Klienti WSUS nechcú aktualizovať po zmene serverov?
Potom ideme k vám. (S)
Všetci sme už boli v situáciách, keď niečo prestalo fungovať. Tento článok sa zameria na WSUS (viac informácií o WSUS možno získať na и). Alebo presnejšie o tom, ako prinútiť klientov WSUS (teda naše počítače), aby znova dostávali aktualizácie po prenose alebo obnovení existujúceho aktualizačného servera.
Takže situácia je nasledovná
Server WSUS zomrel. Presnejšie, radič RAID bol vyrobený v roku 2000. Ale táto skutočnosť nepridala radosť. Po krátkom rozruchu (s pokusmi o obnovenie RAID, ktorý zničil umierajúci radič) bolo rozhodnuté poslať všetko na nasadenie nového servera WSUS.
Výsledkom bolo, že sme dostali funkčný WSUS, ku ktorému sa z nejakého dôvodu klienti nepripojili.
Body: WSUS je prepojený s FQDN cez interný server DNS, server WSUS je zaregistrovaný v skupinových pravidlách a je distribuovaný klientom cez AD, predvolené nastavenia pre server, pred spustením všetkých akcií aktualizujte samotný WSUS a synchronizujte aktualizácie.
Po analýze situácie bolo identifikovaných niekoľko kľúčových bodov
- Clinch klienta (hovoríme o wuauclt) pri pokuse o pripojenie k SID starého servera WSUS.
- Problém s odinštalovanými aktualizáciami stiahnutými zo starého servera WSUS.
- Parkovanie služieb, ktoré ovplyvňujú chod wuauclt (hovoríme o wuauserv, bitoch a cryptsvc). K parkovaniu došlo z rôznych dôvodov, ktoré neboli podrobne analyzované.
Výsledkom celého riešenia bol malý skript, ktorý je distribuovaný skupinovými politikami cez AD alebo vlastnými rukami (a nohami). Skript používa najbezpečnejšiu možnosť opravy a za šesť mesiacov používania nepriniesol jediný negatívny výsledok.
Popíšem, čo sa robí (pre tých, ktorí sú obzvlášť zvedaví)
Zaparkujeme službu aktualizačného servera, vymažeme popisovač zabezpečenia komunikačnej služby WSUS, vymažeme existujúce aktualizácie z predchádzajúcej služby WSUS, vymažeme register referencií na predchádzajúcu službu WSUS, spustíme službu automatickej aktualizácie (wuauserv), službu inteligentného prenosu na pozadí ( bitov) a kryptografickej služby (cryptsvc), na samom konci násilne zaklopeme na WSUS, aby sme resetovali autorizáciu, zistili novú WSUS a vygenerovali správu na server.
A ako vždy: všetky činnosti popísané vyššie a nižšie vykonávate na vlastné nebezpečenstvo a riziko. Pred spustením skriptu sa uistite, že sú uložené všetky potrebné údaje.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowZdroj: hab.com