Klienti WSUS nechtějí po změně serverů aktualizovat?
Pak jdeme k vám. (S)
Všichni jsme byli v situacích, kdy něco přestalo fungovat. Tento článek se zaměří na WSUS (další informace o WSUS lze získat na и). Nebo přesněji o tom, jak donutit klienty WSUS (tedy naše počítače), aby po přenesení nebo obnovení stávajícího aktualizačního serveru opět dostávali aktualizace.
Situace je tedy následující
Server WSUS zemřel. Přesněji řečeno, řadič RAID byl vyroben v roce 2000. Tato skutečnost ale radost nepřidala. Po krátkém povyku (s pokusy o obnovení RAID, který byl zničen umírajícím řadičem), bylo rozhodnuto vše poslat k nasazení nového serveru WSUS.
V důsledku toho jsme obdrželi funkční WSUS, ke kterému se z nějakého důvodu klienti nepřipojovali.
Body: WSUS je propojen s FQDN prostřednictvím interního serveru DNS, server WSUS je registrován v zásadách skupiny a je distribuován klientům prostřednictvím služby AD, což je výchozí nastavení serveru, před zahájením všech akcí aktualizujte samotný WSUS a synchronizujte aktualizace.
Po analýze situace bylo identifikováno několik klíčových bodů
- Clinch klienta (mluvíme o wuauclt) při pokusu o připojení k SID starého serveru WSUS.
- Problém s odinstalovanými aktualizacemi staženými ze starého serveru WSUS.
- Parkování služeb, které ovlivňují provoz wuauclt (mluvíme o wuauserv, bitech a cryptsvc). K parkování docházelo z různých důvodů, které nebyly podrobně analyzovány.
Výsledkem celého řešení byl malý skript, který je distribuován skupinovými politikami přes AD nebo vlastníma rukama (a nohama). Skript používá nejbezpečnější možnost opravy a za šest měsíců používání nepřinesl jediný negativní výsledek.
Popíšu, co se dělá (pro ty, kteří jsou obzvláště zvědaví)
Zaparkujeme službu aktualizačního serveru, vymažeme deskriptor zabezpečení komunikační služby WSUS, odstraníme stávající aktualizace z předchozího WSUS, vymažeme registr referencí na předchozí WSUS, spustíme službu automatických aktualizací (wuauserv), službu inteligentního přenosu na pozadí ( bitů) a kryptografické služby (cryptsvc), na samém konci násilně zaklepeme na WSUS, abychom resetovali autorizaci, detekovali nové WSUS a vygenerovali zprávu na server.
A jako vždy: všechny činnosti popsané výše a níže provádíte na vlastní nebezpečí a riziko. Před spuštěním skriptu se prosím ujistěte, že jsou uložena všechna potřebná data.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowZdroj: www.habr.com