[WS 2003] Purge du WSUS [Résolu]

[Unknowgtr]

Cher tous,

Avant de commencer, je tiens a remercier tout ceux qui vont prendre quelques instants pour reflechir a mon probleme.

Je m'occupe d'un parc informatique d'une cinquantaine de PC et je gere les mises a jours par WSUS. Cependant, la taille de la base de donnees ayant tendance a augmenter de facon exponentielle (actuellement 46Go), j'ai reduit les mises a jour authorisees au minimum. Cependant, je souhaite maintenant purger la base des anciennes mises a jour qui ne sont plus acceptees. J'ai commence par decocher tous les logiciels et systemes que je ne souhaitais plus mettre a jour. Je suis ensuite alle dans "option/server cleanup wizard" pour lancer un nettoyage, mais la taille des donnees purgees est ridicule. Y a-t-il d'autre choses a faire, ou d'autre moyen pour enlever de la base toutes les updates desormais inutiles. Je precise que j'ai laisse les mises a jour en anglais et en francais parce que nous avons les deux types de machine sur le reseau (J'ecris d'ailleurs actuellement avec un clavier qwerty, ce qui explique le manque d'accent dans mon message et je vous prie de m'en excuser).

Ensuite, je ne m'explique pas que la taille de ma base de donnees WSUS augmente meme les jours ou je n'authorise aucune mise a jour!!! --> 500 Mo aujourd'hui. Mon serveur est configure pour ne telecharger les fichiers d'update qu'a partir du moment ou je les ai accepte.

Voila, toutes les bonnes volontes sont acceptees

Cordialement
Unknowgtr

[Michaël]

Bonjour et bienvenue

Je me suis fait un petit script powershell pour refuser automatiquement des mises à jour Je refuse notamment les mises à jour 64 bits et itanium et j'impose une version d'ie (7) et de wmp (11). Je refuse également des drivers qui ne me servent pas et surtout les mises à jour qui sont remplacées par d'autres (superseded). Evidemment, c'est à customiser selon les besoins

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
# auto-decline.ps1
# Updates auto-declining script : refusing 64 bits, wmp except v11, ie except ie7, some drivers
# Tested with WSUS 3.0 SP1
# 22 dec 08

[System.Reflection.Assembly]::LoadWithPartialName('microsoft.updateservices.administration') | out-null

$wsusrv=[Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

$unneededUpdates = 0

$wsusrv.GetUpdates() |
where { ($_.Isdeclined -eq $False) -and ( `
					($_.Title.ToLower() -match 'ia64') `
					-or ($_.Title.ToLower() -match 'itanium') `
					-or ($_.Title.ToLower() -match 'x64') `
					-or ($_.Title.ToLower() -match 'internet explorer 6') `
					-or ($_.Title.ToLower() -match 'internet explorer 8') `
					-or ($_.Title.ToLower() -match 'visio') `
					-or ($_.Title.ToLower() -match 'onenote') `
					-or ($_.Title.ToLower() -match 'infopath') `
					-or ($_.Title.ToLower() -match 'project 2003') `
					-or ($_.Title.ToLower() -match 'publisher 2003') `
					-or ($_.Title.ToLower() -match 'nvidia') `
					-or ($_.Title.ToLower() -match 'ati') `
					-or ($_.Title.ToLower() -match 'windows media player 6.4') `
					-or ($_.Title.ToLower() -match 'windows media player 8') `
					-or ($_.Title.ToLower() -match 'windows media player 9') `
					-or ($_.Title.ToLower() -match 'windows media player 10') `
					-or ($_.IsSuperseded -eq "true") `
					)} |
 % {
	$_ | ft -prop Title,ArrivalDate; $_.Decline() ; $unneededUpdates += 1
}

if ($unneededUpdates -gt 0)
{
	"{0:N0} Unneeded Updates declined." -f $unneededUpdates
} else
{
	Write-warning 'No update to decline'
}

après ça, un coup de nettoyage via la console wsus et c'est bon

[Flamby38]

Alors j'ai peut être raté quelque chose mais WSUS permet quand meme de choisir les mises à jour qu'il télécharge non? Et ce avec l'interface graphique, sans passer par du powershell. Et il incorpore sa propre fonction de purge.

Est ce que par hasard vous n'auriez pas une version ancienne de WSUS?

[Unknowgtr]

Cher tous,

J'utilise actuellement WSUS 3.0 SP2 qui me semble etre la derniere release.
Effectivement, il y a des outils incorpores pour la gestion des mises a jour authorisees, mais mon probleme vient que je n'ai repris ce reseau que depuis deux mois. Mon predecesseur avait quasiment selectionne toutes les mises a jour possibles et inimaginables. Ce que je souhaite maintenant, c'est efface les fichiers inutiles et encombrants de la base. Mais lorsque j'ai deselectionne les produits que je ne voulais plus mettre a jour et que j'ai fait un Cleanup, la quantite de fichier nettoye etait infinitesimale (quelques Mo) au regard de la base de donnee. Je n'ai garde que les mises a jour d'XP et d'Office 2003 !
Je pense qu'il y a un autre moyen de purger la base, non ?
Quand a utiliser des script power shell pour la gestion des mise a jour a telecharger, je ne maitrise pas encore. D'autant que ca devrait etre le travail de WSUS...

Bonne journee a tous

[Michaël]

flamby38 : quand t'installes un wsus, tu vas t'amuser à voir quelles majs sont intéressantes pour toi parmi toutes les mises à jour ? perso, j'accepte toutes les majs possibles et ensuite je vire celles qui m'intéressent pas via le script (il y a certaines choses qu'on ne peut pas sélectionner dans wsus comme l'architecture ou les versions de wmp). je teste ça sur une seule machine et s'il n'y a pas d'incompatibilité, j'arrête d'approuver automatiquement les mises à jour pour que je puisse les approuver ou non lors du patch tuesday

c'est sans doute mal de tout approuver mais je vais pas perdre 1 an à tester toutes les majs existantes pour construire mon wsus. si t'as une autre méthode, je serai heureux de la lire

Unknowgtr : il faut refuser les mises à jour que tu ne veux plus. juste virer le produit évitera de récupérer des nouvelles maj mais c'est tout. tu peux le faire en créant une règle d'approbation qui va refuser les majs pour tel produit. ensuite, il faut exécuter la règle et faire le cleanup
le script permet de refuser de manière plus fine les maj qui ont déjà été sélectionnées. il se base juste sur le nom de la mise à jour donc très simple à modifier

[Unknowgtr]

Michael : Merci, merci, merci !

Explication simple et claire, resultat parfait : Tout ce dont j'avais besoin.

Une tres bonne journee a tous

[Flamby38]

Pour michael : Effectivement ton script est plus "fin" que le reglage WSUS par défaut.

Personnellement quand j'avais un serveur WSUS à gérer, je crois que je faisais la chose suivante :
-je ne reçois que les notifications de mises a jour (le download n'a lieu que si je les accepte).
-quand je vais voir mon serveur WSUS, typiquement une fois par mois à la sortie des mises à jour, je vais dans la liste de mes mises à jour et je les trie suivant la colonne qui indique si elles sont utiles sur mon réseau. Je ne sais plus le nom de la colonne, mais c'est une colonne qui me dit combien de PC ont besoin de cette mise à jour. Je fais une sélection de groupe de toutes les mises à jour qui n'ont pas 0 dans cette colonne et je les accepte.

Ainsi je ne télécharge que les mises à jour utiles, ca permet aussi de voir si j'ai des anomalies, genre si je vois que j'ai besoin d'une mise à jour pour IE6 alors que j'ai déployé IE7 partout, ben je vais aller voir sur le poste en question ce qui se passe et pourquoi IE7 n'est pas installé.

Maintenant je ne sais pas si cette méthode est adaptée pour construire un WSUS en partant de 0, chose que je n'ai jamais faite.