WSUS кардарлары серверлерди өзгөрткөндөн кийин жаңырткылары келбейт?
Анда биз сага барабыз. (МЕНЕН)
У всех бывали ситуации, когда что-нибудь переставало работать. В данной статье речь пойдет о WSUS (более подробную информации о WSUS можно получить и). А точнее о том, как заставить клиентов WSUS (т.е. наши с вами компьютеры) заново получать обновления после переноса или восстановления существующего сервера обновлений.
Итак, ситуация следующая
WSUS сервери өлдү. Тагыраак айтканда, RAID контроллери 2000-жылы чыгарылган. Бирок бул факт кубаныч кошподу. Кыска ызы-чуулардан кийин (өлүп жаткан контроллер тарабынан талкаланган RAIDди калыбына келтирүү аракети менен) жаңы WSUS серверин жайылтуу үчүн бардыгын жөнөтүү чечими кабыл алынды.
Натыйжада, биз иштеген WSUS алдык, ага кардарлар кандайдыр бир себептерден улам кошула элек.
Упайлар: WSUS FQDN менен ички DNS сервери аркылуу байланышкан, WSUS сервери топтук саясаттарда катталган жана кардарларга AD аркылуу таратылат, сервердин демейки жөндөөлөрү, бардык аракеттерди баштоодон мурун, WSUSтин өзүн жаңыртыңыз жана жаңыртууларды синхрондоңуз.
После анализа ситуации, было выявлено несколько ключевым моментов
- Клинч клиента (речь о wuauclt) при попытке соединиться с SID старого сервера WSUS.
- Проблема с неустановленными обновлениями, скачанными со старого WSUS-сервера.
- Парковка служб влияющих на работу wuauclt (речь о wuauserv, bits и cryptsvc). Парковка произошла по разным причинам, которые детально не анализировались.
Натыйжада, бүт чечим AD аркылуу же өз колу (жана буту) менен топтук саясаттар тарабынан бөлүштүрүлөт чакан скрипт, алып келди. Скрипт эң коопсуз оңдоо вариантын колдонот жана алты ай колдонуудан бери бир дагы терс натыйжа берген эмес.
Опишу, что делается (для особо любопытных)
Жаңыртуу серверинин кызматын токтотобуз, WSUS байланыш кызматынын коопсуздук дескрипторун тазалайбыз, мурунку WSUSдан болгон жаңыртууларды жок кылабыз, мурунку WSUSга шилтемелердин реестрин тазалайбыз, автоматтык жаңыртуу кызматын (wuauserv), фон интеллектуалдык өткөрүп берүү кызматын ( бит) жана криптографиялык кызмат (cryptsvc), аягында авторизацияны кайра орнотуу, жаңы WSUS аныктоо жана серверге отчет түзүү үчүн WSUSти күч менен тыкылдатабыз.
Жана ар дайымкыдай: сиз жогоруда жана төмөндө сүрөттөлгөн бардык аракеттерди өзүңүздүн коркунучуңуз менен аткарасыз. Скриптти аткаруудан мурун бардык керектүү маалыматтар сакталганын текшериңиз.
Скрипт
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowSource: www.habr.com