Eivätkö WSUS-asiakkaat halua päivittää palvelinten vaihtamisen jälkeen?
Sitten mennään luoksesi. (KANSSA)
Meillä kaikilla on ollut tilanteita, joissa jokin on lakannut toimimasta.
Tämä artikkeli keskittyy WSUS:iin (lisätietoja WSUS:sta löytyy täältä) и).
Tarkemmin sanottuna, miten pakotetaan WSUS-asiakkaat (eli tietokoneemme) vastaanottamaan päivityksiä uudelleen olemassa olevan päivityspalvelimen siirtämisen tai palauttamisen jälkeen.
Eli tilanne on seuraavanlainen.
WSUS-palvelin kuoli. Tarkemmin sanottuna RAID-ohjain valmistettiin vuonna 2000. Mutta tämä tosiasia ei lisännyt iloa. Lyhyen hälinän jälkeen (yritettiin palauttaa kuolevan ohjaimen tuhoama RAID) päätettiin lähettää kaikki uuden WSUS-palvelimen käyttöönottoa varten.
Tuloksena saimme toimivan WSUS:n, johon asiakkaat eivät jostain syystä muodostaneet yhteyttä.
Pisteet: WSUS on linkitetty FQDN:ään sisäisen DNS-palvelimen kautta, WSUS-palvelin on rekisteröity ryhmäkäytäntöihin ja jaetaan asiakkaille AD:n kautta, palvelimen oletusasetukset, päivitä itse WSUS ja synkronoi päivitykset ennen kaikkien toimien aloittamista.
Tilanteen analysoinnin jälkeen tunnistettiin useita keskeisiä kohtia.
1) Asiakas kaatuu (puhumme wuauclt:stä) yritettäessä muodostaa yhteyttä vanhan WSUS-palvelimen SID:hen.
2) Ongelma vanhalta WSUS-palvelimelta ladattujen poistettujen päivitysten kanssa.
3) Wuauclt:hen vaikuttavien palveluiden (erityisesti wuauserv, bits ja cryptsvc) pysäköinti. Pysäköinti tapahtui useista syistä, joita ei analysoitu yksityiskohtaisesti.
Lopputuloksena koko ratkaisu johti pieneen skriptiin, joka jaetaan ryhmäkäytännöillä AD:n kautta tai omin käsin (ja jaloin). Skripti käyttää turvallisinta korjausvaihtoehtoa, eikä se ole tuonut yhtään negatiivista tulosta kuuden kuukauden aikana.
Kuvailen, mitä tehdään (niille, jotka ovat erityisen uteliaita).
Pysäköimme päivityspalvelinpalvelun, tyhjennämme WSUS-viestintäpalvelun suojauskuvauksen, poistamme olemassa olevat päivitykset edellisestä WSUS:sta, tyhjennämme rekisterin viittauksista edelliseen WSUS:iin, käynnistämme automaattisen päivityspalvelun (wuauserv), taustan älykkään siirtopalvelun ( bittiä) ja salauspalvelua (cryptsvc), aivan lopussa koputamme voimakkaasti WSUS:iin nollataksemme valtuutuksen, havaitaksemme uuden WSUS:n ja luodaksemme raportin palvelimelle.
Ja kuten aina: teet kaikki yllä ja alla kuvatut toimet omalla vaarallasi ja riskilläsi. Varmista, että kaikki tarvittavat tiedot on tallennettu ennen skriptin suorittamista.
Käsikirjoitus
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Lähde: will.com
