none
Estações não trocam de servidor WSUS RRS feed

  • Pergunta

  • Bom dia, estou com um problema tenho na rede um servidor WSUS Windows Server 2003 R2 no domínio gerenciando 300 estações de trabalho. Montei um outro servidor Wsus que está em uma DMZ para também gerenciar as atualizações do Windows pois vou desativar esse servidor antigo. O que esta acontecendo é que já alterei a GPO para apontarem para o novo servidor wsus só que as quase todas ainda estão apontando para o servidor antigo. 

    Já rodei um .bat com o seguinte script

    @echo on

    Net Stop wuauserv

    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientIdValidation /f
    REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v LastRestorePointSetTime /f

    Net Start wuauserv

    wuauclt /resetauthorization /detectnow

    gpupdate /force

    e mesmo após executado esse .bat as estações continuam a aparecerem e buscarem atualizações no servidor antigo. O que posso estar fazendo para que as estações parem de buscar atualizações no antigo e apontarem para o novo?

    Obrigado

    segunda-feira, 4 de setembro de 2017 13:10

Respostas

  • Betinho33

    Neste screenshots nao apareceu as politicas referente ao WSUS. Extraia assim:

    gpresult /r >> c:\gpresult.txt

    Cole o resultado aqui que ficara mais facil.

    Acredito que este computador e os demais nao estejam dentro da politica do WSUS, reveja a politica e confirme se a mesma esta abrangendo todos os computadores que voce deseja.

    OBS: Desculpe a acentuacao, estou no trabalho sem teclado e OS em pt-BR.

    Abracos.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    terça-feira, 5 de setembro de 2017 19:17

Todas as Respostas

  • Olá,

    na configuração da GPO está indicando o endereço Ip do servidor ou o nome?

    Erro na resolução de nome do servidor poderia justificar...

    segunda-feira, 4 de setembro de 2017 14:57
  • A GPO esta o Ip e a porta do novo servidor WSUS.
    segunda-feira, 4 de setembro de 2017 17:36
  • Betinho33

    Amigo tudo bem?

    O script que você executou somente resolve problema de clientes com IDs duplicados, como eles já estavam no antigo WSUS corretamente exibidos (estou supondo que sim ok), o mesmo não resolvera seu problema.

    Faca o seguinte:

    1 - Execute este comando via cmd e confirme que as configurações apontam para o servidor novo e na porta correta:

    reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

    2 - A porta do novo servidor foi configurada na 80 ou 8530? Na GPO esta apontando para o servidor corretamente? http://hostnameserver:porta

    3 - A respectiva porta de operação do WSUS,esta liberada nos firewalls entre cliente -> servidor e vice-versa? Para testar use o telnet ou o software PortQryUI

    Já que o novo server esta em uma DMZ, provavelmente seu problema é com o firewall...

    Abraços.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    segunda-feira, 4 de setembro de 2017 18:13
  • Boa tarde Renan, a porta para o novo servidor foi configura para 8530 na GPO e esta configurada da seguinte forma http://ipdoservidor:8530.

    Com relação ao firewall está liberado pois já tem estações de trabalho no novo servidor. 

    segunda-feira, 4 de setembro de 2017 19:17
  • Olá,

    Pelo que estou vendo, acredito que possa estar havendo um conflito de Precedencia de GPO na sua REDE, onde uma GPO está aplicando uma configuração que está sendo sobrescrita por outra.

    Tente rodar o comando a partir de alguma maquina que esteja com o WSUS errado: GPRESULT /H GPReport.html

    Com esse comando será gerado um relatório sobre as configurações de GPO.

    Outra opção, seria alterar o nome e o endereço IP do novo WSUS para o nome e IP do Antigo WSUS.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 4 de setembro de 2017 19:25
  • Boa tarde Marcos, na nossa rede temos apenas uma GPO para WSUS que esta aplicada na raiz do domínio, onde todas as maquinas deveriam estar sendo aplicadas.

    Sobre trocar o IP não da porque o ip do antigo é um IP de rede 10.x.x.x. o do novo é um ip de dmz 177.x.x.x.

    Atenciosamente

    segunda-feira, 4 de setembro de 2017 19:40
  • Olá,

    Entendo, não recomendo a utilização de GPO's aplicadas diretamente na Raiz no Domínio, com exceção da Default Domain Policy, pois caso alguma configuração incorreta seja feita, esta configuração será aplicada para toda estrutura, inclusive com a possibilidade de grandes transtornos.

    Com a utilização do GPRESULT, você irá identificar se existe alguma outra GPO aplicando a configuração indesejada, que inclusive pode ser a Default Domain Policy.

    Recomendo que você divida a sua estrutura em OU's menores e aplique as GPO's em escopos menores, pois com isso a possibilidade de um problema generalizado causado em detrimento de uma GPO com configurações incorretas será muito menor.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 4 de setembro de 2017 19:54
  • Betinho33

    Amigo, vá ate uma estacão com problema e faca o seguinte:

    1 - Abra o meno iniciar, executar, e digite mmc

    2 - Adicione o snap-in Resultant Set of Policy;

    3 - Execute o RSOP, clicando com botao direito, e no wizard apenas clique em avançar ate o final;

    4 - Ao finalizar, navegue ate as configurações da politica do WSUS, e veja qual o nome da GPO que aparece, algo parecido com isso:

    Caso esteja tudo ok com a GPO correta sendo aplicada, teste a porta 8530 a partir desta maquina e garanta que a comunicação não esta bloqueada. Use o software que indiquei.

    Como esta a configuração DNS na rede? Consegue resolver nome para IP e vice versa?

    Abraços

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    segunda-feira, 4 de setembro de 2017 19:58
  • Renan fiz como indicado o resultado esta na imagem. Esta apontando para o servidor antigo. 

    

    segunda-feira, 4 de setembro de 2017 20:35
  • Olá,

    Atrás desta configuração que você está nos mostrando, existe o nome da GPO a qual está aplicando esta configuração.

    Qual é esta GPO?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 4 de setembro de 2017 20:40
  • Betinho33

    Bom, descobrimos então que seu problema esta no lado da GPO, por algum motivo não esta sendo aplicado ao cliente.

    Onde a GPO do WSUS foi "linkada", na OU de computadores/servidores? Na opção "Filtro de Segurança" esta aplicada para "usuários autenticados" / ou grupo de segurança contendo os objetos de computadores? Se esta por grupo, todos os computadores foram adicionados? Garanta que esta GPO esteja alcançando todos os computadores.

    Apos isso, vá ate uma estacão e force o update:

    gpupdate /target:computer /force

    Reinicie o Windows e cheque se a GPO foi aplicada para o computador:

    gpresult /r

    Nos retorne com o resultado.

    Abraços.

    Renan

    OBS: desculpe a acentuação, meu teclado e inglês.


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)



    segunda-feira, 4 de setembro de 2017 21:51
  • Bom dia segue resultdo do comando gpresult -h


    terça-feira, 5 de setembro de 2017 12:04
  • Betinho33

    Neste screenshots nao apareceu as politicas referente ao WSUS. Extraia assim:

    gpresult /r >> c:\gpresult.txt

    Cole o resultado aqui que ficara mais facil.

    Acredito que este computador e os demais nao estejam dentro da politica do WSUS, reveja a politica e confirme se a mesma esta abrangendo todos os computadores que voce deseja.

    OBS: Desculpe a acentuacao, estou no trabalho sem teclado e OS em pt-BR.

    Abracos.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    terça-feira, 5 de setembro de 2017 19:17
  • Bom dia,

    Por falta de retorno esta thread esta encerrada !

    Caso necessário, por gentileza abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 11 de setembro de 2017 13:26