🥇Ние коригираме WSUS клиенти

WSUS клиентите не искат да актуализират след смяна на сървърите?
След това отиваме при вас. (С)

Всички сме били в ситуации, в които нещо спира да работи. Тази статия ще се фокусира върху WSUS (повече информация за WSUS може да бъде получена от тук и тук). Или по-точно за това как да принудим клиентите на WSUS (т.е. нашите компютри) да получават отново актуализации след прехвърляне или възстановяване на съществуващия сървър за актуализация.

Така че ситуацията е следната

WSUS сървърът умря. По-точно RAID контролерът е произведен през 2000г. Но този факт не добави радост. След кратка суматоха (с опити за възстановяване на RAID, който беше разрушен от умиращия контролер), беше решено да се изпрати всичко, за да се разположи нов WSUS сървър.

В резултат на това получихме работещ WSUS, към който по някаква причина клиентите не се свързаха.
Точки: WSUS е свързан с FQDN чрез вътрешен DNS сървър, WSUS сървърът е регистриран в групови правила и се разпространява на клиенти чрез AD, настройките по подразбиране за сървъра, преди да започнете всички действия, актуализирайте самия WSUS и синхронизирайте актуализациите.

След анализ на ситуацията бяха идентифицирани няколко ключови точки

Клиентски клинч (говорим за wuauclt) при опит за свързване към SID на стария WSUS сървър.
Проблем с деинсталирани актуализации, изтеглени от стар WSUS сървър.
Паркиране на услуги, които засягат работата на wuauclt (говорим за wuauserv, bits и cryptsvc). Паркирането е възникнало по различни причини, които не са анализирани подробно.

В резултат на това цялото решение доведе до малък скрипт, който се разпространява чрез групови политики чрез AD или със собствените ви ръце (и крака). Скриптът използва най-безопасната опция за ремонт и не е довел нито един отрицателен резултат за шест месеца употреба.

Ще опиша какво се прави (за особено любопитните)

Ние паркираме услугата на сървъра за актуализиране, изчистваме дескриптора за сигурност на комуникационната услуга WSUS, изтриваме съществуващи актуализации от предишния WSUS, изчистваме регистъра от препратки към предишния WSUS, стартираме услугата за автоматично актуализиране (wuauserv), услугата за фоново интелигентно прехвърляне ( bits) и криптографската услуга (cryptsvc), в самия край насилствено натискаме WSUS, за да нулираме оторизацията, да открием нов WSUS и да генерираме отчет към сървъра.

И както винаги: извършвате всички действия, описани по-горе и по-долу, на собствена отговорност и риск. Моля, уверете се, че всички необходими данни са запазени, преди да изпълните скрипта.

Скрипт

net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f 
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow

Източник: www.habr.com

Поправяме WSUS клиенти

Добавяне на нов коментар

Поправяме WSUS клиенти

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар