locked
Client Windows Update : installer des patchs à partir d'une liste de patchs autorisés. RRS feed

  • Discussion générale

  • Bonjour,

    A partir du client Windows Update,

    et sans aucune possibilité de connexion à un serveur WSUS,

    et à partir d'une liste de patchs Microsoft autorisés,

    comment installer uniquement les patchs listés en les téléchargeant directement chez Microsoft sur Internet ?

    Cdlt,

    jeudi 3 novembre 2016 10:21

Toutes les réponses

  •     Bonjour Cerkyr,

    Pouvez-vous être un peu plus détaillé au niveau de votre demande s'il vous plait ?

    Dans l'attente de votre réponse,

    Cordialement

    vendredi 4 novembre 2016 09:22
  • Bonjour,

    A partir d'une liste de KB contenus dans un fichier, le client Windows Update se connecte chaque jour sur le serveur Microsoft, chez Microsoft, pour télécharger et installer les patchs listés dans le fichier, et uniquement cette liste validée par nos experts.

    L'activation automatique du client Windows Update n'est pas autorisée et l'accès à un serveur WSUS n'est pas possible, car nos pc sont connectés à des box Internet (Orange et SFR).

    Cdlt,

    jeudi 15 décembre 2016 09:03
  • Bonjour,

    Toujours pas de propositions.

    Cdlt,

    lundi 10 avril 2017 09:50
  • Bonjour,

    Malheureusement l'outil qui permet de centraliser la gestion des correctif Windows c'est bien WSUS.

    Le fait que vous êtes dans un environnement naté si je comprends bien limite en effet beaucoup de choses et nécessite qu'il y ait un serveur WSUS par endroit et une approbation identique en chacun de ces lieux...

    Le fait d'être limité à ce genre d'infrastructure réseaux peut s'avérer vraiment problèmatique, je vous conseille de commencer par avoir une topologie axe "professionnel" et donc avec des vpn site à site.

    Le fait d'être derrière du NAT même pour l'AD n'est pas supporté

    https://support.microsoft.com/fr-fr/help/978772/description-of-support-boundaries-for-active-directory-over-nat


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    lundi 10 avril 2017 10:31
  • Le client dispose de plusieurs milliers de sites distants, connectés par ADSL uniquement (faible débit).
    Pour chaque site, 1 seul pc qui est industrialisé et sécurisé.

    Nous utilisons un logiciel d'inventaire et de télédistribution d'un autre éditeur qui nous permet de tout faire.

    Activer Windows Update en automatique est beaucoup trop risqué pour la production, car le risque qu'une seule installation "casse" la totalité du parc est inconcevable.

    Nous ne pourrions faire face à une remise en production avant plusieurs semaines.
    Cette explication du contexte permet de mieux comprendre ma demande.

    Actuellement, nous envoyons les KB sélectionnés via cet outil de télédistribution, mais nos ADSL sont limités ene débit pour le moment.

    Et nous sommes fortement en retard de plusieurs mois.

    Nous aurions souhaité que le client Windows Update (ou un autre outil) se charge de télécharger les KB via une liste ou éventuellement une URL (http ou https ou ftp ou ftps) fournie par Microsoft pour chaque KB sélectionné.

    Cela aurait évité d'engorger notre système de télédistribution.






    • Modifié Cerkyr vendredi 28 avril 2017 07:39
    vendredi 28 avril 2017 07:36
  • Pourquoi ne pas monter votre propre serveur WSUS chez vous et le rendre accessible via des URL Internet ?

    Il suffit ensuite de modifier vos postes clients avec ces URL Internet et vous avez la main sur la distribution des MAJ.

    vendredi 28 avril 2017 08:34
  • Car il existe une frontière plus ou moins poreuse entre le monde personnel et le monde  professionnel.

    --

    S'il s'agit d'exposer un serveur WSUS à Internet, depuis une DMZ (bien bétonné) d'un réseau d'entreprise, il faudrait que ce soit les clients Windows Update qui "tirent" (pull) les paquets KB sur le serveur WSUS, afin de garantir une certaine sécurité.

    Et dans ce cas, nous utiliserions la bande passante Internet de l'entreprise, soit des Go par jour; et cela n'est pas possible.

    --

    De plus, est-il nécessaire que les pc et le serveur WSUS disposent d'un serveur contrôleur de domaine, obligatoirement ?

    --

    Si par contre, le contrôleur de domaine n'est pas obligatoire, nous pourrions envisager cela, depuis un hébergeur, tel OVH.

    ---

    "Il suffit ensuite de modifier vos postes clients avec ces URL Internet et vous avez la main sur la distribution des MAJ. "

    Pouvez-vous développer cette idée ?




    • Modifié Cerkyr mercredi 17 mai 2017 13:37
    mercredi 17 mai 2017 13:34
  • Le monde professionnel sans serveur WSUS c'est un monde personnel justement ...

    Concrétement, les entreprises qui n'en ont pas aujourd'hui sont des entreprises qui ont 3 pc, ou dont les administrateurs n'ont pas les compétences sur le produit. C'est devenu un produit incontournable pour éviter que tous les postes aillent sur le net et maitriser les mises à jour. J'ai même un client qui est dans un environnement ultra sécurisé sans accés à internet qui a un serveur WSUS non connecté à internet. Il le synchronise via un support de type disque usb depuis un serveur qui lui a un accés à internet.

    Bien sur, si vous êtes dans un cas ou vous avez 10 000 sites composé de 3 PC, ca pert de son efficacité...

    Mais il est tout à fait possible d'avoir un WSUS sur les gros sites qui déésservironts les pc de leurs site.

    Un serveur WSUS n'a pas besoin d'être membre d'un domaine, il peut tout à fait fonctionner de manière autonome il lui faut juste un accés à internet dans votre cas. Cela peut donc être une possibilité de le mettre chez OVH par exemple et spécifier à vos postes client de se mettre à jour via ce serveur et non plus comme par défaut sur les serfveurs microsoft, mais il faut alors savoir que vous aller utiliser la bande passante wan de la même manière que si les postes allaient chez microsoft update pour se mettre à jour à moins d'avoir une liaison de meilleure qualité entre vos site et ovh :)


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.


    mercredi 17 mai 2017 17:54
  • Bonjour,
    La réponse est intéressante : le fait d'héberger un serveur WSUS chez OVH nous permettrait de :
    + Ne pas utiliser la connexion Internet du siège
    + Obliger nos agences à se connecter chez OVH pour WSUS
    + WSUS nous permettrait d'installer uniquement les KB testés sans risque pour notre production
    --
    Il va falloir penser au client Windows Update pour le forcer à se connecter à ce serveur WSUS chez OVH.

    Merci pour cette avancée.
    • Modifié Cerkyr jeudi 30 novembre 2017 12:39
    mardi 28 novembre 2017 09:47
  • Le sujet semble ne pas avancer.

    jeudi 22 février 2018 13:24