Patch me est sur un bateau...

Le 29 Nov 2008 par Nikos

Il est des jours dans la vie d'un admin où rien ne va... Le pire dans ce cas là, c'est de déployer une mise à jour en urgence; sauf que lorsque vous faites un rapport de déploiement il vous manque des postes informatiques, rien à faire... Windows ne veut pas... Avant de faire l'irréprochable, voici quelques infos à suivre.

S’il est bien une chose stressante pour un admin (sisi ! c’est vrai) c’est l’installation de patchs de sécurité ; dans certains cas, il arrive que vos machines ne reçoivent pas vos mises à jours :

Vos postes informatiques n’apparaissent pas dans votre console WSUS !

Argh !! Comment est-ce possible ?? Voici une explication sur le principe de WSUS :
   

• Une machine est identifiée via un Id : SUSClientID 
• Cet identifiant doit être unique.
• Cet identifiant est envoyé au serveur WSUS pour permettre l'identification du poste.
• Une fois cette info communiquée au serveur celui-ci commence le transfert des MAJs en fonction des validations de l'admin.

Néanmoins, il arrive que lorsque vous utilisiez une image basée sur un SysPrep, les identificateurs ne sont pas automatiquement remis à zéro (Voir ici pour accèder au Technet de Microsoft à ce sujet). Cela ne pose pas de réel problème sur le fonctionnement direct de votre ordinateur, si ce n'est... cette satanée mise à jour qui ne veut pas s'installer parce que votre PC n'apparait pas dans votre console WSUS nouvellement déballée des cartons.

Il peut y avoir plusieurs raisons, la premiére : votre poste n'arrive pas à communiquer avec votre serveur WSUS, la deuxiéme : le SUSClientID est identique à une autre machine déjà présente sur votre LAN, le client WSUS est corrompu.

Nous allons traiter chaque cas dans l'ordre, ce cheminement est, à mon avis, celui à suivre si vous désirez résoudre votre problème au plu svite. Le premier cas est celui qui peut sembler le plus « simple », tout d'abord il faut se poser les bonnes questions :

• Votre serveur est-il joignable ? Peut on le pinguer ?
• Non OK : y a t-il un firewall sur votre poste, si oui désactivez-le, puis tentez de pinguer votre serveur WSUS, êtes-vous dans un VLAN restreint ?
• OK : vous arrivez à pinguer votre serveur WSUS, passez à l'étape suivante.Votre machine a t-elle reçue la bonne politique (GPO) (est ce que le nom de votre serveur WSUS apparait ?) (cf. voir capture juste en dessous)
• Non OK : votre poste se trouve t-il dans le bon groupe pour recevoir cette GPO ?
• OK : vous apercevez le nom du serveur WSUS comme indiqué sur la capture, mais votre machine n'apparait toujours pas sur la console ; nous allons aborder le deuxiéme point à l'étape suivante.
• Avez-vous utiliser l'outil Sysprep pour créer votre Master ?
• Non : passez à la derniére étape.
• Oui : nous allons procéder à la suppression de cet ID via les commandes suivantes :
• net stop wuauserv (Permet de stopper le service de MAJ de Windows)
• Ouvrez Regedit.exe, puis placez-vous sur la clé suivante : « HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\WindowsUpdate »
• Supprimez la valeur SUSClientID, fermez ensuite Regedit.exe         
• net start wuauserv           
• On reboot le poste, quelques minutes aprés le reboot votre poste doit apparaître sur votre console, sinon passez à l'étape suivante

Derniére étape, il semble que votre client WSUS soit corrompu
Veuillez télécharger le client WSUS v3.0 à cette adresse : http://go.microsoft.com/fwlink/?LinkID=91237
       
        Puis dans une commande MSDOS : « WindowsUpdateAgent30-x86.exe /wuforce » Cette commande a pour objectif de forcer la réinstallation de votre client WSUS (c'est radical). Cette derniére étape permet de régler 90% des problèmes de ce genre, reste les 10% qui interviennent entre le serveur WSUS et le poste (WSUS non disponible, VLAN restrictif (trop?), Firewall bloquant l'envoi et la réception des données du serveur).

Ces commentaires sont gérés par Disqus