Gestion des correctifs avec Windows Server Update Services (WSUS)

Mi-juin 2005, Microsoft avait mis en service la version 6 de son site de mise à jour, qui proposait désormais non seulement des mises à jour de Windows à télécharger, mais aussi des mises à …

Gestion des correctifs avec Windows Server Update Services (WSUS)

  1. Magazine
  2. »
  3. Article
  4. »
  5. Windows
  6. »
  7. Gestion des correctifs avec Windows Server Update Services (WSUS)

Mi-juin 2005, Microsoft avait mis en service la version 6 de son site de mise à jour, qui proposait désormais non seulement des mises à jour de Windows à télécharger, mais aussi des mises à jour pour un paquet Office installé, un serveur Exchange et SQL, etc.

En fonction des nouvelles fonctionnalités disponibles en ligne, Microsoft avait également mis à disposition le successeur des „Software Update Services (SUS)“ : Si le SUS (comme l’ancienne page de mise à jour Windows sur le réseau) ne pouvait distribuer que des mises à jour Windows localement, son successeur WSUS (Windows Server Update Services) est incomparablement plus puissant.

Caractéristiques et conditions préalables

Avec les „Windows Server Update Services“ (WSUS), il est désormais possible de distribuer localement des correctifs Office et autres, de regrouper les clients du réseau local, etc. – l’étendue des fonctions s’est nettement accrue et permet d’établir des parallèles avec le „System Management Server (SMS)“. Seul le WSUS ne permet pas de distribuer ses propres logiciels.

Comme pour le SUS, seuls les systèmes équipés de Windows 2000 SP3 ou supérieur peuvent être mis à jour via le WSUS, tous les systèmes plus anciens sont exclus. La surveillance a également été améliorée. Ainsi, le WSUS enregistre minutieusement dans une base de données quel client a chargé et installé quelle mise à jour, quand, où des problèmes sont apparus, etc. Pour ceux qui ne possèdent pas de serveur SQL, l’installation de WSUS fournit une version de MSDE (Microsoft SQL Desktop Engine). Le choix se fait alors pendant le setup. Pour Windows Server 2000, le MSDE doit être téléchargé et installé séparément.

Installation

Selon Microsoft, la configuration système officielle requise pour l’exploitation d’un WSUS est un Windows 2000 Server SP3 ou supérieur ou un Windows 2003 Server avec Internet Information Server (IIS) installé et ~ 30 Go d’espace disque libre. En outre, Microsoft .NET Framework 1.1 avec SP1, Internet Explorer 6 avec SP1 ainsi que le service système BITS dans la version 2.0 ou supérieure sont également nécessaires. En règle générale, il ne manque à Windows Server 2003 que le SP1 pour .NET Framework.

Pour cet article, nous partons d’un serveur Windows 2003 avec Service Pack 1 installé avec un domaine Active Directory et une GPMC installée, dans lequel se trouvent plusieurs clients Windows XP. Dans notre cas, le WSUS est installé directement sur le contrôleur de domaine (DC).

Après le téléchargement du WSUS, l’installation peut commencer directement, un double-clic sur l’exe lance le setup.

alt
Installation
Cliquez sur l’image pour l’agrandir

Un clic sur „Suivant“ démarre la routine d’installation.

alt
Chemin de sauvegarde pour les mises à jour locales
Cliquez sur l’image pour l’agrandir

La case „Enregistrer les mises à jour localement“ doit être cochée pour que le serveur télécharge effectivement les mises à jour depuis le réseau et que la distribution se fasse localement. Dans le cas contraire, les mises à jour à installer peuvent certes être gérées, mais elles sont tout de même téléchargées directement par Microsoft, ce qui entraîne un trafic très important. Le répertoire WSUS sur le lecteur D sert ici de dépôt : s’il y a plusieurs partitions ou lecteurs, l’installation du WSUS choisit automatiquement la partition/le lecteur avec le plus d’espace libre.

alt
Chemin de stockage du serveur SQL
Cliquez sur l’image pour l’agrandir

Comme nous ne disposons pas d’un serveur SQL, nous installons le „module de bureau SQL Server“ dans le même répertoire que le WSUS lui-même.
Si vous avez téléchargé et installé le MSDE séparément sous Windows Server 2000, indiquez ici „Nom du serveurWSUS“ comme serveur de base de données existant.

alt
Cliquez sur l’image pour l’agrandir

Il est recommandé ici d’utiliser le site web standard d’IIS, dans la mesure où aucun autre service web n’est mis à disposition par ce serveur. C’est par exemple le cas pour un „Small Business Server“ qui offre les „Share Point Services“. Si la deuxième option est utilisée, il faudra par la suite veiller à référencer partout le port 8530 (également dans les directives de groupe) et également penser à le libérer le cas échéant dans le pare-feu. L’appel de la page avec indication du port se fait alors de la manière suivante : http://servername:8530/WSUSAdmin/

Le serveur WSUS reçoit lui-même ses mises à jour via le port 80 pour HTTP et 443 pour HTTPS. Ces ports ne peuvent pas être modifiés. Une liste des domaines cibles du serveur WSUS (pour la configuration du pare-feu) se trouve dans le document Step-by-Step de Microsoft.

alt
Héritage possible
Cliquez sur l’image pour l’agrandir

Si un WSUS est déjà présent dans le réseau, on peut intégrer ses mises à jour déjà téléchargées dans la nouvelle installation – dans notre cas, nous synchronisons toutefois directement avec Microsoft, c’est pourquoi ce paramètre reste inactif ici.

alt
Résumé
Cliquez sur l’image pour l’agrandir

Après avoir effectué tous les réglages, l’installation proprement dite commence.

alt
Installation
Cliquez sur l’image pour l’agrandir
alt
Installation
Cliquez sur l’image pour l’agrandir
alt
Finition
Cliquez sur l’image pour l’agrandir

Avant de cliquer sur „Terminer“, le site d’administration pour le WSUS doit être ajouté à la zone „Intranet local“ (ou alternativement, la „Configuration de sécurité renforcée“ pour Internet Explorer doit être désinstallée ; étant donné que cela représente un risque de sécurité, nous n’en parlerons pas ici).
Pour ce faire, nous ouvrons le panneau de configuration, double-cliquons sur l’entrée „Options Internet“ et passons à l’onglet „Sécurité“. Ici, nous sélectionnons „Intranet local“, cliquons sur „Sites“ et ajoutons http://servername (dans ce cas http://wsustest) et enregistrons en cliquant sur OK.

Interface web du WSUS

Ensuite, nous cliquons sur „Terminer“ et arrivons à la demande de mot de passe – le WSUS n’autorise par défaut que les administrateurs à accéder à l’interface de gestion, nous nous authentifions donc en tant qu’administrateur avec le mot de passe correspondant.

alt
Connexion
Cliquez sur l’image pour l’agrandir

Une fois l’inscription réussie, la page d’administration s’affiche.

Si un autre port a été utilisé pour le WSUS lors de l’installation, il faut bien sûr en tenir compte lors de l’inscription. L’adresse correcte est alors par ex. : http://servername:8530/WSUSAdmin/, sinon http://servername/WSUSAdmin/

alt
Page de bienvenue du WSUS
Cliquez sur l’image pour l’agrandir

Ici, nous sélectionnons d’abord „Options“ pour régler les options de synchronisation pour notre WSUS.

alt
Options du WSUS
Cliquez sur l’image pour l’agrandir
alt
Synchroniser le WSUS
Cliquez sur l’image pour l’agrandir

Tout d’abord, nous devons définir une heure à laquelle le WSUS se synchronise automatiquement avec les serveurs Microsoft. Il est recommandé de choisir une heure en dehors des heures de bureau régulières afin de ne pas réduire la bande passante disponible avec le téléchargement de patchs.

L’entrée „Serveur proxy“ doit être activée en fonction des conditions du réseau, le paramètre „Source de mise à jour“ nous donne la possibilité de télécharger ultérieurement les mises à jour d’autres serveurs WSUS déjà présents localement. Ces deux paramètres ne sont pas pertinents ici et restent donc désactivés.

Choix du produit
Cliquez sur l’image pour l’agrandir

Ensuite, nous cliquons sur „Modifier“ en dessous de „Classifications des mises à jour“ et activons toutes les entrées.

alt
Classifications
Cliquez sur l’image pour l’agrandir

Une fois que nous avons confirmé ces paramètres en cliquant sur OK, nous faisons défiler la page des options jusqu’en bas, cliquons sur „Avancé“ en dessous de „Mise à jour des fichiers et des langues“ et cochons les cases comme indiqué.

alt
Options avancées
Cliquez sur l’image pour l’agrandir

En principe, seules les mises à jour en allemand suffiraient, mais „prendre“ les versions anglaises n’a jamais fait de mal.
Important pour ces paramètres : Une synchronisation ne télécharge que la liste de toutes les mises à jour disponibles, ce n’est qu’après leur approbation par l’administrateur que le téléchargement effectif des fichiers a lieu. Ici aussi, il est possible d’économiser du trafic en n’approuvant pas les ServicePacks ou autres dont on n’a pas besoin.
Après avoir confirmé avec OK, les paramètres doivent être enregistrés – le bouton correspondant se trouve dans la partie supérieure gauche de la page.

alt
Enregistrer les paramètres

Après avoir enregistré les paramètres, il est temps de synchroniser le serveur pour la première fois. Pour cela, nous passons à la page d’accueil et cliquons sur „Synchroniser maintenant“. Le statut de la synchronisation s’affiche sur la page d’accueil.

alt
Statut

Connecter les clients

Pendant que le serveur est occupé par la synchronisation – ce qui prendra un certain temps – nous pouvons mettre en œuvre les paramètres de stratégie de groupe pour les clients au moyen de la GPMC.

Pour cela, il faut ouvrir la GPMC sur le serveur, créer un nouveau GPO sous „Objets de stratégie de groupe“ avec le nom WSUS et l’ouvrir en cliquant sur „Modifier“.

Ensuite, ouvrir la branche „Configuration ordinateur => Modèles d’administration => Composants Windows => Windows Update“ et configurer les différents paramètres en double-cliquant dessus. Un exemple de configuration est présenté sur l’image. Si la directive manque chez vous, le fichier wuau.adm doit être lu via „Ajouter des modèles“ dans le menu contextuel de la branche „Modèles administratifs“. Vous trouverez ce fichier dans le répertoire INF de Windows.

alt
Éditeur GPO
Cliquez sur l’image pour l’agrandir

Les différentes valeurs se présentent alors comme suit dans notre exemple :

Directive Paramètre
Configurer les mises à jour automatiques Activé
Configurer les mises à jour automatiques 4 – Téléchargement automatique et installation programmée
Les 2 paramètres suivants sont uniquement nécessaires et ne s’appliquent que si 4 est sélectionné.
Jour d’installation planifié 0 – Tous les jours
Heure d’installation planifiée 11:00
Installer immédiatement les mises à jour automatiques Activé
Activer le mappage de la cible côté client Activé
Nom du groupe cible pour cet ordinateur WSUSTest
Ne pas personnaliser l’option par défaut „Installer les mises à jour et arrêter“ dans la boîte de dialogue „Arrêter Windows“. Désactiver
Inviter à nouveau à redémarrer pour les installations planifiées Désactivé
Indiquer le chemin interne pour le service de mise à jour Microsoft Activé
Service de mise à jour interne pour détecter les mises à jour (exemple : http://IntranetUpd01) http://wsustest
Serveur intranet pour les statistiques http://wsustest
Ne pas effectuer de redémarrage automatique pour les installations planifiées Activé
Retarder le redémarrage pour les installations planifiées Désactivé
Autoriser les non-administrateurs à recevoir des notifications de mise à jour Désactivé
Ne pas afficher l’option „Installer les mises à jour et arrêter“ dans la boîte de dialogue „Arrêter Windows“. Désactivé
Fréquence de recherche des mises à jour automatiques Désactivé
Temps d’attente après le démarrage du système (minutes) : 5 5

„Désactivé“ ne signifie pas dans ce cas que ce paramètre n’est pas appliqué, mais définit ce paramètre sur les valeurs par défaut.

Veuillez noter que pour le „Service de mise à jour interne pour la détection des mises à jour“, vous devez éventuellement indiquer ici le WSUS, si vous l’avez modifié (http://wsustest:8530).

Comme chaque boîte de dialogue de paramétrage contient une explication sur la fonction correspondante, je ne m’y attarderai pas ici.

alt
Description de chaque option

Une fois tous les réglages effectués, nous fermons la fenêtre d’édition et relions ce GPO au domaine par glisser-déposer.

alt
Lier le GPO

Les paramètres sont maintenant disponibles et peuvent être appliqués sur les clients à l’aide de gpudate /force.

alt
gpudate /force

Les stratégies de groupe seraient certes mises à jour de manière régulière, mais le fait de les forcer réduit le temps d’attente.

Connecter les clients manuellement

L’adaptation des clients peut également se faire manuellement via le registre. Les paramètres se trouvent dans le registre sous HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Les clés de registre nécessaires sont décrites dans le Deployment Guide en anglais à partir de la page 68.

Gestion des clients dans le WSUS

Sur le „côté ordinateur“ du serveur WSUS, toutes les machines qui ont adopté le GPO en conséquence sont maintenant disponibles, donc également notre serveur.

alt
Gestion des clients
Cliquez sur l’image pour l’agrandir
alt
Détails

Le client n’a pas encore créé de rapport d’état, cela peut également être forcé, pour cela, sur le client, entrer wuauclt.exe /detectnow dans la boîte de dialogue d’exécution.

alt
wuauclt.exe /detectnow

Avec cette commande, le client se connecte au serveur WSUS dans les 5 minutes qui suivent.

Lors du premier accès au serveur, le client de mise à jour est éventuellement mis à jour de manière autonome (à partir de XP avec SP1 ou W2000 avec SP4).

Après quelques minutes, le client est disponible dans le groupe qu’il a demandé.

alt
Détails de la gestion des clients
Cliquez sur l’image pour l’agrandir

Après la synchronisation complète du serveur WSUS, toutes les mises à jour doivent d’abord être approuvées avant que les clients n’installent effectivement ces mises à jour. Pour cela, il faut sélectionner toutes les mises à jour sur la page des mises à jour et cliquer sur „Appliquer“.

alt
Filtrer la vue

Dans la fenêtre de droite, toutes les mises à jour disponibles sont maintenant listées, avec [CTRL]+[A], il est possible de sélectionner toutes les mises à jour en une seule fois.

alt
Marquer les mises à jour
Cliquez sur l’image pour l’agrandir

En cliquant sur „Autoriser l’installation“, toutes les mises à jour sélectionnées sont libérées pour l’installation sur les clients.

alt
Autoriser l’installation

Après l’autorisation d’installation, le client lit la liste des mises à jour nouvellement libérées lors de son prochain contact avec le serveur et extrait les mises à jour qui le concernent pour les installer.

alt
Les mises à jour sont approuvées
Cliquez sur l’image pour l’agrandir

Conformément au regroupement et à la liaison des GPO sur différentes OU, il est possible de rassembler des ordinateurs en groupes qui peuvent tout à fait recevoir les mises à jour les plus diverses. Vous pouvez par exemple créer sans risque un „groupe de test“ et y tester l’effet des correctifs avant de les appliquer aux autres ordinateurs de l’environnement de production.

La page „Ordinateurs“ permet de savoir à tout moment quel client a installé quelles mises à jour ou quel client a rencontré des problèmes. Les autorisations peuvent également être annulées, mais les mises à jour déjà installées ne sont pas désinstallées.

Pour ne pas mettre en danger l’environnement de production, il est possible de créer des groupes de test et d’y tester les correctifs avant de les autoriser pour d’autres ordinateurs. Mais comme Microsoft publie régulièrement de nouveaux correctifs, il faudrait aussi consulter régulièrement l’état des ordinateurs pour savoir quels sont les nouveaux correctifs qui manquent aux ordinateurs. Dans l’exemple ci-dessous, il manque des mises à jour récentes pour deux ordinateurs.

alt
Nouvelles mises à jour pour les ordinateurs
Cliquez sur l’image pour l’agrandir

Connexion sur commande

Le WSUS est un outil puissant qui facilite considérablement la gestion des correctifs. Ce qui est ennuyeux, c’est que c’est aux clients de décider quand ils se connectent au WSUS. On peut certes forcer une connexion au WSUS du côté client avec wuauclt.exe /detectnow, mais il faudrait le saisir à nouveau pour chaque client. Il manque un outil central du côté du serveur. Une solution possible est PsExec, qui peut exécuter des programmes sur les clients. Si l’on indique ici \* comme joker, la commande et donc wuauclt.exe /detectnow est valable pour l’ensemble du domaine. PsExec fait également partie des PSTools gratuits.

Liens supplémentaires

  • Téléchargement du WSUS via l’archive logicielle WinTotal
  • Page de téléchargement avec des outils pour le WSUS
  • Instructions étape par étape pour le WSUS de Microsoft sous forme de document Word
  • WSUS.info
  • WSUS.de
  • Page d’accueil WSUS sur TechNet (DE)
  • Déploiement de Microsoft Windows Server Update Services
  • Deploying Microsoft Windows Server Update Services (DOC, anglais)

Articles similaires