Клієнти WSUS не хочуть оновлюватись після зміни сервера?
Тоді ми йдемо до вас. (С)
У всіх були ситуації, коли щось переставало працювати. У цій статті мова піде про WSUS (детальнішу інформацію про WSUS можна отримати и). А точніше про те, як змусити клієнтів WSUS (тобто наші з вами комп'ютери) знову отримувати оновлення після перенесення або відновлення існуючого сервера оновлень.
Отже, ситуація така
Здох сервер WSUS. Точніше RAID-контролер аж 2000 випуску. Але радості цей факт не додав. Після нетривалої метушні (зі спробами відновити RAID, занапащений контролером, що вмирає), було прийнято рішення послати все розгорнути новий WSUS-сервер.
У результаті ми отримали працюючий WSUS, який чомусь не коннектились клієнти.
Моменти: WSUS прив'язаний з FQDN через внутрішній DNS-сервер, WSUS-сервер прописаний у групових політиках і поширюється на клієнтів через AD, налаштування сервера за замовчуванням, перед початком всіх дій оновіть сам WSUS і виконайте синхронізацію оновлень.
Після аналізу ситуації, було виявлено кілька ключових моментів
- Клінч клієнта (мова про wuauclt) під час спроби з'єднатися з SID старого сервера WSUS.
- Проблема з невстановленими оновленнями, завантаженими зі старого сервера WSUS.
- Паркування служб, що впливають на роботу wuauclt (мова про wuauserv, bits і cryptsvc). Паркування відбулося з різних причин, які детально не аналізувалися.
У результаті все рішення вилилося в невеликий скрипт, який поширюється груповими політиками через AD або своїми руками (і ногами). Скрипт використовує найбільш безпечний варіант ремонту і не приносив жодного негативного результату вже протягом півроку використання.
Опишу, що робиться (для особливо цікавих)
Паркуємо службу сервера оновлень, чистимо дескриптор безпеки служби зв'язку з WSUS, видаляємо наявні оновлення від попереднього WSUS, чистимо реєстр від згадок про попереднє WSUS, стартуємо служби автоматичного оновлення (wuauserv), фонову інтелектуальну службу передачі (bitsv) та службу передачі (bits) та службу передачі (bits) наприкінці примусово стукаємо в WSUS з обнуленням авторизації, виявленням нового WSUS і генерацією звіту на сервер.
І як завжди: всі дії, описані вище і нижче, ви виконуєте на свій страх і ризик. Будь ласка, переконайтесь, що всі необхідні дані збережені до виконання скрипту.
Сценарій
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowДжерело: habr.com