Reprise du message précédent :
Coté groupe "prod"  le filtrage est comment ?   "seulement les ordinateurs ayant une mise à jour à faire"  (un truc dans le genre)  ou  "tous les ordinateurs"
 

 
  bien vu.
Merci...

Bonjour,
Notre Active Directory est paramétré comme ci-dessous:
 
Nous avons plusieurs sites en Rhone Alpes:
Lyon
Chambéry
Saint Etienne
Valence
Grenoble
 
Chaque site étant relié au travers d'un MPLS avec une liaison SDSL a 2Mbits.
 
Nous avons choisi de mettre 2 WSUS:
 
Un sur Lyon qui pourras distribuer les mises a jour sur Chambéry, Grenoble
 
Celui de Saint Etienne gèrera les mises a jour des sites de Valence.
 
Je ne peux pas créer ma GPO sur mon UO "Rhône Alpes" car ayant plusieurs serveurs WSUS...
 
Il faudrait que je puisse la créer sur l'OU Lyon, mais dans ce cas la, elle va s'appliquer a Lyon uniquement.
 
J'aimerais éviter de faire une GPO par site, car le schéma décrit n'est pas la réalité, dans la réalité, nous avons 600 sites.
 
De plus, puis-je utiliser Branchcache afin d'optimiser ma bande passante ?
 
Je suis en environnement Windows 2012 R2 et postes clients en Windows 7 / 10
 
N'ayant pas de serveurs sur site, j'aimerais que la fonctionnalité Branch cache envoie a un poste en local (un poste au hasard) les mises a jour et ensuite elles seraient distribuées en local.
 
Si jamais ce pose la est éteint ou HS, un autre poste au hasard prendra le relais pour redistribuer les mises a jour.
 
D'autre part, comment avec Windows 10 gérez vous les grosses mises a jour comme la creators update ? La déployez vous avec WSUS ? Que faut il cocher afin que la mise a jour se déploie ?
 

 
Merci pour votre aide.

La bonne pratique, ce serait de lier les GPO à l'OU Computers, pas aux OU parentes. Et l'AD organisé de façon géographique c'est rapidement la merde, et avec 600 sites c'est à bannir absolument.
 
Tu peux jouer sur des GPO de sites et/ou des filtres WMI, mais ça sera crade.
 
Pour déployer les upgrades Windows 10 il te faut un WSUS 2012 R2 minimum à jour, activer la fonctionnalité .Net 4.5 HTTP Activation, et rajouter un élément MIME .esd de type application/octet-stream via la console IIS

Bonne idée de faire une liaison.
Je place mes GPO a la racine de Rhône Alpes, et ensuite je fais des liaison.
Le problème est que TOUS les sites doivent avoir une liaison, sinon, mes 2 GPOs (WSUS Lyon et WSUS Saint Etienne s'appliqueront ?)
 
Quand a l'organisation de la AD selon les sites, ce n'est pas une décision de la part, mais plutôt de mes supérieur (DSI Groupe).

 
 
Vous avez sélectionné quoi pour Windows 10 dans votre boîte (je n'ai que des Pro) car il y a une sacrée liste concernant Windows 10...
 


 

- Windows 10
 
Et pour le reste je te laisse lire : http://www.urtech.ca/2016/12/solve [...] n-in-wsus/

Parfait, merci

Il fait combien votre répertoire de MàJ sur vos serveurs WSUS ?
Cela dépend bien entendu des mises à jour sélectionnées mais le mien arrive à près de 700Go pour Windows7, 10, 2008R2, 2012R2 et leurs mises à jour de sécurité, mises à jour critiques et upgrades.
 
Un "Assistant de nettoyage du serveur" n'y change rien...

 
Tu peux aller facilement jusqu'à 2-3 To. Fais en sorte de bien passer en Declined les mises à jour dépréciées/remplacées, et de vérifier ce que tu as configuré côté langage, c'est ça qui te bouffe une place monstrueuse (les pilotes/outils aussi).

Je conseille fortement l'utilisation de script de maintenance / nettoyage pour wsus :

ex :

https://www.reddit.com/r/sysadmin/c [...] up_script/
http://briancanfixit.blogspot.fr/2 [...] nance.html
https://gallery.technet.microsoft.c [...] l-102f8fc6

Merci je vais jeter un oeil...
 

https://blogs.technet.microsoft.com [...] intenance/

Bon, moi je craque, tout fonctionne bien sur le 2012R2 depuis 2 ans, sauf l'upgrade 1709 qui ne veut pas se télécharger sur le serveur (il dit que c'est en cours de dl, sauf que ça reste à 0.00Mo). Tous les patchs sont bons, j'ai fait les manips et les nettoyages post patch, etc etc, rien à faire.
Je vais passer à 2016, en espérant pas avoir de galères
Ca tombe bien je savais pas quoi faire aujourd'hui

Tu as fait ça : https://www.nibonnet.fr/update-build-windows-10/  ?

Ton problème est connu / il y a une solution à appliquer.

Oui, j'ai fait
 
edit : de toute façon fallait que je la fasse un jour ou l'autre la migration, donc bon, j'avance juste la date prévue...

Il n'y a plus besoin de l'application des patchs.  
Ils sont incluts depuis la cumulative de juillet 2017.
Il est juste nécessaire de rajouter la partie .esd sous 2012r2
Sous 2016, c'est natif donc aucun problème !

Nan mais le pire, c'est que la 1607 ça fonctionnait. Je verrais tout à l'heure si cette fois il a bien fini de tout dl...

Windows 10 GDR-DU, j'ai vraiment du mal à comprendre à quoi ca correspond  

C'est pour les upgrades win10 à win10 d’après ce que j'ai compris (genre le passage de 1607 à 1703)
 
Sinon
ça fait pareil sous 2016, j'en ai MARRE
Il dl toutes les updates, à part la 1709 qui reste en cours de téléchargement sauf qu'il fout rien
 
Edit : bon, j'ai changé de proxy, j'ai mis celui qu'on a en test, il m'a bien dl les MAJ wsus, par contre maintenant c'est le WU standard qui reste à 0%    
ça a donc bien l'air d'etre un probleme de proxy. ça va etre bien bien chiant ça.

DU = Dynamic Update, des mises à jour que tu intègres à l'OS au moment de l'installation de mémoire.

 
cf : http://www.urtech.ca/2016/12/solve [...] n-in-wsus/

J'avais vu ton lien Com21  
Mais les explications ne me sont pas claires du tout...

Et GDR ?

GDR = General Distribution Release  

a cas ou vous seriez passé a coté comme moi...
https://support.microsoft.com/en-us [...] cessing-on

petite question, j'ai récemment supprimé de mon wsus la collection server 2016, vu que pour le moment je n'ai pas de servers 2016.
Cependant, je continue de voir des màj pour server 2016 dans les màj dispo
j'ai déjà fait tourner le cleanup wsus (depuis la console) et le script donné quelques postes plus haut...

une idée?
merci

petit screenshot avec une vue faite ave cun tri sur 'server 2016'

Il faut les passer en "Declined"

zut, ok je fais ça merci !
et après un cleanup

hihaaaaaaaaaaaaa 19 go de récupérés, même si la place n'était pas un soucis c'était useless actuellement

Dites, on me demande de rendre un WSUS http directement accessible depuis internet pour gérer les télétravailleurs. Outre le fait que je pense que c'est une très mauvaise idée (l'infra VPN n'est pas en place, on a plusieurs mois de retard sur le planning), je pensais le mettre derrière un reverse proxy https (squid).
Avant que je me lance, l'un de vous a-t-il une expérience positive/négative avec ce genre de bricolage?
 
Merci

ça marche pas....
après, ya peu de risque de l'exposer, c'est assez sécurisé d'origine et il n'y a pas de données sensibles qui transitent.
 
passer par un VPN a un gros inconvénient, si le poste n'est pas connecté, pas de MAJ antivirus/Windows => potentiellement a risque
 
alors qu'en connexion directe, ça se met à jour quand même.

ou alors wufb si clients windows 10. il y a le dual scan a creuser aussi

Merci pour vos réponses, je vais creuser ça.

Des gens ont déployé le kb4056892 (spectre) sur des postes clients ?
 
j'ai pris quelques ordinateurs pour essai, j'ai un rapport non applicable    

essaye a la main et voit ce que ca dit deja. est ce que c est le bon os? la bonne archi ?
les 32 bits -> pas de patch il me semble

Antivirus pas à jour ?

Cf : https://support.microsoft.com/en-us [...] s-software

Enfin tu as ce script powershell pour tester tes postes : https://support.microsoft.com/en-us [...] ilities-in

Officescan se met a jour 3fois par contre je suis encore en v11 et pas xg  
 
Bref je n’ai pas trop regardé en détails encore, mais le patch x64 ne s’appliquait pas sur ma machine, ni visiblement sur d’autres.
 
Je vais regarder un peu aujourd’hui  
 
 
Merci pour le script

Ta version d'antivirus est supportée ? Si non c'est la raison.

Désolé je n'ai pas répondu de la journée, effectivement j'ai check sur trendmicro ce matin, il y a un patch à appliqué coté anti virus pour déployer le kb

Sinon pour infos la maj V11 --> XG ce fait assez bien sur Officescan.
 
Et sinon oui c'est bien de patch aussi son antivirus