Траблшутинг WSUS — [4] часть
[1] часть — Установка роли WSUS на Windows Server 2016
[2] часть — Конфигурирование WSUS
[3] часть — Настройка WSUS
[4] часть — Траблшутинг WSUS
Если машина не регистрируется на сервисе WSUS
Открываем командную строку с правами администратора и вводим команды
net stop wuauserv net stop bits
Удаляем содержимое папки C:\Windows\SoftwareDistribution, сделав заранее копию или
rename c:\windows\SoftwareDistribution SoftwareDistribution.bak
net start wuauserv net start bits wuauclt.exe /detectnow
Если вы используете различные инструменты деплоя ОС из образов, то замечали что далеко не все ОС отправляют отчет на сервер WSUS или вообще пропадают с сервера.
Тут и кроется корень проблемы, после клонирования у машин остается один и тот же SusClientId.
Посмотреть его можно в реестре, по следующему пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
Значения которые нам нужны называются — SusClientId и SusClientIdValidation.
Данные значения должны быть уникальными на каждой машине, если это не так, то машины будут перерегистрироваться на WSUS затирая таким образом соседей с таким же SusClientId. Чтобы это исправить нужно выполнить следующие команды:
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientId"
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientIdValidation"
wuauclt /resetauthorization /detectnow
После этого машина сбросит авторизацию на WSUS и зарегистрируется с новым, уникальным SusClientId.
Принудительный запуск обновлений
Управление обновлением Windows из командной строки. Очень полезная штука если параметры обновлений выставляются через домен, но есть необходимость в данный момент проверить обновления, или принудительно запустить обновления windows.
wuauclt /detectnow — Запустить немедленный опрос сервера WSUS на наличие обновлений
wuauclt /reportnow - Сбросить на сервер список уже установленных обновлений
wuauclt /resetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений wuauclt /UpdateNow - Запускает процесс установки найденных обновлений
Инструмент для диагностики на стороне клиента WSUS:
http://downloads.solarwinds.com/solarwinds/Release/FreeTool/SolarWinds-Agent-Diagnostic-Tool-WSUS.zip
Проверка доступности порта WSUS через PowerShell
Test-NetConnection -ComputerName wsus -Port 8530
Отключить двойное получение обновлений
Включить групповую политику System/Internet Communication Management/Internet Communication settings/Turn off access to all Windows Update features
Посмотреть применение групповых политик
gpresult /r
Обновить групповые политики
gpupdate /force
Полезные ссылки по теме:
https://www.rootusers.com/configure-automatic-updates-for-windows-server-2016/
https://community.spiceworks.com/how_to/133316-how-to-control-windows-10-and-server-2016-updates-with-wsus
http://winitpro.ru/index.php/2018/05/23/perenos-odobrennyx-obnovlenij-mezhdu-gruppami-wsus/
https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-manage-updates-wsus
https://blog.eaglenn.ru/vyvesti-vse-zamenyaemye-obnovleniya-na-servere-wsus/
https://community.spiceworks.com/topic/1846887-wsus-different-group-policy-for-wsus-pc-group-and-wsus-test-pc