WSUS үйлчлүүлэгчид серверээ өөрчилсний дараа шинэчлэхийг хүсэхгүй байна уу?
Дараа нь бид чам дээр очно. (ХАМТ)
Бид бүгд ямар нэг зүйл ажиллахаа больсон нөхцөл байдалд байсан. Энэ нийтлэл нь WSUS-д анхаарлаа хандуулах болно (WSUS-ийн талаар дэлгэрэнгүй мэдээллийг эндээс авах боломжтой и). Бүр тодруулбал, одоо байгаа шинэчлэлтийн серверийг шилжүүлж, сэргээсний дараа WSUS үйлчлүүлэгчдийг (өөрөөр хэлбэл манай компьютер) шинэчлэлтийг дахин хүлээн авахыг хэрхэн албадах талаар.
Тэгэхээр нөхцөл байдал дараах байдалтай байна
WSUS сервер үхсэн. Илүү нарийвчлалтай, RAID хянагчийг 2000 онд үйлдвэрлэсэн. Гэхдээ энэ баримт баяр баясгаланг нэмсэнгүй. Богинохон шуугиан дэгдээсний дараа (үхэж буй хянагчийн устгасан RAID-ийг сэргээх оролдлого) шинэ WSUS серверийг байрлуулахын тулд бүх зүйлийг илгээхээр шийдэв.
Үүний үр дүнд бид ямар нэг шалтгааны улмаас үйлчлүүлэгчид холбогдоогүй WSUS-г хүлээн авсан.
Оноо: WSUS нь дотоод DNS серверээр дамжуулан FQDN-тэй холбогдсон, WSUS сервер нь бүлгийн бодлогод бүртгэгдсэн бөгөөд серверийн анхдагч тохиргоо болох AD-ээр дамжуулан үйлчлүүлэгчдэд түгээгдэж, бүх үйлдлийг эхлүүлэхийн өмнө WSUS-г өөрөө шинэчилж, шинэчлэлтүүдийг синхрончлоорой.
Нөхцөл байдалд дүн шинжилгээ хийсний дараа хэд хэдэн гол зүйлийг тодорхойлсон
- Үйлчлүүлэгч хуучин WSUS серверийн SID-д холбогдохыг оролдох үед (бид wuauclt-ийн тухай ярьж байна).
- Хуучин WSUS серверээс татаж авсан устгасан шинэчлэлттэй холбоотой асуудал.
- Wuauclt-ийн үйл ажиллагаанд нөлөөлдөг үйлчилгээний зогсоол (бид wuauserv, бит, cryptsvc-ийн тухай ярьж байна). Машины зогсоол нь янз бүрийн шалтгааны улмаас үүссэн бөгөөд үүнийг нарийвчлан шинжилээгүй байна.
Үүний үр дүнд бүхэл бүтэн шийдэл нь жижиг скриптийг бий болгосон бөгөөд үүнийг бүлгийн бодлогоор МЭ-ээр эсвэл өөрийн гараар (мөн хөлөөр) түгээдэг. Скрипт нь хамгийн найдвартай засварын сонголтыг ашигладаг бөгөөд зургаан сарын турш ашиглахад нэг ч сөрөг үр дүнд хүрээгүй.
Би юу хийж байгааг тайлбарлах болно (ялангуяа сонирхож буй хүмүүст)
Бид шинэчлэлтийн серверийн үйлчилгээг зогсоож, WSUS холбооны үйлчилгээний аюулгүй байдлын тодорхойлогчийг устгаж, өмнөх WSUS-аас одоо байгаа шинэчлэлтүүдийг устгаж, өмнөх WSUS-ийн лавлагааны бүртгэлийг устгаж, автомат шинэчлэлтийн үйлчилгээ (wuauserv), арын ухаалаг шилжүүлгийн үйлчилгээг эхлүүлдэг ( битүүд) болон криптографийн үйлчилгээ (cryptsvc) -ийн төгсгөлд бид WSUS-г хүчээр тогшиж, зөвшөөрлийг дахин тохируулж, шинэ WSUS-г илрүүлж, серверт тайлан гаргадаг.
Мөн урьдын адил: та дээр дурдсан болон доор дурдсан бүх үйлдлүүдийг өөрийн эрсдэл, эрсдэлээр гүйцэтгэдэг. Скриптийг ажиллуулахын өмнө шаардлагатай бүх өгөгдөл хадгалагдсан эсэхийг шалгана уу.
Скрипт
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowЭх сурвалж: www.habr.com