2 votes

WSUS et le comportement des correctifs tirés/publiés ?

Je suis un peu incertain de la façon dont WSUS se comporte dans ce scénario. Je vais utiliser le dernier problème KB3097877 comme exemple.

Nous avons un serveur WSUS principal et un serveur en aval sur un site distant. Lorsque j'approuve des correctifs sur le serveur principal, ils sont poussés vers le serveur en aval, puis tous les clients les installent. En ce qui concerne la KB3097877, Microsoft a eu un problème et elle a causé des problèmes à de nombreux utilisateurs, elle a donc été retirée. Dans des circonstances normales, cela ne pose pas de problème car j'ai simplement placé ce correctif sur "Approuver pour suppression", puis je l'ai refusé. Les jours heureux. Cependant, ils ont décidé de rééditer ce même patch (corrigé) sous la même KB. Que fait WSUS maintenant ? Dois-je définir le patch pour la suppression, attendre jusqu'à ce que je sois 100% conforme, puis l'approuver à nouveau ? Ou est-ce que cela va approuver le même vieux correctif téléchargé précédemment et perturber à nouveau les utilisateurs ? Comment puis-je dire au WSUS de supprimer l'ancien et d'obtenir le nouveau à partir de Microsoft Update ? Ou est-ce qu'il fait tout cela automatiquement ?

J'espère obtenir des réponses claires car nos utilisateurs ont à nouveau des problèmes !

Merci

1voto

Bramha Ghosh Points 3860

Je pense que WSUS reçoit automatiquement toutes les mises à jour qui sont rééditées - c'est ainsi que certaines définitions sont distribuées.

Vous pouvez facilement le voir en recherchant KB3097877, puis en faisant un clic droit sur le patch et en sélectionnant Historique des révisions. Sur mes serveurs, je peux confirmer qu'il existe deux versions du patch pour 7 et 2008, et que l'une d'entre elles indique qu'elle est refusée car l'attribut est expiré. L'autre a une date de révision ultérieure qui correspond à celle de l'article.

0 votes

Je vois aussi les deux correctifs mais je suis curieux de savoir comment cela s'appliquera aux machines qui seront corrigées. Si une machine avait déjà installé le mauvais correctif, serait-elle assez intelligente pour voir le correctif mis à jour par WSUS la prochaine fois qu'elle recherchera des mises à jour et le réinstallera alors ? Ou est-ce qu'il verrait qu'il a déjà 3097877 installé (même si c'est le mauvais) et l'ignorerait ?

0 votes

C'est une chose logique à faire - sinon beaucoup de machines resteront avec des mises à jour compromises. Si WSUS peut voir que la mise à jour est republiée, WU devrait pouvoir le faire aussi. Je peux voir sur ma machine de test que KB3097877 est installée le 16 - après que je l'ai approuvée pour la deuxième fois. Les autres mises à jour sont installées le 13, juste après le Patch Tuesday.

1voto

tfrederick74656 Points 1442

Ce scénario est appelé "supersedence" dans la terminologie Microsoft. WSUS devrait gérer automatiquement l'installation de la nouvelle révision de la mise à jour, et la désinstallation de l'ancienne au fur et à mesure. AFAIK, il ノット Cependant, la mise à jour remplacée est automatiquement refusée. Jetez un coup d'œil à ce poste pour plus d'informations.

0 votes

Merci pour le lien vers cet article. J'ai toujours du mal à décliner les correctifs remplacés qui ne sont pas répertoriés comme n'étant pas nécessaires à 100% car nous ne forçons pas l'installation des mises à jour, nous les téléchargeons simplement et nous les notifions. Je pense que nous devrons peut-être forcer l'installation des mises à jour au cours de l'année prochaine afin de nous rapprocher d'une conformité à 100 %. Je suis curieux de savoir si une mise à jour remplacée s'installera ou non sans que l'ancien correctif ait été installé au préalable.

0 votes

Il devrait s'installer de l'une ou l'autre manière. Considérons un ordinateur de bureau autonome fonctionnant sous Windows et configuré pour s'installer automatiquement à l'aide de Windows Update (le grand serveur WSUS dans le ciel). Il installera la révision 1 du correctif, puis, lorsque la révision 2 sera publiée, il installera automatiquement la révision 2. Cependant, si vous construisez une nouvelle machine (après la révision 2) avec la même configuration, elle ne saura pas qu'il y a eu une révision 1 du correctif et installera automatiquement la révision 2.

0 votes

C'est ce que je pensais et il est logique de fonctionner de cette manière, cependant, j'ai lu de nombreux documents qui disent que vous devriez vous assurer que vous avez 100% d'installation/non nécessaire avant de décliner tout correctif remplacé. Je ne sais donc pas si je dois me fier à mon instinct et à votre recommandation ou à la documentation de MS... Je n'ai pas de mal à l'essayer sur un groupe test, ce que je ferai probablement quand j'aurai un peu de temps... (ce qui, dans le monde des administrateurs système, semble ne jamais arriver...).

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X