none
windows 2012 + WSUS RRS feed

  • Discussion générale

  • Bonjour,

    je dois mettre en place un serveur wsus pour mettre à jour les serveurs de notre parc informatique.
    Cependant je m'interroge sur le délai d'approbation des mises à jours.
    y'a t'il de bonne pratique à suivre avant des appliquer des mises à jour sur les serveurs, et si oui lesquels?

    il y a quelques année j'adoptais ce fonctionnement : valider les mises à jours critique / sécurité etc... que 2 mois après la date de sortie. Cela me permettait d'avoir une bonne visibilité sur mes serveurs à jour, et par la même occasion cela me laisse le temps de voir si y'avait des retours de problèmes suite à ces nouvelles mises à jours.

    Aujourd'hui quelqu'un pourrait il m'éclairer sur la politique à utiliser pour déployer des mises à jours sur un serveur?
    (sachant que je n'ai pas d'environnement de test, je déploierai uniquement sur les serveurs de production)

    Merci d'avance pour vos réponses.

    jeudi 24 septembre 2020 13:47

Toutes les réponses

  • Bonjour Yann CONVERT,

    L'article suivante explique comment installer le rôle serveur WSUS à l’aide du Gestionnaire de serveur:

    https://docs.microsoft.com/fr-fr/windows-server/administration/windows-server-update-services/deploy/1-install-the-wsus-server-role

    Je vous remercie par avance pour votre retour.

    Cordialement,
    Nedeltcho


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 25 septembre 2020 07:20
  • Salut,

    la meilleur pratique et la politique c'est de tester et ne pas ouvrir le flux, y a aussi des sites pour voir les incompatibilités des mises à jour, ca sert à rien de les envoyées tout les jours, car y'en a qui remplace d'autres dans un délai court.

    aussi j'ai intervenu dans des grandes enseignent ou je voyais des mises à jour des produits comme office 2016 2019 2013 s'appliquer sur des postes sans office ou avec office 2010 hhhh et cela créait des problèmes donc fait attention 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 25 septembre 2020 08:22
  • Bonjour Medhi;

    [...je voyais des mises à jour des produits comme office 2016 2019 2013 s'appliquer sur des postes sans office ou avec office 2010 hhhh et cela créait des problèmes donc fait attention...]

    Bizarre ça. Je ne comprends pas pourquoi des mises à jour Office s'appliqueraient sur un poste qui n'a pas Office. Je pourrais comprendre si le poste était pourri (traces d'une installation précédente d'office sur le poste qui restent dans le registre), mais autrement je ne comprends pas.

    @Yann Convert: En ce qui concerne les règles d'approbation automatiques. 

    Prerequis : La liste des produits et des classifications a été définie pour répondre au besoin. Par ex. en ce qui concerne les classifications : Mise à jour de sécurité, Service Pack

    Le besoin : on va dire que l'on veut approuver automatiquement les mises à jour de tous les produits qui sont classifiées en Mise à jour de sécurité, Mise à jour critique ... éventuellement on peut ajouter un délai pour l'approbation (7jours).

    En ce qui concerne les Services Packs (et je pense que les grosses mises à jour semestrielles de W10 en font partie), on veut décider du moment. Par exemple, on ne le fera qu'une fois par an.

    Création de 2 règles d'approbation Auto : La première pour répondre au premier besoin comme décrit, la seconde serait "tous les produits, classification service Pack ... avec ou sans délai avant approbation auto).

    On a donc 2 règles. La première sera activée, quand à la seconde, on ne l'activera qu'au besoin.

    Les 2 choses qu'il faut garder à l'esprit :

    • WSUS ne télécharge chez MS que les produits, classifications et langue qui ont été définis dans la conf.
    • Les packages téléchargés ne sont mis à disposition des clients que quand ils sont approuvés.

    Après, soit on fait une approbation manuelle régulièrement (si on aime se générer des tâches d'administration pas forcément nécessaires), soit on fait une approbation auto (via une ou des règles appropriées comme décrit ci-avant).

    Si dans l'organisation l'AV utilisé est Windows Defender, sans règle d'approbation auto, c'est tous les jours qu'il faudrait approuver.

    Après, on peut également faire des règles d'approbation plus fines.

    Ex.

    1) Toutes les mises de Windows Server xxx dont la classification est Security Update, approbation auto. ...

    2) Lorsqu'une mise à jour se trouve dans Mise à jour critique, Mise à jour de la sécurité, Approuver la mise à jour pour Serveurs. (Serveurs étant un "groupe d'ordinateurs" défini dans WSUS ET le ciblage côté client ayant été fait via la GPO WSUS)

    Il n'y a pas - du moins à ma conaissance - de règles standards. En ce qui me concerne, je dirais juste : "Eviter les règles trop explicites, les règles implicites sont meilleures".

    Pourquoi ? Juste l'expérience, et je vais donner un ex pour illustrer. WSUS récupère les mises à jour pour W7, Windows serveur 2012R2 à un moment donné. J'introduit des W10 et des serveurs W2016/2019 dans mon environnement. Heureusement, je pense à ajouter ces OS dans la liste des produits. Malheureusement, je suis un peu pressé par le temps, je ne suis pas scrupuleux, j'en ai rien à faire (choisir la version qui correspond), et je prends pas la peine d'aller modifier/créer les règles d'approbation auto. Bilan : aucun de mes nouveaux OS ne sera mis à jour. Alors même si on élimine les 2 derniers choix, le "pressé par le temps peut toujours arriver". Evitons-le avec des règles plus implicites.

    Fin de l'histoire

    Cordialement

    Olivier

    vendredi 25 septembre 2020 09:37
  • Salut Olivier,

    Tout simplement les mises à jour office sont poussés par défaut sur tout les postes, et encore ceux des versions différées, tu trouves des updates 2016 sur un poste qui a office 2010,

    Après ma foi, c'est les pseudos admin, on ne peut rien faire.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 25 septembre 2020 09:55
  • mauvaise conf de WSUS, pas bug. Celui qui bug c'est l'admin :-)

    Olivier

    vendredi 25 septembre 2020 10:20