Klienti WSUS nechtějí po změně serverů aktualizovat?
Pak jdeme k vám. (S)
Všichni jsme byli v situacích, kdy něco přestalo fungovat. Tento článek se zaměří na WSUS (další informace o WSUS lze získat na
Situace je tedy následující
Server WSUS zemřel. Přesněji řečeno, řadič RAID byl vyroben v roce 2000. Tato skutečnost ale radost nepřidala. Po krátkém povyku (s pokusy o obnovení RAID, který byl zničen umírajícím řadičem), bylo rozhodnuto vše poslat k nasazení nového serveru WSUS.
V důsledku toho jsme obdrželi funkční WSUS, ke kterému se z nějakého důvodu klienti nepřipojovali.
Body: WSUS je propojen s FQDN prostřednictvím interního serveru DNS, server WSUS je registrován v zásadách skupiny a je distribuován klientům prostřednictvím služby AD, což je výchozí nastavení serveru, před zahájením všech akcí aktualizujte samotný WSUS a synchronizujte aktualizace.
Po analýze situace bylo identifikováno několik klíčových bodů
- Clinch klienta (mluvíme o wuauclt) při pokusu o připojení k SID starého serveru WSUS.
- Problém s odinstalovanými aktualizacemi staženými ze starého serveru WSUS.
- Parkování služeb, které ovlivňují provoz wuauclt (mluvíme o wuauserv, bitech a cryptsvc). K parkování docházelo z různých důvodů, které nebyly podrobně analyzovány.
Výsledkem celého řešení byl malý skript, který je distribuován skupinovými politikami přes AD nebo vlastníma rukama (a nohama). Skript používá nejbezpečnější možnost opravy a za šest měsíců používání nepřinesl jediný negativní výsledek.
Popíšu, co se dělá (pro ty, kteří jsou obzvláště zvědaví)
Zaparkujeme službu aktualizačního serveru, vymažeme deskriptor zabezpečení komunikační služby WSUS, odstraníme stávající aktualizace z předchozího WSUS, vymažeme registr referencí na předchozí WSUS, spustíme službu automatických aktualizací (wuauserv), službu inteligentního přenosu na pozadí ( bitů) a kryptografické služby (cryptsvc), na samém konci násilně zaklepeme na WSUS, abychom resetovali autorizaci, detekovali nové WSUS a vygenerovali zprávu na server.
A jako vždy: všechny činnosti popsané výše a níže provádíte na vlastní nebezpečí a riziko. Před spuštěním skriptu se prosím ujistěte, že jsou uložena všechna potřebná data.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Zdroj: www.habr.com