Klienci WSUS nie chcą aktualizować po zmianie serwerów?
Potem pójdziemy do Ciebie. (Z)
Każdy z nas spotkał się z sytuacjami, w których coś przestało działać. W tym artykule skupimy się na programie WSUS (więcej informacji na temat programu WSUS można uzyskać pod adresem и). A dokładniej o tym, jak wymusić na klientach WSUS (czyli naszych komputerach) ponowne otrzymywanie aktualizacji po przeniesieniu lub przywróceniu istniejącego serwera aktualizacji.
Zatem sytuacja wygląda następująco
Serwer WSUS umarł. Dokładniej, kontroler RAID został wyprodukowany w 2000 roku. Ale ten fakt nie dodał radości. Po krótkim zamieszaniu (z próbami przywrócenia RAID zniszczonego przez umierający kontroler) zdecydowano się wysłać wszystko w celu wdrożenia nowego serwera WSUS.
W rezultacie otrzymaliśmy działający WSUS, z którym z jakiegoś powodu klienci nie połączyli się.
Punkty: WSUS jest połączony z nazwą FQDN poprzez wewnętrzny serwer DNS, serwer WSUS jest zarejestrowany w zasadach grupy i jest dystrybuowany do klientów za pośrednictwem usługi AD, zgodnie z domyślnymi ustawieniami serwera, przed rozpoczęciem wszystkich działań zaktualizuj sam WSUS i zsynchronizuj aktualizacje.
Po przeanalizowaniu sytuacji zidentyfikowano kilka kluczowych punktów
- Kliknięcie klienta (mówimy o wuauclt) podczas próby połączenia się z identyfikatorem SID starego serwera WSUS.
- Problem z odinstalowanymi aktualizacjami pobranymi ze starego serwera WSUS.
- Parkowanie usług wpływających na działanie wuauclt (mówimy o wuauserv, bitach i cryptsvc). Do parkowania dochodziło z różnych powodów, które nie były szczegółowo analizowane.
W rezultacie całe rozwiązanie zaowocowało małym skryptem, który jest dystrybuowany poprzez zasady grupowe za pośrednictwem AD lub własnymi rękami (i nogami). Skrypt wykorzystuje najbezpieczniejszą opcję naprawy i przez sześć miesięcy użytkowania nie przyniósł ani jednego negatywnego wyniku.
Opiszę co się dzieje (dla szczególnie ciekawskich)
Parkujemy usługę serwera aktualizacji, czyścimy deskryptor zabezpieczeń usługi komunikacji WSUS, usuwamy istniejące aktualizacje z poprzedniego WSUS, czyścimy rejestr odniesień do poprzedniego WSUS, uruchamiamy usługę automatycznej aktualizacji (wuauserv), usługę inteligentnego transferu w tle ( bity) i usługę kryptograficzną (cryptsvc), na sam koniec na siłę pukamy do WSUS, aby zresetować autoryzację, wykryć nowy WSUS i wygenerować raport na serwer.
I jak zawsze: wszystkie czynności opisane powyżej i poniżej wykonujesz na własne ryzyko i ryzyko. Przed wykonaniem skryptu upewnij się, że wszystkie niezbędne dane zostały zapisane.
Scenariusz
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowŹródło: www.habr.com