Contexte
Lors du déploiement d'un nouveau serveur WSUS, des serveurs ou postes de travail apparaissent et disparaissent de la console sans raison logique au premier abord.
Explication
Si les clients apparaissent et disparaissent de la console par intermittence, le soucis vient probablement du SUSClientID.
Cette situation peut arriver quand un serveur est cloné et que les clés de registre liées au SUSclientID ne sont pas modifiées, ou dans le cas des postes de travail, le problème peut se poser si les postes sont déployés via une image système mal configurée (pas de sysprep).
Résolution
La solution a ce problème est relativement simple une fois que les différents clients concernés ont été identifiés.
Sur chaque client concerné, supprimez clés de registre suivantes:
- SusClientId
- SusClientIDValidation
Ces clés sont situées à la racine de la ruche: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
Ouvrez ensuite une invite de commande en mode administrateur et exécutez les commandes suivantes:
- wuauclt.exe /resetauthorization / detectnow
- wuauclt.exe /detectnow
Il faut refaire ces actions sur chaque poste client/serveur concerné.
Les clients devraient ensuite remonter sans soucis dans la console WSUS.
J’ai récemment été confronté à une situation complexe sur une architecture Symantec Messaging Gateway composée de trois nœuds :
Le boitier control center était hors service (interface Web inaccessible); or, au même moment l’un de deux boitiers scanner était victime d’un problème de remise de messages (files d’attente Inbound et Outbound avec plusieurs milliers de messages en attente de traitement).
Dans ce cas de figure la seule méthode disponible pour administrer le boitier scanner (en l’absence de l’interface Web habituellement disponible sur le control center) consiste à prendre en la main en mode console (soit physiquement sur le serveur, soit à distance avec un client SSH comme putty).
Dans ce cas de figure, les trois commandes les plus importantes pour gérer les files d’attente sont les suivantes :
-
mta-control qui permet de gérer les files d’attente et de reconfigurer la pile MTA
-
monitor qui permet d’afficher le statut des files d’attente ainsi que le nombre de mail dans chaque file
-
service qui est une commande Linux standard permettant de redémarrer les services (dont le service MTA)
mta-control pause-mode pause-accept (reconfigure la pile MTA pour ne plus accepter les nouveaux messages; les messages toujours en file sont scannés, puis envoyés)
mta-control pause-mode resume-accept (permet de revenir en arrière)
monitor mta (permet d’afficher l’état des différentes files; i_qmsgs correspond au nombre de message dans la file Inbound, o_qmsgs correspond au nombre de message dans la file Outbound et enfin d_qmsgs correspond au nombre de messages dans la file Delivery)
mta-control delivery flush (permet de forcer la réémission des messages bloqués dans la file d’attente Delivery)
service mta restart (permet de redémarrer le service MTA)
L'une des nouveautés non négligeable de la version SCOM 2007 R2 et sans aucun doute, l'implémentation du téléchargement de Management Pack directement depuis la console d'administration.
Il n'est en effet non seulement plus nécessaire d'aller faire un tour sur le site du catalogue des Managements Packs (http://technet.microsoft.com/en-us/opsmgr/cc539535.aspx), mais aussi beaucoup plus simple de vérifier les mises à jours disponibles pour les Management Pack déjà installé:
Il y a cependant un "mais" pour ceux qui utilisent un proxy avec authentification: ce n'est pas supporté par la console d'administration SCOM (pas d'invite de saisie des identifiants).
Dans ce cas (ainsi que pour les versions antérieures à la version 2007 R2 de SCOM), il n'y a pas d'autre choix que de passer par le site du catalogue des Managements Pack!
Pour ceux que ça intéresse, j'ai développé un petit script permettant d'extraire rapidement le contenu des managements packs (.msi) sans avoir à les installer. Voir le post "N'installez plus les .msi des Managements Packs"
NB: Si quelqu'un a la solution pour utiliser un proxy avec authentification (sans mémoriser les identifiants, ou modifier le proxy en place), je suis preneur. (Sorte de run as pour l'authentification du proxy.)