I client WSUS non desiderano aggiornarsi dopo aver cambiato server?
Allora veniamo da te. (CON)
Siamo stati tutti in situazioni in cui qualcosa smette di funzionare.
Questo articolo si concentrerà su WSUS (ulteriori informazioni su WSUS possono essere ottenute da и).
O più precisamente, come forzare i client WSUS (ovvero i nostri computer) a ricevere nuovamente gli aggiornamenti dopo aver trasferito o ripristinato un server di aggiornamento esistente.
Quindi, la situazione è la seguente.
Il server WSUS è morto. Più precisamente, il controller RAID è stato prodotto nel 2000. Ma questo fatto non ha aggiunto gioia. Dopo un breve polverone (con tentativi di ripristinare il RAID rovinato dal controller morente), si è deciso di inviare tutto per implementare un nuovo server WSUS.
Di conseguenza, abbiamo ricevuto un WSUS funzionante, al quale per qualche motivo i client non si sono connessi.
Punti: WSUS è collegato all'FQDN tramite un server DNS interno, il server WSUS è registrato nei criteri di gruppo ed è distribuito ai client tramite AD, le impostazioni predefinite per il server, prima di avviare tutte le azioni, aggiorna WSUS stesso e sincronizza gli aggiornamenti.
Dopo aver analizzato la situazione, sono stati individuati diversi punti chiave.
1) Il client clinch (stiamo parlando di wuauclt) quando tenta di connettersi al SID del vecchio server WSUS.
2) Problema con gli aggiornamenti disinstallati scaricati dal vecchio server WSUS.
3) Parcheggio di servizi che influiscono sul funzionamento di wuauclt (stiamo parlando di wuauserv, bits e cryptsvc). Il parcheggio è avvenuto per diversi motivi, che non sono stati analizzati nel dettaglio.
Di conseguenza, l'intera soluzione ha prodotto un piccolo script, che viene distribuito in base ai criteri di gruppo tramite AD o con le proprie mani (e piedi). Lo script utilizza l'opzione di riparazione più sicura e non ha prodotto un solo risultato negativo in sei mesi di utilizzo.
Descriverò cosa si sta facendo (per chi è particolarmente curioso).
Parcheggiamo il servizio del server di aggiornamento, cancelliamo il descrittore di sicurezza del servizio di comunicazione WSUS, eliminiamo gli aggiornamenti esistenti dal WSUS precedente, cancelliamo il registro dei riferimenti al WSUS precedente, avviiamo il servizio di aggiornamento automatico (wuauserv), il servizio di trasferimento intelligente in background ( bit) e il servizio di crittografia (cryptsvc), alla fine bussiamo con forza a WSUS per reimpostare l'autorizzazione, rilevare un nuovo WSUS e generare un report al server.
E come sempre: esegui tutte le azioni descritte sopra e di seguito a tuo rischio e pericolo. Assicurati che tutti i dati necessari siano salvati prima di eseguire lo script.
Copione
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Fonte: habr.com