Derniers articles :
Derniers tutoriels :
Sondage :
Publicité
>> Sommaire : >>
>> Auteur : Danoo
Pré-installation WSUS (serveur 2000)
Point 1 : IIS doit être installé
Afin de savoir si IIS est installer aller dans : démarrer/programme/outil d'administration et voyer si « gestionnaire des services internet » est présent sinon, pour l'installer : Panneau de configuration, Ajout/Suppression de programmes, Ajouter/Supprimer des composants Windows, Cocher Internet Information Services (IIS)
Point 2 : pour les serveurs qui exécutent Windows 2000 Server, au moins un site Web doit figurer dans IIS avant l'installation de WSUS
Point 3 : installation des composants préalables
Cliquer pour agrandir
-----
Étape 1 : téléchargez et décompressez l'archive MSDE
Vous devez télécharger et décompresser l'archive MSDE dans un dossier de votre futur serveur WSUS:
http://www.microsoft.com/downloads/detai...layLang=en
-----
Étape 2 : installez MSDE
Démarrer, exécuter, cmd, allé dans le répertoire où se situe le dossier décompresser de msde et taper :
Setup sapwd="%password% instancename=WSUS
Lorsque l'installation de MSDE est terminée, pensez à vérifier que l'instance WSUS s'exécute en tant que service NT.
-----
Étape 3 : vérifiez que l'instance WSUS de MSDE est installée
Démarrer, Exécuter, services.msc et vérifiez que le service MSSQL$WSUS existe.
-----
Étape 4 : Démarrez l'instance de MSDE.
Démarrer l'instance WSUS
-----
Étape 5 : mettez à jour MSDE
Télécharger et installer la mise à jour de sécurité décrite dans le bulletin
MS03-031 : Mise à jour de sécurité cumulée pour SQL Server.
Pour installer Windows Server Update Services, il faut respecter les quantités d'espace disque minimales suivantes :
1 gigaoctet (Go) sur la partition système
2 Go pour le volume où seront stockés les fichiers de base de données
6 Go, selon l'estimation quantitative du contenu
-----
Problèmes rencontrés :
ASP.NET ne fonctionne pas avec le compte ASPNET par défaut sur un contrôleur de domaine
Server Application Unavailable
The web application you are attempting to access on this web server is currently unavailable.
Please hit the "Refresh" button in your web browser to retry your request.
Furthermore, the following event is logged in the system application event log:
aspnet_wp.exe could not be launched because the username and/or password supplied in the processModel section of the config file are invalid.
aspnet_wp.exe could not be started.
HRESULT for the failure: 80004005
This applies to Internet Information Services (IIS) version 5.0 or later.
Lors du redémarrage du serveur, le message suivant apparait : Un ou plusieurs services n'ont pas pu démarrer. Pour résoudre cela, aller dans services.msc et redémarrer le service asp.net. Normalement une erreur apparait. Impossible de démarrer en compte local.
Pour éviter de problème, créez un compte utilisateur nommé ASPUSER sur l'ordinateur, puis ajoutez ce compte au groupe Utilisateurs. Attribuez au compte ASPUSER le droit d'utilisateur Ouvrir une session en tant que tâche. Assurez-vous que cette modification apparaît dans les paramètres de Stratégie de sécurité locale. (Panneau de configuration/Outils d'administration : Stratégie de sécurité du contrôleur de domaine, Stratégie de sécurité du domaine, Stratégie de sécurité locale)
Redémarrer le serveur pour que ces modifications soient prises en compte.
Assurez-vous que le compte ASPUSER est autorisé à accéder à tous les répertoires et fichiers nécessaires pour démarrer le processus Aspnet_wp.exe et pour servir les pages ASP.NET. Pour plus d'informations sur les autorisations à attribuer à ce compte, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Ouvrez le fichier Machine.config. Dans la section <processModel> du fichier Machine.config, remplacez les attributs userName et password par le nom et le mot de passe du compte que vous avez créé. Aller dans services.msc et configurer le service asp.net pour que ce soit le nouvel utilisateur qui l'exécute.
Redémarrer.
NB : http://support.microsoft.com/kb/315158/fr
-----
Installation et configuration du serveur WSUS avec Windows 2000 serveur
EVITER D'INSTALLER WSUS SUR UN CONTROLEUR DE DOMAINE : PROBLEME D'AUTENTIFICATION.
(Sans contrôleur de domaine : 1 semaine, sur contrôleur : 1 mois)
Recommandation Microsoft pour 500 clients ou moins
1. Détails des options lors de l'installation d'un serveur WSUS
Au début de l'installation, vous pouvez choisir le répertoire d'installation des mises à jour WSUS.Vérifiez que la case Stocker les mises à jour localement soit cochée si vous n'avez pas de serveur SQL 2000, ou bientôt, SQL Server 2005. Notez aussi que le répertoire par défaut est C:\WSUS\
Cliquer pour agrandir
Base de données de WSUS
À ce moment de l'installation, vous pouvez choisir la base de donnée qui correspond le mieux à vos besoins: WMSDE, MSDE ou un autre serveur de base de donnée (SQL Server 2000 SP3 minimum).Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE): uniquement disponible pour Windows 2003 server, pas d'interface graphique, l'utilisateur ne peut que l'utiliser pour les besoins de WSUS Microsoft SQL Server 2000 Desktop Engine (MSDE): installez MSDE si vous souhaitez installer WSUS sur un serveur Windows 2000, il est identique à WMSDE mais sans les limitations pour la taille de la base ou le nombre de connexion. Son téléchargement est disponible sur le site de Microsoft. Microsoft SQL Server 2000: (le service pack 3a est obligatoire). C'est le serveur de base de donnée le plus complet proposé par Microsoft. Si vous choisissez d'utiliser ce serveur de base de données avec WSUS, les paramètres de configuration peuvent être personnalisés (nested triggers, recursive triggers...)
Cliquer pour agrandir
Sélection du site WEB:Si sous avez déjà installé IIS pour un autre service Web, l'assistant d'installation vous donne le choix pour le site de WSUS: le site par défaut port 80 ou alors la création d'un site Microsoft Windows Server Update Service accessible par le port 8530: ce numéro de port n'est pas paramétrable. Notez ici les adresses utiles pour accéder à votre site Web WSUS:http://Nom_Serveur/WSUSAdmin : l'adresse d'accès à la console d'administration de votre serveur WSUS, depuis votre navigateur Web (Microsoft IE 6 voir bientôt 7... ;). http://Nom_Serveur : utilisé pour l'accès depuis les clients BITS (Windows 2000, XP, 2003)
Cliquer pour agrandir
Paramètre de mise à jour sur un serveur miroir 2 cas sont possibles:- Téléchargement depuis Microsoft update- Installation d'un serveur aval depuis un serveur amont WSUS.
Cliquer pour agrandir
La page suivante récapitule et informe sur les sites utiles: Site Web d'administration: http://votreServeur/wsusadmin et Site Web de mise à jour automatique du client http://votreServeur/selfupdate
Cliquer pour agrandir
Le programme d'installation lance l'installation des services (ASP .net v1.1, WMSDE puis WSUS). Cliquez sur le bouton Terminer et commencez à découvrir l'interface en cliquant sur les différents menus (les icônes en haut à droite) ...
Cliquer pour agrandir
À noter: Dès le début, une tâche vous demande de mettre en place des communications Secure Socket Layer (SSL) Si la page renvoie un message d'erreur, allé voir les problèmes rencontrés.
Cliquer pour agrandir
2. Configuration de la synchronisation et de l'approbation
2.1. Configuration du Service: Site Web d'administration
2.1.1. Option de synchronisation
Planification
Après la première synchronisation, vous vous rendrez compte que les synchronisations manuelles vous obligent à faire une maintenance régulière de votre serveur, en demandant les synchronisations de votre propre chef. C'est pourquoi WSUS vous donne la possibilité de réaliser vos synchronisations automatiquement, tous les jours, à une heure que vous pouvez définir en fonction de la disponibilité de votre connexion à Internet (plutôt le soir pour ne pas encombrer votre bande passante inutilement), par exemple :
Cliquer pour agrandir
La planification est une étape incontournable de la configuration de base de votre serveur WSUS.
Produit et classification:
Si vous avez déjà mis en place un serveur SUS, vous avez du vous rendre compte que vous étiez obligé de télécharger les mises à jour de l'ensemble de la famille Windows même si votre entreprise ne comprenait que des postes de travail sous Windows XP. De plus, il vous était impossible de déployer les mises à jour pour Microsoft Office ou alors celles de Microsoft Exchange Server...
C'est pourquoi Microsoft a revu son serveur de mises à jour interne pour les entreprises, afin de permettre aux administrateurs de celles-ci de sélectionner les produits pour lesquels ils souhaitent télécharger les mises à jour. Avant la première synchronisation, la liste des mises à jour est simplement composée des mises à jour des plateformes Windows (2000, XP, 2003 Server). Suite à la première synchronisation, la liste des produits est étoffée (Exchange, SQL, Office...).
En outre, WSUS vous donne la possibilité de sélectionner le type de mise à jour (Feature Pack, Mise à jour critique, Mise à jour de la sécurité, Mise à jour, Outils, Pilotes, Service Pack). Ainsi, vous avez la possibilité de réduire la taille de la base de donnée de mises à jour, si vous pensez ne pas avoir besoin des mises à jour de vos pilotes matériels...
Cliquer pour agrandir
Cliquer pour agrandir
Serveur Proxy
Si vous utilisez un serveur Proxy entre votre serveur WSUS et sa source de mises à jour (Windows Update ou un serveur WSUS amont), comme ISA Server par exemple, vous aurez besoin de configurer les paramètres de serveur Proxy sur votre serveur WSUS. Vous devrez indiquez le nom du serveur, le port que vous utilisez ainsi que les informations d'identification de l'utilisateur que vous utiliserez pour vous connectez au Proxy, si nécessaire.
Cliquer pour agrandir
En outre, si vous utilisez un pare-feu entre votre réseau local et Internet, vous devrez rajouter les règles suivantes. Autrement, la synchronisation vers les serveurs de Windows Update sera difficile.
Autoriser le trafic sur les ports 80 et 443 entre votre serveur WSUS et Internet. Ces ports sont utilisés par WSUS pour se mettre à jour sur les serveurs de Windows Update.
Si la politique de votre entreprise ne vous permet pas de laisser tout le trafic sur ces ports car le risque serait trop grand, vous devrez alors le restreindre à ces sites:
Cliquer pour agrandir
Source de la mise à jour
Lors de l'installation, vous avez dû indiquer votre source de mise à jour. Mais, si pour une raison ou pour une autre vous avez besoin de changer cette source de mise à jour (par exemple: serveur en amont qui serait tombé ou alors l'installation d'un nouveau serveur en amont...), il est possible à tout moment de modifier les informations que vous avez spécifiées lors de l'installation
Cliquer pour agrandir
Fichiers et langue des mises à jour
Dans la section Fichiers et Langue des mises à jour, vous pouvez choisir de stocker les fichiers de mise à jour localement sur le serveur. Mais aussi, vous serez à même de choisir la façon dont vous allez télécharger les mises à jour. Deux options s'offrent à vous: télécharger les mises à jour après les avoir approuvées ou alors télécharger les fichiers d'installation rapide. En général, les mises à jour consistent en de nouvelles versions de fichier qui existe déjà. Si vous avez choisi l'option Télécharger les fichiers d'installation rapide, alors votre serveur WSUS va simplement télécharger les différences entre le fichier d'origine et le patch associé (au niveau binaire). Cela vous permettra de limiter la consommation de bande passante sur votre réseau local (mais aux dépens de votre connexion à Internet). Ce choix peux se justifier si vous avez choisi de planifier vos synchronisation à des heures où personnes n'est présent dans vos locaux (la nuit, par exemple), ou alors si vous avez besoin de faire de l'exportation de votre base de donnée...
En outre, WSUS ne vous obligera pas de télécharger les mises à jour pour l'ensemble des langues disponibles. En effet, une entreprise française a un parc informatique composé essentiellement de machines équipées de systèmes d'exploitation en français et n'a nulle besoin de télécharger les mises à jour en coréen ou en hébreu. Ainsi, WSUS vous permet de Télécharger que les mises à jour correspondant à vos paramètres régionaux, ou alors Télécharger les mises à jour dans toutes les langues, y compris les nouvelles. En fonction de la diversité linguistique de votre parc informatique, vous pouvez déterminer les langues que vous souhaitez télécharger afin de répondre au mieux à vos besoins en choisissant vos langues (Anglais, Français, ...) si vous avez coché l'option Télécharger uniquement les mises à jour dans des langues sélectionnées.
2.1.2. Option d'approbation automatique
Mises à jour
Lors de la synchronisation, le serveur WSUS va télécharger la liste des mises à jour disponible. Ses mises à jour ont deux caractéristiques : Approuver la détection et Approuver l'installation. L'approbation de la détection permet de spécifier au serveur WSUS, que telle ou telles mises à jour doivent être présentes sur tel ou tels groupes. Pour cela, vous pouvez spécifier les types de mises à jour que vous voulez automatiquement approuver pour le ou les groupes d'ordinateurs que vous pouvez spécifier. Par défaut, les mises à jour critiques et de sécurité sont approuvées automatiquement pour tous les ordinateurs.
Ensuite, vous devrez approuver leur installation. En effet, sinon, votre serveur WSUS ne téléchargera pas les mises à jour et ne pourra donc pas les déployer! Veillez donc à côcher la case "Approuver automatiquement les mise à jour à installer d'après la règle suivante". Ainsi, toutes les mises à jour critiques et de sécurité seront approuvées et téléchargées (donc déployées) vers toutes les machines de votre réseau. Si vous n'avez pas coché cette case avant de faire votre première synchronisation, vous devrez alors lancer manuellement le téléchargement de toutes les mises à jour que vous avez approuvées.
De plus vous avez le choix d'ajouter des Classifications ou de modifier la liste des Groupes d'ordinateurs, vous êtes libre d'adapter les approbations automatiques en fonction de la politique de sécurité de votre entreprise (vous pouvez par exemple y ajouter les services packs et exclure le groupe de vos serveurs...)
Cliquer pour agrandir
Révision des mises à jour
Cette option permet de configurer votre serveur WSUS pour que les révisions des mises à jour:
- Soit approuvé automatiquement
- Soit approuvé manuellement et donc continuer à utiliser la version précédente de la mise à jour.
Cliquer pour agrandir
Par défaut, la règle est d'Approuvé automatiquement la dernière révision de la mise à jour car ces mises à jours sont généralement publiées suite à des failles qui se sont révélées après leurs sorties. Il est préférable de conserver cette option par défaut mais si votre politique de sécurité est contre cette solution, sachez que vous pouvez modifier cette option en choisissant de Continuer à utiliser la révision précédente et approuver manuellement la nouvelle révision de la mise à jour.
Mise à jour de Windows Server Update Service
Le serveur WSUS peut lui même être soumis à des mises à jour. Par défaut celle-ci sont approuvée et Microsoft vous conseille de garder cette option par défaut afin que toutes les futures mises à jour soient correctement détectées par les ordinateurs clientes de ses services.
Cliquer pour agrandir
2.2. Synchronisation: téléchargement et installation des mises à jour
Le serveur WSUS utilise le port 80 et le port 443 pour obtenir les mises à jour depuis le site de Microsoft par contre, on ne peut pas le configurer. Si vous avez un pare-feu entre votre réseau et Internet, souvenez vous qu'il faut y placer des règles pour laisser passer le trafic sur le port 80 (HTTP) et/ou 443 (HTTPS).
Par contre, vous pouvez toujours configurer vos autres serveurs WSUS pour qu'ils se synchronisent sur le premier que vous avez configuré. Vous pourrez alors profiter de la bande passante de votre réseau local. Selon les options que vous avez choisies lors de l'installation, les ports 80 ou 8530 seront sollicités pour la connexion chaînée de vos serveurs WSUS. Prenez garde à utiliser les adresses du type http://NomServeur:8350/..., si vous avez choisi d'utiliser ce port.
Dans le cas où vous synchronisez votre serveur WSUS depuis un autre serveur WSUS de votre réseau, seules les mises à jour et les métadonnées seront partagées (ni les informations sur les groupes de machines, ni les informations sur les approbations des mises à jour le seront)
Cliquer pour agrandir
À partir du menu Mises à jour, vous pouvez gérer l'ensemble des correctifs mis à disposition par Microsoft. C'est ici que vous serez capable de gérer les approbations de chaque mise à jour, individuellement. Trois états d'approbation peuvent être associés à une mise à jour: Installer, Détecter uniquement ou alors Non approuvée. De plus vous pouvez Refuser les mises à jour, ce qui entraînera un effacement de la base de données des événements signalés par les ordinateurs concernés par cette mise à jour.
Dans la partie Vue à gauche, vous avez un petit moteur de recherche qui vous permettra de trouver les mises à jour en fonction de quatre critères que vous pouvez définir (Produit et classification, Approbation, Synchronisé, Contenant le texte). Ainsi vous pourrez avoir des Détails sur les mises à jours que vous avez recherchées (une description et des détails d'information, l'État de déploiement sur vos groupes d'ordinateurs...) et un rapport peut être imprimé si vous cliquez sur Imprimer le rapport d'état.
2.3. Exporter, importer des mises à jour
Il y a trois étapes à remplir pour pouvoir exporter et importer des mises à jour. Premièrement vous devez vous assurez que les options de synchronisation avancée concorde entre le serveur WSUS source et celui de destination (le téléchargement des fichiers d'installation rapide est alors indispensable). Ensuite, copiez les mises à jour depuis le système de fichier du serveur source vers le système de fichier du serveur de destination. Enfin, exporter les métadonnées des mises à jour depuis la base de données sur le serveur source pour les importer sur la base de données du serveur de destination.
2.3.1. Vérifier les options de synchronisation avancées
Afin de remplir la première étape, vérifiez la configuration de vos options avancée, pour cela:
En premier lieu, ouvrez la console WSUS du serveur d'export (http://votreServeur/wsusadmin ), cliquez sur l'onglet Options puis sur la section Options de Synchronisation. Ensuite, cliquez sur avancée dans la section Fichiers et langue des mises à jour.
Alors dans la boite de dialogue Paramètre de Synchronisation Avancée, côchez la case télécharger les fichiers d'installation rapide et vérifier la configuration de la partie Langues.
En second lieu, ouvrez la console WSUS du serveur d'import (http://votreServeur/wsusadmin ), cliquez sur l'onglet Option puis sur la section Option de Synchronisation et cliquez sur avancée dans la section fichiers et langue des mises à jour.
Dans la boite de dialogue Paramètre de Synchronisation Avancée, vérifier que les configurations concorde.
2.3.2. La migration des mises à jour
La deuxième étape consistera donc en la migration proprement dites des fichiers de téléchargement rapide. La méthode à suivre est alors la suivante:
À noter: la configuration de base des Access Control List ne sont pas le même sur Windows Serveur 2000 et Windows 2003 Server. Si nous copions des données d'un serveur sous Windows 2000 vers un serveur sous Windows Server 2003, il faut ajouter manuellement le groupe SERVICE RÉSEAU de façon à ce que le groupe puisse accéder au dossier ou seront stocker les données.
Pour exporter les fichiers depuis le système de fichier du serveur d'export:
Cliquez sur le bouton Démarrer puis sur Exécuter
Alors dans la boite de dialogue Exécuter, tapez ntbackup. L'assistant de sauvegarde ou de Restauration se lance par défaut, s'il n'a pas été désactivé. Vous pouvez soit utiliser cet assistant ou alors travailler en mode avancé (ce que nous allons faire).
Cliquez sur l'onglet Sauvegarde, puis sélectionnez le dossier où sont stockés les fichiers que vous souhaitez exporter. Par défaut, ceux-ci sont situés sur lecteurd'installationWSUS:\WSUS\WSUSContent\.
Dans la partie Nom de fichier ou lecteur de sauvegarde, tapez le chemin puis le nom de votre fichier de sauvegarde (.bkt) ou utilisez le bouton Parcourir.
Cliquez alors sur le bouton Démarrer et une boite de dialogue Informations sur la sauvegarde s'ouvre.
Cliquez sur Avancé puis dans la partie Type de sauvegarde choisissez Incrémentiel.
Dans la boite de dialogue Informations sur la sauvegarde cliquez sur Démarrer la sauvegarde pour commencer le processus de sauvegarde.
Une fois la sauvegarde terminée, déplacez le fichier que vous venez de créer vers le serveur sur lequel vous souhaitez importer les mises à jour.
Pour restaurer les fichiers de mises à jour vers le serveur d'import:
Cliquez sur le bouton Démarrer puis sur Exécuter
Alors dans la boite de dialogue Exécuter, tapez ntbackup. L'assistant de sauvegarde ou de Restauration se lance par défaut, s'il n'a pas été désactivé. Vous pouvez soit utiliser cet assistant ou alors travailler en mode avancé.
Cliquez sur l'onglet Restaurer et gérer le média, sélectionner alors le fichier de sauvegarde que vous avez créé sur le serveur d'export. Si le fichier n'apparaît pas, faite un clic droit sur fichier puis cliquez sur fichier catalogue pour ajouter le chemin vers le fichier.
Dans Remplacer les fichiers vers, choisissez Autre emplacement. Alors, spécifier le répertoire vers lequel vous voulez restaurer les fichiers (lecteurd'installationWSUS:\WSUS\WSUSContent\)
Cliquez alors sur Démarrer. Quand la boite de dialogue Confirmation de restauration apparaît, cliquez sur OK pour commencer la restauration.
2.3.3. L'exportation et l'importation des métadonnées
L'étape finale consiste à migrer les fichiers métadonnées vers le serveur d'import. Durant l'installation de WSUS, le programme a copié l'utilitaire WSUSutil.exe, par défaut dans le dossier C:\Program Files\Update Services\Tools. Vous devez être membre du groupe administrateur local sur le serveur WSUS pour exporter ou importer des fichiers métadonnées. Ces deux opérations doivent ce faire sur le serveur WSUS directement. Par contre, n'importer jamais des fichiers métadonnées depuis un serveur que vous n'approuvez pas car la sécurité de votre serveur WSUS est en jeu.
Pour exporter des mises à jour depuis la base de données du serveur d'export:
Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre variable d'environnement PATH, si ce n'est pas déjà fait.
Cliquez sur le bouton Démarrer puis sur Exécuter
Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cab fichier.log
Déplacer ainsi les fichiers que vous venez de créer et qui se situe dans le répertoire C:\Documents and Setting\%USERNAME%\ sur le serveur qui est prêt à recevoir les fichiers de mise à jour
Pour importer les fichiers métadonnées vers la base de données du serveur d'import:
Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre variable d'environnement PATH
Cliquez sur le bouton Démarrer puis sur Exécuter
Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cab fichier.log
Enfin, l'export/import des mises à jour est réalisé avec brio. Si vous respectez la manipulation à la règles, vous pourrez résoudre les problèmes lié au téléchargement des fichiers de mise à jour sur un serveur isolé de votre réseau, n'ayant pas de connexion à Internet ou ayant une bande passante faible et utilisée.
3. Gestion des machines clientes
3.1. Configuration des mises à jour automatiques des clients
3.1.1. Avec des Stratégie De Groupe (GPO)
Voici la méthode pour déployer la politique de déploiement des mises à jour sur votre réseau. Comme pré requis, il sera nécessaire d'avoir un domaine Active Directory.
3.1.1.1. Configuration de l'ordinateur qui configure les stratégies de groupe
Avant d'entamer la création de GPO (Group Policy Object), pour la configuration de la mise à jour automatique des clients, vous devez vous assurer que vous possédez le dernier modèle d'administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS se nomme Wuau.adm et il est situé dans le dossier %systemroot%\Inf. Il est disponible dans le Service Pack 2 de Microsoft Windows XP.
Procédure pour importer le modèle d'administration Wuau.adm, si votre ordinateur ne possède pas la dernière version:
Dans l'éditeur de Stratégie de groupe, cliquez sur le nœud Modèle d'administration.
Dans le menu Action, cliquez sur Ajout/Suppression de modèles...
Dans la fenêtre "Ajout/Suppression de modèle", cliquez sur Ajouter...
Dans la fenêtre de "Sélection de modèle", sélectionnez Wuau.adm et cliquez sur Ouvrir...
Fermer la fenêtre "Ajout/Suppression de modèle".
3.1.1.2. Spécifier au client un serveur WSUS
Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients utiliseront le service WSUS disponible sur votre réseau pour la mise à jour automatique mais les utilisateurs pourront toujours mettre à jour manuellement leur ordinateur via Microsoft Windows Update. Pour empêcher les utilisateurs d'utiliser Microsoft Windows Update, il faudra activer une autre stratégie de groupe (voir chapitre 3.1.1.3, stratégie Supprimer l'accès à l'utilisation de toute les fonctionnalités de Windows Update)
Procédure pour activer l'utilisation de votre serveur WSUS par les ordinateurs clients pour la mise à jour automatique:
Dans l'éditeur de Stratégie de groupe, déployez les nœuds Configuration ordinateur, Modèle d'administration, Composants Windows, Windows Update.
Dans le panel de droite, modifiez la stratégie suivante: "Spécifier l'emplacement intranet du service de Mise à jour Microsoft"
Activez la stratégie dans la fenêtre Propriétés de la stratégie
Renseignez l'adresse DNS du serveur qui héberge le service WSUS dans les champs "Configurer le service intranet de Mise à jour pour la détection des mises à jour" et "Configurer le serveur intranet de statistiques" (Exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/)
Activez la stratégie Configuration des mises à jour automatiques pour activer le service de Mise à jour automatique des clients et spécifier une politique (voir ci-dessous). Cliquez OK
Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une unité d'organisation, les ordinateurs utiliseront le serveur WSUS pour mettre à jour le système (après actualisation de la stratégie de groupe sur les clients) grâce à la fonctionnalité de mise à jour automatique.
3.1.1.3. Spécifier des options de stratégie de groupe lié à la Mise à jour automatique de Microsoft Windows
Grâce aux différentes options, vous pourrez changer l'interaction entre les clients, leur machine et le serveur WSUS.
Vous trouverez ces options de stratégie de groupe dans le nœud Configuration ordinateur\Modèle d'administration\Composants Windows\Windows Update
3.2. Utilitaire en ligne de commande
3.2.1. Vérification du fonctionnement côté client
Microsoft fournit un outil pour tester le bon fonctionnement du client et de sa configuration. Il permet de tester aussi la connexion avec le serveur WSUS. Cet outil s'appelle "WSUS Client Diagnostic Tools". Il suffira juste de l'exécuter pour voir les différents processus testés et fonctionnels.
3.2.2. Détection manuel du serveur WSUS
Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente, détecter le serveur WSUS manuellement et ainsi pouvoir administrer la machine très rapidement sur la console WSUS (choix d'un groupe, etc.)
Procédure pour détecter manuellement le serveur WSUS sur un ordinateur client:
Cliquez sur Démarrer puis sur Exécuter...
Tapez dans le champ Ouvrir: wuauclt.exe /detectnow
Cliquez sur OK
3.2.3. Mise à zéro des informations clientes
WSUS utilise des cookies pour enregistrer un certain nombre d'information, y compris le groupe WSUS du client. Par défaut, le cookie est supprimé une heure après sa création. Mais si dans ce laps de temps vous changer le groupe WSUS du client, vous risquez d'avoir des comportements inattendus. Pour éviter tout souci, utilisez la procédure suivante.
Procédure pour réinitialiser le cookie de l'ordinateur client:
Cliquez sur Démarrer puis sur Exécuter...
Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow
Cliquez sur OK
3.3. Groupe d'ordinateurs WSUS
3.3.1. Présentation
Par défaut, deux groupes sont présents All Computers et Unassigned Computers. Lorsque vous ajoutez une machine à votre serveur WSUS, celle-ci est membre des deux groupes. Mais vous pouvez aussi enlever votre machine du groupe Unassigned Computers, pour l'assigner à un autre groupe que vous avez créé. Le groupe All Computers vous permettra, quant à lui, de distribuer très facilement une mise à jour (ou plusieurs) à l'ensemble des ordinateurs que vous gérez.
Un avantage des groupes est que vous pouvez réaliser des tests sur un groupe (ex: test_winXP_office2003), qui contient des machines représentative d'un autre groupe (celui-ci pour qui seront destinés les correctifs), afin de vérifier les nouvelles mises à jour. Si les résultats sont concluant, vous pourrez déployer ces mises à jour sur un second groupe répondant aux critères de votre groupe de test (ex: PC_winXP_office2003). De cette façon, vous pourrez facilement gérer le déploiement de vos mises à jour en fonction des profils matériels et logiciels des machines de votre réseau.
Le nombre de groupe n'est pas limité!
3.3.2. Mode d'affectation des ordinateurs
Vous avez la possibilité d'affecter les ordinateurs dans les groupes WSUS:
- soit automatiquement via la stratégie de groupe (stratégie Autoriser le ciblage coté client) ou via les informations de registre (entrées: TargetGroup et TargetGroupEnabled).
- soit manuellement via la console WSUS
Dans les deux cas, il faudra manuellement crée les groupes WSUS via la console WSUS. Si vous devez maitrisez un parc informatique conséquent, vous devez bien entendu utiliser l'affectation de groupe automatique.
Procédure pour configurer l'affectation des ordinateurs:
Dans la console WSUS, cliquez sur Options et sur Options des ordinateurs
Dans la fenêtre Options des ordinateurs, choisissez l'une des options possibles:
Utiliser la tâche Déplacer les ordinateurs dans Windows Server Update Services si vous souhaitez créer les groupes et assigner les ordinateurs via la console WSUS
Utiliser la stratégie du groupe ou les paramètres des Registres des ordinateurs si vous souhaitez créer les groupes via WSUS et assigner les ordinateurs via les stratégies de groupe ou les informations de registre des ordinateurs clients
Sous Tâches, cliquez sur Enregistrer les paramètres et confirmer les modifications
3.3.3. Création des groupes
En mode automatique ou manuel pour l'affectation des ordinateurs, vous devez créer les groupes.
Procédure pour la création des groupes dans la console WSUS:
Dans la console WSUS, cliquez sur Ordinateurs
Sous Tâches, cliquez sur Créer un groupe d'ordinateurs
Cliquez sur OK
Cliquer pour agrandir
3.3.4 Affectation des ordinateurs (affectation manuelle)
Si vous avez choisi l'affectation des ordinateurs manuelle, vous devrez pour chaque ordinateur de votre réseau lui désigner un groupe créé précédemment
Procédure pour affecter un ordinateur à un groupe WSUS manuellement:
Dans la console WSUS, cliquez sur Ordinateurs
Sous Groupes, sélectionnez le groupe où se trouve l'ordinateur que vous souhaitez déplacer
Dans la liste des ordinateurs, sélectionnez l'ordinateur que vous souhaitez déplacer
Sous Tâches, cliquez sur Déplacer l'ordinateur sélectionné
Dans la liste des groupes, sélectionnez le groupe destinataire
Cliquez sur OK
4. Fonctionnalités de surveillance
4.1 Rapports
Avec la console WSUS, vous avez la possibilité de générer un certain nombre de rapport pour surveiller le service WSUS et vous pourrez aussi les imprimer.
4.1.1 Rapport "Etats des mises à jour"
L'état des mises à jour va permettre de voir le statut de chaque mise à jour approuvée et trier par niveau: par mise à jour, par groupe d'ordinateur et par ordinateur comme montré ci-dessous.
Les rapports seront générés à partir des contacts les plus récents avec les ordinateurs clients (contact entre le serveur WSUS et les ordinateurs clients tous les 22 heures par défaut).
Pb rencontrés :
Problème 1 : la base de données wsus est inaccessible
http://www.microsoft.com/technet/prodtec...3ca3a.mspx
Cliquer pour agrandir
Problème 2 : selfupdate
Cliquer pour agrandir
IIS->site web par défaut->propriété de selfupdate-> autoriser le compte aspuser à se connecter en anonyme. (Pour créer aspuser, voir la doc préinstalle wsus).