[Solved] WSUS Replica in another forest

Topics: Configuration Issue
Oct 11, 2013 at 6:34 AM
Hello,

Our multiple site, multiple replicas installation is a wonder thanks to your excellent job. I still have a problem with a replica that is in another forest and domain. There is no problem with WSUS functioning so (bidirectional trust). But the certificate is not recognized on the remote site (on the WSUS and on the client GPO). The certificate information says "This certificate cannot be verified up to a trusted certification authority". Certificates are not my cup of tea and i wanted to know if you could be helpful here, before i have to dig deeper in cross-domain certificates validation...

Thanks in advance
Coordinator
Oct 12, 2013 at 5:09 PM
I'm afraid to be useless in this case.
Oct 13, 2013 at 11:49 AM
Thanks anyway. Do you think it would be possible to install a wpp instance connected to the replica on the remote site ?
Coordinator
Oct 13, 2013 at 1:03 PM
Yes, WPP can manage Replica Servers (but there is few things to manage on Replica Server. You can not publish to a replica server) and remote servers. Until you have stable connection between these site.
Oct 14, 2013 at 6:41 AM
Thank you for your answer, but i don't understand it. Maybe french will be better in this case...

Je ne peux donc pas installer un WPP en local sur mon replica pour publier des updates sur mon site distant dans une autre forêt. Mais à la fin de votre commentaire précédent vous dites: jusqu'à ce que vous ayez une connection stable entre les sites.

Ces sites sont reliés par une connection réseau MPLS stable... Est-ce que cela change qqch ? Ou vouliez-vous parler de l'interconnection des serveurs de certificats ?

Merci d'avance pour vos éclaircissements
Coordinator
Oct 14, 2013 at 7:59 AM
C'est fou la nombre de Français qui parle Anglais sur ce site :-)

On ne peux pas publier de mise à jour sur un serveur réplica (d'où le nom). Par contre vous pouvez utiliser WPP sur un serveur réplica pour le gérer (mais il n'y a pas grand chose à gérer).
WPP peux se connecter à un serveur WSUS distant sans problème, mais il faut une connexion stable (même si HTTP(s) supporte sans trop de problème les micro-coupures).
Vous pouvez aussi utiliser WPP sur un PC avec la console de gestion WSUS d'installé.
Oct 14, 2013 at 8:12 AM
Edited Oct 14, 2013 at 8:20 AM
J'ai eu une autre idée mais a-t-elle un sens: je génère un code signing certificate sur l'autorité de certification de mon site distant (qui est dans une autre forêt). Et je l'installe sur le serveur WSUS replica du site distant et sur les clients du site distant via GPO. Est-ce que ça peut marcher (le paquet est délivré depuis le serveur WSUS distant mais a été crée sur mon WSUS Master) ?

Edit... Idée stupide puisque les packages WPP sont signés avec le certificat de mon site principal...

Puis-je par contre créer comme ci-dessus un certificat code signing sur mon autorité de certification distante et utliliser celui-ci en le chargeant dans WPP à chaque fois que je veux créer un package pour mon site distant ? Ce qui voudrait dire que je dois créer tous mes updates à double (1x pour mes sites de la même forêt et une fois pour la forêt distante) et faire les approbations en fonction...
Coordinator
Oct 14, 2013 at 9:01 AM
Ca ne serait pas plus simple de créer un certificat pour l'authorité de certification privé de la foret une et de l'importer dans le magasin "Authorité de certification racine de confiance' de tes machines de la foret deux ? De cette facon les machines de la foret deux feraient confiance aux certificats de l'authorité de la foret une.
Marked as answer by DCourtel on 1/17/2014 at 8:02 AM
Oct 14, 2013 at 10:05 AM
En effet... Je crois que je vais aller me boire un café...