WSUS klijenti ne žele ažuriranje nakon promjene servera?
Onda idemo do vas. (SA)
Svi smo bili u situacijama kada nešto prestane da funkcioniše.
Ovaj članak će se fokusirati na WSUS (više informacija o WSUS-u možete dobiti na и).
Ili preciznije, kako natjerati WSUS klijente (tj. naše računare) da ponovo primaju ažuriranja nakon prijenosa ili vraćanja postojećeg servera za ažuriranje.
Dakle, situacija je sljedeća.
WSUS server je umro. Tačnije, RAID kontroler je proizveden 2000. godine. Ali ova činjenica nije dodala radost. Nakon kratke gužve (sa pokušajima vraćanja RAID-a koji je uništio kontroler na samrti), odlučeno je da se sve pošalje na postavljanje novog WSUS servera.
Kao rezultat toga, dobili smo WSUS koji radi, na koji se klijenti iz nekog razloga nisu povezali.
Bodovi: WSUS je povezan sa FQDN preko internog DNS servera, WSUS server je registrovan u grupnim polisama i distribuira se klijentima preko AD, podrazumevane postavke za server, pre pokretanja svih radnji, ažurirajte sam WSUS i sinhronizujte ažuriranja.
Nakon analize situacije, identifikovano je nekoliko ključnih tačaka.
1) Clinch klijenta (govorimo o wuauclt) kada pokušava da se poveže sa SID-om starog WSUS servera.
2) Problem sa deinstaliranim ažuriranjima preuzetim sa starog WSUS servera.
3) Parkiranje servisa koji utiču na rad wuauclta (govorimo o wuauservu, bitovima i cryptsvc). Do parkiranja je došlo iz različitih razloga, koji nisu detaljno analizirani.
Kao rezultat, cijelo rješenje je rezultiralo malim skriptom, koji se distribuira grupnim politikama preko AD-a ili vlastitim rukama (i nogama). Skripta koristi najsigurniju opciju popravke i nije donijela niti jedan negativan rezultat za šest mjeseci korištenja.
Opisaću šta se radi (za one koji su posebno radoznali).
Parkiramo servis servera za ažuriranje, brišemo bezbednosni deskriptor WSUS komunikacione usluge, brišemo postojeće ispravke sa prethodnog WSUS-a, brišemo registar referenci na prethodni WSUS, pokrećemo uslugu automatskog ažuriranja (wuauserv), uslugu inteligentnog prenosa u pozadini ( bits) i kriptografski servis (cryptsvc), na samom kraju nasilno kucamo na WSUS da resetujemo autorizaciju, detektujemo novi WSUS i generišemo izveštaj serveru.
I kao i uvijek: sve gore i dolje opisane radnje izvodite na vlastitu odgovornost i rizik. Uvjerite se da su svi potrebni podaci sačuvani prije izvršavanja skripte.
Skripta
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
izvor: www.habr.com