Краткий дайджест открытий и новинок в области обновлений Windows за прошедшее десятилетие

• Отличный способ обнаруживать клиентов с дублированным SusClientIds через логи на сервере (хорошо применимо в сетях и инфраструктурах, где сбор данных скриптами и удалёнными запросами перекрыт бикоз оф эта ваша сесурити) https://ms07.de/blog/?p=277

• Современная замена wuauclt.exe от майрософт, тайная и непонятно планируемая ли к полноценному запуску https://omgdebugging.com/2017/10/09/command-line-equivalent-of-wuauclt-in-windows-10-windows-server-2016/

• Windows Update MiniTool и PSWindowsUpdate — гуевый и консольный способы принудительно ставить обновления, в том числе из интернетов в обход WSUS

• Современные политики уведомлений в Windows 10 — можно мягко но настойчиво задалбывать пользователя просьбами о ребуте, и принудительно перезапускаться через N дней. Вебдванольно и градиентно, как в лучших домах.

Вроде прогресс, а вроде те же грабли что и в 2010-м.

Сегодняшняя КЭНК-история короткая и почти без кода, потому что универсальный скрипт предложить сложно, а главную ценность составляет идея.

Итак, проблема: в некоей системе используются сертификаты пользователей. Система (и её клиентская часть) сама по себе никаких средств контроля и мониторинга сертификатов не содержит, и задача контроля срока и необходимости заблаговременного заказа, организации установки сертификатов на устройства полностью лежит на группе поддержки. Необходимо максимально исключить человеческий фактор и заставить трудиться роботов на ниве контроля сроков.

Решение. Выгружать или как-то ещё получать доступ к сертификатам в работе система не даёт, но мы можем договориться с группой поддержки, что они будут хранить сертификаты в отдельной папке с ограниченным доступом, и работать с ней при любом обслуживании клиентов — убирать оттуда ушедшие из работы сертификаты, класть вновь выпущенные и использованные в настройке. После этого остальное дело техники — по расписанию дампим сертификаты, находим в них данные о сроке окончания, начинаем присылать предупредительные письма группе поддержки заранее. Тут кстати родилась универсальная формула, позволяющая не попасть на праздники и прочие выходные  — предупреждения высылаются за 14, 5, и 3 дня до истечения срока действия сертификата.

Главный технический ингредиент — договориться с certutil, которая в разных версиях по разному выдает дампы.
В моем конкретном случае просто парсится дата окончания через

$data = certutil -dump $file | select-string -pattern "NotAfter:"

В итоге, письма рассылаются, сроки не продалбываются, клиенты довольны, человеки не держат в голове лишней информации

Пример уведомления о скором сроке окончания действия сертификата

КЭНК!
Слава Роботам!

Ежели вы вдруг как и я пользуетесь Windows Home Server, то вот две новости — хорошая и очень хорошая. Во-первых, инструкция по подмене системного диска есть, и оно работает http://www.mediasmartserver.net/forums/viewtopic.php?t=6826.

Во-вторых, там же недалече лежат мануалы, как заставить WHS понимать диски с ГПТ, а значит нет больше ограничения в два тб и старичок WHS поживет еще лет много. Ну и на закуску, для фанатов прогресса, всего модного и вообще — судя по буржуинским форумам, StableBit DrivePool очень даже вполне допилили, и чудесный вхсовский «рейд без рейда» доступен как на лоховских вистах, так и на новомодных 2012-х. Хороших праздников всем!

... а ежели подопечный твой занемог, и припадать к живительной благодати wsus отказывается, а ты к бесовским заклинаниям клонирования обращался до того, то снеси ветку реестра WindowsUpdate в HKLM, перезапусти службу, и дай сначала gpupdate /force, а потом и wuauclt.exe /detectnow /resetauthorization. ...

... а ежели и это не игоняет хворобу, то переустанови wsus update agent свежий из житницы благословенной что умудренному сединами Биллу принадлежит, да тайный ключ /wuforce не забудь ...

... а ежели и тогда издыхает бедолага, то проверь чтоб windows installer был установлен, да версии последней, что в тех же веб-чертогах микрософтовых хранится ...

... а коль совсем ничего не помогает, то призови на помощь WSUS Client Diagnostic Tool, ибо силой великою обладает он, и знаниями тайными поделится, да обрати внимание на проксевые настройки любомудрые ...

... ну а если совсем ничего не получается, то посыпь клавиатуру толчеными мышиными хвостами, да окропи чивасригалом восемнадцатилетним, поелику ничто уже ему не поможет, ибо неисповедимы пути виндовсапдейтовские ...