Reprise du message précédent :
SCCM

Par contre t'oublies tout de suite la simplicité de ton WSUS

Ca c'est clair

Salut les gens,
 
J'ai 2 petits soucis depuis le dernier Windows Update de mon server WSUS (Win 2003) :
 

• La console n'arrivait plus à se connecter au serveur. Après désinstallation du KB2446704 c'est OK.
• Les postes client n'arrivent plus à faire les màj. Les derniers rapports d'état datent tous d'avant la màj de mon server. J'ai beau faire un "wuauclt /detectnow", mais sans succès

Je ne sais pas par quel bout commencer pour vérifier et rétablir tout ça.
Une idée ?
 
Merci

Par la base,  config réseau de ton serveur, vérifier si le service IIS tourne bien.

Oui, oui, IIS tourne bien.
Y a-t-il un log sur le client pour voir s'il y a un message d'erreur ou qqch du genre ?
 
 
Edit :
Journal d'événements :
 
Nom du journal :Microsoft-Windows-WindowsUpdateClient/Operational
Source :       Microsoft-Windows-WindowsUpdateClient
Date :         19.04.2011 07:45:12
ID de l’événement :25
Catégorie de la tâche :Agent de mise à jour automatique Windows Update
Niveau :       Erreur
Mots clés :    Échec,Rechercher les mises à jour
Utilisateur :  Système
Description : L’erreur 0x800710dd s’est produite lors de la recherche de mises à jour par Windows Update.
 
Bon je vais googler sur cette erreur 0x800710dd ...

Bon je crois que j'ai trouvé et que ça n'a rien à voir avec la màj. J'ai oublié que j'ai aussi ajouté mon serveur comme contrôleur de domaine (histoire d'avoir une redondance avec l'AD "primaire" ) et du coup toutes mes autorisations (SQLExpress + IIS) ont sautés !

Ah oui, plus de comptes utilisateurs locaux si ton serveur est devenu un AD.

Voilà, c'est réparé

 
j'avais répondu à BINGFR en mp (car il m'avait mp) et j'ai oublié de poster ici.
 
alors pour moi le problème des mises à jour en erreur crc a été résolu de la manière suivante :
 
d'après mes recherches sur le net il semblait qu'il s'agissait de fichiers corrompus contenus dans le cache de notre serveur proxy.
c'était aussi l'avis de l'équipe système du siège de ma boite, du coup on a fait une demande de bypass du proxy à l'équipe réseau du siège qui le gère, et malgré n relances ils n'ont rien fait.
 
pendant ce temps là, j'ai arrêté de synchroniser le serveur WSUS en me disant que le cache finirait bien par s'épurer tout seul, et c'est apparemment ce qui s'est passé car au bout de quelques semaines j'ai lancé une synchro et toutes les maj sont ok maintenant.
 
pour la petite histoire, au bout de genre 2 mois, j'ai un mec du réseau qui m'a appelé pour savoir si le problème pour lequel il n'avait rien fait était résolu ..., je lui ai raconté mon histoire, et la il me dit : bon ben si ça marche on peut clore l'incident ?
j'ai eu beau lui dire qu'il ne s'agissait pas pour moi d'une résolution mais d'un contournement (et peut-être d'un coup de chance aussi ...) et que ça pouvait se reproduire, il ne s'est pas démonté et m'a dit que si ça reproduisait je n'aurai qu'à logger un autre appel (et attendre à nouveau 2 mois, etc, sans doute ...)
 
Le genre d'équipe que si t'as besoin de rien, tu leur demande quoi ...
 
Pour la volumétrie des MAJ de WSUS (question posée un peu plus haut), si on approuve toutes les MAJ (j'ai bien dit toutes !) ça fait autour de 100 Go.
Perso ça ne me gène pas trop car le serveur est sur un simple PC, donc il y a de l'espace disque.
Pas besoin de haute disponibilité pour WSUS, un coup de clonezilla de temps en temps, et au pire du pire, une fois que tu sais comment faire, ça prends 2 heures pour en réinstaller un et dans les 24h (suivant le débit disponible) pour redescendre toutes les MAJ, donc bon ...

Clairement, le WSUS à part si t'as fait tout un tas de groupes à la main (sans attribuer les ordis par GPO) et de règles d'approbation automatiques, c'est même pas utile de le sauvegarder.

bien d'accord

Ce "simple pc" a-t-il un windows server ou bien un os client ? (vu les prérequis ... )
Ça m'intéresse énormément, mais sur les serveurs j'aurai pour l'instant un problème d'espace disque, et sur les pc clients (j'ai du rab) ça sera la partie logiciel
 
A moins que je puisse installer WSUS sur un serveur mais stocker les données ailleurs sur le réseau
 
edit: ouh j'y pense, je pourrais recycler un serveur en 2003 quand on en changera un

C'est sur qu'il est inutile de sauvegarder un serveur WSUS (BDD et fichiers de patchs).
Mais un simple export est bien pratique en tant que sauvegarde. ça permet au moins de conserver les groupes et approbations de maj. ça donne un fichier .xml de quelques Mo.

Bonjour,
 
Je viens de mettre en place WSUS 3.0 sur un SBS 2008 SP2.
Les postes sont reconnus grâce à la GPO, pas de soucis.
 
Par contre je suis étonné de voir que sur les postes en XP, je peux tout de même lancer windows update ... et qu'il fonctionne.
 
Autre chose, n'étant pas sur site, je n'ai pas pu voir comment se sont déroulé les MàJ, je n'ai pu constater que le résultat. Il s'est passé quoi, toutes les MàJ se sont faites au démarrage des postes ? Il reste quelques mise à jour à passer sur certains postes. Comment faire pour forcer les MaJ à l'instant "t", c'est possible ?
 

Salut,
 
Oui, oui, on peut lancer Windows Update.  
 
Pour forcer la màj, dans une boite DOS : wuauclt /detectnow

Il me semble (de mémoire) que tout ce que tu souhaites est accessible via GPO...  
Sinon, les logs des clients sont accessibles sur leurs C:\Windows\WindowsUpdate.log

 
Normalement WSUS est censé bloquer l'accès au site windows update (pour XP, Vista et 7 n'étant pas concernés) non ?
 
wuauclt /detectnow force les mises à jour ? Je pensais que ça forçait juste le lien client - serveur WSUS....
 

 
Je vais checker la GPO, de toute façon il n'y a pas 36 lignes dans "Update"
 

 
Pourquoi ? Ca dérange en quoi que WU reste accessible ?
De toute façon si le poste est à jour, WU ne donnera rien de plus...
 
Oui, c'est pour le client. Sinon pour forcer le server WSUS à faire la màj, c'est dans l'option "Synchronisation" que tu peux le faire.

 
un WSUS te sert a gerer tes maj, tu peux les tester sur un nombre limité de machines pour voir venir les problemes d'incompatibilité de loin....
c'est un gros avantage du produit.
 
si tu laisses tes pc aller choper les maj directement sur le net, c'est pas la paine de te faire chier a monter un wsus

Y a rien de chiant à monter un WSUS franchement.
Et je l'ai monté car on n'a aucune bande passante, mais pas forcément pour tester les màj avant de les diffuser, je parle donc pour mon cas.

 
C'est tout à fait ça julienberthier !!  
Donc j'ai toujours mon soucis, les clients peuvent aller sur WU malgré tout...  
Sinon tout fonctionne  

enlève les droits admin sur les postes, ils iront donc plus sur WU ...

si t'as un firewall, tu peux interdire les sites wu pour tes postes... (methode radicale et pas tres propre
 
pour empecher les postes d'aller sur wu, fais une gpo pour que tes postes aillent chercher leur maj sur ton serveur:
-soit depuis tes pc : demarrer / executer / gpedit.msc / config ordi / modeles admin / comp. windows / windows update  
 
 

ouais, aussi... methode un peu trash, mais c'est efficace

trop chiant d'enlever les droits admin, trop de logiciels métiers qui ne fonctionnent pas parfaitement sans ça.

 
pour empecher les postes d'aller sur wu, fais une gpo pour que tes postes aillent chercher leur maj sur ton serveur:
-soit depuis tes pc : demarrer / executer / gpedit.msc / config ordi / modeles admin / comp. windows / windows update , et tu modifie "specifier emplacement..." avec l'ip de ton serveur et son port wsus
ex: serveur:8530 ou serveur:80...
 
-soit sur ton controlleur de domaine, avec la console gpmc.msc
tu devellopes ta foret, ton domaine, clic droit sur "Domain Default Policy" puis modifier...
->config ordi / modeles admin / comp. windows / windows update , ensuite pareil qu'au dessus...
 
 

ouais, aussi... methode un peu trash, mais c'est efficace

softs de merde développés avec les pieds

Egalement softs indispensables à l'activité. C'est pas toujours évident

je dirai l'inverse, de la folie de laisser des droits d'admin local aux postes clients

et généralement utilisateur avec pouvoir est suffisant, hors applis spécifiques de merde, j'en ai quelqu'unes aussi chez moi !

+1 c'est vraiment à banir les applis qui demandent des droits admins. Depuis XP le message est bien clair ...

Suivant les corps de métier il y a encore des applis vraiment cacas, pour ma part j'en ai bien 3-4 en fonctionnement    

Profitez de la migration Win 7 pour redévelopper tout ça

On darde nos prestataires pour ça chez nous, la plupart y va à reculons mais ils sont bien obligés de s'y conformer au final. C'est juste long... mais faut rien lâcher

 
Il faut le dire aux éditeurs logiciels, il y'en a très peu qui vont accepter de mettre le nez dans leur vieux code illisible pour éventuellement satisfaire le pouième de pourcent de clients potentiels qui restent fermes sur la question des droits administrateur local sur les postes clients, surtout à l'heure où on a de moins en moins de postes et de plus en plus de tse/citrix.
 
Microsoft est bien gentil a pousser la chose maintenant, si ils avaient pas négligé le sujet depuis le début, les éditeurs auraient pris le pli au fur et à mesure
 
Je souhaite aussi bannir les applis ayant besoin des droits admins, mais dans le monde réel c'est pas possible, si la grosse appli que la boite utilise depuis 10 ans est comme ça et que ça ne changera pas, on fait avec
 
Le retrait des droits d'admin local, c'est un élément de sécurité parmi beaucoup d'autres, le ratio intérêts / emmerdes est trop faiblard pour que ça soit intéressant.
ps: quand on a pas du tout d'argent pour la sécurité, et qu'on doit gérer une population d'utilisateurs ayant pour seul but de faire chier le monde, non-expulsables en cas d'abus, typiquement un collège/lycée, c'est un premier palliatif utile
 

 
Bah justement Julien c'est ce que j'ai fait (métthode n°2 avec port 8530), sans quoi le serveur WSUS ne fonctionerait pas de toute façon je crois...
Par contre les users (qui sont admin des machines et ça ne changera pas, je ne décide pas) peuvent tout de même lancer un WU qui va chercher sur les serveurs Microsoft comme si de rien n'était...
Je comprend pas...

faut que je cherche, j'avais trouvé une combine dans une gpo pour que les postes admin ou pas t'affiche un beau "desactivé par l'admin" en cas de connexion sur wu  

je cherche ca, et je te redis...

 
 
pour les appli de   qui ont besoin de droits admin (et j'en ai aussi une paire a gerer, bien qu'on soit tjs en xp), y'a bien souvent des petits trucs pour pallier a ca:
 
- modif des autorisations de certaines clés dans le registre et/ou sur les dossier systeme (chiant et long a faire, je l'accorde)
 
- lancement via un raccourci tuné (C:\WINDOWS\system32\runas.exe /savecred /user:administrateur "commande de ton soft..." )
ca te demande une fois le code admin local, et plus besoin d'y revenir... tranquille... l'utilisateur est en user ou power user, seule son appli se lance avec les droits admin

Ce matin WSUS m'annonce SP1 7 32 et 64 alors déja aprouvé/installé il y a bien 1-2 mois...
 
Même numéro de kb, vous l'avez eu aussi ces MAJ ???

 
Merci c'est très sympa d'autant que je n'ai vraiment pas le temps de me pencher plus là dessus
 

 
Oui j'ai eu ça aussi. c'est très bizarre en effet.
On dirai une révision mais ça en ai pas.
 
Mon collègue les a valider pour les 5000 machines au lieu des groupes de test en plus

Pas mal ça