locked
Questions à propos de WSUS 3.0 RRS feed

  • Question


  • Bonjour,

    J'ai un réseau Active Directory 2003, composé de plusieurs sites Active Directory. Chaque site possede entre 15 et 40 ordinateurs (Poste de travail + Serveurs). En tout ya presque 500 ordinateurs.
    Je voudrai implémenter la solution Windows Server Update Service 3.0 SP1 sur l'infrastructure. Donc:
    • un serveur en amont sur le site central et des serveurs en aval sur chaque site.
    • le mode de gestion est centralisé donc utilisation des serveurs avals réplica.
    • certains WSUS enfants téléchargeront les MAJ depuis l'internet puisqu'ils sont dotés d'une connexion Internet plus rapide que la connexion WAN.
    Questions:
    • Est ce que c'est risqué de mettre le WSUS en aval sur un controleur du domaine ? pourquoi ?
    • Le choix du type de Database (WMSDE et SQL 2005 server) dépends du nombre des clients wsus.
      • Comment la database  d'un WSUS  se comporte t-elle ? vis à vis d'autre WSUS ?
      • Ce choix dépend -t-il du nombre total des client wsus ou seulement le nombre des clients qu'un WSUS met à jour directement ?
      • Est ce que chaque serveur WSUS possede sa propre database ? est ce que il ya une relation entre la database du wsus en amont et celles des serveurs réplica?
    • Le ciblage coté clients et  spécification de l'emplacement intranet du service de MAJ microsoft:
      • Active directory est structuré en plusieurs OU représentant chaque site (tous les ordinateurs du site1 appartiennent à la OUsite1). j'applique sur la OU la GPO en spécifiant l'emplacement intranet du service de MAJ microsoft le serveur WSUS local du site. Dans ce cas la, le AU du serveur WSUS récuperera les MAJ sur la machine elle meme. Est ce que ça pose des conflits ?
      • Je configure le ciblage coté client par GPO et la console du serveur WSUS en amont des ordinateurs des autres sites. je voudrai comprendre si chaque serveur wsus est cencé avoir une vue que sur les ordinateurs prenant en charge (les clients le pointant) ?

    Merci beaucoup.
    • Déplacé SachinW jeudi 4 février 2010 00:57 Forum Consolidation (Origine :Windows Server 2003 – Sécurité)
    mercredi 11 juin 2008 10:15

Réponses

  • Bonsoir,

     

    je vais tenter de répondre Smile

     

    Questions:

    • Est ce que c'est risqué de mettre le WSUS en aval sur un controleur du domaine ? pourquoi ?
      il est préférable de ne pas le faire mais cela est envisageable sur des serveurs n'ayant pas de charges trop lourde (peu d'utilisateurs, pas d'applications tierces de haute disponibilité et si possible pas d'autre DB.... mais en pratique WSUS se retrouve tres souvent sur des DC en petites structures (d'aileurs c'est le cas sur SBSSmile )
    • Le choix du type de Database (WMSDE et SQL 2005 server) dépends du nombre des clients wsus.
      • Comment la database  d'un WSUS  se comporte t-elle ? vis à vis d'autre WSUS ?
        chaque wsus ayant sa base, seule la réplication des groupes WSUS ainsi que des séléctions de hotfixes s'effectue par défaut, en plus tu peux choisir d'alimenter les fichiers d'installations au cas par cas sur les serveurs en aval (certains depuis le wsus central, d'autres depuis internet, voir depuis un dvd de sources extraite d'un autre wsus)
      • Ce choix dépend -t-il du nombre total des client wsus ou seulement le nombre des clients qu'un WSUS met à jour directement ? la base de chaque serveur dépend du nombre de ses clients directs
      • Est ce que chaque serveur WSUS possede sa propre database ? est ce que il ya une relation entre la database du wsus en amont et celles des serveurs réplica? voir réponse plus haut Smile
    • Le ciblage coté clients et  spécification de l'emplacement intranet du service de MAJ microsoft:
      • Active directory est structuré en plusieurs OU représentant chaque site (tous les ordinateurs du site1 appartiennent à la OUsite1). j'applique sur la OU la GPO en spécifiant l'emplacement intranet du service de MAJ microsoft le serveur WSUS local du site. Dans ce cas la, le AU du serveur WSUS récuperera les MAJ sur la machine elle meme. Est ce que ça pose des conflits ? non aucun
      • Je configure le ciblage coté client par GPO et la console du serveur WSUS en amont des ordinateurs des autres sites. je voudrai comprendre si chaque serveur wsus est cencé avoir une vue que sur les ordinateurs prenant en charge (les clients le pointant) ? les groupes se définissent sur le WSUS maitre, et sont répliqués sur les wsus replica (slave)... tu ne verra sur chaque serveur que les PC qui pointent sur ce serveur en particulier...Tu verras par contre les groupes vides que tu auras définis specifiquement pour d'autres seveurs si c'est le cas... tu peux par contre centraliser sur le maitre tout ce qui est reporting et choix des updates...

    J'espere avoir éclairci les zones d"ombre, n'hesites pas à poser d'autres questions si je n'ai pas été clair Smile

    il est tard j'ai peut etre ecrit des choses ne semblant claires qu'à moi meme Smile

     

    cordialement,

     

    Pierre.

     

    vendredi 13 juin 2008 21:48

Toutes les réponses

  • Bonsoir,

     

    je vais tenter de répondre Smile

     

    Questions:

    • Est ce que c'est risqué de mettre le WSUS en aval sur un controleur du domaine ? pourquoi ?
      il est préférable de ne pas le faire mais cela est envisageable sur des serveurs n'ayant pas de charges trop lourde (peu d'utilisateurs, pas d'applications tierces de haute disponibilité et si possible pas d'autre DB.... mais en pratique WSUS se retrouve tres souvent sur des DC en petites structures (d'aileurs c'est le cas sur SBSSmile )
    • Le choix du type de Database (WMSDE et SQL 2005 server) dépends du nombre des clients wsus.
      • Comment la database  d'un WSUS  se comporte t-elle ? vis à vis d'autre WSUS ?
        chaque wsus ayant sa base, seule la réplication des groupes WSUS ainsi que des séléctions de hotfixes s'effectue par défaut, en plus tu peux choisir d'alimenter les fichiers d'installations au cas par cas sur les serveurs en aval (certains depuis le wsus central, d'autres depuis internet, voir depuis un dvd de sources extraite d'un autre wsus)
      • Ce choix dépend -t-il du nombre total des client wsus ou seulement le nombre des clients qu'un WSUS met à jour directement ? la base de chaque serveur dépend du nombre de ses clients directs
      • Est ce que chaque serveur WSUS possede sa propre database ? est ce que il ya une relation entre la database du wsus en amont et celles des serveurs réplica? voir réponse plus haut Smile
    • Le ciblage coté clients et  spécification de l'emplacement intranet du service de MAJ microsoft:
      • Active directory est structuré en plusieurs OU représentant chaque site (tous les ordinateurs du site1 appartiennent à la OUsite1). j'applique sur la OU la GPO en spécifiant l'emplacement intranet du service de MAJ microsoft le serveur WSUS local du site. Dans ce cas la, le AU du serveur WSUS récuperera les MAJ sur la machine elle meme. Est ce que ça pose des conflits ? non aucun
      • Je configure le ciblage coté client par GPO et la console du serveur WSUS en amont des ordinateurs des autres sites. je voudrai comprendre si chaque serveur wsus est cencé avoir une vue que sur les ordinateurs prenant en charge (les clients le pointant) ? les groupes se définissent sur le WSUS maitre, et sont répliqués sur les wsus replica (slave)... tu ne verra sur chaque serveur que les PC qui pointent sur ce serveur en particulier...Tu verras par contre les groupes vides que tu auras définis specifiquement pour d'autres seveurs si c'est le cas... tu peux par contre centraliser sur le maitre tout ce qui est reporting et choix des updates...

    J'espere avoir éclairci les zones d"ombre, n'hesites pas à poser d'autres questions si je n'ai pas été clair Smile

    il est tard j'ai peut etre ecrit des choses ne semblant claires qu'à moi meme Smile

     

    cordialement,

     

    Pierre.

     

    vendredi 13 juin 2008 21:48
  • Merci pour ton aide Pierre ,

    Concernant le ciblage coté client:
    Sur le serveur en aval, je retrouve que les clients wsus qui pointent directement vers ce serveur. Mais je retrouve tous les clients wsus (y compris les cleints pointant les serveurs wsus enfants) sur le serveur en amont. Donc, je procede à la suppression manuelle des clients wsus non concernées depuis la console.

    Je trouve souvent sur ma console:
    • Des icones jaunes en exclamation sur des ordinateurs avec un pourcentage que je n'ai pas bien saisi la signification.
    • Des MAJ déja déployés sur les clients alors que leurs état reste non installé.
    • Icone jaune qui me demande d'approuver d'abors les MAJ alors qu'elles ont été déja approuvées.
    Est ce qu'il existe un document qui explique en détail la console WSUS (les rapports, les états, les graphes, les icones...) ?.

    Merci.

     
    samedi 14 juin 2008 09:27
  • bonjour,

     

    oui, tu peux le télécharger ici: c'est l'operation guide (en anglais)...

    http://www.microsoft.com/downloads/details.aspx?familyid=66D250FA-670F-4A49-95EC-2FFDA7691F55&displaylang=en

     

    cordialement,

     

    Pierre.

     

     

    samedi 14 juin 2008 10:02
  • Bonjour,

    Le guide n'explique pas en détail la console WSUS (les rapports, les états, les graphes, les icones...) mais il reste très utile. merci Pierre.

    En ce qui concerne les règles d'approbation automatique, je ne vois pas l'utilité à part le gain du temps du moment ou on doit tester chaque mise à jour dans un environnement de test, c'est à dire l'installer attendre si ya pas eu de confilit ou d'erreur avec d'autre applications, avant d'approuver son installation dans l'environnement de production...la tache est comme meme fastidieuse pour l'administrateur. Si j'utilise la regles d'approbation automatique je n'aurai pas le moyen de détecter la MAJ qui cause le problème. Comment faire pour faciliter cette tache d'une façon sure ?

    L'idéal est d'avoir la possibilité d'approuver automatiquement les mises à jour "approuvées et testées" à partir du groupe test vers le groupe production par exemple.

    Sur quoi se baser pour choisir  les classifications lors de la synchronisation biensur à part les mises à jour prioritaire (critique et de la sécurité) ? ou se contenter de synchroniser seulement ces deux type de mises à jour ?

    Merci.





    dimanche 15 juin 2008 16:22
  • Bonjour

     

    en effet , la tache de selection/approbation des MAJ est fastidieuse, mais inévitable.

     

    WSUS est pensé pour un environnement industrialisé, dans ce cas, effectivement tu as un site de tests\qualif, reflet de tes sites finaux sur lequel tu valide les correctifs, et ensuite tu les approuve sur les sites de prod. (c'est ce que nous faisons, chez mon client actuel - 26.000 postes et 1.300 serveurs)...sans soucis pour le moment.

     

    quant au choix du type de MAJ, nous n'appliquons par WSUS que les critiques/sécurité...le reste fait l'objet de paliers techniques si necessaire.

     

    quant à la copie des approbations d'un groupe à un autre regarde ici: http://www.wsus.info/forums/index.php?showtopic=7568 , tu trouveras ton bonheur Smile

     

    tres cordialement,

     

    Pierre.

     

    lundi 16 juin 2008 12:23
  • Bonjour,

     

    Notre parc possede des serveurs SQL server 2000 et j'aimerai les mettre à jour. Je voudrai savoir si le WSUS 3.0 met à jour le produit SQL server 2000 ?

     

    Quand une nouvelle mise à jour est synchronisée, comment et où l'administrateur va la retrouver ?

     

    Merci

     

    lundi 7 juillet 2008 08:59