WSUS istemcileri sunucuları değiştirdikten sonra güncelleme yapmak istemiyor mu?
O zaman sana gidiyoruz. (İLE)
Hepimiz bir şeyin çalışmayı bıraktığı durumlarda olmuşuzdur.
Bu makale WSUS'a odaklanacaktır (WSUS hakkında daha fazla bilgi şu adresten edinilebilir: и).
Daha doğrusu, mevcut güncelleme sunucusunu aktardıktan veya geri yükledikten sonra WSUS istemcilerinin (yani bilgisayarlarımızın) güncellemeleri tekrar almaya nasıl zorlanacağı hakkında.
Yani durum şu şekildedir.
WSUS sunucusu öldü. Daha doğrusu RAID denetleyicisi 2000 yılında üretildi. Ancak bu gerçek neşe katmadı. Kısa bir yaygaradan sonra (ölmekte olan denetleyici tarafından bozulan RAID'i geri yükleme girişimleriyle birlikte), yeni bir WSUS sunucusu dağıtmak için her şeyin gönderilmesine karar verildi.
Sonuç olarak, istemcilerin herhangi bir nedenle bağlanamadığı, çalışan bir WSUS aldık.
Noktalar: WSUS, dahili bir DNS sunucusu aracılığıyla FQDN'ye bağlanır, WSUS sunucusu grup ilkelerine kaydedilir ve istemcilere, sunucunun varsayılan ayarları olan AD aracılığıyla dağıtılır, tüm eylemlere başlamadan önce WSUS'yi kendisi güncelleyin ve güncellemeleri senkronize edin.
Durumu analiz ettikten sonra birkaç önemli nokta belirlendi.
1) Eski WSUS sunucusunun SID'sine bağlanmaya çalışırken istemci perçinlemesi (wuauclt'tan bahsediyor).
2) Eski WSUS sunucusundan indirilen, kaldırılan güncellemelerle ilgili sorun.
3) Wuaucclt'nin çalışmasını etkileyen hizmetlerin park edilmesi (wuauserv, bits ve cryptsvc'den bahsediyoruz). Park etme, ayrıntılı olarak analiz edilmeyen çeşitli nedenlerle meydana geldi.
Sonuç olarak, tüm çözüm, grup politikalarına göre AD aracılığıyla veya kendi ellerinizle (ve ayaklarınızla) dağıtılan küçük bir komut dosyasıyla sonuçlandı. Komut dosyası en güvenli onarım seçeneğini kullanıyor ve altı aylık kullanım boyunca tek bir olumsuz sonuç getirmedi.
Neler yapıldığını anlatacağım (özellikle merak edenler için).
Güncelleme sunucusu hizmetini park ediyoruz, WSUS iletişim hizmetinin güvenlik tanımlayıcısını temizliyoruz, önceki WSUS'taki mevcut güncellemeleri siliyoruz, önceki WSUS'ye yapılan referansların kayıt defterini temizliyoruz, arka plan akıllı aktarım hizmeti olan otomatik güncelleme hizmetini (wuauserv) başlatıyoruz ( bitler) ve şifreleme hizmeti (cryptsvc), en sonunda yetkilendirmeyi sıfırlamak, yeni bir WSUS tespit etmek ve sunucuya bir rapor oluşturmak için WSUS'yi zorla çalıştırıyoruz.
Ve her zaman olduğu gibi: yukarıda ve aşağıda açıklanan tüm eylemleri, risk ve risk size ait olacak şekilde gerçekleştirirsiniz. Lütfen betiği çalıştırmadan önce gerekli tüm verilerin kaydedildiğinden emin olun.
Senaryo
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Kaynak: habr.com