Partie 6 – Installation et configuration de Software Update Services (SUS)
Dans le cadre de la gestion des correctifs, Microsoft a développé les Software Update Services, qui peuvent être téléchargés gratuitement sur Internet. Le sens et le but de SUS est d’exploiter un serveur de mise à jour local qui charge de manière centralisée les mises à jour mises à disposition par Microsoft depuis Internet et les distribue aux clients présents sur le réseau local. Il s’appelle désormais Windows Server Update Services (WSUS).
En tant qu’administrateur, on obtient ainsi un contrôle total sur le moment où quels clients installent (ou doivent installer) quelles mises à jour, car la distribution se fait via une stratégie de groupe.
Mais procédons par ordre :
Tout commence toujours par le téléchargement. Le logiciel SUS peut être téléchargé sur http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx. La procédure décrite dans l’article s’adresse exclusivement aux utilisateurs DSL disposant d’un forfait – les 33 Mo d’installation pour le serveur SUS en soi seraient encore acceptables avec le RNIS, mais les > 2 Go de correctifs que le serveur SUS télécharge ensuite ne le sont plus.
La condition préalable à l’installation est (selon les indications officielles de Microsoft) un serveur Windows 2000 ou Windows 2003 avec IIS (Internet Information Server) installé.
Avec quelques astuces, il est toutefois possible d’installer et d’utiliser le serveur SUS sur un ordinateur portable sous XP, afin d’avoir toujours avec soi tous les correctifs actuels et de pouvoir mettre rapidement de l’ordre sur le réseau de ses amis par exemple.
Cela fera l’objet d’un article séparé, car cela dépasserait le cadre de cet article.
Revenons-en au sujet :
Après le téléchargement vient l’installation – comme IIS est la condition de base pour le serveur SUS, nous devons d’abord le réinstaller. Il faut donc insérer le CD Windows 2003 Server et installer IIS via Démarrer => Panneau de configuration => Ajout/Suppression de composants => Serveur d’applications => Détails.
 |
|
Installer IIS |
Après l’installation d’IIS, nous vérifions qu’il s’exécute correctement. Pour cela, il suffit d’ouvrir le navigateur et de taper http://localhost dans la ligne d’adresse. Cela devrait alors ressembler à ceci :
 |
|
IIS correctement installé |
Nous pouvons maintenant commencer l’installation du serveur SUS. Il suffit de double-cliquer sur le fichier exe pour extraire le paquet et démarrer l’installation.
 |
|
Installer SUS |
Dans la boîte de dialogue d’installation, veuillez sélectionner « Typical » et cliquer sur NEXT, le reste se fait tout seul, le serveur SUS est installé sur le lecteur C : dans le répertoire SUS et y enregistre également les mises à jour, l’interface d’administration sous /wwwroot.
Si vous souhaitez saisir d’autres valeurs, vous pouvez le faire en sélectionnant « Custom » pendant l’installation. Ceci est recommandé, par exemple, si vous avez pensé que le lecteur C : ne serait qu’une partition système et que vos données se trouvent par exemple sur le lecteur D :.
La fin de l’installation est indiquée par cette boîte de dialogue, qui vous indique également sous quel nom votre serveur de mise à jour sera accessible plus tard.
 |
|
Installer SUS |
Après avoir cliqué sur « Finish », l’interface d’administration du serveur SUS démarre automatiquement :
 |
|
Interface d’administration du serveur SUS |
Cliquez maintenant sur « Set Options » pour configurer le serveur pour votre réseau. Le dialogue est assez long, c’est pourquoi deux images montrent à quoi cela pourrait/devrait ressembler :
 |
|
Interface d’administration du serveur SUS |
 |
|
Interface d’administration du serveur SUS |
Les paramètres en détail :
- Sélectionnez une configuration de serveur proxy :
Si vous utilisez un serveur proxy pour l’accès à Internet, veuillez le saisir ici (avec authentification le cas échéant). - Specify the name your clients use to locate this update server :
Indiquez ici le nom que les clients du réseau utiliseront pour trouver le serveur. En principe, vous n’avez rien à modifier ici, le nom NetBIOS du serveur y figure déjà. - Sélectionner quel serveur pour synchroniser le contenu depuis :
Vous définissez ici si les mises à jour doivent être effectuées directement depuis les serveurs Microsoft ou depuis un autre serveur SUS déjà présent sur le réseau local. Vous réglez ici « directly from Microsoft » – il n’y a pas d’autre serveur SUS dans notre réseau local. - Sélectionnez la manière dont vous souhaitez gérer les nouvelles versions des mises à jour précédemment approuvées :
Microsoft met à disposition pour le téléchargement des versions corrigées de correctifs déjà publiés – ici, vous pouvez définir si ces versions doivent être installées automatiquement ou si vous souhaitez les valider manuellement. Le partage automatique (« automatically approve ») est recommandé. - Sélectionner où vous souhaitez stocker les mises à jour :
Il est possible de définir ici si le serveur SUS télécharge lui-même les mises à jour une fois et les enregistre localement ou si les accès des clients doivent se faire directement sur les serveurs MS. Cette dernière option génère un trafic de données inutile, car chaque client télécharge directement depuis Microsoft.
En outre, il est possible de définir ici les versions linguistiques des mises à jour à télécharger – comme je pars du principe que les systèmes sont allemands, il suffit de cocher la case « German » (le framework .NET, par exemple, sera téléchargé dans toutes les langues, indépendamment de ce paramètre).
Pour terminer la configuration, nous cliquons en bas à droite sur « Apply » afin de sauvegarder les réglages effectués.
Maintenant que le serveur est configuré, nous pouvons commencer le premier téléchargement. Comme nous l’avons déjà mentionné au début, cela représente actuellement > 2 Go, cela pourrait donc durer un certain temps. Pour cela, nous cliquons sur « Synchronize Server » :
 |
|
Interface d’administration du serveur SUS |
« Synchronize Now » démarre un processus de synchronisation immédiat avec Microsoft, « Synchronization Schedule » permet de planifier la synchronisation. Nous établissons tout d’abord un planning pour savoir quand notre serveur SUS doit télécharger les mises à jour depuis le réseau. Comme Microsoft a un « Patchday » par mois, à savoir toujours le deuxième mardi du mois, nous choisissons « Weekly » et « Wednesday ».
 |
|
Définir le calendrier |
Comme notre serveur fonctionne 24 heures sur 24 et que nous ne voulons pas encombrer notre ligne Internet avec le téléchargement des mises à jour, 3 heures du matin est une bonne heure pour ces téléchargements. Le réglage de trois nouvelles tentatives en cas d’erreurs de synchronisation devrait également rester en l’état.
Pour synchroniser immédiatement le serveur, nous cliquons maintenant sur « Synchronize Now » et attendons que le serveur ait téléchargé toutes les mises à jour.
 |
|
Synchroniser avec le serveur Microsoft |
Une fois que toutes les mises à jour ont été téléchargées, le serveur SUS affiche un message correspondant :
 |
|
Message final après le processus de synchronisation |
Après avoir cliqué sur OK, nous arrivons sur la page « Approve Updates » ; nous pouvons maintenant décider quelles mises à jour seront approuvées pour l’installation (approved).
 |
|
Approve Updates (approuver les mises à jour) |
Dans notre cas, nous devrions d’abord marquer toutes les mises à jour existantes. Vu la masse de mises à jour disponibles après la première synchronisation, il serait inutile de cliquer sur chaque mise à jour individuellement, nous nous aidons donc d’un petit outil : Autoapproveupdates.vbs
La configuration du script est auto-explicative, l’appel du script se fait par la ligne de commande (j’ai placé le script dans le répertoire C:SUSAutoApprove) :
 |
|
Approve via un script |
 |
|
Approve via un script |
Après l’exécution du script, la page « Approve Updates » de notre serveur SUS se présente alors à peu près comme ceci :
 |
|
Mises à jour toutes approved |
Toutes les mises à jour sont ainsi approuvées, nous nous occupons maintenant de faire en sorte que les clients du réseau téléchargent également ces mises à jour depuis notre serveur SUS. Pour cela, nous utilisons la fonctionnalité de stratégie de groupe qui est à notre disposition sous la forme du modèle wuau.adm.
Pour cela, nous ouvrons la GPMC et créons un nouveau GPO avec le nom SUSUpdates, que nous chargeons dans l’éditeur GPO par un clic droit => Modifier.
 |
|
Éditer le GPO |
Nous naviguons maintenant dans l’arborescence de gauche vers Configuration ordinateur => Modèles d’administration => Composants Windows => Windows Update et double-cliquons sur l’entrée supérieure « Configurer les mises à jour automatiques ». Les possibilités de configuration sont expliquées dans l’onglet « Explication », je vais donc en faire l’économie ici.
Ma configuration préférée est visible sur la capture d’écran :
 |
|
Paramètres de la stratégie de groupe |
Après avoir cliqué sur « Appliquer » et « Paramètre suivant », nous arrivons au point de configuration suivant, où le nom du serveur SUS à utiliser est défini. Notez que SUS fonctionne soit avec le nom NetBIOS, soit avec l’adresse IP, mais pas avec un FQDN.
 |
|
Paramètres de la stratégie de groupe |
La boîte de dialogue de configuration suivante ressemble à ceci :
 |
|
Paramètres de la stratégie de groupe |
Et la quatrième et dernière boîte de dialogue ressemble à celle-ci :
 |
|
Paramètres de la stratégie de groupe |
Pour celle-ci, il est important de savoir que la désactiver peut entraîner des pertes de données, car un utilisateur qui ne dispose que de droits « utilisateur » sur un ordinateur ne peut PAS empêcher le redémarrage automatique.
Nous terminons la configuration en cliquant sur OK et fermons l’éditeur GPO. Comme la délégation par défaut s’applique actuellement à ce GPO, seuls les utilisateurs, et non les administrateurs de domaine, adopteraient cette politique, ce qui a pour conséquence que le serveur lui-même ne serait pas mis à jour.
Pour changer cela, nous appelons la boîte de dialogue de délégation dans la GPMC :
 |
|
Appliquer GPO pour l’administrateur du domaine |
Un clic sur « Avancé » nous fournit les paramètres permettant de déterminer qui adopte ou non ce GPO, nous cochons ici la case « Appliquer la stratégie de groupe » pour le groupe « Admins du domaine ».
 |
|
Appliquer le GPO pour les administrateurs de domaine |
La configuration pour l’installation automatique des mises à jour est ainsi terminée, les clients et le serveur devraient maintenant charger ces nouveaux paramètres après un redémarrage et installer ensuite les mises à jour.
Le site http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx propose quelques outils intéressants pour la gestion et la surveillance d’un serveur SUS, entre autres pour savoir quel client a chargé et installé quelle mise à jour du serveur SUS et à quel moment, etc.
Comme les exigences du système sont aussi différentes que les souhaits des utilisateurs quant à ce qui doit être surveillé, je renonce ici à présenter tous les outils – cela dépasserait largement le cadre de l’article.
Encore deux conseils pour terminer, tirés des archives de conseils de WinTotal.
- Sauvegarder les fichiers du serveur SUS lors d’une nouvelle installation
- Ne connecter les clients au serveur SUS qu’à court terme