none
upgrade des versions Windows 10 (WSUS Windows server 2012 R2) RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    salut tt le monde

    Un serveur WSUS effectue des updates sur des postes de travail Windows 10 avec différentes versions (2004,1703,20h2,....etc)

    mais je soupçonne que les upgrades d'une version majeure à une autre ne se font pas, par exemple de 20h2 à 21h2.

    le produit sélectionné dans WSUS pour les systèmes clients est "Windows 10,version 1903 and later", et les classifications selectionnées sont:

    -critical updates

    -definitions updates

    -security updates

    Alors je ne sais pas quelle différence entre sélectionner "Windows 10" tout court et "Windows 10,version 1903 and later". et puis qu'on voit le nombre de produits concernant Windows 10, cela dépasse les 40 produits ou catégories ?

    Pour les classifications, surement une catégorie est manquante pour effectuer les passages entre versions de Windows 10. laquelle?

    Maintenant s'il y'a une classification à ajouter, le serveur va même télécharger les patchs pour des serveurs, et là prudence !! pour appliquer ces patchs.

    en lisant, même Microsoft ne le dit pas explicitement sur le minimum de classifications à sélectionner.

    Donc je souhaite savoir pour upgrader les inter-versions de Windows 10

    Est-ce que les passages d'une version n à une version n+2 ou n+3 est possible, certe faudra gérer cela par lot de poste de clients.

    mon arborescence dans WSUS est trés segmentés , clients par structure, serveurs par rôle, histoire de faire une application des patchs par lot, pour une meilleure surveillance et réduire l'impact d'un effet de bord éventuel.

    Merci pour votre retour expérience

     

    dimanche 19 mars 2023 14:45
    |

Réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    classification Upgrade pour les mises à jour.

    Je te conseille de mettre 2 règles d'auto-validation dans ton WSUS :

    • Une règle totalement implicite : tous produits, toutes classifications, tous ordinateurs. Tu n'actives cette règle que quand tu veux que tes machines se prennent les upgrade (par exemple, tu peux ne vouloir que les H2 et pas H1 et H2. Donc tu actives quand tu voudras le H2).
    • Un règle presque totalement implicite ! tous produits, toutes classifications sauf Upgrade, tous ordinateurs. C'est La règle qui sera activée tout le temps. Elle ne fera pas les upgrades.
    • optionnel : ajout délai avant approbation : jusqu'à 7 jours (quand une KB est "merdique", elle est republiée rapidement sous qq jours. En mettant un délai avant approbation, tu te mets un garde-fou).

    Naturellement "tous produits" ce sont les produits qui sont sélectionnés dans WSUS.

    Ton arbo dans WSUS - qu'elle soit faite à la mano - ou via GPO "Ciblage client" n'a aucune incidence. Ce n'est que quand une mise à jour est approuvée qu'elle est mise à disposition des clients. A te lire, tu n'as pas de règle d'approbation (ce n'est pas une obligation, mais une facilité), mais tu sembles vouloir tout gérer à la mano. J'espère pour toi que tu n'as que quelques serveurs et peu de postes, sinon tu serais bien le premier admin à se créer du boulot pour rien.

    J'espère que tu as au moins fait une GPO WindowsUpdate qui indique le UpdateServeur et le comportement du ClientWindowsUpdate (style Download, Install et si reboot, dans telle ou telle condition). Si tu n'as pas, ton parc ne sera jamais à jour (les utilisateurs n'en ont rien à faire, c'est à l'admin de faire).

    cordialement

    • Marqué comme réponse core-fr mardi 21 mars 2023 20:29
    dimanche 19 mars 2023 20:43
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour.

    Pour ma part, je suis pour faire les MAJ. Il y a trop de risques de sécurité à ne pas les faire au regard des erreurs qu'elles peuvent parfois entrainer.

    Concernant WSUS, il faut disposer des mises à jour de la pile de maintenance pour avoir les mises à jour du produit.

    Un petit lien :

    Mises à jour de la pile de maintenance - Windows Deployment | Microsoft Learn

    • Marqué comme réponse core-fr mardi 21 mars 2023 20:29
    lundi 20 mars 2023 13:24
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    classification Upgrade pour les mises à jour.

    Je te conseille de mettre 2 règles d'auto-validation dans ton WSUS :

    • Une règle totalement implicite : tous produits, toutes classifications, tous ordinateurs. Tu n'actives cette règle que quand tu veux que tes machines se prennent les upgrade (par exemple, tu peux ne vouloir que les H2 et pas H1 et H2. Donc tu actives quand tu voudras le H2).
    • Un règle presque totalement implicite ! tous produits, toutes classifications sauf Upgrade, tous ordinateurs. C'est La règle qui sera activée tout le temps. Elle ne fera pas les upgrades.
    • optionnel : ajout délai avant approbation : jusqu'à 7 jours (quand une KB est "merdique", elle est republiée rapidement sous qq jours. En mettant un délai avant approbation, tu te mets un garde-fou).

    Naturellement "tous produits" ce sont les produits qui sont sélectionnés dans WSUS.

    Ton arbo dans WSUS - qu'elle soit faite à la mano - ou via GPO "Ciblage client" n'a aucune incidence. Ce n'est que quand une mise à jour est approuvée qu'elle est mise à disposition des clients. A te lire, tu n'as pas de règle d'approbation (ce n'est pas une obligation, mais une facilité), mais tu sembles vouloir tout gérer à la mano. J'espère pour toi que tu n'as que quelques serveurs et peu de postes, sinon tu serais bien le premier admin à se créer du boulot pour rien.

    J'espère que tu as au moins fait une GPO WindowsUpdate qui indique le UpdateServeur et le comportement du ClientWindowsUpdate (style Download, Install et si reboot, dans telle ou telle condition). Si tu n'as pas, ton parc ne sera jamais à jour (les utilisateurs n'en ont rien à faire, c'est à l'admin de faire).

    cordialement

    • Marqué comme réponse core-fr mardi 21 mars 2023 20:29
    dimanche 19 mars 2023 20:43
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    :) ,:)

    Bonjour Oliv - TheFrog

    Prudence exige, c'est une question de stratégie (purement personnel). Pour les approbations automatiques je n'aime pas trop, je préfère gérer un incident sur un petit lot que de le gérer sur tout le parc.

    même mes serveurs sont organisés en rôle, l'application des mises à jour sont du moins importants au plus importants. ce n'est pas totalement mano mais c'est du semi-auto, vu les problèmes des patchs qu'ont causé des problèmes sur l'AD en octobre et janvier (je crois), des gens sont allés même récupérer des copies de VMs backup. 

    :) oui j'ai quand des gpo WindowsUpdate

    Merci pour l'astuce des deux règles, c'est efficace.

    lundi 20 mars 2023 09:28
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    bonjour Core-Fr

    Pb en octobre et janvier ? Quels pbs ? Je ne vois pas de quels pbs tu parles. Je n'ai pas vu/lu de pbs récemmen, il faudra en dire plus. 

    Quand une KB change le comportement des machines par défaut pour des questions de sécurité, ne pas appliquer la KB et "laisser une faille grande ouverte" n'est jamais une solution. Entre un pb avéré (la faille) et de potentiels effets de bord indésirable (bug de la KB), la question est vite tranchée ... en faveur de la KB.

    Mais on peut appliquer un délai de grâce (max 7 jours) avant de mettre dans le commerce des KBs avec un règle d'approbation, ... ou faire une approbation manuelle quand on veut.

    Les précautions s'imposent quand on a un parc de milliers, voire  de dizaines de milliers ou plus , de postes. J'ai vu cela chez de nombreux gros clients :  appro sur un environnement de Qualif en semaine 2 (tuesday patch), si pas de pb, en semaine 3 application sur la prod. En gros, c'est ce que tu fais, même si ton environnement semble être nettement plus petit. 

    cordialement

    lundi 20 mars 2023 12:42
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour.

    Pour ma part, je suis pour faire les MAJ. Il y a trop de risques de sécurité à ne pas les faire au regard des erreurs qu'elles peuvent parfois entrainer.

    Concernant WSUS, il faut disposer des mises à jour de la pile de maintenance pour avoir les mises à jour du produit.

    Un petit lien :

    Mises à jour de la pile de maintenance - Windows Deployment | Microsoft Learn

    • Marqué comme réponse core-fr mardi 21 mars 2023 20:29
    lundi 20 mars 2023 13:24
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonsoir Oliv,

    tu devais entendre  des problèmes d'authentification Kerberso qu'a causé la patch 11 2022 (pardon pas Octobre), et aussi le patch 01 2023:

    redémarrages en boucle de Windows Servers après l’installation de KB5009624, KB5009595 et KB5009557. 
    Toutes les versions seraient affectées. 
    Cette boucle est provoquée après que le processus LSASS.exe utilise toutes les ressources puis se termine. 
    Cela engendre un écran bleu avec des codes d’erreur 0xc0000005 et 0xc0000006 puis un redémarrage du système d’exploitation . 
    Cette défaillance touche les serveurs Windows agissant en tant que contrôleurs de domaine.
    L’autre problème concerne l’Hyper-V qui n’arrive plus à démarrer après l’installation de ces mises à jour. 
    Du coup les machines virtuelles ne se lancent pas non plus. La majorité des rapports indiquent que le bug affecte Windows Server 2012 R2. 
    Certains affirment que cela affecte aussi les versions plus récentes.
    Enfin des soucis avec les volumes ReFS (Windows Resilient File System) sont aussi constatés. Ils ne sont plus accessibles ou affichés comme non formatés.

    Donc l'appro auto n'est pas un pas un reflexe auto !

    Pour mon contexte ou je ne dispose d'un outil backup pro, et comme l'adadge dit: l'intelligent règle le problème et le sage les évites :):) !

    Vincent,

    Je ne suis pas bien évidement contre les mises à jour, je parle juste sur les appro auto que parfois ne pas les appliquer à l'aveuglette.

    Cordialement,

    lundi 20 mars 2023 20:30
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Effectivement, j'avais lu qu'un pb existait avec les VM Hyper-V et aussi reboot intempestif (concerne uniquement W2K12 R2).

    Mais ce pbs ont été corrigés depuis et c'est comme toujours "Si on fait tourner des OSqui ne sont plus supportés ... on doit assumer en cas de crash".

    Conserver un Serveur 2K12R2 comme DC ? No Way ! Comme serveur membre pourquoi pas, mais pas un serveur "Mission Critical".

    Tu sembles avoir été touché par le bug de ReFS. Tu es le premier que je vois utiliser ce FileSystem.

    Je comprends donc ta position. Mais bon sang, le boulot que cela génère :

    • WSUS reçoit x KB
    • Aller chercher sur le Net ce qu'elles font et si pas de pb
    • Puis quand on est sur, les valider une par une.

    Je suis fatigué rien que d'y penser :-)

    mardi 21 mars 2023 11:35
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonsoir Oliv :) :) :)

    c'est vrai que le Windows 2012 R2 est ancien mais pas encore obsolète. Il est encore supporté jusqu'au prochain mois d'octobre.

    A+

    mardi 21 mars 2023 20:26
    |