WSUS mijozlari serverlarni o'zgartirgandan keyin yangilashni xohlamaydilarmi?
Keyin sizga boramiz. (BILAN)
У всех бывали ситуации, когда что-нибудь переставало работать. В данной статье речь пойдет о WSUS (более подробную информации о WSUS можно получить и). А точнее о том, как заставить клиентов WSUS (т.е. наши с вами компьютеры) заново получать обновления после переноса или восстановления существующего сервера обновлений.
Итак, ситуация следующая
WSUS serveri halok bo'ldi. Aniqroq aytganda, RAID kontrolleri 2000 yilda ishlab chiqarilgan. Ammo bu fakt quvonchni qo'shmadi. Qisqa shov-shuvdan so'ng (o'layotgan kontroller tomonidan vayron qilingan RAIDni tiklashga urinishlar bilan) yangi WSUS serverini joylashtirish uchun hamma narsani yuborishga qaror qilindi.
Natijada, biz ishlaydigan WSUSni oldik, ba'zi sabablarga ko'ra mijozlar ulanmagan.
Ballar: WSUS FQDN bilan ichki DNS server orqali bog'langan, WSUS serveri guruh siyosatlarida ro'yxatdan o'tgan va mijozlarga AD orqali tarqatiladi, server uchun standart sozlamalar, barcha amallarni boshlashdan oldin WSUS-ning o'zini yangilang va yangilanishlarni sinxronlang.
После анализа ситуации, было выявлено несколько ключевым моментов
- Клинч клиента (речь о wuauclt) при попытке соединиться с SID старого сервера WSUS.
- Проблема с неустановленными обновлениями, скачанными со старого WSUS-сервера.
- Парковка служб влияющих на работу wuauclt (речь о wuauserv, bits и cryptsvc). Парковка произошла по разным причинам, которые детально не анализировались.
Natijada, butun yechim kichik skriptga olib keldi, bu AD orqali yoki o'z qo'llaringiz (va oyoqlaringiz) bilan guruh siyosati tomonidan tarqatiladi. Skript eng xavfsiz ta'mirlash opsiyasidan foydalanadi va olti oylik foydalanish uchun bitta salbiy natija keltirmadi.
Опишу, что делается (для особо любопытных)
Biz yangilanish serveri xizmatini to'xtatamiz, WSUS aloqa xizmatining xavfsizlik identifikatorini tozalaymiz, oldingi WSUS-dan mavjud yangilanishlarni o'chirib tashlaymiz, oldingi WSUS-ga havolalar reestrini tozalaymiz, avtomatik yangilash xizmatini (wuauserv), fonda aqlli uzatish xizmatini ishga tushiramiz ( bit) va kriptografiya xizmati (cryptsvc), oxirida biz avtorizatsiyani tiklash, yangi WSUSni aniqlash va serverga hisobot yaratish uchun WSUS-ni taqillatamiz.
Va har doimgidek: siz yuqorida va quyida tavsiflangan barcha harakatlarni o'zingizning xavf-xataringiz va xavfingiz ostida bajarasiz. Iltimos, skriptni bajarishdan oldin barcha kerakli ma'lumotlar saqlanganligiga ishonch hosil qiling.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnowManba: www.habr.com