Odjemalci WSUS se po menjavi strežnika ne želijo posodobiti?
Potem gremo k vam. (Z)
Vsi smo že bili v situacijah, ko nekaj neha delovati. Ta članek se bo osredotočil na WSUS (več informacij o WSUS lahko dobite na и). Oziroma natančneje o tem, kako odjemalce WSUS (torej naše računalnike) prisiliti, da po prenosu ali obnovitvi obstoječega strežnika za posodabljanje ponovno prejemajo posodobitve.
Situacija je torej naslednja
Strežnik WSUS je umrl. Natančneje, krmilnik RAID je bil izdelan leta 2000. Toda to dejstvo ni dodalo veselja. Po kratkem razburjanju (s poskusi obnovitve RAID-a, ki ga je uničil umirajoči krmilnik), je bilo odločeno, da se vse pošlje na namestitev novega strežnika WSUS.
Kot rezultat smo prejeli delujoč WSUS, na katerega se odjemalci iz nekega razloga niso povezali.
Točke: WSUS je povezan s FQDN prek notranjega strežnika DNS, strežnik WSUS je registriran v pravilnikih skupine in se distribuira strankam prek AD, privzete nastavitve za strežnik, preden začnete z vsemi dejanji, posodobite sam WSUS in sinhronizirajte posodobitve.
Po analizi stanja je bilo ugotovljenih več ključnih točk
- Odjemalski klinč (govorimo o wuauclt) pri poskusu povezave s SID starega strežnika WSUS.
- Težava z nenameščenimi posodobitvami, prenesenimi s starega strežnika WSUS.
- Parkiranje storitev, ki vplivajo na delovanje wuauclt (govorimo o wuauserv, bits in cryptsvc). Do parkiranja je prihajalo iz različnih vzrokov, ki pa niso bili podrobneje analizirani.
Posledično je iz celotne rešitve nastala majhna skripta, ki jo distribuirate po pravilnikih skupine preko AD ali pa z lastnimi rokami (in nogami). Skript uporablja najvarnejšo možnost popravila in v šestih mesecih uporabe ni prinesel niti enega negativnega rezultata.
Opisal bom, kaj se dela (za tiste, ki so še posebej radovedni)
Parkiramo storitev strežnika za posodobitev, počistimo varnostni deskriptor komunikacijske storitve WSUS, izbrišemo obstoječe posodobitve iz prejšnjega WSUS, počistimo register referenc na prejšnji WSUS, zaženemo storitev samodejnega posodabljanja (wuauserv), storitev inteligentnega prenosa v ozadju ( bitov) in kriptografske storitve (cryptsvc), čisto na koncu na silo potrkamo na WSUS, da ponastavimo avtorizacijo, zaznamo nov WSUS in ustvarimo poročilo strežniku.
In kot vedno: vsa zgoraj in spodaj opisana dejanja izvajate na lastno odgovornost in tveganje. Pred izvajanjem skripta se prepričajte, da so shranjeni vsi potrebni podatki.
Skripta
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowVir: www.habr.com