Клієнти WSUS не хочуть оновлюватись після зміни сервера?
Тоді ми йдемо до вас. (С)
У всех бывали ситуации, когда что-нибудь переставало работать.
В данной статье речь пойдет о WSUS (более подробную информации о WSUS можно получить и).
А точнее о том, как заставить клиентов WSUS (т.е. наши с вами компьютеры) заново получать обновления после переноса или восстановления существующего сервера обновлений.
Итак, ситуация следующая.
Здох сервер WSUS. Точніше RAID-контролер аж 2000 випуску. Але радості цей факт не додав. Після нетривалої метушні (зі спробами відновити RAID, занапащений контролером, що вмирає), було прийнято рішення послати все розгорнути новий WSUS-сервер.
У результаті ми отримали працюючий WSUS, який чомусь не коннектились клієнти.
Моменти: WSUS прив'язаний з FQDN через внутрішній DNS-сервер, WSUS-сервер прописаний у групових політиках і поширюється на клієнтів через AD, налаштування сервера за замовчуванням, перед початком всіх дій оновіть сам WSUS і виконайте синхронізацію оновлень.
После анализа ситуации, было выявлено несколько ключевым моментов.
1) Клинч клиента (речь о wuauclt) при попытке соединиться с SID старого сервера WSUS.
2) Проблема с неустановленными обновлениями, скачанными со старого WSUS-сервера.
3) Парковка служб влияющих на работу wuauclt (речь о wuauserv, bits и cryptsvc). Парковка произошла по разным причинам, которые детально не анализировались.
У результаті все рішення вилилося в невеликий скрипт, який поширюється груповими політиками через AD або своїми руками (і ногами). Скрипт використовує найбільш безпечний варіант ремонту і не приносив жодного негативного результату вже протягом півроку використання.
Опишу, что делается (для особо любопытных).
Паркуємо службу сервера оновлень, чистимо дескриптор безпеки служби зв'язку з WSUS, видаляємо наявні оновлення від попереднього WSUS, чистимо реєстр від згадок про попереднє WSUS, стартуємо служби автоматичного оновлення (wuauserv), фонову інтелектуальну службу передачі (bitsv) та службу передачі (bits) та службу передачі (bits) наприкінці примусово стукаємо в WSUS з обнуленням авторизації, виявленням нового WSUS і генерацією звіту на сервер.
І як завжди: всі дії, описані вище і нижче, ви виконуєте на свій страх і ризик. Будь ласка, переконайтесь, що всі необхідні дані збережені до виконання скрипту.
Сценарій
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Джерело: habr.com