locked
Politique de MAJ via WSUS - PCs / Serveurs RRS feed

  • Question

  • Bonjour, 

    Je me permets de solliciter la communauté pour un sujet qui concerne tous ceux qui utilisent WSUS : les politiques de mises à jour.

    Mon infra actuelle : Un site avec deux DC (dont un serveur WSUS), 60 postes clients.
    Evolution possible : installation de serveurs RODC dans plusieurs sites distants (10-20 postes) avec WSUS sur chaque serveur RODC (les WSUS des RODC reprendraient les MAJ sur le WSUS "Principal") 

    Pour l'instant, les MAJ sont installées automatiquement sur mes deux DC ainsi que sur mes postes clients. Je sais que c'est mal d'installer les MAJ de façon automatique sur des serveurs en Prod (j'ai pu le valider il y a quelques mois...) et c'est pour cela que je fais appel à vous.
    Je pourrai très bien modifier ma GPO et demander de télécharger et de ne pas installer automatiquement les MAJ. Pas de problèmes pour deux serveurs... mais comment faire pour 5-10 serveurs (et même plus) ?
    Il faudrait tester les MAJ sur un serveur de test (installé pour cela uniquement ?) puis se connecter sur chaque serveur de chaque site et installer les MAJ "à la main" ?

    Cela ne me semble pas être une solution idéale...
    Comment faites-vous de votre côté ?

    Merci par avance de votre retour.

    Benjamin


    lundi 2 septembre 2013 15:26

Réponses

  • Bonjour, 

     c'est la méthode recommandé de tester les mise à jour dans un serveur de test avant de l'appliquer dans le prod, et effectuer une sauvegarde si possibles pour avoir la possibilité de retour à l'état précédent en cas de problème.

    Pour les machine virtuelle, il est possible d'appliquer un snapshot avant de lance l'installation qui permet le retour vers l'état précédent de la machine en cas de problème , notez bien que les snapshot ne sont pas recommandé pour Exchange et active directory installés sous une machine virtuelle.



    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    lundi 2 septembre 2013 15:50
    Auteur de réponse
  • Petite infra donc petit budget. Je vous recommande de faire plusieurs petites actions visant à vous aider dans le flux des mises à jours :

    • Toutes les nouvelles mises à jour sortent le Jeudi
    • N'appliquez jamais de patch un vendredi ou un lundi de manière automatique (le client n'aime pas les débuts de semaine catastrophique, pas plus que l'administrateur n'aime bosser le week-end à l'arrache)
    • Ne validez pas automatiquement les patchs : prenez le temps de faire le tri entre les nécessaires que vous devez déployer et celle que vous ne devez pas installer.
    • Identifiez les patchs "à risque" pour votre infrastructure et faites-en l'objet d'une attention particulière pour le déploiement.

    Si vous avez en plus la possibilité de monter une ou deux machines virtuelles de test, vous pourriez créer des politique de déploiement en avance de phase pour valider le bon fonctionnement des équipements (vous pouvez également identifier des serveurs ou des postes de travail non critique qui pourrait jouer ce rôle).


    mardi 3 septembre 2013 05:35
  • Vous trouverez cet article surement intéressant :

    En gros, vous configurez une GPO pour définir le groupe WSUS d'appartenance.

    lundi 9 septembre 2013 08:33
  • Bonjour Bcarion

    vous creez deux groupes( target)  sur la cosnole WSUS nommés exemple PC et server et vous creez deux gpo qui poinentt sur ces deux traget dans cet exemple le target est site deb donc sur la gpo target groupe vous mettez site deb

    http://technet.microsoft.com/fr-fr/library/dd939830(v=ws.10).aspx

    http://technet.microsoft.com/en-us/library/cc720520(v=ws.10).aspx


    Partager c'est avancer : Votez!SVP


    lundi 9 septembre 2013 08:49
  • exemple gpo pc


    Partager c'est avancer : Votez!SVP

    • Proposé comme réponse Nabil-IT lundi 9 septembre 2013 08:53
    • Marqué comme réponse Bcarion lundi 9 septembre 2013 14:38
    lundi 9 septembre 2013 08:51

Toutes les réponses

  • Bonjour, 

     c'est la méthode recommandé de tester les mise à jour dans un serveur de test avant de l'appliquer dans le prod, et effectuer une sauvegarde si possibles pour avoir la possibilité de retour à l'état précédent en cas de problème.

    Pour les machine virtuelle, il est possible d'appliquer un snapshot avant de lance l'installation qui permet le retour vers l'état précédent de la machine en cas de problème , notez bien que les snapshot ne sont pas recommandé pour Exchange et active directory installés sous une machine virtuelle.



    Best regards Bourbita Thameur Microsoft Certified Technology Specialist: Windows Server 2008 R2,Server Virtualizaton

    lundi 2 septembre 2013 15:50
    Auteur de réponse
  • Petite infra donc petit budget. Je vous recommande de faire plusieurs petites actions visant à vous aider dans le flux des mises à jours :

    • Toutes les nouvelles mises à jour sortent le Jeudi
    • N'appliquez jamais de patch un vendredi ou un lundi de manière automatique (le client n'aime pas les débuts de semaine catastrophique, pas plus que l'administrateur n'aime bosser le week-end à l'arrache)
    • Ne validez pas automatiquement les patchs : prenez le temps de faire le tri entre les nécessaires que vous devez déployer et celle que vous ne devez pas installer.
    • Identifiez les patchs "à risque" pour votre infrastructure et faites-en l'objet d'une attention particulière pour le déploiement.

    Si vous avez en plus la possibilité de monter une ou deux machines virtuelles de test, vous pourriez créer des politique de déploiement en avance de phase pour valider le bon fonctionnement des équipements (vous pouvez également identifier des serveurs ou des postes de travail non critique qui pourrait jouer ce rôle).


    mardi 3 septembre 2013 05:35
  • Bonjour

    LV bulldog merci pour les réponses surtout celle du weekend :)

    @ Bcarion: comme la indiquer nos amis, ne jamais installer les misa a jours automatiquement c’est très déconseillé

    Essayer de monter des machine p2v sur vos lab est faites des tests et vous pouvez créer des gpo de wsus suivant le catégorie ou autre sinon installer le wsus sur un desktop ( workstation) avec une bonne config hardware en cas ou

    Slts


    Partager c'est avancer : Votez!SVP

    mardi 3 septembre 2013 10:02
  • Bonjour,

    Merci à tous pour vos idées et conseils.

    J'aime bien l'idée de créer un groupe de PCs et serveur de test afin d'y déployer les MAJ pour tests pour ensuite l'appliquer à tout le parc.

    Cependant, je ne vois pas trop techniquement comment m'y prendre...

    Quelle config dans le serveur WSUS ? Quelle GPO appliquer ?

    Merci encore pour votre aide.

    Benjamin

    lundi 9 septembre 2013 07:54
  • Vous trouverez cet article surement intéressant :

    En gros, vous configurez une GPO pour définir le groupe WSUS d'appartenance.

    lundi 9 septembre 2013 08:33
  • Bonjour Bcarion

    vous creez deux groupes( target)  sur la cosnole WSUS nommés exemple PC et server et vous creez deux gpo qui poinentt sur ces deux traget dans cet exemple le target est site deb donc sur la gpo target groupe vous mettez site deb

    http://technet.microsoft.com/fr-fr/library/dd939830(v=ws.10).aspx

    http://technet.microsoft.com/en-us/library/cc720520(v=ws.10).aspx


    Partager c'est avancer : Votez!SVP


    lundi 9 septembre 2013 08:49
  • exemple gpo pc


    Partager c'est avancer : Votez!SVP

    • Proposé comme réponse Nabil-IT lundi 9 septembre 2013 08:53
    • Marqué comme réponse Bcarion lundi 9 septembre 2013 14:38
    lundi 9 septembre 2013 08:51
  • et pour les server le tragert est site deb srv

    j'espere que c'est claire pour vous, n'hésite pas en cas ou


    Partager c'est avancer : Votez!SVP

    lundi 9 septembre 2013 08:54
  • Bonjour,

    Merci pour toutes ces infos ! 
    Personnellement, je modifie l'appartenance de mes machines aux groupes WSUS à la main (car peu de machines). Mais merci pour l'option "client-side targeting" !

    Je vais créer un groupe WSUS de test machine et un serveur. Une fois les MAJ approuvées, installées et validées pour ce(s) groupe(s) de test, j'approuverai l'installation pour le reste de mes machines.

    Merci encore pour votre retour d'expérience.

    Benjamin

    lundi 9 septembre 2013 14:37
  • bonjour

    j'ajoute une info en cas ou vous pouvez creer une regles automatiques pour vos mises a jours sur les target groupes:)

    slts 

    a votre service :)


    Partager c'est avancer : Votez!SVP

    lundi 9 septembre 2013 14:43