Οι πελάτες WSUS δεν θέλουν να ενημερώνονται μετά την αλλαγή διακομιστών;
Μετά πάμε σε εσάς. (ΜΕ)
Όλοι μας έχουμε βιώσει καταστάσεις όπου κάτι σταμάτησε να λειτουργεί.
Αυτό το άρθρο θα επικεντρωθεί στο WSUS (περισσότερες πληροφορίες σχετικά με το WSUS μπορείτε να βρείτε εδώ) и).
Πιο συγκεκριμένα, πώς να αναγκάσουμε τους υπολογιστές-πελάτες του WSUS (δηλαδή τους υπολογιστές μας) να λαμβάνουν ξανά ενημερώσεις μετά τη μετακίνηση ή την επαναφορά ενός υπάρχοντος διακομιστή ενημερώσεων.
Λοιπόν, η κατάσταση έχει ως εξής.
Ο διακομιστής WSUS πέθανε. Πιο συγκεκριμένα, ο ελεγκτής RAID κατασκευάστηκε το 2000. Όμως αυτό το γεγονός δεν πρόσφερε χαρά. Μετά από μια σύντομη φασαρία (με προσπάθειες επαναφοράς του RAID που καταστράφηκε από τον ετοιμοθάνατο ελεγκτή), αποφασίστηκε να σταλούν τα πάντα για να αναπτυχθεί ένας νέος διακομιστής WSUS.
Ως αποτέλεσμα, λάβαμε ένα λειτουργικό WSUS, στο οποίο για κάποιο λόγο οι πελάτες δεν συνδέθηκαν.
Σημεία: Το WSUS συνδέεται με το FQDN μέσω ενός εσωτερικού διακομιστή DNS, ο διακομιστής WSUS καταχωρείται σε πολιτικές ομάδας και διανέμεται στους πελάτες μέσω AD, οι προεπιλεγμένες ρυθμίσεις για τον διακομιστή, πριν ξεκινήσουν όλες οι ενέργειες, ενημερώστε το ίδιο το WSUS και συγχρονίστε τις ενημερώσεις.
Μετά την ανάλυση της κατάστασης, εντοπίστηκαν ορισμένα βασικά σημεία.
1) Ο υπολογιστής-πελάτης κλείνει (μιλάμε για το wuauclt) όταν προσπαθεί να συνδεθεί στο SID του παλιού διακομιστή WSUS.
2) Πρόβλημα με απεγκαταστημένες ενημερώσεις που λήφθηκαν από τον παλιό διακομιστή WSUS.
3) Στάθμευση υπηρεσιών που επηρεάζουν το wuauclt (μιλάμε για wuauserv, bits και cryptsvc). Η στάθμευση έγινε για διάφορους λόγους, οι οποίοι δεν αναλύθηκαν λεπτομερώς.
Ως αποτέλεσμα, η όλη λύση κατέληξε σε ένα μικρό σενάριο, το οποίο διανέμεται από τις πολιτικές ομάδας μέσω AD ή με τα χέρια σας (και τα πόδια σας). Το σενάριο χρησιμοποιεί την ασφαλέστερη επιλογή επισκευής και δεν έχει φέρει ούτε ένα αρνητικό αποτέλεσμα για έξι μήνες χρήσης.
Θα περιγράψω τι γίνεται (για όσους είναι ιδιαίτερα περίεργοι).
Σταθμεύουμε την υπηρεσία διακομιστή ενημέρωσης, διαγράφουμε τον περιγραφικό ασφαλείας της υπηρεσίας επικοινωνίας WSUS, διαγράφουμε υπάρχουσες ενημερώσεις από το προηγούμενο WSUS, εκκαθαρίζουμε το μητρώο αναφορών στο προηγούμενο WSUS, ξεκινάμε την υπηρεσία αυτόματης ενημέρωσης (wuauserv), την υπηρεσία έξυπνης μεταφοράς στο παρασκήνιο ( bits) και την υπηρεσία κρυπτογραφίας (cryptsvc), στο τέλος χτυπάμε με δύναμη το WSUS για να επαναφέρουμε την εξουσιοδότηση, να εντοπίσουμε ένα νέο WSUS και να δημιουργήσουμε μια αναφορά στον διακομιστή.
Και όπως πάντα: εκτελείτε όλες τις ενέργειες που περιγράφονται παραπάνω και παρακάτω με δικό σας κίνδυνο και κίνδυνο. Βεβαιωθείτε ότι όλα τα απαραίτητα δεδομένα έχουν αποθηκευτεί πριν από την εκτέλεση του σεναρίου.
Γραφή
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Πηγή: www.habr.com
