WSUS müştəriləri serverləri dəyişdikdən sonra yeniləmək istəmirlər?
Sonra sənin yanına gedirik. (İLƏ)
Hamımız bir şeyin işləməyi dayandırdığı vəziyyətlərdə olmuşuq. Bu məqalə WSUS-a diqqət yetirəcək (WSUS haqqında daha çox məlumatı buradan əldə etmək olar и). Və ya daha dəqiq desək, mövcud yeniləmə serverini köçürdükdən və ya bərpa etdikdən sonra WSUS müştərilərini (yəni kompüterlərimizi) yenidən yeniləmələri almağa necə məcbur etmək olar.
Beləliklə, vəziyyət aşağıdakı kimidir
WSUS serveri öldü. Daha doğrusu, RAID nəzarətçi 2000-ci ildə istehsal edilmişdir. Amma bu fakt sevinc qatmadı. Qısa bir təlaşdan sonra (ölməkdə olan nəzarətçi tərəfindən məhv edilmiş RAID-i bərpa etmək cəhdləri ilə) yeni bir WSUS serverini yerləşdirmək üçün hər şeyi göndərmək qərara alındı.
Nəticədə, müştərilərin nədənsə qoşulmadığı işləyən WSUS əldə etdik.
Nöqtələr: WSUS daxili DNS server vasitəsilə FQDN ilə əlaqələndirilir, WSUS server qrup siyasətlərində qeydiyyatdan keçib və müştərilərə server üçün standart parametrlər olan AD vasitəsilə paylanır, bütün hərəkətlərə başlamazdan əvvəl WSUS-un özünü yeniləyin və yeniləmələri sinxronlaşdırın.
Vəziyyəti təhlil etdikdən sonra bir neçə əsas məqam müəyyən edildi
- Köhnə WSUS serverinin SID-ə qoşulmağa çalışarkən müştəri klinc edir (biz wuauclt haqqında danışırıq).
- Köhnə WSUS serverindən endirilmiş silinmiş yeniləmələrlə bağlı problem.
- Wuauclt-in işinə təsir edən xidmətlərin parklanması (söhbət wuauserv, bit və cryptsvc-dən gedir). Parkinq müxtəlif səbəblərdən yaranıb, bu da ətraflı təhlil edilməyib.
Nəticədə, bütün həll AD vasitəsilə və ya öz əllərinizlə (və ayaqlarınızla) qrup siyasətləri tərəfindən paylanan kiçik bir skriptlə nəticələndi. Skript ən təhlükəsiz təmir seçimindən istifadə edir və altı aylıq istifadə üçün heç bir mənfi nəticə vermədi.
Nə edildiyini təsvir edəcəyəm (xüsusilə maraqlananlar üçün)
Biz yeniləmə server xidmətini park edirik, WSUS rabitə xidmətinin təhlükəsizlik deskriptorunu təmizləyirik, əvvəlki WSUS-dan mövcud yeniləmələri silirik, əvvəlki WSUS-a istinadların reyestrini təmizləyirik, avtomatik yeniləmə xidmətini (wuauserv), arxa planda ağıllı ötürmə xidmətini işə salırıq ( bit) və kriptoqrafiya xidməti (cryptsvc), ən sonunda avtorizasiyanı sıfırlamaq, yeni WSUS aşkar etmək və serverə hesabat yaratmaq üçün WSUS-u güclə döyürük.
Həmişə olduğu kimi: yuxarıda və aşağıda təsvir edilən bütün hərəkətləri öz təhlükə və riskinizlə yerinə yetirirsiniz. Skripti icra etməzdən əvvəl bütün lazımi məlumatların saxlandığından əmin olun.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowMənbə: www.habr.com