locked
Mise à jour de sécurité et correctifs pour le serveur WSUS réplica Windows 2008 R2 RRS feed

  • Question

  • Bonjour à tous

    Ma question va faire sourire beaucoup de monde mais je n'ai jamais eu la réponse dans une documentation officielle .

    J'ai un serveur réplica qui recoit les mises à jour d'un serveur amont (que je ne peux pas gérer)

    Comment l'O.S. de ce serveur réplica peut il se mettre à jour ? Comment le WSUS réplica peut se mettre à jour côté correctif WSUS?

    Est ce que le serveur WSUS réplica peut être client de sa propre base ?

    Est ce que les mises à jour du WSUS amont s'applique sur le réplica ?

    1ère solution : J'ai essayer de faire une MAJ depuis Internet : j'ai bien reçu quelques correctifs puis WSUS est devenu instable voire bloqué totalement .

    A bannir.

    2ème solutions (autre contexte)

    J'ai effectivement eu un soucis avec des Clients Windows 7 qui n'avaient jamais de rapport d'état terminé

     j'ai appliqué un peu vite, manuellement, un correctif de windows update et tous mes clients Windows 7 ont retrouvés un état normal

    KB2720211 pendant quelques jours.

    Mais par la suite, Windows Update s'est également bloqué (impossible de se connecter à la base). Donc que doit on faire et ne pas faire ?


    mardi 13 novembre 2012 17:29

Réponses

  • Bonjour,

    Pour la configuration de la stratégie de mise à jours au niveau d'une entreprise, ils en existent plusieurs parmi lesquelles votre scenario. Dans votre cas, l'administrateur défini la politique de mise à jours qui sera appliquée sur tout les serveur WSUS en dowsnstream. Du coup, c'est pour cela que vous n'avez pas la possibilité de définir des mises à jours un peu particulières vu que c'est banni (classé) par l'admin. En outre, pour ce qui concerne les mises à jour qui seront appliquées sur le serveur WSUS lui même, je vous informe qui est non recommandé de patcher (MAJ) les serveurs qui sont dans la prod, et s'il on va opter pour cette stratégie, on doit impérativement vérifier les patch sur des machines de test avant de les appliquer. Du coup, votre admin peut décider de ne pas inclure les serveurs dans la politique de mise à jours et en particulier votre serveur WSUS en downstream. 

    Dans d'autre cas, on peut et sans problème patch le serveur WSUS. Je vous conseille aussi d'éviter d'appliquer des correctifs ou patch d'une facon manuelle sur les postes clients, une fois vous avez WSUS c'est lui qui gère!!

    J'espère que je me suis bien exprimé! A+


    Best Regards Don't forget to mark it as answer if it helps

    mercredi 14 novembre 2012 09:50
    Auteur de réponse
  • Un dernier conseil, evite d'activer la mise à jour automatique sur tes serveurs, ca ne fait pas des bonnes pratique, et surtout de connecter les serveurs à internet, généralement ca augmente la surface d'attaque. Un dernier point, dans un domaine AD, on utilise les GPOs pour s'assurer que les clients détectent le serveur WSUS et pour aussi configurer d'autres paramètres en relation avec ce dernier.

    A+


    Best Regards Don't forget to mark it as answer if it helps

    mercredi 14 novembre 2012 12:37
    Auteur de réponse

Toutes les réponses

  • Bonjour,

    Pour la configuration de la stratégie de mise à jours au niveau d'une entreprise, ils en existent plusieurs parmi lesquelles votre scenario. Dans votre cas, l'administrateur défini la politique de mise à jours qui sera appliquée sur tout les serveur WSUS en dowsnstream. Du coup, c'est pour cela que vous n'avez pas la possibilité de définir des mises à jours un peu particulières vu que c'est banni (classé) par l'admin. En outre, pour ce qui concerne les mises à jour qui seront appliquées sur le serveur WSUS lui même, je vous informe qui est non recommandé de patcher (MAJ) les serveurs qui sont dans la prod, et s'il on va opter pour cette stratégie, on doit impérativement vérifier les patch sur des machines de test avant de les appliquer. Du coup, votre admin peut décider de ne pas inclure les serveurs dans la politique de mise à jours et en particulier votre serveur WSUS en downstream. 

    Dans d'autre cas, on peut et sans problème patch le serveur WSUS. Je vous conseille aussi d'éviter d'appliquer des correctifs ou patch d'une facon manuelle sur les postes clients, une fois vous avez WSUS c'est lui qui gère!!

    J'espère que je me suis bien exprimé! A+


    Best Regards Don't forget to mark it as answer if it helps

    mercredi 14 novembre 2012 09:50
    Auteur de réponse
  • OK, donc si je comprends bien, je ne touche à rien...mais j'ai alors mon serveur WSUS vulnérable côté correctif. J'ai oublié de préciser que j'étais en domaine, que j'ai des GPO qui s'applique (mais pas sur ces serveurs je pense). De plus, mon WSUS réplica , ce n'est pas un serveur dédié, il fait office de serveur d'impression, il héberge des données utilisateurs, profils itinérants...Bref, je me souviens bien qu'aucune mise à jour ne tombait sur mon serveur WSUS :d'où la volonté de le protéger un peu et de le mettre à jour. Je précisé aussi que par défaut, mon serveur fait une MAJ windows en cherchant internet et non un autre WSUS...Donc il n'est jamais à jour !

    Mais du coup, pour en revenir à WSUS, il n'est pas "prévu" dans l'architecture WSUS que si le serveur en amont fasse une MAJ WSUS, elle s'applique donc sur mon serveur aval : il faut que je contact le gérant du serveur AVAL  pour savoir ce qu'il faut appliquer "manuellement".

    mercredi 14 novembre 2012 11:40
  • Un dernier conseil, evite d'activer la mise à jour automatique sur tes serveurs, ca ne fait pas des bonnes pratique, et surtout de connecter les serveurs à internet, généralement ca augmente la surface d'attaque. Un dernier point, dans un domaine AD, on utilise les GPOs pour s'assurer que les clients détectent le serveur WSUS et pour aussi configurer d'autres paramètres en relation avec ce dernier.

    A+


    Best Regards Don't forget to mark it as answer if it helps

    mercredi 14 novembre 2012 12:37
    Auteur de réponse
  • Merci pour vos réponses. J'ai quand même appliquer le correctif KB2720211 a la main, car ils étaient conseillés par les gérants du WSUS aval.

    Sans cela, 95% de mon parc restait "en attente du rapport d'état" malgré toutes les manips possibles !!! problème de WUIDENT.CAB are not trusted : erreur 0x800B0001 sur les clients..pendant deux jours !

    tous mes clients Windows 7 ont retrouvés un état normal ainsi que les autres OS.

    Pour info, quand j'ai voulu installé la première fois WSUS sur ce serveur, IL A ETE IMPOSSIBLE de la faire car il voulait absolument se connecter à Internet via mise à jour automatique...

    Il n'a jamais voulu démmarer avec le package d'instalation officiel WSUS30-KB972555-X86 : plein d'erreur dans les logs pour finalement "crasher" en fin d'installation... je me suis résolu à le brancher sur Internet, et là, ca a fonctionné. Bizarre bizarre.

    jeudi 15 novembre 2012 13:27