¿Los clientes de WSUS no quieren actualizar después de cambiar de servidor?
Entonces vamos a ti. (CON)
Todos hemos estado en situaciones en las que algo deja de funcionar. Este artículo se centrará en WSUS (puede obtener más información sobre WSUS en и). O más precisamente, sobre cómo obligar a los clientes WSUS (es decir, nuestras computadoras) a recibir actualizaciones nuevamente después de transferir o restaurar el servidor de actualizaciones existente.
Entonces la situación es la siguiente
El servidor WSUS murió. Más precisamente, el controlador RAID se fabricó en el año 2000. Pero este hecho no añadió alegría. Después de un breve alboroto (con intentos de restaurar el RAID que fue arruinado por el controlador moribundo), se decidió enviar todo para implementar un nuevo servidor WSUS.
Como resultado, recibimos un WSUS funcional al que, por alguna razón, los clientes no se conectaron.
Puntos: WSUS está vinculado al FQDN a través de un servidor DNS interno, el servidor WSUS está registrado en políticas de grupo y se distribuye a los clientes a través de AD, la configuración predeterminada para el servidor, antes de iniciar todas las acciones, actualice WSUS y sincronice las actualizaciones.
Después de analizar la situación, se identificaron varios puntos clave.
- El cliente se cierra (estamos hablando de wuauclt) cuando intenta conectarse al SID del antiguo servidor WSUS.
- Problema con las actualizaciones desinstaladas descargadas de un servidor WSUS antiguo.
- Aparcamiento de servicios que afectan al funcionamiento de wuauclt (estamos hablando de wuauserv, bits y cryptsvc). El estacionamiento se produjo por diversos motivos, que no fueron analizados en detalle.
Como resultado, toda la solución resultó en un pequeño script que se distribuye mediante políticas de grupo a través de AD o con sus propias manos (y pies). El script utiliza la opción de reparación más segura y no ha dado ningún resultado negativo durante seis meses de uso.
Describiré lo que se está haciendo (para aquellos que tengan especial curiosidad)
Aparcamos el servicio del servidor de actualizaciones, limpiamos el descriptor de seguridad del servicio de comunicación WSUS, eliminamos las actualizaciones existentes del WSUS anterior, limpiamos el registro de referencias al WSUS anterior, iniciamos el servicio de actualización automática (wuauserv), el servicio de transferencia inteligente en segundo plano ( bits) y el servicio de criptografía (cryptsvc), al final presionamos con fuerza a WSUS para restablecer la autorización, detectar un nuevo WSUS y generar un informe para el servidor.
Y como siempre: realiza todas las acciones descritas arriba y a continuación bajo su propia responsabilidad y riesgo. Asegúrese de guardar todos los datos necesarios antes de ejecutar el script.
Guión
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowFuente: habr.com