none
GPO Windows update & redémarrage forcé inopérant RRS feed

  • Discussion générale

  • Bonjour à tous,

    Voici mon problème, dans notre SI la plupart des serveurs sont configurés en redémarrage automatique après les sauvegardes lorsque les mises à jours sont publiées dans le WSUS.

    Sur les Windows 2012 R2 et antérieurs aucun souci, en revanche les 2016 et 2019 n'en font qu'à leur tête.

    Les Windows 2016 n'installent pas les mises à jour, quoique je fasse il faut systématiquement passer à la main sur chaque serveur pour installer puis planifier des redémarrages.

    Les Windows 2019, cela a fonctionné les premiers mois après sa sortie puis depuis 2 mois les mises à jour s'installent mais les serveurs ne redémarrent jamais malgré l'affichage :

    Même si je planifie ici un redémarrage à la main il est inopérant. Je suis donc obligé de lancer un "shutdown -r -t xxxx".

    Je poste le résumé de la stratégie de groupe dans le post suivant.

    Merci par avance pour vos lumière, ça devient compliqué de gérer le parc...

    Benjamin

    mercredi 3 juillet 2019 15:53

Toutes les réponses

    • Modifié Supaxor mercredi 3 juillet 2019 16:14
    mercredi 3 juillet 2019 16:07
  • Bonjour,

    Voici ma conf qui fonctionne sur mes HYPER-V (reboot auto le dimanche pour installation des màj). Je vous laisse adapter.

    Ne spécifiez pas trop de paramètre ..

    edit : GPO appliquée sur Server 2016 std.
    • Modifié Spunamo lundi 26 août 2019 08:35 ajout version win server
    lundi 26 août 2019 08:24
  • Bonjour Supaxor,

    tu remarqueras que l'exemple de GPO fourni par Spunamo est beaucoup plus succin que le tien.

    Je soupçonne fort une interaction négative entre "Heure de l'installation planifiée" et Ce que définit dans les Horaires de maintenance.

    Je te proposerais bien de :

    > Dupliquer ta GPO

    > Définir comme scope de la nouvelle GPO une seule machine témoin.

    > Modifier la GPO et tester (pour tester, supprime un update via ajout/sup prg, puis Windows update et voit le résultat).

    Attention : ta machine de test doit être hors scope de la GPO actuelle.

    Oliv.

    P.S. : désolé, pas d'environnement dispo à l'instant pour tester.
    lundi 26 août 2019 09:07
  • Bonjour et merci pour vos réponses !

    Voici ce que j'ai mis en place sur la batterie de serveurs de tests :

    J'ai tenté d'enlever certains paramètres.
    Ma crainte c'est que les serveurs rebootent en pleine journée... Nous avons du 2008 R2, du 2012, du 2012 R2, du 2016 et du 2019... Chacun a ses comportements propres...

    je croise les doigts !
    Sinon je pense déployer une planification de tache qui lance une recherche + installation automatique chaque soir ...Je vous tiens au courant !
    Ben

    mardi 8 octobre 2019 13:53
  • Sinon, il y a l'excellent module powerhell PSWindowsupdate (https://www.powershellgallery.com/packages/PSWindowsUpdate/2.0.0.4)

    Celui-ci s'adresse au client windows update ete leur dit quoi faire.

    En pratique :

    • Une GPO qui configure les clients windowsUpdate (wuauclt) pour aller taper sur ton serveur WSUS. Eventuellement, juste faire un download seulement. EN gros la GPO ne fait que la moitié du boulot.
    • Un script qui utilise les cmdlets du module PSWindowsUpdate

    Le principe : Une liste de machines (query AD dans l'idéal car dynamique, à defaut, fichier .txt oou .csv en input).

    Une boucle foreach dans laquelle tu indiques au client insaller et faire reboot si besoin à telle ou telle heure (regarde help de la cmdlet Get-WindowsUpdate (ou install-WindowsUpdate qui est un alias). Tu trouveras ton bonheur, probablement dans l'exemple 8.

    Nota : J'ai mis cela un place il y a un certains temps chez un client pour des applicatifs 3 tiers necessitant un ordonnancement précis des reboots des serveurs (qq dizaines) pour le gros (Pas loin de 1000 machines) ce sont des GPO qui font tout le boulot. Oui, des GPOs car lotissement entre prod et Hors-Prod dans ce cas.

    Enfin pour revenir à ta GPO. Il ne sert à rien de paramétrer un paramètre quand le comportement par défaut produit le résultat attendu, au risque de produire un effet contraire. Par ex. Mise à jour : chaque semaine. Inutile de désactiver "1ère semaine", "2ème semaine ..." Regardes bien l'onglet d'aide sur chaque paramètre.

    Olivier

    vendredi 11 octobre 2019 09:06
  • Bonjour à tous,

    Je me permet de relancer ce sujet car j'ai récemment remis le nez dans WSUS (j'ai intégralement refait nos serveurs sur la base des bonnes pratiques Microsoft sur des Windows 2019 server.

    J'ai suivi vos conseils de "simplification" des stratégies et cela a partiellement porté ses fruits.

    Aujourd'hui les 2008 R2 (heureusement quasiment plus), les 2012, 2012 R2 et 2016 server suivent le comportement souhaité par la GPO, rebootent automatiquement quand nécessaire, mais pas les 2019 server... Mes ADMX sont à jour mais j'avoue être à cours d'idée...

    Si certain d'entre vous ont des tuyaux je suis preneur, voici ma GPO (périmètre serveur - Test) :

    [Screen GPO]

    Je vous souhaite une bonne journée

    Benjamin


    PS : j'ajoute que sur les windows server 2019, l'installation des mises à jour ne s'effectue même pas, elles restent en attente...

    • Modifié Supaxor jeudi 12 août 2021 13:04
    jeudi 12 août 2021 06:52
  • Bonjour, pour contourner le problème je déploie une tache planifiée sur mes windows server 2019 qui lance "usoclient startinstall".

    Cela fonctionne mais une fois de plus les stratégies de groupe ne font pas leur travail. C'est assez décevant et zéro solution viable trouvée sur le net...
    Merci néanmoins aux quelques-uns qui m'ont proposé des alternatives.

    Bonne journée

    vendredi 17 septembre 2021 14:07