Reprise du message précédent :
Il faut intervenir sur chaque serveur, avec un planning bien précis. Il y avait un article très complet paru chez MS il y a un bout de temps : https://docs.microsoft.com/en-us/tr [...] ance-guide

merci pour l'article
malheureusement je ne peux faire ce qui est indiqué sur la doc, sur w2012 je n'ai pas la planification de mes wsus
 
 
je vais lancer mon script powershell sur le serveur wsus maitre
il contactera tous les autres serveurs wsus pour leur demander une maintenance
 

 
je ne sais pas si il y a moyen de lister les serveurs wsus en réplication
j'utilise un fichier txt pour ma liste de serveurs

en général j'utilise le script de maintenance wsus qui traite bien plus que ça

C'est ça ton problème. Un WSUS en 2012 gère très mal les OS plus récents. Migre-le en 2019 si possible.

pas de cal 2019, je n'ai que du 2016
 
voici le script final
 

il y a un intérêt de lancer chaque cleanup individuellement ? Je lance tout dans la même perso
 
Et pourquoi lancer chaque serveur séquentiellement ?
Et pourquoi passer par invoke-command alors que invoke-wsusservercleanup accepte directement le serveur à cleaner ?

1 : pour pouvoir mettre des commentaires individuellement sur ce que cela fait
 
2 : si je le fait sur le seveur principal cela ne semble pas les réplicats
 
3 Invoke-WsusServerCleanup -UpdateServer monserveur -CleanupObsoleteComputers
cela ne fonctionne pas sous w2012

1 - Ca sert à rien
2 - je dis de faire ça en //
3 - Normal c'est pas comme ça que ça marche, voir la doc

Et tu gères pas les réindexations/optimisation des BDD

Il faut ABSOLUMENT faire la réindexation de la DB WSUS. C'est presque plus important que tout le reste et c'est ce qui va te faire gagner le plus en perf (et filtrer uniquement les produit / classif nécessaires).
Si tu utilises une WID, il faut mettre en place une tache planifiée.  
Si tu utilises une base SQL , c'est via un plan de maintenance.
 
Ca peut prendre un peu de temps la première fois mais ensuite c'est plutôt rapide.
 
Bon courage

comment vous supprimez les mises à jours de la base de données (53612 updates référencées dans ma base   )

deny des maj puis lancer le cleanup

Invoke-WsusServerCleanup ? Avec quelle option ?

get-help

1 - moi je prefaire
2 - je dis de faire ça en // <-- avec x script ?
bien sur je peux faire ceci
Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates
3 - Normal c'est pas comme ça que ça marche, voir la doc <-- je ne comprend pas la doc, aurais tu un exemple ?

Sauf erreur, ça n'enlève pas les entrées dans la bdd ?
J'avais du passer commande powershell pour virer office 2010.

J'ai testé en déclarant 5 updates non approuvées en rejetées.
 
 Invoke-WsusServerCleanup -CleanupObsoleteUpdates > Mises à jour obsolètes supprimées :0
 
Invoke-WsusServerCleanup -CleanupUnneededContentFiles  > Mises à jour obsolètes supprimées :0
 
get-help ne me donne rien d'interesssant  
Invoke-WsusServerCleanup -CleanupRejectedUpdates n'existe pas  

quelle version de wsus et d'os ?

Windows 2016 version 1607.
WSUS Version : 10.0.14393.4046

($wsus.getupdates() | Where {$_.UpdateClassificationTitle -eq 'Drivers'} ).count donne 50536    
 
 
 
Comment supprimer les mises à jours de driver obsolete et ne garder que les dernieres  ?

Hello,
 
Petite question concernant WSUS.
Mes serveurs sont actuellement mis à jour via WSUS or on vient de faire l'acquisition de Ivanti Security Controls.
J'ai tout paramétré dans ce dernier pour MAJ mes AD et je voulais donc supprimer toute trace du WSUS sur mes contrôleurs en supprimant la clé WindowsUpdate qui se trouve logiquement dans HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\
 
Le truc c'est que ne la trouve pas, est-ce normal de ne pas la trouver au niveau des AD ? Sur d'autres serveurs, la clé est bien présente (avec les infos du WSUS).
 
Mon WSUS a récupéré encore aujourd'hui un rapport d'état émanant de mes AD.

Le DC est souvent dans une autre OU que tes serveurs, la GPO était bien sûr son OU a lui aussi ?

Oui la GPO était appliquée sur l'OU des DC (je l'ai retiré depuis).

Elle a peut-être été configurée à la main.

C'est à dire ?  
Le fait que je ne trouve aucune référence au WSUS (en tant que machine cliente) dans la base de registre est étrange. J'ai regardé au niveau des policies locales également, dans le doute, mais pareil y'a pas de configuration faite.

Une GPO, c'est une clé de registre que tu injectes sur des cibles. Que tu le fasses à la main ou via la GPMC ça revient au même.
 
Ensuite il faudrait regarder la config côté WSUS. Peut-être que les ordinateurs sont ajoutés à la main dans la console. Peut-être que le dernier contact remonte mais pas le dernier report...dans tous les cas tu t'en fiches un peu à partir du moment où tu vas décommissionner tout ça.

Oui au final je m'en fiche mais c'était pour faire le ménage au lieu de garder des infos obsolètes.  
 
Je vais mettre ça de côté pour l'instant.

Mon WSUS actuel tourne sur un W2012R2, j'ai un peu de temps alors je viens de monter un nouveau serveur en W2019.

Niveau produits j'ai coché :
Defender Antivirus
Windows 10, Vibranium and later, Upgrade & Servicing Drivers

Niveau classifications :

j'ai fait une synchro complète + une manuelle par contre au niveau des MAJ que le WSUS me remonte je ne vois que celles liées à Windows Defender, vous avez connaissance de ce problème ?
Pour info, je n'ai encore lié aucun de mes postes clients à ce serveur mais je ne pense pas que ça soit ça le soucis.

D'ailleurs, autre bizarrerie, il me remonte plusieurs fois la même MAJ

Edit pour ce dernier point : c'est l'identificateur de mise à jour qui est différent, étrange quand même car tout le reste est identique.

Pour les maj w10 il faut cocher w10 1903 and later uniquement...

Et tu sais pourquoi ?
C'est un peu con de de proposer Vibranium and later ou 21H2 and later si ça fonctionne pas.

J'avais une question depuis un moment : est-il possible d'indiquer la date réelle des MAJ ?

Je me suis monté un WSUS pour mes vieux systèmes, mais la date indiquée est celle du téléchargement et non celle de la publication. Et parfois ça aide bien quand le numéro de KB ne se suit pas pour savoir quelle MAJ est plus ancienne et donc l'ordre d'installation qui est parfois primordial.

D'ailleurs, sur certains systèmes, elles échouent et je me demande si c'est pas à cause de ça ?

C'est marqué dessus, tu as choisi les drivers et upgrades pour Vibranium et ultérieur, pas les mises à jour de base.

Reprenons : Est-il possible de conserver la date d'origine des fichiers ?

Par ex, une MAJ publiée en 2012, avec WSUS va afficher la date de son téléchargement genre 2020.

Windows update :

WSUS :

---...

 
Qu'est-ce qui est marqué dessus ?  
Avec ce que j'ai coché il est censé me proposer les MAJ de Vibranium et au dessus, je comprends pas pourquoi ce n'est pas le cas.

Autre bizarrerie, mon poste est en W10 version 21H1 (10943.928) or WSUS me le remonte comme version 10941.906 équivalent à du 20H1.
 
Pas top pour un suivi propre.

Avec ce qui est coché il va te télécharger les drivers et upgrades.
Au risque de me répéter, il te faut cocher 1903 and later. Tu peux aussi t amuser a cocher tout le reste et finalement t appercevoir que pour répondre à ton besoin tu devras cocher 1903 and later.
Ensuite ce sera a toi de refuser tout ce qui est avant 21h1 par exemple si tu ne les veux pas.

Ça répond pas à ma question initiale, pourquoi cocher 1903 and later alors que mon parc est au minimum en Vibranium and later ?

Il t'a répondu dès son premier post : parce que ça ne contient que upgrade & servicing drivers, pas les maj.
Ici "upgrade" concerne le type de drivers, pas "des mises à jour"

Bonjour,
 
A partir de quel nombre de postes, il faut installer WSUS avec une base de  données externe ?