WSUS klijenti ne žele izvršiti ažuriranje nakon promjene poslužitelja?
Onda idemo k vama. (S)
Svi smo bili u situacijama kada nešto prestane funkcionirati. Ovaj će se članak usredotočiti na WSUS (više informacija o WSUS-u možete dobiti od и). Ili točnije, o tome kako natjerati WSUS klijente (odnosno naša računala) da ponovno primaju ažuriranja nakon prijenosa ili vraćanja postojećeg servera za ažuriranje.
Dakle situacija je sljedeća
WSUS poslužitelj je prestao raditi. Točnije, RAID kontroler je proizveden 2000. godine. Ali ova činjenica nije dodala radost. Nakon kratke gužve (s pokušajima vraćanja RAID-a koji je upropastio umirući kontroler), odlučeno je da se sve pošalje na postavljanje novog WSUS poslužitelja.
Kao rezultat toga, dobili smo radni WSUS, na koji se klijenti iz nekog razloga nisu povezali.
Bodovi: WSUS je povezan s FQDN-om preko internog DNS poslužitelja, WSUS poslužitelj je registriran u pravilima grupe i distribuira se klijentima putem AD-a, zadane postavke za poslužitelj, prije pokretanja svih radnji ažurirajte sam WSUS i sinkronizirajte ažuriranja.
Nakon analize situacije identificirano je nekoliko ključnih točaka
- Klijentski klinč (govorimo o wuauclt) kada se pokušava spojiti na SID starog WSUS poslužitelja.
- Problem s deinstaliranim ažuriranjima preuzetim sa starog WSUS poslužitelja.
- Parkiranje servisa koji utječu na rad wuauclta (govorimo o wuauservu, bitovima i cryptsvc-u). Do parkiranja je dolazilo iz raznih razloga, koji nisu detaljnije analizirani.
Kao rezultat, cijelo rješenje rezultiralo je malom skriptom, koja se distribuira grupnim pravilima putem AD-a ili vlastitim rukama (i nogama). Skripta koristi najsigurniju opciju popravka i nije donijela niti jedan negativan rezultat za šest mjeseci korištenja.
Opisat ću što se radi (za one posebno znatiželjne)
Parkiramo uslugu poslužitelja ažuriranja, brišemo sigurnosni deskriptor WSUS komunikacijske usluge, brišemo postojeća ažuriranja iz prethodnog WSUS-a, čistimo registar referenci na prethodni WSUS, pokrećemo uslugu automatskog ažuriranja (wuauserv), uslugu pozadinskog inteligentnog prijenosa ( bits) i kriptografski servis (cryptsvc), na samom kraju snažno kucamo na WSUS za resetiranje autorizacije, otkrivanje novog WSUS-a i generiranje izvješća poslužitelju.
I kao i uvijek: sve gore i dolje opisane radnje izvodite na vlastitu odgovornost i rizik. Provjerite jesu li svi potrebni podaci spremljeni prije izvršavanja skripte.
Skripta
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowIzvor: www.habr.com