none
WSUS // GPO // Windows Update // Windows 10 RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour

    Tout d'abord voici l'infrastructure (En virtuel) :

    Première VM:

    • Windows Serveur 2012
    • Contrôleur de domaine (test.univ)
    • Serveur AD
    • Serveur WSUS

    Deuxième VM:

    • Client Windows 10 Pro x64
    • Intégré au domaine (Ils se ping entre eux sans soucis)

    Ce que je voudrais:

    Le Client récupère les mises à jour Windows Update via le serveur WSUS.

    Ce que j'ai déjà fait: 

    Configuration de WSUS :

    • Synchronisation et récupération des mises à jour pour "Windows 10" effectué (Beaucoup de soucis car le service "Windows Update" s’arrêtait  toutes les 15min).
    • Création d'un nouveau groupe d'ordinateur "Wsus".
    • Mise à jour "Approuvées".
    • Cocher la case "Utiliser les paramètres de stratégie de groupe...".

    Création d'une nouvelle GPO dans [Configuration Ordinateur/Statégies/Modèles Administration/Composants Windows/Windows Update]

    • "Configuration du services Mises à jour automatiques" : Activé.
    • "Spécifier l'emplacement intranet du service de mise à jour Microsoft" : Activé avec mon serveur Wsus : Http://Serveur-Test:8530

    Commandes testés mais qui ne change rien :

    Gpupdate /force
Wuauclt.exe /resetauthorization /detectnow

    Sur le client quand je fais "Gpresult /r" il m'indique le bon domaine..mais Stratégie de groupe non appliqué car ils ont été refusés, et Stratégie de groupe locale (Filtrage : Non appliqué (vide))

    Pourtant le client est bien ajouté dans l'AD et la GPO Wsus appliqué a cet utilisateur et plus généralement aux "Utilisateurs du domaine"

    J'ai également télécharger le "ClientDiag" 

    Il m'indique "CheckUserLevel() failed with hr=0x80070005 - Accès refusé"

    Si vous avez d'autres solutions.

    Cordialement,

    Vincent.

    jeudi 11 mai 2017 11:27
    |

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Je viens de relire le premier post. C'est normal que ca ne fonctionne pas. La configuration est faite dans paramètres ordinateurs. De ce fait, il faut que la GPO soit linké au niveau de l'OU qui contient les ordinateurs sur lesquels vous souhaités que le réglage soit appliqué.

    C'est bien la raison pour laquelle lorsque vous déplacez la GPO , la partie ordinateur s'applique bien. La partie utilisateur est refusé certainement parce qu'il n'y a rien de présent dedans je suppose...

    Le fonctionnement que vous avez est donc bien normal. Lier la gpo a l'ou contenant les ordinateurs, faites un gpedit /h gpo.html puis gpo.html pour ouvrir le fichier généré et vous vérez bien que le réglages est présent sur le poste.

    Vous pouvez également le voir via la clé de registre

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

    Merci de marquer les réponses qui vous ont aidées dans ce thread pour que ce soit utile aux autres !

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    • Marqué comme réponse Wiinz mardi 16 mai 2017 09:51
    mardi 16 mai 2017 08:54
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Depuis une mise à jour en juin 2016, les GPO appliquées à un utilisateur ou groupe d'utilisateurs ne sont plus appliqués de la même manière. Il faut que le compte system de la machine ait des droits de lecture pour pouvoir prendre en compte les paramètres.

    Dans votre cas, il faut donc aller sur la GPO puis dans l'onglet délégation vous ajouter le groupe utilisateur authentifiés avec un droit de lecture.

    La gpo sera alors appliqué à condition qu'elle ait bien été liée à une OU qui contient les utilisateurs.

    https://support.microsoft.com/fr-ch/help/3163622/ms16-072-security-update-for-group-policy-june-14,-2016

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    jeudi 11 mai 2017 11:45
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour Matteu31400, merci pour votre réactivité.

    Malheureusement, dans l'onglet Délégation de ma GPO, "Utilisateurs Authentifiés" et déjà là en Lecture (à partir du filtrage de sécurité).

    J'ai également essayé d'ajouter mon "User" dans ces délégations, rien n'y change.

    De plus ce que je trouve bizarre c'est que la console capte mon Serveur (étant donné que c'est le même serveur) , mais je ne vois pas le pc client.

    Cdlt,

    Vincent.


    • Modifié Wiinz jeudi 11 mai 2017 12:49
    jeudi 11 mai 2017 12:42
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Points à vérifier :

    -La GPO est liée à une OU qui contient les utilisateurs pour lesquels vous souhaitez appliquer le réglage (et non pas le groupe d'utilisateur) ou une OU parente

    -la délégation est ok pour utilisateur authentifié donc de ce coté la c'est ok

    -gpresult /r dit que la gpo a été refusée -> il n'y à pas de filtre wmi ou autre sur la gpo ? Il n'y a aucune raison qu'elle ne soit pas appliqué sur le poste client...

    Vous pouvez vérifier ça :

    https://www.it-connect.fr/les-gpo-ne-sappliquent-pas-14-pistes-a-etudier/

    Dans le journal d'évènement, est ce que vous n'avez pas des traces de l'erreur ?

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    jeudi 11 mai 2017 16:15
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Cela indique qu'il y a un filtre qui interdit d'appliquer ce GPO en question, je vous invite à consulter ce lien pour plus de détails:

    Group Policy – GPResult Examples

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    jeudi 11 mai 2017 23:28
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour, merci de vos réponses.

    J'ai donc vérifier les points que vous m'aviez explicité.

    - La GPO est bien lié a l'OU "Test" dans laquelle ce trouve mon "user"

    - La délégation de "Utilisateurs Authentifiés" est en "Lecture (à partir du filtrage de sécurité)" et Hérité "Non"

    - Il n'y a aucun filtre Wmi sur la GPO.

    Dans votre lien il parlait également du DNS, j'ai donc vérifier mon client, il a bien l'adresse ip du serveur en tant que DNS.

    J'ai voulu vérifier avec un Nslookup, voici ce que ça donne :

    Nslookup
DNS request timed out.
    timeout was 2 seconds.
Serveur par défault : UnKnown
Address : 192.168.0.1

> 192.168.0.1
Serveur : UnKnow
Address 192.168.0.1

DNS request timed out.
    timetout was 2seconds.
*** Le délait de la requête sur UnKnown est dépassé.

> Serveur-Test
Serveur : Unkonwn
Adress : 192.168.0.1

Nom : Serveur-Test.test.univ
Address : 192.168.0.1

    J'ai également remarqué une chose. Dans gmpc.msc , sur mon OU, qd je fais clic droit et "Mise a jour de la stratégie de groupe", il me dit "Vous avez choisi de forcer la mise a jour sur les ordinateurs de l'OU TEST, Aucun objet Ordinateur n'a été trouvé" .. alors qu'on est bien d'accord sur le fait que la GPO s'applique sur l'OU dans laquelle il y a mon utilisateur. Parce que je remarque que dans l'AD il capte mon pc "Client-Test" dans l'OU "Computers". 

    J'ai essayé de mettre mon ordinateur dans la même OU que mon user pour voir et là bizarrement, un Gpresult /R dit que ma GPO Wsus est appliqué dans les Paramètres Ordinateurs, mais pas dans les Paramètres Utilisateurs.

    Je suis un peu perdu..

    Cordialement,

    Vincent.



    • Modifié Wiinz vendredi 12 mai 2017 12:45
    vendredi 12 mai 2017 09:25
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Via la console graphique, on ne peut forcer que les GPO ordinateur il me semble...

    Après vérification c'est bien ca

    https://technet.microsoft.com/en-us/library/jj134201(v=ws.11).aspx

    Oula... Je comprends pas la ce que vous avez fait... La GPO WSUS elle contient les paramètres sur la partie utilisateur ET ordinateur ?

    Pouvez vous faire un imprime ecran des paramètres renseignés dans la gpo + l'étendue de securite + l'onglet délégation svp et l'héberger ou vous pouvez sur internet ?

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    vendredi 12 mai 2017 17:08
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour Matteu31400,

    Désolé je reprends le stage auj' .

    Voici les imprimés écran :

    L'étendue :

    http://www.hostingpics.net/viewer.php?id=139207Capture.jpg

    La délégation :

    http://www.hostingpics.net/viewer.php?id=767245Capture1.jpg 

    Les paramètres renseignés :

    http://www.hostingpics.net/viewer.php?id=607646Capture3.jpg

    mardi 16 mai 2017 06:57
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Je viens de relire le premier post. C'est normal que ca ne fonctionne pas. La configuration est faite dans paramètres ordinateurs. De ce fait, il faut que la GPO soit linké au niveau de l'OU qui contient les ordinateurs sur lesquels vous souhaités que le réglage soit appliqué.

    C'est bien la raison pour laquelle lorsque vous déplacez la GPO , la partie ordinateur s'applique bien. La partie utilisateur est refusé certainement parce qu'il n'y a rien de présent dedans je suppose...

    Le fonctionnement que vous avez est donc bien normal. Lier la gpo a l'ou contenant les ordinateurs, faites un gpedit /h gpo.html puis gpo.html pour ouvrir le fichier généré et vous vérez bien que le réglages est présent sur le poste.

    Vous pouvez également le voir via la clé de registre

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

    Merci de marquer les réponses qui vous ont aidées dans ce thread pour que ce soit utile aux autres !

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    • Marqué comme réponse Wiinz mardi 16 mai 2017 09:51
    mardi 16 mai 2017 08:54
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    En effet je viens de regarder cette clé de registre, et oui la GPO est donc bien appliqué , désolé pour tout ce dérangement.

    Par contre j'ai toujours un autre soucis.

    Dans ma console Wsus, j'ai 2 ordinateurs : Mon propre serveur 2012 sur lequel il y a Wsus, et l'ordinateur "Client-test" (Qui est en Windows 10). Mais il indique "Cet ordinateur n'a pas encore pris contact". Du coté client, si je fais un "Windows Update" il me dit bien "Certaines fonctionnalité sont gérés par votre administrateur" (Ce qui fait bien référence a la GPO), mais quand je lance une recherche il me dit qu'il n'y a pas de mise à jour à faire, et a ce moment apparaît un "Rechercher des mise à jour en ligne" et là il trouve des mise à jour à effectuer..ce que je n'ai pas fais car j'aimerais qu'il les récupère sur mon serveur (Qui lui les as téléchargés et approuvés)

    Cdlt,

    Vincent

    mardi 16 mai 2017 09:55
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Alors, lorsque tu lances une recherche des mises à jours, ton client va normalement contacter le serveur WSUS et faire un inventaire de ce qu'il a besin qui est disponible dessus.

    Par contre, je vois que tu as un wsus 2012r2 il est nécessaire d'installer 2 mises à jours pour gérer les postes en windows 10. Une pour la gestion des majs et l'autre pour les upgrades.

    https://docs.microsoft.com/en-us/windows/deployment/update/waas-manage-updates-wsus

    Attention une des 2 mises à jour nécessite des actions manuelles.

    Si apres tout ca, ca ne fonctionne toujours pas, je t'invite sur le poste windows 10 a faire un Get-WindowsUpdateLog et héberger le fichier sur le net que je jette un cou d'oeil.

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    • Proposé comme réponse matteu31400 mardi 16 mai 2017 11:41
    mardi 16 mai 2017 10:16
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Comme indiqué par matteu31400, pour qu'un WSUS installé sur Windows 2012 puisse synchroniser et distribuer les mises à jour Windows 10, il faut appliquer ce KB: Update to enable WSUS support for Windows 10 feature upgrades

     

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 16 mai 2017 10:29
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci Matteu31400 & Thameur pour vos informations.

    Après vérifications des mise à jour sur mon Serveur (Parce que y'en avait pas mal, ça m'a pris 5h hier), les 2 KB sont déjà installé sur le serveur.

    J'ai effectué un redémarrage du Serveur, et en lançant un Windows Update sur mon Client, surprise, il en trouve, mais depuis le lancement il y a 30min, j'ai droit a un "Téléchargement des mises à jour disponibles : 0%"

    Je reviens vers vous si cela a fonctionné ou pas. Dans le cas contraire je posterais le WindowsUpdateLog.

    Cdlt,

    Vincent.

    mardi 16 mai 2017 12:02
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Comme indiqué dans mon précédent message la kb qui fini par 706 nécessite une action manuelle pour terminer l'installation.

    Sans cela, vous aurez en effet des problèmes.

    De plus, si vous avez fait la synchro des upgrades sans ces 2 KB il y aura également un problème... Attendons de voir le fichier de log pour avoir plus d'info par rapport à ca. Mais du cou, faites les action de post installation déjà.

    https://support.microsoft.com/fr-fr/help/3159706/update-enables-esd-decryption-provision-in-wsus-in-windows-server-2012-and-windows-server-2012-r2

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mardi 16 mai 2017 12:10
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    J'étais déjà tombé sur ce post de Microsoft, les étapes 1 et 2 ont donc déjà été faites.

    Il n'y a pas de SSL, donc les dernières étapes je ne dois pas les faire on est d'accord ? 

    J'attends que la maj se termine ou plante, pour vous envoyer les fichiers de log.

    Cdlt,

    Vincent

    mardi 16 mai 2017 12:18
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Oui, c'est bien ça.

    Si ca reste planté à 0% c'est que ça ne bougera pas, vous pouvez déjà générer la commande de log sans attendre la fin.

    Mais en premiere mesure vous pouvez faire cette manipulation qui peut également etre la cause du 0%

    https://www.howtogeek.com/247380/how-to-fix-windows-update-when-it-gets-stuck/

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.



    mardi 16 mai 2017 12:31
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Je vais essayer avec le lien que vous m'avez envoyer.

    En attendant voici la fin des Log de WndowsUpdate, je n'ai mis que les 4 dernières lignes qui correspondait au moment où j'avais lancé la dernière fois l'Update.

    http://www.hostingpics.net/viewer.php?id=713744Capture4.jpg

    Edit : 

    Après avoir suivi le tuto pour "Depanner Windows Update", il a corrigé 2 choses. J'ai effectué un redémarrage avant de relancer un Update, et au démarrage il me dit "Nous n'avons pas pu finir les Updates, le pc s'est éteint". Je relance, et toujours 0% ! Mais je sais que mon serveur m'a fait la même chose, et il était passé de 0 à 11% en seulement 3h. Au pire je le laisserai cette nuit pour voir.

    Edit² :

    J'avais téléchargé DiagTool, mais il ne fonctionne que pour des OS 32bits, alors j'ai utilisé "Agent Diagnostic Tools Wsus by SolarWinds" , j'ai exporté le fichier de log, le voici :

    http://www.hostingpics.net/viewer.php?id=123589Capture5.jpg

    • Modifié Wiinz mardi 16 mai 2017 14:52
    mardi 16 mai 2017 12:51
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    0 à 11% en 3h c'est comme si il allait cherchait sur internet ca peut etre non ?

    Ok je regarde quand j'ai le temps.

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mardi 16 mai 2017 17:33
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Je reviens vers vous pour vous informer.

    Avec mes VM, ça ne fonctionne toujours pas.

    Entre deux, j'avais demandé au Mr qui gère le Serveur Wsus, de le configurer pour W10, avec les KB a approuvés..

    Ce matin j'ai donc effectué un test avec une VM du parc, et notre véritable serveur Wsus. Résultats : Il récupèrebien la dernière MAJ de Mai 2017 (Build 15063.296). Donc c'est réglé. Mais je me demande bien pourquoi avec mes Vm cela ne fonctionnait pas alors que tout semble correct, il voyait les bonnes mises à jour a télécharger, mais est tjs resté bloqué a 0%.

    Merci en tout cas pour vos informations.

    Cdlt,

    Vincent.

    lundi 22 mai 2017 12:06
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Encore une fois, il faut le fichier de log windowsupdate.log pour voir ce qui ne va pas...

    Quel est l'OS des vms, qu'est ce que vous essayez de télécharger sur wsus  etc etc il faut redonner toutes les infos la du cou svp.

    Mais il est nécessaire que cette gpo soit également liée à l'OU qui contient les VM pour que ca fonctionne.

    Donc dans un premier temps vous pouvez vérifier que sur vos vm la clé

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

    présente bien la valeur de votre serveur wsus et ensuite nous envoyer le windowsupdate.log

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    lundi 22 mai 2017 12:24
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Je vous avais envoyé les fichiers log ..

    Vous aviez répondu je cite "OK je regarde quand j'ai le temps"

    OS Vm Client : Windows 10 Pro x64 V1703 Build 15063.0 

    OS Vm Serveur : Windows 2012 R2

    J'essaye de récupérer le KB 4016871 pour passer au Build 15063.296

    KB qui a été téléchargé sur le serveur Wsus. Le client voit le KB a récupéré, et au commencement du téléchargement cela reste bloqué a 0%

    Les clés de registres pour WindowsUpdate sont bonnes, avec le serveur Wsus configuré, ainsi que son utilisation pour les updates.

    Le problème ne s'est pas posé en PROD, tout s'est bien passé. Donc ce n'est pas si grave, j'aurais juste voulu savoir pourquoi, par simple curiosité personnelle.

    Cdlt,


    • Modifié Wiinz lundi 22 mai 2017 13:59
    lundi 22 mai 2017 13:58
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Je n'ai pas assez d'info la...

    il me faudrait le fichier windowsupdate.log complet...

    Les 4 lignes de la capture d'images ne m'avancent pas à grand chose.

    Sur le serveur wsus pouvez vous effectuer cette procédure svp

    https://matteu31.wordpress.com/2017/04/27/wsus-troubleshoot-images-manquantes/

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    lundi 22 mai 2017 14:23
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour

    J'ai effectué la procédure sur le serveur Wsus

    Lors du "Wsusutil checkhealth" , dans le journal d’événement j'ai ceci : 

    ID 12072
Erreur

Le répertoire de contenu WSUS est inaccessible.
System.Net.WebException: KE serveur distant a retourné une erreur : (500) Erreur inter du serveur.
 à System.Net.HttpWebRequest.GetReponse()
 à Microsoft.UpdateService.Internal.HealthMonitoring.HmtWebServices.CheckContentDirWebAccess(EventLoggingType type, HealthEventLogger logger)

    Voici le fichier WindowsUpdate.log : http://textup.fr/202840IV

    Cdlt, Vincent

    mercredi 24 mai 2017 07:25
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Il semble donc y avoir un problème de droit sur wsuscontent à priori.

    Pouvez vous faire un imprime écran des droits positionnées pour chaque compte sur ce répertoire svp ?

    Cela concorderait bien avec les clients qui restent à 0% car ils savent qu'il y a bien la mise à jour sur le serveur mais ils ne peuvent pas la télécharger puisqu'ils n'ont pas accés au répertoire.

    Voici principalement ce qu'il faut vérifier :

    • The root folder on the drive where the WSUSContent folder resides (for example, <%windir%>\WSUS\WSUSContent) must have Read permissions for either the Users account or the NT Authority\Network Service account (on Windows 2003). If this permission is not set, BITS downloads will fail. Note: this is the permission that WSUS setup does not configure, so make sure the permissions are set as described here
    • The WSUS content directory, usually <%windir%>\WSUS\WSUSContent must have Full Control permission granted to the NT Authority\Network Service account. This permission is set by WSUS server setup when it creates the directory, but it is possible that your security software might reset this. permission. Not having this permission set will also cause BITS downloads to fail.

    https://technet.microsoft.com/fr-fr/library/cc708545(v=ws.10).aspx

    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.



    mercredi 24 mai 2017 07:28
    |