Les clients WSUS ne souhaitent pas se mettre à jour après avoir changé de serveur ?
Ensuite, nous allons vers vous. (AVEC)
Nous avons tous été dans des situations où quelque chose ne fonctionne plus. Cet article se concentrera sur WSUS (plus d'informations sur WSUS peuvent être obtenues auprès de и). Ou plus précisément, comment forcer les clients WSUS (c'est-à-dire nos ordinateurs) à recevoir à nouveau les mises à jour après le transfert ou la restauration du serveur de mise à jour existant.
La situation est donc la suivante
Le serveur WSUS est mort. Plus précisément, le contrôleur RAID a été fabriqué en 2000. Mais ce fait n’a pas ajouté de joie. Après une courte agitation (avec des tentatives de restauration du RAID ruiné par le contrôleur mourant), il a été décidé de tout envoyer pour déployer un nouveau serveur WSUS.
En conséquence, nous avons reçu un WSUS fonctionnel auquel, pour une raison quelconque, les clients ne se sont pas connectés.
Points : WSUS est lié au FQDN via un serveur DNS interne, le serveur WSUS est enregistré dans les stratégies de groupe et est distribué aux clients via AD, les paramètres par défaut du serveur, avant de démarrer toutes les actions, mettent à jour WSUS lui-même et synchronisent les mises à jour.
Après analyse de la situation, plusieurs points clés ont été identifiés
- Cliché client (nous parlons de wuauclt) en essayant de se connecter au SID de l'ancien serveur WSUS.
- Problème avec les mises à jour désinstallées téléchargées depuis un ancien serveur WSUS.
- Parking des services qui affectent le fonctionnement de wuauclt (on parle de wuauserv, bits et cryptsvc). Le stationnement s'est produit pour diverses raisons, qui n'ont pas été analysées en détail.
En conséquence, l'ensemble de la solution a abouti à un petit script distribué par les stratégies de groupe via AD ou de vos propres mains (et pieds). Le script utilise l'option de réparation la plus sûre et n'a apporté aucun résultat négatif depuis six mois d'utilisation.
Je vais décrire ce qui se fait (pour ceux qui sont particulièrement curieux)
Nous garons le service du serveur de mise à jour, effaçons le descripteur de sécurité du service de communication WSUS, supprimons les mises à jour existantes du WSUS précédent, effaçons le registre des références au WSUS précédent, démarrons le service de mise à jour automatique (wuauserv), le service de transfert intelligent en arrière-plan ( bits) et le service de cryptographie (cryptsvc), à la toute fin nous frappons de force sur WSUS pour réinitialiser l'autorisation, détecter un nouveau WSUS et générer un rapport au serveur.
Et comme toujours : vous effectuez toutes les actions décrites ci-dessus et ci-dessous à vos risques et périls. Veuillez vous assurer que toutes les données nécessaires sont enregistrées avant d'exécuter le script.
Scénario
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowSource: habr.com