Eivätkö WSUS-asiakkaat halua päivittää palvelinten vaihtamisen jälkeen?
Sitten mennään luoksesi. (KANSSA)
Olemme kaikki olleet tilanteissa, joissa jokin lakkaa toimimasta.
Tämä artikkeli keskittyy WSUS:iin (lisätietoja WSUS:sta saa osoitteesta и).
Tai tarkemmin sanottuna, kuinka pakottaa WSUS-asiakkaat (eli tietokoneemme) vastaanottamaan päivityksiä uudelleen olemassa olevan päivityspalvelimen siirtämisen tai palauttamisen jälkeen.
Tilanne on siis seuraava.
WSUS-palvelin kuoli. Tarkemmin sanottuna RAID-ohjain valmistettiin vuonna 2000. Mutta tämä tosiasia ei lisännyt iloa. Lyhyen hälinän jälkeen (yritettiin palauttaa kuolevan ohjaimen tuhoama RAID) päätettiin lähettää kaikki uuden WSUS-palvelimen käyttöönottoa varten.
Tuloksena saimme toimivan WSUS:n, johon asiakkaat eivät jostain syystä muodostaneet yhteyttä.
Pisteet: WSUS on linkitetty FQDN:ään sisäisen DNS-palvelimen kautta, WSUS-palvelin on rekisteröity ryhmäkäytäntöihin ja jaetaan asiakkaille AD:n kautta, palvelimen oletusasetukset, päivitä itse WSUS ja synkronoi päivitykset ennen kaikkien toimien aloittamista.
Tilanteen analysoinnin jälkeen tunnistettiin useita keskeisiä kohtia.
1) Client clinch (puhutaan wuaucltista) yritettäessä muodostaa yhteyttä vanhan WSUS-palvelimen SID:hen.
2) Ongelma vanhalta WSUS-palvelimelta ladatuissa asentamattomissa päivityksissä.
3) Wuaucltin toimintaan vaikuttavien palveluiden pysäköinti (puhumme wuauservistä, biteistä ja cryptsvc:stä). Pysäköinti tapahtui useista syistä, joita ei ole analysoitu yksityiskohtaisesti.
Lopputuloksena koko ratkaisu johti pieneen skriptiin, joka jaetaan ryhmäkäytännöillä AD:n kautta tai omin käsin (ja jaloin). Skripti käyttää turvallisinta korjausvaihtoehtoa, eikä se ole tuonut yhtään negatiivista tulosta kuuden kuukauden aikana.
Kuvailen mitä ollaan tekemässä (niille, jotka ovat erityisen uteliaita).
Pysäköimme päivityspalvelinpalvelun, tyhjennämme WSUS-viestintäpalvelun suojauskuvauksen, poistamme olemassa olevat päivitykset edellisestä WSUS:sta, tyhjennämme rekisterin viittauksista edelliseen WSUS:iin, käynnistämme automaattisen päivityspalvelun (wuauserv), taustan älykkään siirtopalvelun ( bittiä) ja salauspalvelua (cryptsvc), aivan lopussa koputamme voimakkaasti WSUS:iin nollataksemme valtuutuksen, havaitaksemme uuden WSUS:n ja luodaksemme raportin palvelimelle.
Ja kuten aina: teet kaikki yllä ja alla kuvatut toimet omalla vaarallasi ja riskilläsi. Varmista, että kaikki tarvittavat tiedot on tallennettu ennen skriptin suorittamista.
Käsikirjoitus
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Lähde: will.com