WSUS-clients willen niet updaten nadat ze van server zijn veranderd?
Dan gaan wij naar jou. (MET)
We zijn allemaal in situaties geweest waarin iets niet meer werkt. Dit artikel gaat over WSUS (meer informatie over WSUS kunt u vinden op и). Of preciezer: hoe u WSUS-clients (dat wil zeggen onze computers) kunt dwingen opnieuw updates te ontvangen na het overbrengen of herstellen van een bestaande updateserver.
De situatie is dus als volgt
De WSUS-server is overleden. Om precies te zijn: de RAID-controller werd in 2000 vervaardigd. Maar dit feit voegde geen vreugde toe. Na een korte ophef (met pogingen om de RAID te herstellen die vernield was door de stervende controller), werd besloten alles op te sturen om een nieuwe WSUS-server in te zetten.
Als gevolg hiervan ontvingen we een werkende WSUS, waarmee clients om de een of andere reden geen verbinding maakten.
Punten: WSUS is gekoppeld aan de FQDN via een interne DNS-server, de WSUS-server is geregistreerd in groepsbeleid en wordt via AD naar clients gedistribueerd, de standaardinstellingen voor de server, voordat u alle acties start, update WSUS zelf en synchroniseer de updates.
Na analyse van de situatie werden een aantal belangrijke punten geïdentificeerd
- Client clinch (we hebben het over wuauclt) wanneer u probeert verbinding te maken met de SID van de oude WSUS-server.
- Probleem met verwijderde updates gedownload van een oude WSUS-server.
- Parkeren van diensten die de werking van wuauclt beïnvloeden (we hebben het over wuauserv, bits en cryptsvc). Parkeren vond plaats om verschillende redenen, die niet in detail zijn geanalyseerd.
Het resultaat was dat de hele oplossing resulteerde in een klein script, dat via groepsbeleid via AD of met je eigen handen (en voeten) wordt gedistribueerd. Het script maakt gebruik van de veiligste reparatieoptie en heeft gedurende zes maanden gebruik geen enkel negatief resultaat opgeleverd.
Ik zal beschrijven wat er wordt gedaan (voor degenen die vooral nieuwsgierig zijn)
We parkeren de updateserverservice, wissen de beveiligingsdescriptor van de WSUS-communicatieservice, verwijderen bestaande updates van de vorige WSUS, wissen het register met verwijzingen naar de vorige WSUS, starten de automatische updateservice (wuauserv), de intelligente achtergrondoverdrachtservice ( bits) en de cryptografieservice (cryptsvc), helemaal aan het einde kloppen we krachtig op WSUS om de autorisatie opnieuw in te stellen, een nieuwe WSUS te detecteren en een rapport naar de server te genereren.
En zoals altijd: u voert alle hierboven en hieronder beschreven handelingen uit op eigen risico. Zorg ervoor dat alle benodigde gegevens zijn opgeslagen voordat u het script uitvoert.
Script
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowBron: www.habr.com