WSUS mijozlari serverlarni o'zgartirgandan keyin yangilashni xohlamaydilarmi?
Keyin sizga boramiz. (BILAN)
Biz hammamiz biror narsa ishlamay qolgan vaziyatlarga duch kelganmiz.
Ushbu maqola WSUS-ga qaratiladi (WSUS haqida ko'proq ma'lumot olish mumkin ΠΈ).
Yoki aniqrog'i, WSUS mijozlarini (ya'ni bizning kompyuterlarimizni) mavjud yangilash serverini o'tkazgandan yoki qayta tiklagandan so'ng yana yangilanishlarni olishga majburlash haqida.
Demak, vaziyat quyidagicha.
WSUS serveri halok bo'ldi. Aniqroq aytganda, RAID kontrolleri 2000 yilda ishlab chiqarilgan. Ammo bu fakt quvonchni qo'shmadi. Qisqa shov-shuvdan so'ng (o'layotgan kontroller tomonidan vayron qilingan RAIDni tiklashga urinishlar bilan) yangi WSUS serverini joylashtirish uchun hamma narsani yuborishga qaror qilindi.
Natijada, biz ishlaydigan WSUSni oldik, ba'zi sabablarga ko'ra mijozlar ulanmagan.
Ballar: WSUS FQDN bilan ichki DNS server orqali bog'langan, WSUS serveri guruh siyosatlarida ro'yxatdan o'tgan va mijozlarga AD orqali tarqatiladi, server uchun standart sozlamalar, barcha amallarni boshlashdan oldin WSUS-ning o'zini yangilang va yangilanishlarni sinxronlang.
Vaziyatni tahlil qilgandan so'ng, bir nechta asosiy fikrlar aniqlandi.
1) Mijoz eski WSUS serverining SID-siga ulanishga urinayotganda (wuauclt haqida gapiradi).
2) Eski WSUS serveridan yuklab olingan o'chirilgan yangilanishlar bilan bog'liq muammo.
3) Wuauclt ning ishlashiga ta'sir qiluvchi xizmatlarni to'xtatib turish (biz wuauserv, bit va cryptsvc haqida gapiramiz). Avtoturargoh turli sabablarga ko'ra yuzaga kelgan, ular batafsil tahlil qilinmagan.
Natijada, butun yechim kichik skriptga olib keldi, bu AD orqali yoki o'z qo'llaringiz (va oyoqlaringiz) bilan guruh siyosati tomonidan tarqatiladi. Skript eng xavfsiz ta'mirlash opsiyasidan foydalanadi va olti oylik foydalanish uchun bitta salbiy natija keltirmadi.
Men nima qilinayotganini tasvirlab beraman (ayniqsa qiziqqanlar uchun).
Biz yangilanish serveri xizmatini to'xtatamiz, WSUS aloqa xizmatining xavfsizlik identifikatorini tozalaymiz, oldingi WSUS-dan mavjud yangilanishlarni o'chirib tashlaymiz, oldingi WSUS-ga havolalar reestrini tozalaymiz, avtomatik yangilash xizmatini (wuauserv), fonda aqlli uzatish xizmatini ishga tushiramiz ( bit) va kriptografiya xizmati (cryptsvc), oxirida biz avtorizatsiyani tiklash, yangi WSUSni aniqlash va serverga hisobot yaratish uchun WSUS-ni taqillatamiz.
Va har doimgidek: siz yuqorida va quyida tavsiflangan barcha harakatlarni o'zingizning xavf-xataringiz va xavfingiz ostida bajarasiz. Iltimos, skriptni bajarishdan oldin barcha kerakli ma'lumotlar saqlanganligiga ishonch hosil qiling.
Skript
net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%SoftwareDistributiondownload*.*
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v PingID /f
REG DELETE "HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate" /v SusClientId /f
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow
Manba: www.habr.com