WSUS クライアントはサーバーを変更した後に更新したくないのですか?
それから私たちはあなたのところに行きます。 (と)
私たちは皆、何かが機能しなくなった状況に陥ったことがあるでしょう。 この記事では WSUS に焦点を当てます (WSUS の詳細については、次の Web サイトを参照してください)。 и)。 より正確には、既存の更新サーバーを転送または復元した後、WSUS クライアント (つまり、コンピューター) に更新プログラムを再度受信させる方法についてです。
ということで状況は以下の通り
WSUS サーバーが停止しました。 より正確に言うと、RAID コントローラーは 2000 年に製造されました。 しかし、この事実はさらなる喜びではありませんでした。 短い大騒ぎ (故障したコントローラーによって破壊された RAID を復元する試みなど) の後、すべてを送信して新しい WSUS サーバーを展開することが決定されました。
その結果、正常に動作する WSUS を受け取りましたが、何らかの理由でクライアントが接続できませんでした。
ポイント: WSUS は内部 DNS サーバーを介して FQDN にリンクされ、WSUS サーバーはグループ ポリシーに登録され、AD 経由でクライアントに配布されます。サーバーの既定の設定では、すべてのアクションを開始する前に、WSUS 自体を更新して更新プログラムを同期します。
状況を分析した結果、いくつかの重要なポイントが特定されました
- 古い WSUS サーバーの SID に接続しようとすると、クライアント クリンチ (wuauclt について話しています) が発生します。
- 古い WSUS サーバーからダウンロードされたアンインストールされた更新プログラムに関する問題。
- wuauclt の動作に影響を与えるサービスのパーキング (ここでは wuauserv、bits、cryptsvc について話しています)。 駐車はさまざまな理由で発生しましたが、詳細には分析されていませんでした。
その結果、ソリューション全体が小さなスクリプトになり、AD 経由でグループ ポリシーによって配布されるか、自分の手 (および足) で配布されます。 このスクリプトは最も安全な修復オプションを使用しており、XNUMX か月間使用してもマイナスの結果は XNUMX つも発生していません。
何が行われているかを説明します(特に興味がある人のために)
更新サーバー サービスをパークし、WSUS 通信サービスのセキュリティ記述子をクリアし、以前の WSUS から既存の更新プログラムを削除し、以前の WSUS への参照のレジストリをクリアし、自動更新サービス (wuauserv)、バックグラウンド インテリジェント転送サービス ( bits) と暗号化サービス (cryptsvc) を使用し、最後に WSUS を強制的にノックして認証をリセットし、新しい WSUS を検出してサーバーにレポートを生成します。
そしていつものように、上記および以下で説明するすべてのアクションは、ご自身の危険とリスクを負って実行してください。 スクリプトを実行する前に、必要なデータがすべて保存されていることを確認してください。
スクリプト
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow出所: habr.com