Bonjour,
 
Dans le cadre du cycle d'amélioration de notre société, j'ai été chargé de mettre en place une méthodologie de mise à jour des serveurs windows virtualisés.
En effet pour le moment ils ne sont quasiment pas mis à jour.
 
Pourriez-vous me faire un retour d'expérience sur vos pratiques pour maintenir à jour le parc serveur ?
 
Pour les serveurs virtuels "sans données" on peux imaginer de faire un snapshot, monter de version et faire un retour arrière en cas de problème.
 
Pour les serveurs de type SQL par contre je ne vois pas comment faire, tout retour arrière signifiant perte de données .
 
Faites vous des mises à jour au fils de l'eau ou par paquet ?
Disposez-vous d'un outil autre que WSUS pour vous y aidez ?
 
Merci

Bonjour,
WSUS est présent chez nous
 
Nous ne faisons les maj des serveurs quand il y a peu de monde qui travaille. Nous n'automatisons pas leur instal sur les serveurs. C'est manuel.
Pour chaque pack de maj avant une installation généralisé on teste sur une VM de test..
 
Cela dépend du type de maj.
Critique, important, ajout de fonctionnalité etc...
 
 
En général :
Les critiques, on attend quelques petits jours avant de les installer.
Majeure on attend un peu plus etc...
 
 
Apres il faut faire de la veille technologique. Source Microsoft, Forum blog
Pour par exemple détecte que sur un maj de w2008 un bug  pouvait reconfiguré les carte réseau et donc prendre les mesures adequat.
 
C'est long, fastidieux pas forcement interessant, mais obligatoire.

Tu as cb de machines pour faire ça en manuel ?
 
Après pour répondre à la question ça dépend vraiment de pas mal de choses, taille des parcs, sensitivité etc.
Je vois souvent les serveurs de dev patché en auto 3/4j après la release du patch tuesday et les serveurs de prod la semaine suivante si pas de pb. Des fois en plusieurs vagues.
Ca c'est pour les patchs windows.
Pas de snapshot ou quoi que ce soit, juste s'assurer que les backups sont bien fait (et sont testés de temps en temps of course).
Pour les patchs applicatifs, ça dépend des applis mais un sql server les SP sont passés après validation applicative, les CU de temps en temps mais pas systématiquement (sauf si bug vu dans le produit qu'on a besoin de corriger).
Reboot auto mais à un moment contrôlé.

Hello
 
Ici un WSUS pour les serveurs + postes.
Les postes sont patchés avec un retard de 1-2 mois pour éviter les KB foireuses (ça donne le temps à Microsoft de les corriger).
 
Les serveurs sont en 3 groupes : Hyper-V, vague 1 et vague 2.
La vague 1 c'est des serveurs de "test" (= 1 OS de chaque sur des serveurs non critiques) et on passe les MaJ dessus en premier. Les machines appliquent ça le dimanche à 1h et font un reboot dans la foulée.
Si c'est bon, ces mêmes MaJ sont validées pour la vague 2 (le reste des autres serveurs) qui sont aussi en dimanche 1h + reboot.
Les Hyper-V c'est installation en manuel par à-coups.
 
Pas de backup particulier, on a toujours un oeil sur le tableau de bord de supervision (PRTG) qui nous monitore les jobs Veeam (et les mails Veeam en sécurité).
 
Il n'y a pas de recette miracle, ta solution va forcément dépendre de ton texte (si tu peux te permettre une coupure, si tu as des clusters etc...).
 
Rancid

1-2 mois cela me parait énorme.

On cause de KB foireuses mais c'est heureusement très rare.
Et facilement corrigeable, au moins dans un 1er temps par la désinstall de la KB.

Oui je sais bien.
 
Certaines KB foireuses faisaient planter Windows au démarrage, donc là pour désinstaller la MaJ...
J'ai plutôt le sentiment contraire ; les KB étaient globalement plus fiables il y a 7-8 ans que maintenant.

Le problème est sur les serveurs à données (exchange ..)
 
On n'a pas forcément l'équivalent en test et difficile de revenir en arrière

Je@nb = juste 50
je ne vois pas le faire en auto...

 
Tu les passes en manuel une à deux semaines après leurs sorties.

C'est intéressant vos points de vue. Parce que de mon côté, j'installe direct. Uniquement les mises à jour de sécurité par contre. Rien d'autre sauf si ça solutionne un bug qui nous touche ou ajoute une fonctionnalité souhaitée.
 
Nous avons Veeam pour les VM (utilisé une seule fois pour un crash recovery sur Exchange en 3 ans - avant, nous n'avions pas Veeam -).
 
Je n'ai jamais eu le moindre problème (edit : depuis 10 ans que je fais du Microsoft).
 
Il me parait inconcevable de laisser trainer des failles de sécurité, sachant qu'elles sont particulièrement exploitées au début (et avant...). Mais c'est peut-être une déformation due à mes habitudes plus linuxiennes.

Il est arrivé que des KB posent problème.
 
Perso, les passer quelques jours après leurs sorties, cela permet soit :
- de s'assurer que M$ les a retirées si problématiques. Mais d'expérience, M$ est assez mauvais sur ce terrain.
- d'avoir déjà un minimum de littérature sur leurs effets et les contre-mesures possibles.

Admettons qu'il y ait un problème, vu la très faible probabilité, on peut laisser courir et restaurer la VM concernée en cas de soucis.
Le message de départ parle de serveur SQL : j'ose espérer que vous backupez vos fichiers et bases de données et que ce sont des VM distinctes. Donc pas de problème.
Disons que j'estime que nous avons désormais les outils pour être assez serein. Et Veeam coûte suffisamment cher pour que ça ait son utilité  
 
Parce que chose que j'ai oublié (qui rend caduque l'utilisation de Veeam et autres solutions si vous mélangez tout sur une VM) : un problème avec une MAJ, ça ne se détecte pas forcément dans l'immédiat. L'utilisation de serveur de test, ça me fait toujours marrer parce que ça prend un temps fou pour un résultat vaguement utile et fiable.
 
Un serveur de test pour, justement, des essais, des bidouilles, OK ; pour du dev, OK. Mais pour des MAJ de sécu, avant de détecter un éventuel problème, il faudra fortement tester les serveurs, qui plus est en conditions réelles.

+1

+1 billy06
Mais ce son les DSI qui ont le dernier mot...
Les bonnes pratiques qu'impose un (mon) DSI:on s'informe de la maj, on sauvegarde le serveur, on installe puis on teste...
Il faudrait dédier une personne uniquement pour cette tâche

Dans mon cas j'utilise WSUS avec les mises à jour qui se déploient le jour J pour les serveurs d'applications (les utilisateurs vont sur internet dessus) et le reste le dimanche.
J'ai eu 2 ou 3 fois des problèmes à cause des MAJ en plus de 10 ans. Alors je préfère être à jour au niveau sécurité et être ennuyé une fois de temps en temps que le contraire.
Après j'ai une sauvegarde complète quotidienne.