Траблшутинг WSUS — [4] часть

[1] часть — Установка роли WSUS на Windows Server 2016 
[2] часть — Конфигурирование WSUS
[3] часть — Настройка WSUS
[4] часть — Траблшутинг WSUS

Если машина не регистрируется на сервисе WSUS

Открываем командную строку с правами администратора и вводим команды

net stop wuauserv
net stop bits

Удаляем содержимое папки C:\Windows\SoftwareDistribution, сделав заранее копию или 
rename c:\windows\SoftwareDistribution SoftwareDistribution.bak

net start wuauserv
net start bits
wuauclt.exe /detectnow

Если вы используете различные инструменты деплоя ОС из образов, то замечали что далеко не все ОС отправляют отчет на сервер WSUS или вообще пропадают с сервера.
Тут и кроется корень проблемы, после клонирования у машин остается один и тот же SusClientId. 
Посмотреть его можно в реестре, по следующему пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

Значения которые нам нужны называются — SusClientId и SusClientIdValidation. 
Данные значения должны быть уникальными на каждой машине, если это не так, то машины будут перерегистрироваться на WSUS затирая таким образом соседей с таким же SusClientId. Чтобы это исправить нужно выполнить следующие команды:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientId"

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientIdValidation"

wuauclt /resetauthorization /detectnow

После этого машина сбросит авторизацию на WSUS и зарегистрируется с новым, уникальным SusClientId.

Принудительный запуск обновлений

Управление обновлением Windows из командной строки. Очень полезная штука если параметры обновлений выставляются через домен, но есть необходимость в данный момент проверить обновления, или принудительно запустить обновления windows.

wuauclt /detectnow — Запустить немедленный опрос сервера WSUS на наличие обновлений
wuauclt /reportnow - Сбросить на сервер список уже установленных обновлений
wuauclt /resetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений
wuauclt /UpdateNow - Запускает процесс установки найденных обновлений

Инструмент для диагностики на стороне клиента WSUS:

http://downloads.solarwinds.com/solarwinds/Release/FreeTool/SolarWinds-Agent-Diagnostic-Tool-WSUS.zip

Проверка доступности порта WSUS через PowerShell

Test-NetConnection -ComputerName wsus -Port 8530

Отключить двойное получение обновлений

Включить групповую политику System/Internet Communication Management/Internet Communication settings/Turn off access to all Windows Update features

Посмотреть применение групповых политик 

gpresult /r

Обновить групповые политики

gpupdate /force

Полезные ссылки по теме:

https://www.rootusers.com/configure-automatic-updates-for-windows-server-2016/
https://community.spiceworks.com/how_to/133316-how-to-control-windows-10-and-server-2016-updates-with-wsus
http://winitpro.ru/index.php/2018/05/23/perenos-odobrennyx-obnovlenij-mezhdu-gruppami-wsus/
https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-manage-updates-wsus
https://blog.eaglenn.ru/vyvesti-vse-zamenyaemye-obnovleniya-na-servere-wsus/
https://community.spiceworks.com/topic/1846887-wsus-different-group-policy-for-wsus-pc-group-and-wsus-test-pc