Bug : Windows 8.1 avec l’Update KB2919355 et WSUS 3.0 SP2 avec SSL

 

Si vous utilisez un serveur WSUS (Windows Server Update Services) en version 3 avec SP2 pour le téléchargement, gestion et distribution des mises à jour sur l’ensemble des postes de travail de votre réseau et plus précisément sur des postes de travail Windows 8.1, sachez qu’un problème de communication entre WSUS 3.0 SP2 avec SSL activé et WIndows 8.1 avec l’update KB2919355 a été identifié.

Desciption du problème

Ce problème parvient dans les situations /scénarios suivants:

1. Postes de travail : Windows 8.1 avec l’update KB2919355 ne peuvent contacter et récupérer des mises à jour depuis un serveur WSUS 3.0 SP2 installé sur l’une des versions suivantes de Windows Server

• Windows Server 2003 SP2
• Windows Server 2003 R2 SP2
• Windows Server 2008 SP2
• Windows Server 2008 R2

2. HTTPS et SSL (Secure Sockets Layer) sont activés sur le serveur WSUS
3. TLS 1.2 n’est pas activé sur le serveur WSUS

Le problème parvient uniquement sur les infrastructures WSUS 3.0 SP2 ou le serveur WSUS est configuré en HTTPS avec SSL activé (quant à l’option TLS 1.2, elle est désactivée « par défaut ») et uniquement sur des postes de travail exécutant Windows 8.1 avec la KB2919355.

Solution

#Premier scénario:

Si votre serveur WSUS 3.0 SP2 est installé sur Windows Server 2008 R2, la solution la simple vous permettant de rétablir la situation et résout ce problème d’analyse de mises à jour depuis les postes Windows 8.1 avec KB2919355 est :

##Méthode 1 : Activer TLS 1.2 sur le serveur WSUS

##Méthode 2 : Désactiver le protocole HTTPS sur le serveur WSUS

#Deuxième scénario :

Si votre serveur WSUS 3.0 SP2 est installé sur une version autre que Windows Server 2008 R2, la solution serait de :

##Méthode 1 : Désactiver le protocole HTTPS sur le serveur WSUS

Dès que Microsoft publiera un « Fix » pour corriger ce problème, vous pouvez réactiver le HTTPS sur le serveur WSUS

La mise à jour KB2919355 est toujours disponible et téléchargeable depuis Microsoft Update, je vous invite à contrôler et arrêter son téléchargement /déploiement sur les postes de travail de votre réseau jusqu’à publication du correctif, qui l’éditeur ne tardera pas à le publier.

Pour info : la même mise à jour « KB2919355 » est disponible pour Windows Server 2012 R2, nous avons identifié un problème de démarrage lié à cette KB sur certains serveurs (certains modèles HP, Dell, Supermicro ..), je vous invite à lire cet article :

Problème de démarrage après l’installation de la mise à jour KB2919355 sous Windows Server 2012 R2

L’outil en ligne de commande « WSUSUTIL.exe »

Introduction
L’outil en ligne de commande WSUSUTIL.EXE vous permet de gérer et d’administrer votre serveur WSUS 3.0 SP2. Il permet également d’automatiser la plus part des tâches « répétitives » de configuration et de gestion : création de scripts Batch. WSUSUTIL.exe inclut des commandes vous permettant de migrer votre infrastructure WSUS vers WSUS 3.0 SP2 (e.i : WSUS 2.0 vers WSUS 3.0 S2).

Comment puis-je lancer l’outil en ligne de commande WSUSUTIL.EXE ?

L’outil WSUSUTIL.EXE est présent dans n’importe quel serveur WSUS (quel que soit le mode : Maître – Replica – Déconnecté – Autonome)

Si vous avez installé la version x64 de WSUS 3.0 SP2 dans la partition C:\, l’outil WSUSUTIL.EXE est situé dans :C:\Program Files\Update Services\Tools (voir la figure ci-dessus) :

Note :

Si vous êtes sous Windows 2008 /2008 R2, le chemin est plutôt => C:\Programmes\Update Services\Tools

Si vous avez installé la version x32, le chemin d’accès à l’outil WSUSUTIL.EXE est => C:\Program Files(x86)\Update Services\Tools

Liste des commandes que vous devez connaître

Déplacement des données du serveur WSUS

=> Déplacez la base de données WSUS vers un autre emplacement (e.i : vers la partition F:)

                          WSUSUTIL.EXE movecontent F:\WSUS\WSUSContent  E:\Log2Déplacement.log –skipcopy

=> Déplacez l’ensemble des mises à jour vers un autre emplacement (e.i vers la partition F:)

WSUSUTIL.EXE movecontent F:\WSUS  F:\Log2Déplacement.log

Note : Si la base de données WSUS est une base de données SQL, utilisez juste la deuxième commande (sans le paramètre –skipcopy pour déplacer les fichiers de mises à jour.

Important : les droits suivants doivent être spécifiés sur le dossier WSUSContent source et destination pour pouvoir déplacer avec succès les fichiers de mises à jour de l’ancien emplacement vers le nouveau.

=> Connaître la liste complète des mises à jour inactives, pour les supprimer et libérer de l’espace disque

WSUSUTIL.EXE listinactiveapprovals

=> Vérification de l’état de santé du serveur WSUS

WSUSUTIL.EXE checkhealth

->Vérifiez le résultat dans l’Observateur des événements => Journaux Windows => le journal « Application »

=> Réparation de la base de données WSUS (si le contenu des métadonnées est absent ou endommagé)

WSUSUTIL.EXE reset

->Cette commande est à exécuter après la restauration de la base de données WSUS suite à un crash du serveur WSUS. Elle vous permettra de réparer l’ensemble des données endommagées.

=> Connaître la liste complète des serveurs WSUS frontaux

WSUSUTIL.EXE listfrontendservers

=> Exporter les données WSUS (métadonnées) : vers une partition F : dans un dossier Export

WSUSUTIL.EXE export F:\Export\Export.cab F:\Export\Export.log

=> Importer les données WSUS (métadonnées) : vers une partition F : dans un dossier Import

WSUSUTIL.EXE import F:\Import\Export.cab F:\Import\Import.log

=> Surveiller la taille du disque hébergeant les fichiers de mises à jour & spécification du niveau d’avertissement

WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes : affiche le niveau d’erreur et d’avertissement

WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes XX YY : spécifie le niveau d’erreur et d’avertissement

->Exemple : WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes 400 800 : permet d’afficher un message d’avertissement à 800 Mo et un message d’erreur à 400 Mo