WSUS-Clients möchten nach einem Serverwechsel nicht aktualisiert werden?
Dann kommen wir zu Ihnen. (MIT)
Wir alle kennen Situationen, in denen etwas nicht mehr funktioniert. Dieser Artikel konzentriert sich auf WSUS (weitere Informationen zu WSUS erhalten Sie unter и). Oder genauer gesagt, wie man WSUS-Clients (also unsere Computer) dazu zwingt, nach der Übertragung oder Wiederherstellung des bestehenden Update-Servers erneut Updates zu erhalten.
Die Situation ist also wie folgt
Der WSUS-Server ist gestorben. Genauer gesagt wurde der RAID-Controller im Jahr 2000 hergestellt. Aber diese Tatsache sorgte nicht für zusätzliche Freude. Nach einer kurzen Aufregung (mit Versuchen, das RAID wiederherzustellen, das durch den aussterbenden Controller zerstört wurde) wurde beschlossen, alles daran zu setzen, einen neuen WSUS-Server bereitzustellen.
Als Ergebnis erhielten wir ein funktionierendes WSUS, zu dem sich Clients aus irgendeinem Grund nicht verbinden konnten.
Punkte: WSUS ist über einen internen DNS-Server mit dem FQDN verknüpft, der WSUS-Server ist in Gruppenrichtlinien registriert und wird über AD an Clients verteilt, die Standardeinstellungen für den Server, vor dem Starten aller Aktionen, WSUS selbst aktualisieren und die Updates synchronisieren.
Nach der Analyse der Situation wurden mehrere Schlüsselpunkte identifiziert
- Client-Clinch (wir sprechen von wuauclt) beim Versuch, eine Verbindung zur SID des alten WSUS-Servers herzustellen.
- Problem mit deinstallierten Updates, die von einem alten WSUS-Server heruntergeladen wurden.
- Parken von Diensten, die den Betrieb von wuauclt beeinträchtigen (wir sprechen von wuauserv, bits und cryptsvc). Das Parken erfolgte aus verschiedenen Gründen, die nicht im Detail analysiert wurden.
Im Ergebnis entstand aus der Gesamtlösung ein kleines Skript, welches per Gruppenrichtlinien per AD oder mit eigenen Händen (und Füßen) verteilt wird. Das Skript nutzt die sicherste Reparaturmöglichkeit und hat nach sechsmonatiger Nutzung kein einziges negatives Ergebnis gebracht.
Ich werde beschreiben, was getan wird (für diejenigen, die besonders neugierig sind)
Wir parken den Update-Server-Dienst, löschen die Sicherheitsbeschreibung des WSUS-Kommunikationsdienstes, löschen vorhandene Updates aus dem vorherigen WSUS, löschen die Registrierung von Verweisen auf den vorherigen WSUS, starten den automatischen Update-Dienst (wuauserv), den intelligenten Hintergrundübertragungsdienst ( Bits) und den Kryptografiedienst (cryptsvc) klopfen wir ganz am Ende gewaltsam an WSUS, um die Autorisierung zurückzusetzen, ein neues WSUS zu erkennen und einen Bericht an den Server zu erstellen.
Und wie immer: Sie führen alle oben und unten beschriebenen Handlungen auf eigene Gefahr und Gefahr durch. Bitte stellen Sie sicher, dass alle notwendigen Daten gespeichert sind, bevor Sie das Skript ausführen.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowSource: habr.com