Ошибки apt-get upgrade

Некоторые пакеты используют функции, которые еще не реализованы. Например, udevпока не поддерживается и вызывает несколько ошибок apt-get upgrade.

Чтобы устранить проблемы, связанные с udev, выполните следующие действия.

Введите приведенный ниже код в /usr/sbin/policy-rc.d и сохраните изменения.
```
#!/bin/sh
exit 101
```
Добавьте разрешения на выполнение в /usr/sbin/policy-rc.d:
```
chmod +x /usr/sbin/policy-rc.d
```

Выполните следующие команды:

dpkg-divert --local --rename --add /sbin/initctl
ln -s /bin/true /sbin/initctl

"Ошибка: 0x80040306" при установке

Это связано с тем, что мы не поддерживаем устаревшую консоль. Чтобы отключить устаревшую консоль, выполните следующие действия.

Откройте cmd.exe
Щелкните правой кнопкой мыши строку заголовка -> выберите "Свойства" -> снимите флажок "Использовать прежнюю версию консоли".
Нажмите кнопку "ОК"

Ошибка: 0x80040154 после обновления Windows

Компонент "Подсистема Windows для Linux" может быть отключен во время обновления Windows. В этом случае данную функцию Windows необходимо включить заново. Инструкции по включению подсистемы Windows для Linux см. в статье Руководство по установке.

Изменение отображаемого языка

Установщик WSL попытается автоматически изменить языковой стандарт Ubuntu в соответствии с языковым стандартом установки Windows. Если это нежелательно, можно выполнить приведенную ниже команду, чтобы изменить языковой стандарт Ubuntu после завершения установки. Чтобы это изменение вступило в силу, потребуется повторно запустить bash.exe.

В следующем примере изменяется языковой стандарт на en-US:

sudo update-locale LANG=en_US.UTF8

Проблемы установки после восстановления системы Windows

Удалите папку %windir%\System32\Tasks\Microsoft\Windows\Windows Subsystem for Linux.
Примечание. Не делайте этого, если дополнительная функция полностью установлена и работает.
Включите дополнительный компонент WSL (если он еще не включен).
Перезагрузка
Выполните команду lxrun /uninstall /full
Установите Bash.

Нет доступа к Интернету в WSL

Некоторые пользователи сообщили о проблемах с определенными приложениями брандмауэра, блокирующими доступ к Интернету в WSL. Сообщили о следующих брандмауэрах:

Kaspersky
СРЕДН.
Avast.
Symantec Endpoint Protection

В некоторых случаях отключение брандмауэра обеспечивает доступ. В некоторых случаях доступ блокируется просто при наличии установленного брандмауэра.

Если вы используете брандмауэр в Microsoft Defender, снимите флажок "Блокирует все входящие подключения, в том числе для приложений, указанных в списке разрешенных программ", чтобы разрешить доступ.

Ошибка "Отказ в разрешении" при проверке связи

В выпуске Windows Anniversary Update, версия 1607 для проверки связи в WSL требуются права администратора. Чтобы выполнить проверку связи, запустите Bash для Ubuntu в Windows от имени администратора или запустите bash.exe из командной строки или сеанса PowerShell с привилегиями администратора.

В более поздних версиях Windows (сборка 14926+) права администратора не требуются.

Bash перестал отвечать на запросы

Если при работе с Bash вы обнаружите, что Bash перестал отвечать на запросы (или взаимозаблокирован), помогите нам диагностировать проблему путем сбора и передачи дампа памяти. Обратите внимание на то, что выполнение этих действий приведет к сбою системы. Не делайте этого, если вас это не устраивает, либо предварительно сохраните результаты своей работы.

Сбор дампа памяти

Измените тип дампа памяти на "Полный дамп памяти". При изменении типа дампа запишите текущий тип.
Выполните эти действия, чтобы настроить аварийное завершение с помощью клавиатуры.
Воспроизведите взаимоблокировку или прекращение ответа на запросы.
Выполните аварийное завершение системы с помощью последовательности клавиш из пункта 2.
Произойдет аварийное завершение системы и будет собран дамп памяти.
После перезагрузки системы отправьте memory.dmp на адрес электронной почты secure@microsoft.com. По умолчанию файл дампа находится в папке %SystemRoot%\memory.dmp или C:\Windows\memory.dmp, если C: является системным диском. В письме укажите, что дамп предназначен для команды разработчиков WSL или Bash в Windows.
Восстановите исходное значение типа дампа памяти.

Проверка номера сборки

Чтобы узнать архитектуру компьютера и номер сборки Windows, выберите
Параметры>Система>О программе

Найдите поля Сборка ОС и Тип системы.
Screenshot of Build and System Type fields

Чтобы найти номер сборки Windows Server, выполните в PowerShell следующую команду.

systeminfo | Select-String "^OS Name","^OS Version"

Подтверждение включения WSL

Вы можете убедиться, что подсистема Windows для Linux включена, выполнив следующую команду в окне PowerShell повышенного уровня:

Get-WindowsOptionalFeature -Online -FeatureName Microsoft-Windows-Subsystem-Linux

Проблемы с подключением к серверу OpenSSH

При попытке подключиться к серверу SSH произошел сбой следующей ошибки: "Подключение ion закрыт 127.0.0.0.1 порт 22".

Убедитесь, что сервер OpenSSH работает
```
sudo service ssh status
```
и вы следовали указаниям в этом руководстве: https://ubuntu.com/server/docs/service-openssh.
Завершите работу службы sshd и запустите sshd в режиме отладки.
```
sudo service ssh stop
sudo /usr/sbin/sshd -d
```

Проверьте журналы запуска и убедитесь, что ключи сервера доступны и в журнале нет сообщений, как показано ниже.

debug1: sshd version OpenSSH_7.2, OpenSSL 1.0.2g  1 Mar 2016
debug1: key_load_private: incorrect passphrase supplied to decrypt private key
debug1: key_load_public: No such file or directory
Could not load host key: /etc/ssh/ssh_host_rsa_key
debug1: key_load_private: No such file or directory
debug1: key_load_public: No such file or directory
Could not load host key: /etc/ssh/ssh_host_dsa_key
debug1: key_load_private: No such file or directory
debug1: key_load_public: No such file or directory
Could not load host key: /etc/ssh/ssh_host_ecdsa_key
debug1: key_load_private: No such file or directory
debug1: key_load_public: No such file or directory
Could not load host key: /etc/ssh/ssh_host_ed25519_key

Если вы видите такие сообщения и в разделе /etc/ssh/ отсутствуют ключи, потребуется повторно создать ключи или просто очистить и установить сервер OpenSSH.

sudo apt-get purge openssh-server
sudo apt-get install openssh-server

Сообщение "Указанная сборка не найдена" может появиться при включении дополнительного компонента WSL.

Данная ошибка связана с неправильным состоянием установки. Чтобы устранить эту проблему, выполните следующие действия.

Если вы используете команду включения компонента WSL в PowerShell, попробуйте использовать графический пользовательский интерфейс. Для этого откройте меню "Пуск", выполните поиск фразы "Включение или отключение компонентов Windows", а затем из списка выберите "Подсистема Windows для Linux". Этот дополнительный компонент будет установлен.
Обновите версию Windows, выбрав "Параметры" > "Обновления" и щелкнув "Проверить наличие обновлений".
Если оба способа не помогли и вам нужно использовать WSL, рассмотрите возможность обновления на месте, переустановив Windows с установочного носителя и выбрав параметр "Сохранить все", чтобы сохранить свои приложения и файлы. Инструкции по такой установке можно найти на странице Переустановка Windows 10.

Если вы видите эту ошибку:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '/home/user/.ssh/private-key.pem' are too open.

Чтобы устранить эту проблему, добавьте следующий текст в файл /etc/wsl.conf:

[automount]
enabled = true
options = metadata,uid=1000,gid=1000,umask=0022

Обратите внимание, что добавление этой команды будет включать метаданные и изменять разрешения для файлов Windows, показанных в WSL. См. сведения о разрешениях файловой системы.

Не удается удаленно использовать WSL с помощью OpenSSH в Windows

Если вы используете opensh-server в Windows и пытаетесь удаленно получить доступ к WSL, вы увидите эту ошибку:

The file cannot be accessed by the system.

Это известная проблема при использовании версии WSL в Магазине. Вы можете обойти эту проблему сегодня с помощью WSL 1 или с помощью версии WSL в Windows. Дополнительные сведения см. в разделе https://aka.ms/wslstoreinfo .

Выполнение команд Windows завершается сбоем в дистрибутиве

Некоторые дистрибутивы, доступные в Microsoft Store, еще не полностью поддерживают выполнение команд Windows. Если при выполнении powershell.exe /c start . или любой другой команды Windows возникает ошибка -bash: powershell.exe: command not found, ее можно устранить, выполнив следующие действия:

В дистрибутиве WSL выполните echo $PATH.
Если /mnt/c/Windows/system32 отсутствует, что-то переопределяет стандартную переменную PATH.
Проверьте параметры профиля с помощью cat /etc/profile.
Если присутствует назначение переменной PATH, измените файл, чтобы закомментировать блок назначения PATH, используя символ #.
Проверьте, существует ли файл wsl.conf (cat /etc/wsl.conf), и убедитесь, что он не содержит appendWindowsPath=false. В противном случае закомментируйте эту строку.
Перезапустите дистрибутив, введя wsl -t , после чего следует имя дистрибутива, либо выполните wsl --shutdown в cmd или PowerShell.

Не удается выполнить загрузку после установки WSL 2

Мы осведомлены о проблемах, из-за которых пользователям не удается выполнить загрузку после установки WSL 2. Пока мы полностью диагностировали эту проблему, от пользователей поступали сообщения о том, что помочь в ее устранении может изменение размера буфера или установка правильных драйверов. Просмотрите эту проблему GitHub, чтобы просмотреть последние обновления по этой проблеме.

Ошибки WSL 2, возникающие при отключении ICS

Совместное использование подключения к Интернету (ICS) — обязательный компонент WSL 2. Служба ICS используется сетевой службой узлов (HNS) для создания базовой виртуальной сети. На ее основе в WSL 2 реализуется работа с NAT, DNS и DHCP, а также совместное использование подключения к узлу.

Если отключить службу ICS (SharedAccess) или ICS через групповую политику, нельзя будет создать сеть WSL службы HNS. Это приведет к сбоям при создании нового образа WSL версии 2 и возникновению указанной ниже ошибки при попытке преобразовать образ версии 1 в образ версии 2.

There are no more endpoints available from the endpoint mapper.

Для систем, требующих использования WSL 2, нужно оставить службу ICS (SharedAccess) в состоянии запуска по умолчанию "Вручную (активировать запуск)", а любую политику, запрещающую ICS следует перезаписать или удалить. Отключение службы ICS приведет к нарушению работы WSL 2, и мы не рекомендуем отключать ICS, однако некоторые части ICS можно отключить с помощью этих инструкций.

Использование более старых версий Windows и WSL

Есть несколько отличий, которые следует учитывать, если вы используете более раннюю версию Windows и WSL, например Windows 10 Creators Update (октябрь 2017 г., сборка 16299) или Anniversary Update (август 2016 г., сборка 14393). Рекомендуется выполнить обновление до последней версии Windows, но если это невозможно, ознакомьтесь с некоторыми из описанных ниже различий.

Особенности взаимодействия команд:

bash.exe заменен на wsl.exe; Команды Linux можно запускать из командной строки Windows или из PowerShell, но для ранних версий Windows может потребоваться использовать bash эту команду. Например: C:\temp> bash -c "ls -la". Команды WSL, передаваемые в bash -c, перенаправляются в процесс WSL без изменения. Пути к файлам должны быть указаны в формате WSL, кроме того, необходимо внимательно экранировать соответствующие знаки. Пример: C:\temp> bash -c "ls -la /proc/cpuinfo" или C:\temp> bash -c "ls -la \"/mnt/c/Program Files\"".
Чтобы узнать, какие команды доступны для определенного дистрибутива, выполните команду [distro.exe] /?. Например, с Ubuntu: C:\> ubuntu.exe /?.
путь Windows включен в переменную $PATH WSL.
При вызове средства Windows из дистрибутива WSL в ранних версиях Windows 10 необходимо указать путь к каталогу. Например, чтобы вызвать приложение Windows "Блокнот" из командной строки WSL, введите /mnt/c/Windows/System32/notepad.exe.
Чтобы изменить пользователя по умолчанию для использования root этой команды в PowerShell, введите C:\> lxrun /setdefaultuser root и выполните Bash.exe, чтобы выполнить вход: C:\> bash.exe. Сбросьте пароль с помощью команды $ passwd username для паролей для дистрибутивов и закройте командную строку Linux: $ exit. В командной строке Windows или PowerShell сбросьте настройки пользователя по умолчанию до стандартной учетной записи пользователя Linux: C:\> lxrun.exe /setdefaultuser username.

Удаление устаревшей версии WSL

Если первоначально вы установили WSL в Windows 10 Creators Update (октябрь 2017 г., сборка 16299), рекомендуется перенести все необходимые файлы, данные и пр. из старого дистрибутива Linux в более новый дистрибутив, установленный с помощью Microsoft Store. Чтобы удалить устаревший дистрибутив с компьютера, выполните следующую команду в командной строке или экземпляре PowerShell: wsl --unregister Legacy. Кроме того, вы можете вручную удалить устаревший дистрибутив, удалив папку %localappdata%\lxss\ (и все ее содержимое) с помощью проводника Windows или PowerShell: rm -Recurse $env:localappdata/lxss/.