Кліенты WSUS не жадаюць абнаўляцца пасля змены сервера?
Тады мы ідзём да вас. (с)
Ва ўсіх бывалі сітуацыі, калі што-небудзь пераставала працаваць. У дадзеным артыкуле гаворка пойдзе аб WSUS (больш падрабязную інфармацыі аб WSUS можна атрымаць и). А дакладней аб тым, як прымусіць кліентаў WSUS (г.зн. нашы з вамі кампутары) зноўку атрымліваць абнаўленні пасля пераносу ці ўзнаўленні існага сервера абнаўленняў.
Такім чынам, сітуацыя наступная
Сдох сервер WSUS. Дакладней RAID-кантролер аж 2000 гады выпуску. Але радасці гэты факт не дадаў. Пасля недоўгачасовай валтузні (са спробамі аднавіць RAID, загублены які памірае кантролерам), было прынята рашэнне паслаць усё разгарнуць новы WSUS-сервер.
У выніку мы атрымалі які працуе WSUS, на які чамусьці не канэкціліся кліенты.
Моманты: WSUS прывязаны з FQDN праз унутраны DNS-сервер, WSUS-сервер прапісаны ў групавых палітыках і распаўсюджваецца на кліентаў праз AD, налады для сервера па-змаўчанні, перад пачаткам усіх дзеянняў абновіце сам WSUS і выканайце сінхранізацыю абнаўленняў.
Пасля аналізу сітуацыі, было выяўлена некалькі ключавых момантаў
- Клінч кліента (гаворка пра wuauclt) пры спробе злучыцца з SID старога сервера WSUS.
- Праблема з неўсталяванымі абнаўленнямі, запампаванымі са старога WSUS-сервера.
- Паркоўка службаў якія ўплываюць на працу wuauclt (гаворка пра wuauserv, bits і cryptsvc). Паркоўка адбылася з розных прычынаў, якія дэталёва не аналізаваліся.
У выніку ўсё рашэнне вылілася ў невялікі скрыпт, які распаўсюджваецца групавымі палітыкамі праз AD ці ўласнымі рукамі (і нагамі). Скрыпт выкарыстоўвае найболей бяспечны варыянт папраўкі і не прыносіў ніводнага негатыўнага выніку ўжо на працягу паўгода выкарыстання.
Апішу, што робіцца (для асоба цікаўных)
Паркуем службу сервера абнаўленняў, чысцім дэскрыптар бяспекі службы сувязі з WSUS, выдаляны наяўныя абнаўленні ад папярэдняга WSUS, чысцім рэестр ад згадванняў аб папярэднім WSUS, стартуем службы аўтаматычнага абнаўлення (wuauserv), фонавую інтэлектуальную службу перадачы (bitsv) і службу у самым канцы прымусова грукаемся ў WSUS з абнуленнем аўтарызацыі, выяўленнем новага WSUS і генерацыяй справаздачы на сервер.
І як заўсёды: усе дзеянні апісаныя вышэй і ніжэй вы выконваеце на свой страх і рызыку. Калі ласка, пераканайцеся ў тым, што ўсе неабходныя дадзеныя захаваны да выканання скрыпту.
Скрыпт
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowКрыніца: habr.com