WSUS-klientoj ne volas ĝisdatigi post ŝanĝo de serviloj?
Tiam ni iras al vi. (KUN)
Ni ĉiuj estis en situacioj kie io ĉesas funkcii. Ĉi tiu artikolo fokusiĝos pri WSUS (pliaj informoj pri WSUS povas esti akiritaj de и). Aŭ pli precize, pri kiel devigi WSUS-klientojn (tio estas, niajn komputilojn) ricevi ĝisdatigojn denove post translokado aŭ restarigo de la ekzistanta ĝisdatiga servilo.
Do la situacio estas jena
La WSUS-servilo mortis. Pli precize, la RAID-regilo estis produktita en 2000. Sed ĉi tiu fakto ne aldonis ĝojon. Post mallonga tumulto (kun provoj restarigi la RAID, kiu estis ruinigita de la mortanta regilo), estis decidite sendi ĉion por deploji novan WSUS-servilon.
Kiel rezulto, ni ricevis funkciantan WSUS, al kiu ial klientoj ne konektiĝis.
Punktoj: WSUS estas ligita al la FQDN per interna DNS-servilo, la WSUS-servilo estas registrita en gruppolitikoj kaj estas distribuita al klientoj per AD, la defaŭltaj agordoj por la servilo, antaŭ ol komenci ĉiujn agojn, ĝisdatigi WSUS mem kaj sinkronigi la ĝisdatigojn.
Post analizo de la situacio, pluraj ŝlosilaj punktoj estis identigitaj
- Kliento klinĉo (ni parolas pri wuauclt) kiam vi provas konekti al la SID de la malnova WSUS-servilo.
- Problemo kun malinstalitaj ĝisdatigoj elŝutitaj de malnova WSUS-servilo.
- Parkado de servoj, kiuj influas la funkciadon de wuauclt (ni parolas pri wuauserv, bits kaj cryptsvc). Parkado okazis pro diversaj kialoj, kiuj ne estis detale analizitaj.
Kiel rezulto, la tuta solvo rezultigis malgrandan skripton, kiu estas distribuita per gruppolitikoj per AD aŭ per viaj propraj manoj (kaj piedoj). La skripto uzas la plej sekuran riparan opcion kaj ne alportis eĉ unu negativan rezulton dum ses monatoj da uzo.
Mi priskribos tion, kio estas farita (por tiuj, kiuj estas precipe scivolemaj)
Ni parkumas la ĝisdatigan servilon, forigas la sekurecan priskribilon de la WSUS-komunika servo, forigas ekzistantajn ĝisdatigojn de la antaŭa WSUS, purigas la registron de referencoj al la antaŭa WSUS, ekas la aŭtomatan ĝisdatigservon (wuauserv), la fonan inteligentan translokigan servon ( bits) kaj la kriptografian servon (cryptsvc), fine ni forte frapas WSUS por restarigi rajtigon, detekti novan WSUS kaj generi raporton al la servilo.
Kaj kiel ĉiam: vi plenumas ĉiujn agojn priskribitajn supre kaj sube je via propra danĝero kaj risko. Bonvolu certigi, ke ĉiuj necesaj datumoj estas konservitaj antaŭ ol ekzekuti la skripton.
Skripto
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowfonto: www.habr.com