WSUS клиенттері серверлерді өзгерткеннен кейін жаңартуды қаламайды ма?
Сосын саған барамыз. (БІЗ)
Біз бәріміз бірдеңе жұмысын тоқтатқан жағдайда болдық. Бұл мақала WSUS-ке арналады (WSUS туралы қосымша ақпаратты мына жерден алуға болады и). Немесе дәлірек айтқанда, WSUS клиенттерін (яғни, біздің компьютерлерімізді) бар жаңарту серверін тасымалдағаннан немесе қалпына келтіргеннен кейін жаңартуларды қайтадан алуға мәжбүрлеу жолы туралы.
Сонымен, жағдай келесідей
WSUS сервері қайтыс болды. Дәлірек айтқанда, RAID контроллері 2000 жылы шығарылған. Бірақ бұл факт қуаныш сыйламады. Қысқа әбігерден кейін (өліп бара жатқан контроллермен жойылған RAID-ті қалпына келтіру әрекеттерімен) жаңа WSUS серверін орналастыру үшін бәрін жіберу туралы шешім қабылданды.
Нәтижесінде біз жұмыс істейтін WSUS алдық, қандай да бір себептермен клиенттер оған қосылмаған.
Нүктелер: WSUS FQDN-ге ішкі DNS сервері арқылы қосылған, WSUS сервері топтық саясаттарда тіркелген және клиенттерге AD арқылы таратылады, сервердің әдепкі параметрлері, барлық әрекеттерді бастамас бұрын, WSUS-тің өзін жаңартыңыз және жаңартуларды синхрондаңыз.
Жағдайды талдағаннан кейін бірнеше негізгі нүктелер анықталды
- Ескі WSUS серверінің SID идентификаторына қосылуға әрекеттенген кезде, клиент тітіркендіреді (біз wuauclt туралы айтып отырмыз).
- Ескі WSUS серверінен жүктелген жойылған жаңартуларға қатысты мәселе.
- Wuauclt жұмысына әсер ететін қызметтердің тұрағы (біз wuauserv, бит және cryptsvc туралы айтып отырмыз). Автотұрақ егжей-тегжейлі талданбаған әртүрлі себептермен орын алды.
Нәтижесінде, бүкіл шешім топтық саясаттар арқылы AD арқылы немесе өз қолыңызбен (және аяқтарыңызбен) таратылатын шағын сценарийге әкелді. Сценарий ең қауіпсіз жөндеу опциясын пайдаланады және алты ай пайдалануда бірде-бір теріс нәтиже әкелмеді.
Мен не істеп жатқанын сипаттаймын (әсіресе қызығушылық танытқандар үшін)
Жаңарту серверінің қызметін тоқтатамыз, WSUS байланыс қызметінің қауіпсіздік дескрипторын тазалаймыз, алдыңғы WSUS-тен бар жаңартуларды жоямыз, алдыңғы WSUS сілтемелерінің тізілімін тазалаймыз, автоматты жаңарту қызметін (wuauserv), фондық интеллектуалды тасымалдау қызметін бастаймыз ( бит) және криптографиялық қызмет (cryptsvc), соңында авторизацияны қалпына келтіру, жаңа WSUS анықтау және серверге есеп жасау үшін WSUS-ті күшпен қағамыз.
Әдеттегідей: сіз жоғарыда және төменде сипатталған барлық әрекеттерді өз қауіп-қатеріңізге және тәуекеліңізге байланысты жасайсыз. Сценарийді орындамас бұрын барлық қажетті деректердің сақталғанына көз жеткізіңіз.
Сценарий
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowАқпарат көзі: www.habr.com