Οι πελάτες WSUS δεν θέλουν να ενημερώνονται μετά την αλλαγή διακομιστών;
Μετά πάμε σε εσάς. (ΜΕ)
Όλοι έχουμε βρεθεί σε καταστάσεις όπου κάτι σταματά να λειτουργεί. Αυτό το άρθρο θα επικεντρωθεί στο WSUS (περισσότερες πληροφορίες σχετικά με το WSUS μπορείτε να λάβετε από το и). Ή πιο συγκεκριμένα, σχετικά με το πώς να εξαναγκάσουμε τους πελάτες WSUS (δηλαδή τους υπολογιστές μας) να λαμβάνουν ξανά ενημερώσεις μετά τη μεταφορά ή την επαναφορά του υπάρχοντος διακομιστή ενημέρωσης.
Η κατάσταση λοιπόν έχει ως εξής
Ο διακομιστής WSUS πέθανε. Πιο συγκεκριμένα, ο ελεγκτής RAID κατασκευάστηκε το 2000. Όμως αυτό το γεγονός δεν πρόσφερε χαρά. Μετά από μια σύντομη φασαρία (με προσπάθειες επαναφοράς του RAID που καταστράφηκε από τον ετοιμοθάνατο ελεγκτή), αποφασίστηκε να σταλούν τα πάντα για να αναπτυχθεί ένας νέος διακομιστής WSUS.
Ως αποτέλεσμα, λάβαμε ένα λειτουργικό WSUS, στο οποίο για κάποιο λόγο οι πελάτες δεν συνδέθηκαν.
Σημεία: Το WSUS συνδέεται με το FQDN μέσω ενός εσωτερικού διακομιστή DNS, ο διακομιστής WSUS καταχωρείται σε πολιτικές ομάδας και διανέμεται στους πελάτες μέσω AD, οι προεπιλεγμένες ρυθμίσεις για τον διακομιστή, πριν ξεκινήσουν όλες οι ενέργειες, ενημερώστε το ίδιο το WSUS και συγχρονίστε τις ενημερώσεις.
Μετά την ανάλυση της κατάστασης, εντοπίστηκαν αρκετά βασικά σημεία
- Client clinch (μιλάμε για wuauclt) όταν προσπαθείτε να συνδεθείτε στο SID του παλιού διακομιστή WSUS.
- Πρόβλημα με απεγκατεστημένες ενημερώσεις που έχουν ληφθεί από έναν παλιό διακομιστή WSUS.
- Παρκάρισμα υπηρεσιών που επηρεάζουν τη λειτουργία του wuauclt (μιλάμε για wuauserv, bits και cryptsvc). Η στάθμευση έγινε για διάφορους λόγους, οι οποίοι δεν αναλύθηκαν λεπτομερώς.
Ως αποτέλεσμα, η όλη λύση κατέληξε σε ένα μικρό σενάριο, το οποίο διανέμεται από τις πολιτικές ομάδας μέσω AD ή με τα χέρια σας (και τα πόδια σας). Το σενάριο χρησιμοποιεί την ασφαλέστερη επιλογή επισκευής και δεν έχει φέρει ούτε ένα αρνητικό αποτέλεσμα για έξι μήνες χρήσης.
Θα περιγράψω τι γίνεται (για όσους είναι ιδιαίτερα περίεργοι)
Σταθμεύουμε την υπηρεσία διακομιστή ενημέρωσης, διαγράφουμε τον περιγραφικό ασφαλείας της υπηρεσίας επικοινωνίας WSUS, διαγράφουμε υπάρχουσες ενημερώσεις από το προηγούμενο WSUS, εκκαθαρίζουμε το μητρώο αναφορών στο προηγούμενο WSUS, ξεκινάμε την υπηρεσία αυτόματης ενημέρωσης (wuauserv), την υπηρεσία έξυπνης μεταφοράς στο παρασκήνιο ( bits) και την υπηρεσία κρυπτογραφίας (cryptsvc), στο τέλος χτυπάμε με δύναμη το WSUS για να επαναφέρουμε την εξουσιοδότηση, να εντοπίσουμε ένα νέο WSUS και να δημιουργήσουμε μια αναφορά στον διακομιστή.
Και όπως πάντα: εκτελείτε όλες τις ενέργειες που περιγράφονται παραπάνω και παρακάτω με δικό σας κίνδυνο και κίνδυνο. Βεβαιωθείτε ότι όλα τα απαραίτητα δεδομένα έχουν αποθηκευτεί πριν από την εκτέλεση του σεναρίου.
Γραφή
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowΠηγή: www.habr.com