Les clients WSUS ne veulent pas être mis à jour après un changement de serveur?
Ensuite, nous allons vers vous. (C)Tout le monde avait des situations où quelque chose ne fonctionnait plus. Cet article parlera de WSUS (plus d'informations sur WSUS peuvent être obtenues
ici et
ici ). Plus précisément, comment faire en sorte que les clients WSUS (c'est-à-dire nos ordinateurs) reçoivent à nouveau les mises à jour après le transfert ou la restauration d'un serveur de mise à jour existant.
La situation est donc la suivanteLe serveur WSUS est mort. Plus précisément, le contrôleur RAID est déjà en 2000. Mais ce fait n'a pas ajouté de joie. Après une courte agitation (avec des tentatives de restauration du RAID ruinées par un contrôleur mourant), il a été décidé d'
envoyer tout pour déployer un nouveau serveur WSUS.
En conséquence, nous avons obtenu un WSUS fonctionnel, auquel, pour une raison quelconque, les clients ne se sont pas connectés.
Moments: WSUS est lié au FQDN via le serveur DNS interne, le serveur WSUS est enregistré dans les stratégies de groupe et s'applique aux clients via AD, les paramètres du serveur sont les paramètres par défaut, mettent à jour WSUS lui-même et synchronisent les mises à jour avant de démarrer toutes les actions.
Après analyse de la situation, plusieurs points clés ont été identifiés- Client clinch (parle de wuauclt) lors de la tentative de connexion au SID de l'ancien serveur WSUS.
- Il y a un problème avec les mises à jour désinstallées téléchargées à partir de l'ancien serveur WSUS.
- Services de stationnement affectant wuauclt (nous parlons de wuauserv, bits et cryptsvc). Le stationnement a eu lieu pour diverses raisons, qui n'ont pas été analysées en détail.
En conséquence, toute la solution a abouti à un petit script qui est distribué par les stratégies de groupe via AD ou de vos propres mains (et pieds). Le script utilise l'option de réparation la plus sûre et n'a apporté aucun résultat négatif au cours des six derniers mois d'utilisation.
Je décrirai ce qui se fait (pour ceux qui sont particulièrement curieux)Nous garons le service du serveur de mise à jour, nettoyons le descripteur de sécurité du service de communication avec WSUS, supprimons les mises à jour existantes du WSUS précédent, nettoyons le registre des références au WSUS précédent, démarrons le service de mise à jour automatique (wuauserv), le service de transfert intelligent en arrière-plan (bits) et le service de cryptographie (cryptsvc), à la toute fin, nous frappons avec force WSUS avec une autorisation de mise à zéro, détectant un nouveau WSUS et générant un rapport sur le serveur.
Et comme toujours: vous effectuez toutes les actions décrites ci-dessus et ci-dessous à vos risques et périls. Veuillez vous assurer que toutes les données nécessaires sont enregistrées avant l'exécution du script.
Scriptnet stop wuauserv sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU) del /f /s /q %windir%\SoftwareDistribution\download\*.* REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f net start wuauserv && net start bits && net start cryptsvc wuauclt /resetauthorization /detectnow /reportnow