WSUS

Version imprimableEnvoyer par emailversion PDF

Définition

WSUS : Windows Software Update Service.

Serveur WSUS

Il est possible de gérer le serveur WSUS depuis la ligne de commande, grâce à l'outil WSUSUtil.exe, voir cette documentation.

Cet utilitaire se trouve dans : %ProgramFiles%\Update Services\Tools

Exemple de vérification à lancer pour vérifier la consistence entre la base de données et les mises à jours téléchargées :


wsusutil.exe reset


Informations diverses

WSUS permet de générer des rapports, il permet le fonctionnement au travers d’un proxy, une communication sécurisée basée sur le protocole HTTPS, la création de "Groupes d’ordinateurs Cibles" et enfin dispose d’une API scriptable (Côté Serveur et Client).

Par exemple on peut forcer la mise à jour d’un poste client en utilisant la commande :


%SystemRoot%\system32\wuauclt.exe /detectnow


Vous pouvez aussi forcer le téléchargement :


%SystemRoot%\system32\wuauclt.exe /downloadnow


Autres commande utile, mais à exécuter dans cet ordre :  


%SystemRoot%\system32\wuauclt.exe /resetauthorization /detectnow


ResetAuthorization agit sur le cookie de l'ordinateur client qui enregistre diverses informations, dont le groupe du poste.

Par défaut ce cookie expire au bout d'une heure après sa création par WSUS.

Resetauthorization vous permet, avec detectnow de faire expirer le cookie, suite au changement de groupe d'un poste.

Le log des actions est disponible dans le fichier :

 


%SystemRoot%\Windowsupdate.log


Une page d'explication pour vous aider à lire ce fichier : http://support.microsoft.com/kb/902093

Erreurs

Si vous rencontrez l'Event ID : 506. Aller dans IIS, sur le site web par défaut, aller au répertoire virtuel seflupdate.

Choisir : Propriétés > Directory Security > Editer. Vérifier l'accès Anonyme. Redémarrer le service selfupdate.

Script

Si on désire utiliser un script pour forcer les clients à vérifier le serveur WSUS :


net stop wuauserv 
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v LastWaitTimeout /f 
REG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v DetectionStartTime /f
Reg Delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v NextDetectionTime /f
net start wuauserv


 

Entrées dans la base des registres : postes clients

Quand des paramètres WSUS sont pris en compte sur un poste client, les entrées suivantes de la base des registres se trouvent changées :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

D'autres entrées sont utilisées (voir cette page) :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate 

L'adresse du serveur WSUS est enregistrée dans cet emplacement :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

 

Scripts

Supprimer les doublons des ID Wsus

Windows XP

Tiré de cette page :

 


@echo off
Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following:
Echo 1.    Stops the wuauserv service
Echo 2.    Deletes the AccountDomainSid registry key (if it exists)
Echo 3.    Deletes the PingID registry key (if it exists)
Echo 4.    Deletes the SusClientId registry key (if it exists)
Echo 5.    Restarts the wuauserv service
Echo 6.    Resets the Authorization Cookie
Echo 7.    More information on http://msmvps.com/blogs/Athif/
Pause
@echo on
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow
Pause 


 

Windows 2000

Méthode brute

Note pour Windows 2000 : A la place de la commande "REG DELETE", importez un fichier .reg ayant ces valeurs :


Windows Registry Editor Version 5.00
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate


Toutes les informations contenues dans l'entrée "WindowsUpdate" seront alors supprimées.

Afin de rapatrier des valeurs de registres "correctes", suite à la supression de mauvaises informations par cette commande, exécutez :


secedit /refreshpolicy machine_policy /enforce


Méthode douce

Utilisez ce fichier .reg, qui supprimera uniquement les valeurs désirées :


Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate "AccountDomainSid"="-" "PingID"="-" "SusClientId"="-"


Utilitaires

ClientDiag permet de vérifier la configuration de WSUS sur le poste client. Double cliquez dessus, et un rapport vous est généré.

WSusDebugTool permet de vérifier la configuration du serveur WSUS.

Afficher le nombre de correctifs installés sur un poste (avec un "C" majuscule) :


C:\>systeminfo |find "Corr"
Correctif(s):                               167 Corrections installées.


 

Pour voir les paramétrages de WSUS et des GPOs appliqués à un client :


C:\>Reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /s

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
WUServer              REG_SZ    http://serveur-wsus.exemple.com
WUStatusServer        REG_SZ    http://serveur-wsus.exemple.com
TargetGroupEnabled    REG_DWORD 0×1
TargetGroup           REG_SZ    PROD2

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
UseWUServer                      REG_DWORD    0×1
NoAutoUpdate                     REG_DWORD    0×0
AUOptions                        REG_DWORD    0×4
ScheduledInstallDay              REG_DWORD    0×5
ScheduledInstallTime             REG_DWORD    0×7
NoAutoRebootWithLoggedOnUsers    REG_DWORD    0×1
NoAUShutdownOption               REG_DWORD    0×1
AutoInstallMinorUpdates          REG_DWORD    0×1
DetectionFrequencyEnabled        REG_DWORD    0×1
DetectionFrequency               REG_DWORD    0×1


 

  • AUOptions : la valeur “4″ correspond à l’option 4 dans la GPO de mise à jour automatique.
  • ScheduledInstallDay : la valeur “5″ correspond à jeudi (dimanche jour 1 chez MS).
  • ScheduledInstallTime : la valeur “7″ correspond à 7:00.
  • DetectionFrequency : durée en heure avant la vérification de nouvelles mises à jour.

Logs

Les principales sources d’événements à regarder dans le journal “Application” sont :

  • Windows Server Update Services
  • HotFixInstaller

Dans le journal "System" : 

  • Windows Update Agent
  • NtServicePack

Serveur WSUS %ProgramFiles%\Update Services\Log Files\SoftwareDistribution.log

Client WSUS %windir%\Windowsupdate.log et %windir%\SoftwareDistribution\ReportingEvents.log

 

Pour faire des recherches il est conseillé d'utiliser l’utilitaire PsLogList compris dans la suite PsTools de SysInternals.

PsLogList utilise l'option "-i" pour afficher uniquement les énvènements qui possèdent l'ID spécifiée (jusqu'a 10).


Event ID     Description
4377         Le détail du KB installé
19           Installation REUSSIE
20           Installation en ECHEC
22           Reboot après installation mises à jours


 


psloglist \\ServerName -i 4377,19,20,22 -d 1


Afficher les derniers redémarrages, et vérifier si ceux-ci sont liés à l'installation d'une mise à jour :


psloglist \\serverName -i 22,1074,6005,6006 -d 1


Afficher les types d’évènements "warning" (w), "error" (e) "information" (i), dans différentes sources depuis les 8 deniers jours du journal "Application" et "System" :


psloglist \\serverName -o "windows server update services" -f we -d 8 Application
psloglist \\serverName -o "hotfixinstaller" -f we -d 8 Application
psloglist \\serverName -o "windows update agent" -f we -d 8 System
psloglist \\serverName -o "msiinstaller" -f we -d 8 Application


La même requête, combinée :


psloglist \\serverName-o "windows server update services","HotFixInstaller" -f we -d 8 Application
psloglist \\serverName-o "Windows Update Agent","NtServicePack" –f ewi -d 8 System


Afficher les mises à jour installées les 8 derniers jours (type évènement "Information") :


psloglist \\serverName -o ntservicepack -f i -d 8 System


Document(s)

Déployer Microsoft Windows Server Update Services 3.0 (en anglais).

Liens

Internes

Windows Update

Windows Update Agent

Microsoft Update

Configurer WSUS via GPO : http://support.microsoft.com/kb/328010

Externes

http://www.wsus.info/forums/

Sponsors