Comment préparer l’installation de WSUS

1.1. Configuration minimale

  • Recommandation Microsoft pour 500 clients ou moins

Minimum

Recommandé:

CPU 750 MHz 1 GHz
RAM 512 MB 1 GB
Base de donnée WMSDE/MSDE WMSDE/MSDE
Disque dur 32 GB 32 GB

  • Recommandation Microsoft pour 500 à 15,000 clients

Minimum

Recommandé:

CPU 1 GHz 3 GHz biprocesseur
RAM 1 GB 1 GB
Base de donnée SQL Server 2000 avec SP3a SQL Server 2000 avec Service Pack 3a
Disque dur 32 GB 32 GB

1.2. Type de déploiement

  • WSUS simple:

  • Méthode la plus simple: un serveur derrière votre pare feu qui se met à jour directement sur les serveurs de Microsoft Update
  • Les mises à jour sont déployées par le biais du client de mises à jour automatique: il faut leur renseigner l’adresse du site web sur lequel il pourra récupérer les correctifs
  • Création d’un site web par défaut ou alors sur un site personnalisé (port 8530)
  • WSUS chaînés:

  • Deux catégories de serveur: les serveurs amont et aval, un serveur aval se met à jour sur un serveur amont
  • Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela créerai une boucle fermée qui n’est pas supportée par le protocole de communication entre les serveurs.
  • Une authentification peut être demandée, dans un environnement Active Directory, sur le serveur amont sur la base d’une liste définie de serveurs avals.
  • Microsoft recommande de ne pas dépasser un enchaînement de plus de trois serveurs avals bien qu’en théorie aucune limite ne soit imposée par le protocole de communication entre les serveurs. Par contre, aucun test supérieur à un enchaînement de plus de cinq serveurs n’a été réalisé par Microsoft.
  • Réseau déconnecter d’Internet:

  • Si un segment de votre réseau n’est pas connecté à Internet, pour quelle que raison que ce soit, vous pouvez exporter le contenu de votre base de mises à jour, sur un media physique, afin de les importer sur le serveur WSUS isolé.
  • Cette solution peut aussi être envisageable pour les entreprises ayant des liaisons coûteuse ou une bande passante faible vers Internet

1.3. Détails des options lors de l’installation d’un serveur WSUS

Au début de l’installation, vous pouvez choisir le répertoire d’installation des mises à jour WSUS.

Vérifiez que la case Stocker les mises à jour localement soit cochée si vous n’avez pas de serveur SQL 2000, ou bientôt, SQL Server 2005. Notez aussi que le répertoire par défaut est C:\WSUS\

La Base de donnée de WSUS:

À ce moment de l’installation, vous pouvez choisir la base de donnée qui correspond le mieux à vos besoins: WMSDE, MSDE ou un autre serveur de base de donnée (SQL Server 2000 SP3 minimum).

  • Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE)

    : uniquement disponible pour Windows 2003 server, pas d’interface graphique, l’utilisateur ne peut que l’utiliser pour les besoins de WSUS

  • Microsoft SQL Server 2000 Desktop Engine (MSDE): installez MSDE si vous souhaitez installer WSUS sur un serveur Windows 2000, il est identique à WMSDE mais sans les limitations pour la taille de la base ou le nombre de connexion. Son téléchargement est disponible sur le site de Microsoft.

  • Microsoft SQL Server 2000: (le service pack 3a est obligatoire). C’est le serveur de base de donnée le plus complet proposé par Microsoft. Si vous choisissez d’utiliser ce serveur de base de données avec WSUS, les paramètres de configuration peuvent être personnalisés (nested triggers, recursive triggers…)

Sélection du site WEB:

Si sous avez déjà installé IIS pour un autre service Web, l’assistant d’installation vous donne le choix pour le site de WSUS:

  •  le site par défautport 80
  • ou alors la création d’un site Microsoft Windows Server Update Service accessible par le port 8530: ce numéro de port n’est pas paramétrable.

Notez ici les adresses utiles pour accéder à votre site Web WSUS:

  • http://Nom_Serveur/WSUSAdmin : l’adresse d’accès à la console d’administration de votre serveur WSUS, depuis votre navigateur Web (Microsoft IE 6 voir bientôt 7… ;).
  • http://Nom_Serveur : utilisé pour l’accès depuis les clients BITS (Windows 2000, XP, 2003)

Paramètre de mise à jour sur un serveur miroir

2 cas sont possibles:

La page suivante récapitule et informe sur les sites utiles:

Site Web d’administration:

http://votreServeur/wsusadmin

et Site Web de mise à jour automatique du client

http://votreServeur/selfupdate

Le programme d’installation lance l’installation des services (ASP .net v1.1, WMSDE puis WSUS). Cliquez sur le bouton Terminer et commencez à découvrir l’interface en cliquant sur les différents menus (les icônes en haut à droite) …

À noter:Dès le début, une tâche vous demande de mettre en place des communications Secure Socket Layer (SSL)

1.4. Migration d’un serveur SUS vers un serveur WSUS

WSUS est une deuxième génération de serveur de mise à jour pour les infrastructures ayant des plateformes Microsoft Windows (2000, XP, 2003). Par contre, vous ne pouvez pas mettre à jour directement un serveur SUS avec l’assistant d’installation mais Microsoft fournit unsupport en anglais téléchargeable sur son site Web. La démarche à suivre décrite est la suivante:

1.4.1. Les Pré requis logiciels

  • Sur Windows Server 2003:

  • Microsoft Internet Information Service (IIS) 6.0
  • Background Intelligent Transfer Service (BITS) 2.0
  • Microsoft .NET Framework 1.1 Service Pack 1 pour Windows Server 2003, téléchargeable ici.
  • Sur Windows 2000 serveur:

  • Microsoft Internet Information Service (IIS) 5.0
  • Background Intelligent Transfer Service (BITS) 2.0
  • Une base de donnée 100% compatible avec Microsoft SQL; comme MSDE 2000, téléchargeable cliquez ici pour le télécharger.
  • Microsoft .NET Framework Version 1.1 Redistributable Package
  • Microsoft .NET Framework 1.1 Service Pack 1 pour Windows Server 2003, cliquez ici pour le télécharger.

1.4.2. Installation de MSDE 2000 (Windows 2000 Serveur uniquement)

Si vous n’avez pas d’accès aux licences des produits Microsoft SQL Server, Microsoft propose aux entreprises Microsoft SQL Server 2000 Desktop Engine (MSDE), un produit gratuit mis en téléchargement pour les personnes souhaitant avoir un serveur Microsoft gratuit 100% compatible avec Microsoft SQL. Toutes les options de configuration sont désactivées!

L’installation de ce service passe par quatre étapes:

  • Téléchargez et décompressez l’archive MSDE
  • Installez MSDE
  • Vérifiez que l’instance de la base de donnée est active
  • Mettre à jour la sécurité de MSDE

1.4.3. Installation de WSUS

Suivez le pas à pas d’installation par défaut, puis sur la page Option de base de donnée, faite l’un des choix suivants:

  • Sur un serveur Windows 2003 serveur, sélectionnez l’option Installer SQL Desktop Engine (Windows) sur ce serveur.
  • Si vous faite l’installation du serveur WSUS sur un serveur Windows 2000 serveur, sélectionnez l’option Utiliser un serveur de base de donnée existant sur ce serveur. Ensuite, choisissez dans la liste déroulante le nom de l’instance qui correspond, et cliquez sur suivant.

Pour la suite de l’installation, sur la page Sélection du Site Web, choisissez l’option Créer un site Web Microsoft Windows Server Update Services, La console WSUS utilisera un site différent et le port 8530. En effet, vous devez spécifier cette option car le site de SUS est, quand à lui, toujours actifs sur le site par défaut. En ce qui concerne les étapes suivantes, référez vous au pas à pas.

Une fois l’installation terminée, vous devrez configurer WSUS afin que le serveur ait la même configuration que celle de votre serveur SUS: les langues des téléchargements et autres options que vous avez configurez. Avant de passer à la prochaine étape, vous devrezsynchroniser le serveur. Pour plus de détails sur la configuration et la synchronisation de WSUS, je vous invite à vous reporter au chapitre suivant.

1.4.4. Migration du contenu du serveur SUS vers le serveur WSUS

Pour cela, nous allons utiliser l’outil wsusutil.exe que le programme d’installation a installé lors de l’étape précédente, pour cela:

  • Ajoutez le chemin C:\Program Files\WSUS\Update Services\Tools dans votre variable d’environnement PATH
  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe migratesus /content c:\sus\content\cabs /approvals NomServeurSUS /log NomFichier.log

Il vous sera ensuite nécessaire de configurer les approbations sur les mises à jour que vous venez de migrer en fonction des groupes. Nous développerons ce sujet dans la suite de notre article.

1.4.5. Enlever les fonctions de SUS et activer WSUS vers le port 80.

Pour supprimer le site Web de SUS:

  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez inetmgr puis OK
  • Dans la console d’administration de IIS, cliquez avec le bouton droit sur le site Web de SUS et cliquez sur Arrêter

Pour migrer le site Web de WSUS sur le port 80:

  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez inetmgr puis OK
  • Dans la console d’administration de IIS, cliquez avec le bouton droit sur le site Web de WSUS et cliquez sur Propriétés
  • Dans la boite dialogue qui s’ouvre, changer la valeur du champ TCP de 8350 pour celle de 80

Afin de parfaire cette migration de votre serveur SUS en serveur WSUS, vous devrez changer le raccourci vers la console Web de configuration de WSUS dans le menu démarrer en effet, le port ayant changé, le raccourcit ne pointe pas vers le bon site Web.

Configuration de la synchronisation et de l’approbation

2.1. Configuration du Service: Site Web d’administration

2.1.1. Option de synchronisation

  • Planification

Après la première synchronisation, vous vous rendrez compte que les synchronisations manuelles vous obligent à faire une maintenance régulière de votre serveur, en demandant les synchronisations de votre propre chef. C’est pourquoi WSUS vous donne la possibilité de réaliser vos synchronisations automatiquement, tous les jours, à une heure que vous pouvez définir en fonction de la disponibilité de votre connexion à Internet (plutôt le soir pour ne pas encombrer votre bande passante inutilement, par exemple :).

La planification est une étape incontournable de la configuration de base de votre serveur WSUS.

  • Produit et classification:

Si vous avez déjà mis en place un serveur SUS, vous avez du vous rendre compte que vous étiez obligé de télécharger les mises à jour de l’ensemble de la famille Windows même si votre entreprise ne comprenait que des postes de travail sous Windows XP. De plus, il vous était impossible de déployer les mises à jour pour Microsoft Office ou alors celles de Microsoft Exchange Server…

C’est pourquoi Microsoft a revu son serveur de mises à jour interne pour les entreprises, afin de permettre aux administrateurs de celles-ci de sélectionner les produits pour lesquels ils souhaitent télécharger les mises à jour. Avant la première synchronisation, la liste des mises à jour est simplement composée des mises à jour des plateformes Windows (2000, XP, 2003 Server). Suite à la première synchronisation, la liste des produits est étoffée (Exchange, SQL, Office…).

En outre, WSUS vous donne la possibilité de sélectionner le type de mise à jour (Feature Pack, Mise à jour critique, Mise à jour de la sécurité, Mise à jour, Outils, Pilotes, Service Pack). Ainsi, vous avez la possibilité de réduire la taille de la base de donnée de mises à jour, si vous pensez ne pas avoir besoin des mises à jour de vos pilotes matériels…

  • Serveur Proxy

Si vous utilisez un serveur Proxy entre votre serveur WSUS et sa source de mises à jour (Windows Update ou un serveur WSUS amont), comme ISA Server par exemple, vous aurez besoin de configurer les paramètres de serveur Proxy sur votre serveur WSUS. Vous devrez indiquez le nom du serveur, le port que vous utilisez ainsi que les informations d’identification de l’utilisateur que vous utiliserez pour vous connectez au Proxy, si nécessaire.

En outre, si vous utilisez un pare-feu entre votre réseau local et Internet, vous devrez rajouter les règles suivantes. Autrement, la synchronisation vers les serveurs de Windows Update sera difficile.

  • Source de la mise à jour

Lors de l’installation, vous avez dû indiquer votre source de mise à jour. Mais, si pour une raison ou pour une autre vous avez besoin de changer cette source de mise à jour (par exemple: serveur en amont qui serait tombé ou alors l’installation d’un nouveau serveur en amont…), il est possible à tout moment de modifier les informations que vous avez spécifiées lors de l’installation.

  • Fichiers et langue des mises à jour

Dans la section Fichiers et Langue des mises à jour, vous pouvez choisir de stocker les fichiers de mise à jour localement sur le serveur. Mais aussi, vous serez à même de choisir la façon dont vous allez télécharger les mises à jour. Deux options s’offrent à vous: télécharger les mises à jour après les avoir approuvées ou alors télécharger les fichiers d’installation rapide. En général, les mises à jour consiste en de nouvelles versions de fichier qui existe déjà. Si vous avez choisi l’option Télécharger les fichiers d’installation rapide, alors votre serveur WSUS va simplement télécharger les différences entre le fichier d’origine et le patch associé (au niveau binaire). Cela vous permettra de limiter la consommation de bande passante sur votre réseau local (mais aux dépens de votre connexion à Internet). Ce choix peux se justifier si vous avez choisi de planifier vos synchronisation à des heures où personnes n’est présent dans vos locaux (la nuit, par exemple), ou alors si vous avez besoin de faire de l’exportation de votre base de donnée…

En outre, WSUS ne vous obligera pas de télécharger les mises à jour pour l’ensemble des langues disponibles. En effet, une entreprise française a un parc informatique composé essentiellement de machines équipées de systèmes d’exploitation en français et n’a nulle besoin de télécharger les mises à jour en coréen ou en hébreu. Ainsi, WSUS vous permet de Télécharger que les mises à jour correspondant à vos paramètres régionaux, ou alors Télécharger les mises à jour dans toutes les langues, y compris les nouvelles. En fonction de la diversité linguistique de votre parc informatique, vous pouvez déterminer les langues que vous souhaitez télécharger afin de répondre au mieux à vos besoins en choisissant vos langues (Anglais, Français… ), si vous avez coché l’option Télécharger uniquement les mises à jour dans des langues sélectionnées.

2.1.2. Option d’approbation automatique

  • Mises à jour

Lors de la synchronisation, le serveur WSUS va télécharger la liste des mises à jour disponible. Ses mises à jour ont deux caractéristiques : Approuver la détection et Approuver l’installation. L’approbation de la détection permet de spécifier au serveur WSUS, que telle ou telles mises à jour doivent être présentes sur tel ou tels groupes. Pour cela, vous pouvez spécifier les types de mises à jour que vous voulez automatiquement approuver pour le ou les groupes d’ordinateurs que vous pouvez spécifier. Par défaut, les mises à jour critique et de sécurité sont approuvées automatiquement pour tous les ordinateurs.

Ensuite, vous devrez approuver leur installation. En effet, sinon, votre serveur WSUS ne téléchargera pas les mises à jours et ne pourra donc pas les déployer! Veillez donc à côcher la case “Approuver automatiquement les mise à jour à installer d’après la règle suivante“. Ainsi, toutes les mises à jour critiques et de sécurité seront approuvées et téléchargées (donc déployées) vers toutes les machines de votre réseau. Si vous n’avez pas coché cette case avant de faire votre première synchronisation, vous devrez alors lancer manuellement le téléchargement de toutes les mises à jour que vous avez approuvées.

De plus vous avez le choix d’ajouter des Classifications ou de modifier la liste des Groupes d’ordinateurs, vous êtes libre d’adapter les approbations automatiques en fonction de la politique de sécurité de votre entreprise (vous pouvez par exemple y ajouter les services packs et exclure le groupe de vos serveurs…)

  • Révision des mises à jours

Cette option permet de configurer votre serveur WSUS pour que les révisions des mises à jour:

  • Soit approuvé automatiquement
  • Soit approuvé manuellement et donc continuer à utiliser la version précédente de la mise à jour.

Par défaut, la règle est d’Approuvé automatiquement la dernière révision de la mise à jour car ces mises à jours sont généralement publiées suite à des failles qui se sont révélées après leurs sorties. Il est préférable de conserver cette option par défaut mais si votre politique de sécurité est contre cette solution, sachez que vous pouvez modifier cette option en choisissant de Continuer à utiliser la révision précédente et approuver manuellement la nouvelle révision de la mise à jour.

  • Mise à jour de Windows Server Update Service

Le serveur WSUS peut lui même être soumis à des mises à jour. Par défaut celle-ci sont approuvée et Microsoft vous conseille de garder cette option par défaut afin que toutes les futures mises à jour soient correctement détectées par les ordinateurs clientes de ses services.

2.2. Synchronisation: téléchargement et installation des mises à jour

Le serveur WSUS utilise le port 80 et le port 443 pour obtenir les mises à jour depuis le site de Microsoft par contre, on ne peux pas le configurer. Si vous avez un pare-feu entre votre réseau et Internet, souvenez vous qu’il faut y placer des règles pour laisser passer le trafic sur le port 80 (HTTP) et/ou 443 (HTTPS).

Par contre, vous pouvez toujours configurer vos autres serveurs WSUS pour qu’ils se synchronisent sur le premier que vous avez configuré. Vous pourrez alors profiter de la bande passante de votre réseau local. Selon les options que vous avez choisies lors de l’installation, les ports 80 ou 8530 seront sollicités pour la connexion chaînée de vos serveurs WSUS. Prenez garde à utiliser les adresses du typehttp://NomServeur:8350/…, si vous avez choisi d’utiliser ce port.

Dans le cas où vous synchronisez votre serveur WSUS depuis un serveur depuis un autre serveur WSUS de votre réseau, seules les mises à jour et les métadonnées seront partagées (ni les informations sur les groupes de machines, ni les informations sur les approbations des mises à jour le seront)

À partir du menu Mises à jour, vous pouvez gérer l’ensemble des correctifs mis à disposition par Microsoft. C’est ici que vous serez capable de gérer les approbations de chaque mise à jour, individuellement. Trois états d’approbation peuvent être associés à une mise à jour: Installer, Détecter uniquement ou alors Non approuvée. De plus vous pouvez Refuser les mises à jour, ce qui entraînera un effacement de la base de données des événements signalés par les ordinateurs concernés par cette mise à jour.

Dans la partie Vue à gauche, vous avez un petit moteur de recherche qui vous permettra de trouver les mises à jour en fonction de quatre critères que vous pouvez définir (Produit et classification, Approbation, Synchronisé, Contenant le texte). Ainsi vous pourrez avoir des Détails sur les mises à jours que vous avez recherchées (une description et des détails d’information, l’État de déploiement sur vos groupes d’ordinateurs…) et un rapport peut être imprimer si vous cliquez sur Imprimer le rapport d’état..

2.3. Exporter, importer des mises à jour

Il y a trois étapes à remplir pour pouvoir exporter et importer des mises à jour. Premièrement vous devez vous assurez que les options de synchronisation avancée concorde entre le serveur WSUS source et celui de destination (le téléchargement des fichiers d’installation rapide est alors indispensable). Ensuite, copiez les mises à jour depuis le système de fichier du serveur source vers le système de fichier du serveur de destination. Enfin, exporter les métadonnées des mises à jour depuis la base de données sur le serveur source pour les importer sur la base de données du serveur de destination.

2.3.1. Vérifier les options de synchronisation avancées

Afin de remplir la première étape, vérifiez la configuration de vos options avancée, pour cela:

  • En premier lieu, ouvrez la console WSUS du serveur d’export (

    http://votreServeur/wsusadmin

    ), cliquez sur l’onglet Options puis sur la section Options de Synchronisation. Ensuite, cliquez sur avancée dans la section Fichiers et langue des mises à jour.

  • Alors dans la boite de dialogue Paramètre de Synchronisation Avancée, côchez la case télécharger les fichiers d’installation rapide et vérifier la configuration de la partie Langues.
  • En second lieu, ouvrez la console WSUS du serveur d’import (

    http://votreServeur/wsusadmin

    ), cliquez sur l’onglet Option puis sur la section Option de Synchronisation et cliquez sur avancée dans la section fichiers et langue des mises à jour.

  • Dans la boite de dialogue Paramètre de Synchronisation Avancée, vérifier que les configuration concorde.

2.3.2. La migration des mises à jour

La deuxième étape consistera donc en la migration proprement dites des fichiers de téléchargement rapide. La méthode à suivre est alors la suivante:

À noter: la configuration de base des Access Control List ne sont pas le même sur Windows Serveur 2000 et Windows 2003 Server. Si nous copions des données d’un serveur sous Windows 2000 vers un serveur sous Windows Server 2003, il faut ajouter manuellement le groupe SERVICE RÉSEAU de façon à ce que le groupe puisse accéder au dossier ou seront stocker les données.

  • Pour exporter les fichiers depuis le système de fichier du serveur d’export:

  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez ntbackup. L’assistant de sauvegarde ou de Restauration se lance par défaut, s’il n’a pas été désactivé. Vous pouvez soit utiliser cet assistant ou alors travailler en mode avancé (ce que nous allons faire).
  • Cliquez sur l’onglet Sauvegarde, puis sélectionnez le dossier où sont stockés les fichier que vous souhaitez exporter. Par défaut, ceux-ci sont situés sur lecteurd’installationWSUS:\WSUS\WSUSContent\.
  • Dans la partie Nom de fichier ou lecteur de sauvegarde, tapez le chemin puis le nom de votre fichier de sauvegarde (.bkt) ou utilisez le bouton Parcourir.
  • Cliquez alors sur le bouton Démarrer  et une boite de dialogue Informations sur la sauvegarde s’ouvre.
  • Cliquez sur Avancé  puis dans la partie Type de sauvegarde choisissez Incrémentiel.
  • Dans la boite de dialogue Informations sur la sauvegarde cliquez sur Démarrer la sauvegarde pour commencer le processus de sauvegarde.
  • Une fois la sauvegarde terminée, déplacez le fichier que vous venez de créer vers le serveur sur lequel vous souhaitez importer les mises à jour.
  • Pour restaurer les fichiers de mises à jour vers le serveur d’import:

  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez ntbackup. L’assistant de sauvegarde ou de Restauration se lance par défaut, s’il n’a pas été désactivé. Vous pouvez soit utiliser cet assistant ou alors travailler en mode avancé.
  • Cliquez sur l’onglet Restaurer et gérer le média, sélectionner alors le fichier de sauvegarde que vous avez créer sur le serveur d’export. Si le fichier n’apparaît pas, faite un clic droit sur fichier puis cliquez sur fichier catalogue pour ajouter le chemin vers le fichier.
  • Dans Remplacer les fichiers vers, choisissez Autre emplacement. Alors, spécifier le répertoire vers lequel vous voulez restaurer les fichiers (lecteurd’installationWSUS:\WSUS\WSUSContent\)
  • Cliquez alors sur Démarrer. Quand la boite de dialogue Confirmation de restauration apparaît, cliquez sur OK pour commencer la restauration.

2.3.3. L’exportation et l’importation des métadonnées

L’étape finale consiste à migrer les fichiers métadonnées vers le serveur d’import. Durant l’installation de WSUS, le programme a copié l’utilitaire WSUSutil.exe, par défaut dans le dossier C:\Program Files\Update Services\Tools. Vous devez être membre du groupe administrateur local sur le serveur WSUS pour exporter ou importer des fichiers métadonnées. Ces deux opérations doivent ce faire sur le serveur WSUS directement. Par contre, n’importer jamais des fichiers métadonnées depuis un serveur que vous n’approuvez pas car la sécurité de votre serveur WSUS est en jeu.

  • Pour exporter des mises à jour depuis la base de donnée du serveur d’export:

  • Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre variable d’environnement PATH, si ce n’est pas déjà fait.
  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cabfichier.log
  • Déplacer ainsi les fichiers que vous venez de créer et qui se situe dans le répertoire C:\Documents and Setting\%USERNAME%\ sur le serveur qui est prêt à recevoir les fichier de mise à jour
  • Pour importer les fichier métadonnées vers la base de donnée du serveur d’import:

  • Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre variable d’environnement PATH
  • Cliquez sur le bouton Démarrer puis sur Exécuter
  • Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cabfichier.log

Enfin, l’export/import des mises à jour est réalisé avec brio. Si vous respectez la manipulation à la règles, vous pourrez résoudre les problème lié au téléchargement des fichiers de mise à jour sur un serveur isolé de votre réseau, n’ayant pas de connexion à Internet ou ayant une bande passante faible et utilisée

Gestion des machines clientes

3.1. Configuration des mises à jours automatiques des clients

3.1.1. Avec des Stratégie De Groupe (GPO)

Voici la méthode pour déployer la politique de déploiement des mises à jour sur votre réseau. Comme pré requis, il sera nécessaire d’avoir un domaine Active Directory.

3.1.1.1. Configuration de l’ordinateur qui configure les stratégies de groupe

Avant d’entamer la création de GPO (Group Policy Object), pour la configuration de la mise à jour automatique des clients, vous devez vous assurer que vous possédez le dernier modèle d’administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS se nomme Wuau.adm et il est situé dans le dossier%systemroot%\Inf. Il est disponible dans le Service Pack 2 de Microsoft Windows XP.

Procédure pour importer le modèle d’administration Wuau.adm, si votre ordinateur ne possède pas la dernière version:

  • Dans l’éditeur de Stratégie de groupe, cliquez sur le nœud Modèle d’administration.
  • Dans le menu Action, cliquez sur Ajout/Suppression de modèles
  • Dans la fenêtre “Ajout/Suppression de modèle”, cliquez sur Ajouter
  • Dans la fenêtre de “Sélection de modèle“, sélectionnez Wuau.adm et cliquez sur Ouvrir
  • Fermer la fenêtre “Ajout/Suppression de modèle”.

3.1.1.2. Spécifier au client un serveur WSUS

Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients utiliseront le service WSUS disponible sur votre réseau pour la mise à jour automatique mais les utilisateurs pourront toujours mettre à jour manuellement leur ordinateur via Microsoft Windows Update. Pour empêcher les utilisateurs d’utiliser Microsoft Windows Update, il faudra activer une autre stratégie de groupe (voir chapitre 3.1.1.3, stratégie Supprimer l’accès à l’utilisation de toute les fonctionnalités de Windows Update) Procédure pour activer l’utilisation de votre serveur WSUS par les ordinateur clients pour la mise à jour automatique:

  • Dans l’éditeur de Stratégie de groupe, déployez les nœuds Configuration ordinateur, Modèle d’administration, Composants Windows, Windows Update.
  • Dans le panel de droite, modifiez la stratégie suivante: “Spécifier l’emplacement intranet du service de Mise à jour Microsoft
  • Activez la stratégie dans la fenêtre Propriétés de la stratégie
  • Renseignez l’adresse DNS du serveur qui héberge le service WSUS dans les champs “Configurer le service intranet de Mise à jour pour la détection des mises à jour” et “Configurer le serveur intranet de statistiques” (Exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/)
  • Activez la stratégie Configuration des mises à jours automatiques pour activer le service de Mise à jour automatique des clients et spécifier une politique (voir ci-dessous)
  • Cliquez OK

Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une unité d’organisation, les ordinateurs utiliseront le serveur WSUS pour mettre à jour le système (après actualisation de la stratégie de groupe sur les clients) grâce à la fonctionnalité de mise à jour automatique.

3.1.1.3. Spécifier des options de stratégie de groupe lié à la Mise à jour automatique de Microsoft Windows

Grâce aux différentes options, vous pourrez changer l’interaction entre les clients, leur machine et le serveur WSUS.

Vous trouverez ces options de stratégie de groupe dans le nœud Configuration ordinateur\Modèle d’administration\Composants Windows\Windows Update

Stratégie

Description

Autoriser le ciblage coté client Vous pouvez créer des groupes dans WSUS. L’objectif de cette stratégie est de spécifier le nom de groupe que les ordinateurs doivent utiliser pour télécharger les mises à jour.
Autoriser les non-administrateurs à recevoir les notifications de mises à jours Cette stratégie va permettre d’autoriser les utilisateurs non-administrateurs de recevoir les notifications de mises à jour. L’utilisateur pourra ou non confirmer l’installation des mises à jour.
Autoriser l’installation immédiate des mises à jour automatique Si la mise à jour ne nécessite pas de redémarrage de Windows ou de services Windows alors, si la stratégie est active, l’installation des mises à jour s’effectue de suite.
Configuration des mises à jours automatiques Cette stratégie va permettre d’activer le service “Mise à jour automatique” et ensuite le fonctionnement de celle-ci (Notification, téléchargement, planification, interaction avec les stratégies locales) Fonctionnement des mises à jour possible:2: Notification avant téléchargement et notification avant installation des mises à jour3: Téléchargement automatique des mises à jour et notification avant installation des mises à jour4: L’installation des mises à jour est automatique et planifié en fonction des valeurs ScheduledInstallDay et ScheduledInstallTime5: La planification des mises à jour est configuré mais l’utilisateur final peut le configurer
Délai de redémarrage pour les installations planifiées Cette stratégie permet de renseigner la durée entre la fin de l’installation de mise à jour et le redémarrage de la machine. (par défaut 5 minutes)
Fréquence de détection des mises à jour automatiques Elle permet de configurer la durée entre chaque vérification de mise à jour (de -20% à 0%) sur le serveur WSUS (par défaut: 22 heures, donc vérification après une durée de 18h24 et 22h)
Ne pas afficher l’option ‘Installer les mises à jour et éteindre’ Si cette stratégie est active, l’option d’installation des mises à jour avant extinction ne sera pas disponible aux utilisateurs.
Ne pas modifier l’option par défaut ‘Installer les mises à jour et éteindre’ Si cette stratégie est active, alors la fonction arrêt de la machine par défaut sera celle avec l’installation des mises à jour
Pas de redémarrage planifié des installations planifiés des mises à jour automatiques Ne permet pas à la fonction Mise à jour automatique de redémarrer la machine si celle-ci est planifiée. Seul l’utilisateur le fera manuellement
Redemander un redémarrage avec les installations planifiées Permet de spécifier une demande de redémarrage après un laps de temps, si la précédente a été refusée
Replanifier les installations planifiées des mises à jours automatiques Si l’installation planifiée précédente a été manquée, alors on renseigne le temps depuis le démarrage de la machine avant une nouvelle planification.

Vous trouverez d’autres stratégies de groupe lié au service Windows Update dans le nœud Configuration utilisateur\Modèle d’administration\Composants Windows\Windows Update.

Stratégie

Description

Supprimer l’accès à l’utilisation de toutes les fonctionnalités de Windows Update Permet de désactiver toutes les interactions avec Windows Update. Il est fortement conseillé de l’activer pour éviter de faire doublon avec le service WSUS
Ne pas afficher l’option ‘Installer les mises à jour et éteindre’ Si cette option est actif, alors l’option d’installation des mises à jour avant extinction ne sera pas disponible aux utilisateurs.
Ne pas modifier l’option par défaut ‘Installer les mises à jour et éteindre’ Si cette option est actif, alors la fonction arrêt de la machine par défaut sera celle avec l’installation des mises à jours

3.1.2. Dans un environnement sans A/D

Si vous ne possédez pas de domaine Active Directory, il est possible de configurer les clients via la base de registre avec toutes les options disponibles dans les stratégies de groupes mais la configuration des machines sera très contraignante.

Voici les différentes entrées de la base de registre pour la configuration des clients:

Nœud de configuration général: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

D

Entrée

Description

ElevateNonAdmins Valeur possible: 0 ou 10: Seuls les administrateurs peuvent refuser ou accepter les mises à jour1: Tout le monde peut refuser ou accepter les mises à jour
TargetGroup Permet de spécifier le groupe de mise à jour auquel l’ordinateur appartient (ciblage coté client)
TargetGroupEnabled Valeur possible: 0 ou 10: Désactiver la fonctionnalité de ciblage coté client1: Activer la fonctionnalité de ciblage coté client
WUServer Permet de spécifier l’emplacement du serveur WSUS (exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit être identique à l’entrée WUStatusServer
WUStatusServer Permet de spécifier l’emplacement du serveur WSUS (exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit être identique à l’entrée WUServer

Nœud de configuration pour les mises à jour automatique: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Entrée

Description

AUOptions Valeur Possible: 2,3,4 ou 5 Configuration du fonctionnement de la Mise à jour automatique (Notification, téléchargement, planification, interaction avec les stratégies locales)2: Notification avant téléchargement et notification avant installation des mises à jour3: Téléchargement automatique des mises à jour et notification avant installation des mises à jour4: l’installation des mises à jour est automatique et planifié en fonction des valeurs DWORD ScheduledInstallDay et ScheduledInstallTime5: la planification des mises à jour est configuré mais l’utilisateur final peut le configurer
AutoInstallMinorUpdates Valeur possible: 0 ou 10: N’installe pas de suite les mises à jours mineurs qui ne nécessite pas de redémarrage de l’ordinateur ou de service1: Installe de suite les mises à jours mineurs qui ne nécessite pas de redémarrage de l’ordinateur ou de service
DetectionFrequency Valeur possible: de 1 à 22 Durée en heure entre chaque vérification de mise à jour (de -20% à 0%) sur le serveur WSUS
DetectionFrequencyEnabled Valeur possible: 0 ou 10: Utilise la valeur par défaut de la durée entre chaque vérification de mise à jour (par défaut: 22 heures, donc vérification après une durée de 18h24 et 22h)1: Utilise la valeur renseigné par la valeur DWORD DetectionFrequency (toujours de -20% à 0%) pour la durée entre chaque vérification de mise à jour
NoAutoRebootWithLoggedOnUsers Valeur possible: 0 ou 10: l’ordinateur redémarre la machine dans les 5 minutes qui suivent la mise à jour de la machine1: l’utilisateur a le choix de redémarrer ou non la machine
NoAutoUpdate Valeur possible: 0 ou 10: Mise à jour automatique désactivé1: Mise à jour automatique activé
RebootRelaunchTimeout Valeur possible: de 1 à 1440 Durée en minute entre chaque demande de redémarrage à l’utilisateur de l’ordinateur
RebootRelaunchTimeoutEnabled Valeur possible: 0 ou 10: Le temps entre chaque demande de redémarrage à l’utilisateur est celle par défaut (10 minutes)1: Le temps entre chaque demande de redémarrage à l’utilisateur est celle renseigne par la valeur DWORD RebootRelaunchTimeout
RebootWarningTimeout Valeur possible: de 1 à 30 Durée en minutes du compteur avant redémarrage de la machine pour les mises à jour planifiées ou obligatoires
RebootWarningTimeoutEnabled Valeur possible: 0 ou 10: Le temps initial en minute du compteur avant redémarrage pour les mises à jour planifiées ou obligatoires est celle par défaut (5 minutes)1: Le temps initial en minute du compteur avant redémarrage pour les mises à jour planifiées ou obligatoires est celle renseigné par la valeur DWORD RebootRelaunchTimeout
RescheduleWaitTime Valeur possible: entre 1 et 60 Temps en minute pour l’attente depuis le démarrage de la machine avant installation des mises à jour planifié raté. Cette politique ne s’applique pas aux mises à jour qui ont une échéance spécifique. Si l’échéance d’une mise à jour est dépassé alors celle-ci est installé de suite.
RescheduleWaitTimeEnabled Valeur possible: 0 ou 10: Les mises à jour planifiées ratées seront reportés lors de prochaine planification1: Les mises à jour planifiées ratées seront installés après le laps de temps spécifié par la valeur DWORD RebootRelaunchTimeout
ScheduledInstallDay Valeur possible: entre 0 et 70: Mise à jour planifié tous les joursde 1 à 7: jour de la semaine de dimanche (1) à samedi (7) Cette option ne marche seulement si l’entrée AUOption est configurée à la valeur 4
ScheduledInstallTime Valeur possible: entre 0 et 23 Heure de la journée pour les mises à jour planifié Cette option ne marche seulement si l’entrée AUOption est configurée à la valeur 4
UseWUServer Valeur possible: de 0 à 1 0: Utilise Windows Update 1: Utilise votre serveur WSUS

3.2. Utilitaire en ligne de commande

3.2.1. Vérification du fonctionnement côté client

Microsoft fournit un outil pour tester le bon fonctionnement du client et de sa configuration. Il permet de tester aussi la connexion avec le serveur WSUS. Cet outil s’appelle “WSUS Client Diagnostic Tool”. Vous pouvez le télécharger à l’adresse suivante:cliquez iciIl suffira juste de l’exécuter pour voir les différents processus testés et fonctionnels.

3.2.2. Détection manuel du serveur WSUS

Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente, détecter le serveur WSUS manuellement et ainsi pouvoir administrer la machine très rapidement sur la console WSUS (choix d’un groupe, etc…)

Procédure pour détecter manuellement le serveur WSUS sur un ordinateur client:

  • Cliquez sur Démarrer puis sur Exécuter…
  • Tapez dans le champ Ouvrir: wuauclt.exe /detectnow
  • Cliquez sur OK

3.2.3. Mise à zéro des informations clientes

WSUS utilise des cookies pour enregistrer un certain nombre d’information, y compris le groupe WSUS du client. Par défaut, le cookie est supprimé une heure après sa création. Mais si dans ce laps de temps vous changer le groupe WSUS du client, vous risquez d’avoir des comportements inattendus. Pour éviter tout souci, utilisez la procédure suivante.

Procédure pour réinitialiser le cookie de l’ordinateur client:

  • Cliquez sur Démarrer puis sur Exécuter…
  • Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow
  • Cliquez sur OK

3.3. Groupe d’ordinateurs WSUS

3.3.1. Présentation

Par défaut, deux groupes sont présents All Computers et Unassigned Computers. Lorsque vous ajoutez une machine à votre serveur WSUS, celle-ci est membre des deux groupes. Mais vous pouvez aussi enlever votre machine du groupe Unassigned Computers, pour l’assigner à un autre groupe que vous avez créé. Le groupe All Computers vous permettra, quant à lui, de distribuer très facilement une mise à jour (ou plusieurs) à l’ensemble des ordinateurs que vous gérez.

Un avantage des groupes est que vous pouvez réaliser des tests sur un groupe (ex: test_winXP_office2003), qui contient des machines représentative d’un autre groupe (celui-ci pour qui seront destinés les correctifs), afin de vérifier les nouvelles mises à jour. Si les résultats sont concluant, vous pourrez déployer ces mises à jour sur un second groupe répondant aux critères de votre groupe de test (ex: PC_winXP_office2003). De cette façon, vous pourrez facilement gérer le déploiement de vos mises à jour en fonction des profils matériels et logiciels des machines de votre réseau.

Le nombre de groupe n’est pas limité!

3.3.2. Mode d’affectation des ordinateurs

Vous avez la possibilité d’affecter les ordinateurs dans les groupes WSUS:

  • soit automatiquement via la stratégie de groupe (stratégie Autoriser le ciblage coté client) ou via les informations de registre (entrées: TargetGroup et TargetGroupEnabled).
  • soit manuellement via la console WSUS

Dans les deux cas, il faudra manuellement crée les groupes WSUS via la console WSUS. Si vous devez maitrisez un parc informatique conséquent, vous devez bien entendu utiliser l’affectation de groupe automatique.

Procédure pour configurer l’affectation des ordinateurs:

  • Dans la console WSUS, cliquez sur Options et sur Options des ordinateurs
  • Dans la fenêtre Options des ordinateurs, choisissez l’une des options possibles:
    • Utiliser la tâche Déplacer les ordinateurs dans Windows Server Update Services si vous souhaitez créer les groupes et assigner les ordinateurs via la console WSUS
    • Utiliser la stratégie du groupe ou les paramètres des Registres des ordinateurs si vous souhaitez créer les groupes via WSUS et assigner les ordinateurs via les stratégies de groupe ou les informations de registre des ordinateurs clients
  • Sous Tâches, cliquez sur Enregistrer les paramètres et confirmer les modifications

3.3.3. Création des groupes

En mode automatique ou manuel pour l’affectation des ordinateurs, vous devez créer les groupes.

Procédure pour la création des groupes dans la console WSUS:

  • Dans la console WSUS, cliquez sur Ordinateurs
  • Sous Tâches, cliquez sur Créer un groupe d’ordinateurs
  • Cliquez sur OK

3.3.4 Affectation des ordinateurs (affectation manuelle)

Si vous avez choisi l’affectation des ordinateurs manuelle, vous devrez pour chaque ordinateur de votre réseau lui désigner un groupe créé précédemment

Procédure pour affecter un ordinateur à un groupe WSUS manuellement:

  • Dans la console WSUS, cliquez sur Ordinateurs
  • Sous Groupes, sélectionnez le groupe où se trouve l’ordinateur que vous souhaitez déplacer
  • Dans la liste des ordinateurs, sélectionnez l’ordinateur que vous souhaitez déplacer
  • Sous Tâches, cliquez sur Déplacer l’ordinateur sélectionné
  • Dans la liste des groupes, sélectionnez le groupe destinataire
  • Cliquez sur OK

Fonctionnalités de surveillance

4.1 Rapports

Avec la console WSUS, vous avez la possibilité de générer un certain nombre de rapport pour surveiller le service WSUS et vous pourrez aussi les imprimer.

4.1.1 Rapport “Etats des mises à jour”

L’état des mises à jour va permettre de voir le statut de chaque mise à jour approuvée et trier par niveau: par mise à jour, par groupe d’ordinateur et par ordinateur comme montré ci-dessous. Les rapports seront générés à partir des contacts les plus récents avec les ordinateurs clients (contact entre le serveur WSUS et les ordinateurs clients tous les 22 heures par défaut).

En plus de rappeler l’approbation pour chaque groupe et l’échéance configurée pour chaque mise à jour, vous trouverez dans le tableau des colonnes supplémentaire expliquez ci-dessous:

Information

Description

Installé Nombre de machines où la mise jour a été installée
Nécessaire Nombre de machines où l’installation de la mise à jour est nécessaire mais pas encore installée (par exemple: la mise à jour est en cours de téléchargement par les clients)
Non applicable Nombre de machines où l’installation de la mise à jour n’est pas nécessaire
Inconnu Nombre de machines qui depuis la dernière synchronisation n’ont pas contacté le serveur WSUS
Echec Nombre de machines où le téléchargement ou l’installation de mise à jour a échoué ou que celle-ci a été désinstallée

On remarquera que vous pouvez avoir de plus amples informations sur une machine spécifique en cliquant sur l’état de la mise à jour de la machine.

4.1.2 Rapport “Etats des ordinateurs”

Cette option de rapport va reprendre le même principe que le rapport Etat des mises à jour. Vous pouvez le voir ci-dessous, la seule différence est que le trie s’effectue par groupe d’ordinateur. Dans la liste des ordinateurs du groupe, vous trouverez pour chaque ordinateur l’état de chaque mise à jour synchronisée sur le serveur WSUS. Il sera néanmoins très pratique pour connaitre l’état des mises à jour d’une machine bien spécifique dans un groupe WSUS.

4.1.3 Rapport “Résultats de la synchronisation”

Ce rapport va permettre de faire un résumé de la dernière synchronisation ou de toutes les synchronisations sur une période jusqu’au jour d’aujourd’hui (intervalle de 1 jour ou depuis l’installation de WSUS). Ci-dessous, vous trouverez un descriptif pour chaque composant de ce rapport:

Composant

Description

Dernière synchronisation Affiche les informations à propos de la dernière synchronisation du serveur WSUS: le type (Manuelle ou Automatique), la date et l’heure où la synchronisation a commencé, la date et l’heure où celle-ci s’est terminée et son état
Résumé de la synchronisation Affiche des informations sur toutes les synchronisations effectuées sur la période choisie par l’administrateur: Nombre total de mises à jour téléchargées sur la période, nombre de mises à jour révisées et expirées ainsi que le nombre d’erreurs de synchronisation
Erreur Enumère et affiche de plus amples détails sur les erreurs de synchronisation
Nouvelles mises à jour Liste l’ensemble de tous les mises à jour téléchargées lors des synchronisations avec leur nom, la gamme de produit destinée à la mise à jour et la classification

Ce rapport Résultat de la synchronisation sera seulement utile lorsque les synchronisations échouent et ainsi avoir de plus amples détails.

4.1.4 Rapport “Résumé des paramètres”

Ce rapport permettra de connaitre tous les détails dans le moindre recoin de la configuration de votre serveur WSUS. Très utile, pour vérifier que votre serveur WSUS a été bien configuré d’un seul coup d’œil.

  • Planification de la synchronisation
  • Produits et classifications
  • Source de la mise à jour
  • Serveur Proxy
  • Fichier de la mise à jour
  • Langues
  • Approbation automatique
  • Révisions des mises à jour
  • Mises à jour de Windows Server Update Services
  • Serveurs en aval
  • Options des ordinateurs
  • Base de données

4.2 Surveillance

Afin de vous assurez du bon fonctionnement de votre serveur WSUS, vous avez la possibilité d’utiliser la console performance afin de créer des fichiers journaux de l’activité de ce service.

Alors, vous devrez créer un nouveau fichier journal, en cliquant avec le bouton droit dans la partie détails de la Journaux de Compteur puis sélectionner Nouveau paramètre de journal… Dans la boite de dialogue qui s’ouvre, entrez le nom que vous souhaitez donner à votre journal puis cliquez sur OK. La fenêtre suivante s’ouvre:

La prochaine étape sera de rajouter les compteurs que vous souhaitez surveiller: pour cela cliquez sur Ajouter des compteurs… Une nouvelle fenêtre s’ouvre et vous propose de choisir vos compteurs parmi une grande liste de compteurs possibles. Ceux-ci sont classés par catégorie que vous pouvez sélectionner dans la liste de menu déroulante Objet de performance. La liste de catégorie est mise à jour à chaque fois que vous ajoutez un service à votre serveur: lors de la mise en place d’un serveur DNS, un catégorie DNS fait sont apparition dans la liste des objets de performance.

En ce qui concerne WSUS, cinq catégories sont ajoutées: WSUS: Méthode du service Web client, WSUS: Méthodes Web du serveur, WSUS: Service Web client, WSUS: Service Web de création de rapports, WSUS: Service Web du serveur. Dans chaque catégorie, vous avez une liste de compteur que vous pouvez ajouter à votre guise. La liste de ces compteurs est longue mais je vous propose de découvrir une liste non exhaustive des compteurs qui peuvent être intéressants:

  • WSUS: Méthodes Web du serveur\ Nombre d’appel à la méthode Web
  • WSUS: Méthode du service Web client\ Nombre d’appel à la méthode Web
  • WSUS: Service Web client\ Nombre d’appel par seconde
  • WSUS: Service Web client\ Durée moyenne d’exécution
  • WSUS: Service Web de création de rapports\ Nombre d’événements en file d’attente
  • WSUS: Service Web du serveur\ Durée d’exécution maximale
  • WSUS: Service Web du serveur\ Durée moyenne d’exécution
  • WSUS: Service Web du serveur\ Nombre d’appel par seconde
  • Les compteurs a et b vous permettront de ne pas passer à coté d’une montée en charge imprévu de l’utilisation de votre serveur. Ensuite, les compteurs c et d pourront mettre en évidence un changement de comportement de vos clients (tentative d’attaque du type buffer overflow ou alors une attaque virale contre votre serveur WSUS). Le compteur e, quant à lui, vous permettra de savoir si la création de vos rapport avec le serveur WSUS n’utilisent pas trop les ressources sur de votre serveur (vous pouvez le combiner avec les compteurs classique de surveillance du serveur comme l’utilisation du processeur, de la mémoire vive, du disque dur…). Pour finir, les compteurs f à h vous donneront une vision objective de la charge que subit votre serveur.

    Ainsi, en combinant l’analyse que vous ferez de ces compteurs et de ceux que vous aurez choisi dans vos autres journaux de performance, vous serez à même de déterminer vos nouveaux besoin matériels ainsi que les probables attaques sur votre réseau. C’est pourquoi le choix des compteurs doit être mûrement réfléchit afin de récupérer les résultat les plus représentatifs possibles.

    4.3 Outil de débogage

    Cet outil permet aux administrateurs de récupérer les journaux de debug, les informations de configuration ainsi que quelques possibilités d’administration pour résoudre de possibles problèmes. Vous pouvez télécharger l’outil WsusDebugTool en cliquant sur le lien suivant:cliquez ici

    L’outil a la syntaxe suivante : WsusDebugTool [/OutputCab:<valeur>] /Tool:<valeur>Outputcab : paramètre optionnel qui créer un fichier Cab qui va contenir les informations demandéesTool : paramètre principal pour spécifier quel outil démarré. La liste des outils est ci-dessous :ResetAnchors: Permet de forcer une synchronisation complète lors de la prochaine synchronisation de mise à jour. PurgeUnneededFiles: Efface tous les fichiers inutiles du serveur WSUSSetForegroundDownload: Permet le téléchargement des données en premier plan. Cela peut-être utile si le proxy ne supporte pas la plage requise pour les téléchargements des données.ResetForegroundDownload: Annule la configuration des téléchargements en premier plan (voir ci-dessus)GetBitsStatus: Donne le statut du service de téléchargement BITS. Cet outil nécessite l’exécutable BitsAdmin.exeGetConfiguration: Donne la configuration complète du serveur WSUSGetLogs: Donne les journaux d’installation et de debug du serveur WSUS

    Sécurisez un serveur WSUS

    5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant WSUS

    De façon à vous aider pour sécuriser votre serveur WSUS, Microsoft développe dans le White Paper “Deploying Windows Serveur Update Service” (Appendix D) les points sur lesquels vous devez porter votre attention:

    • Activer des audits
    • Appliquez les options de sécurité
    • Configurer les journaux d’événement
    • Lancer uniquement les services nécessaires
    • Sécuriser les interfaces utilisant les protocoles TCP/IP sur vos serveurs WSUS
    • Configurer la sécurité sur IIS 6 et SQL 2000 Serveur

    Ces indications concernent uniquement les serveurs sous Windows 2003, utilisant un serveur Microsoft SQL 2000. Certains paramètres doivent être en commun avec les serveurs WSUS s’exécutant sur Windows 2000 Serveur mais rien n’est garanti. Nous n’allons pas ici nous étendre sur les différentes parties concernant la sécurisation de votre serveur WSUS mais je recommande vivement aux personnes ayant des impératifs de sécurité maximale de lire le WhitePaper (voir le chapitre Ressources). Nous allons ci-dessous traiter les points les plus importants

    5.2. Ajouter l’authentification entre les serveurs chaînés dans un environnement Active Directory

    Afin de sécuriser les communications entre les serveurs WSUS de votre infrastructure, vous avez la possibilité d’exiger une authentification sur vos serveurs WSUS en amont. Par contre, tous vos serveurs devront avoir un compte dans Active Directory pour permettre ce mécanisme. Alors, si vous avez plusieurs domaines ou forêts dans votre entreprise, veillez à vérifier que des relations d’approbation existent entre ceux-ci.

    Le processus se fait en deux étapes:

    • Création d’une liste de serveurs autorisés sur le serveur amont et l’ajouter à un fichier xml que l’assistant à créer lors de l’installation de WSUS
    • Dans IIS, désactiver l’accès anonyme vers le site de WSUS.

    Ainsi, seuls les serveurs que vous spécifierez pourront télécharger les mises à jour depuis vos serveurs WSUS en amont.

    5.2.1. Création de la liste de serveurs

    Le fichier à modifier est le suivant: %ProgramFiles%\UpdateServices\WebServices\Serversyncwebservice\Web.config. Vous devrez alors ajouter une balise <authorization> pour définir la liste des serveurs que vous souhaitez autoriser pour le téléchargement des mises à jour. Cette balise doit se situer après les balises <configuration> et <system.web> comme dans l’exemple suivant:

    <configuration> <system.web> <authorization> <allow users=”DOMAINE\Nom_Ordinateur, DOMAINE\Nom_Ordinateur” /> <deny users=”*” /> </authorization> </system.web> </configuration>

    Comme vous pouvez le voir dans l’exemple, vous pouvez spécifier la listes des serveurs WSUS en les identifiant comme suit, DOMAINE\Nom_Ordinateur, et en les séparant par des virgules grâce à la balise <allow users=” DOMAINE1\Nom_OrdinateurA, DOMAINE1\Nom_OrdinateurB, DOMAINE2\Nom_OrdinateurA…” />. De plus, vous avez aussi la possibilité de déclarer explicitement une liste des serveurs non autorisés: dans l’exemple présenté, * signifie que tous les serveurs non déclarés dans la balise au dessus n’ont pas le droit de télécharger des données depuis ce serveur.

    Par contre, veillez à vérifier l’ordre dans lequel vous placez les balises car le serveur exécutera la première condition qu’il pourra vérifier.

    5.2.2. Désactivation de l’accès anonyme dans IIS

    La seconde étape consiste alors à configurer IIS pour désactiver les accès anonymes vers le répertoire virtuel Serversyncwebservice et permettre l’authentification intégrée à Windows:

    • Cliquez sur Tous les programmes dans le menu Démarrer, puis dans la partie Outils d’administration, cliquez sur Gestionnaire des services Internet (IIS).
    • Développer le nœud au nom de votre serveur WSUS puis faite de même avec le nœud Site Web puis site WSUS.
    • Faites un click droit sur ServerSyncWebService et cliquez ensuite sur propriété.
    • Sur l’onglet Sécurité du répertoire, dans la partie Authentification et contrôle d’accès, cliquez sur le bouton Modifier
    • Dans la boite de dialogue qui vient de s’ouvrir, décochez la case Activer la connexion anonyme, et sélectionnez la case Authentification Windows Intégrée
    • Cliquez ensuite deux fois sur OK.

    5.3. Sécurisé WSUS avec Secure Socket Layer

    Vous pouvez sécuriser votre déploiement WSUS avec le protocole Secure Socket Layer (SSL). Le SSL va permettre de crypter l’authentification entre les ordinateurs clients ou les serveurs en aval et le serveur WSUS. Il sera aussi utilisé pour crypter les métadonnées (information sur la configuration de l’ordinateur et signature des mises à jour) entre le ordinateurs client et le serveur WSUS. WSUS, pour éviter de saturer l’activer du serveur Web, transmet les mises à jour aux clients en clair (protocole HTTP et non HTTPS). Mais il transmet au client avec les métadonnées une information de hachage ainsi qu’une signature digitale pour chaque mise à jour via le cryptage SSL (protocole HTTPS). Le client va vérifier si la signature et le hash correspond à la mise à jour. Si elle ne correspond pas, il ne l’installe pas.

    5.3.1. Les limites du SSL

    Comme pour toute activité de cryptage, celle-ci induit une augmentation de charge de travail de votre ordinateur qui héberge WSUS. En moyenne, l’impact sur votre ordinateur est de l’ordre de 10% de perte de performance. De plus, si vous utilisez un serveur SQL à distance, le trafic entre le service WSUS et le service SQL ne sera en aucun cas crypté par SSL.Si vous souhaitez sécurisé les transactions SQL, voici quelques recommandations:

    • Installer le service serveur SQL sur la même machine qui héberge la solution WSUS
    • Installer les serveurs qui hébergent le service SQL et le service WSUS sur un réseau privé
    • Déployer une stratégie de sécurité IP (IPSec) sur votre réseau

    5.3.2. Configurer le SSL sur le serveur WSUS

    Comme expliqué ci-dessus, tous les dossiers virtuels n’utilise pas le cryptage SSL. Ci-dessous, la liste des dossiers virtuels où il faudra activer le cryptage SSL:

    • SimpleAuthWebService
    • DSSAuthWebService
    • ServerSyncWebService
    • WSUSAdmin
    • ClientWebService

    Et voici la liste des dossiers virtuels où il ne faudra pas activer le cryptage SSL:

    • Content
    • ReportingWebService
    • SelfUpdate

    La première étape est celle d’importer votre certificat pour le cryptage SSL dans le compte de l’ordinateur dans la catégorie Autorité de certification racine de confianceEnsuite, importer le certificat dans les propriétés du site web “Site Web par défaut”. Puis pour terminer, activer pour chaque dossier virtuel cité ci-dessus (seulement ceux de la première liste) le cryptage SSL.

    Dès lors pour accéder à la console WSUS, vous allez devoir ouvrir la console via le canal sécurisé (HTTPS) à l’adresse suivante:https://NomdelamachineWSUS/WSUSAdmin/ Pour que les ordinateurs clients puissent accéder au serveur WSUS sécurisé, on va devoir modifier la configuration de celle-ci.

    5.3.3. Configurer le SSL sur les ordinateurs clients

    Il y a deux étapes pour permettre le bon fonctionnement du service WSUS avec le cryptage SSL

    1ere Étape:

    Renseigné l’adresse du Serveur WSUS aux ordinateurs clients:

    • soit par GPO (stratégie: “Spécifier l’emplacement intranet du service de Mise à jour Microsoft”)
    • soit par les informations de registre (valeur DWORD WUServer et WUStatusServer)

    par l’adresse qui utilise le protocole HTTPS (Exemple: https://wsus.laboratoire-microsoft.lan/)

    2eme Étape:

    Importer le certificat du site web ou le certificat de l’autorité qui a délivré le certificat pour le site web dans le groupe Autorité de certification racine de confiancesur les ordinateurs clients. Deux méthodes pour le faire:

    • soit par GPO (Importez le certificat dans le noeud Configuration ordinateur\Paramètre Windows\Paramètres de sécurité\Stratégies de sécurité publique\Autorités de certification racine de confiance) et déployer la GPO
    • soit manuellement sur chaque machine client (Importez le certificat dans la Console Certificat, Compte de l’ordinateur, Conteneur Autorités de certification racines de confiance)

    5.3.4. Configurer le SSL pour les serveurs avals WSUS

    Si vous utilisez un serveur WSUS en aval pour synchroniser votre serveur WSUS et que ce serveur utilise aussi le cryptage SSL alors utilisé la procédure suivante pour activer le SSL lors des transactions:

    • Dans la barre d’outils de la console WSUS, cliquez sur Options
    • Cliquez sur le lien Options de synchronisation
    • Dans l’encart Source de la mise à jour, renseigné le champ Numéro de port par 443 (port par défaut du protocole HTTPS) et coché la case Utilisez SSL pour la synchronisation des informations de mise à jour

    Conclusion

    Notre article a pour but de vous familiariser avec le serveur WSUS afin de vous permettre de le mettre en place dans votre réseau pour déployer les mises à jour sur les machines clientes exécutant Microsoft Windows 2000, XP et 2003.

    Ainsi, nous avons découvert Comment

    • Préparer le déploiement d’un serveur WSUS: réfléchir à la configuration du ou des serveurs sur lequel vous souhaitez installer WSUS, à la disposition de vos serveurs dans votre entreprise, à l’hébergement de la base de donnée.
    • Configurer votre serveur WSUS: pour planifier les mises à jour, pour sélectionner les langues, les produits et les types de mises à jours et effectuer l’approbation des mises à jour.
    • Migrer d’un serveur SUS vers WSUS
    • Exporter et Importer des mises à jour.
    • Configurer les ordinateurs clients dans un environnement Active Directory ou alors dans des groupes de travail
    • Utiliser les groupes WSUS pour le déploiement des mises à jour
    • Créer des rapports et surveiller votre serveur WSUS
    • Sécuriser votre serveur WSUS

    En fait, il est de votre intérêt et de celui de Microsoft, de mettre en place un serveur WSUS au sein de votre réseau. De cette façon, il est possible d’économiser de la bande passante vers Internet et il est plus facile de s’assurer du déploiement des mises à jour sur les machines de votre parc.

    WSUS est un produit gratuit et facile d’utilisation, mais Microsoft propose un autre produit plus complet, System Management Server 2003 (SMS), qui s’oriente plus vers les grandes entreprises souhaitant centraliser tous les déploiements sur un serveur: déploiement des correctifs, de logiciels (avec des fichiers .msi ou .exe), l’installation via le réseau de Système d’Exploitation… SMS reprend les fonctionnalités de WSUS mais va beaucoup plus loin dans ses fonctions de gestion du parc informatique. Si vous souhaitez avoir de plus amples informations, je vous conseille l’article de Thomas LIAUTARD et Nicolas MILBRAND:Présentation et implémentation de System Management Server 2003 (SMS 2003).

    Ressources

    Télécharger ici le programme d’installation de WSUS

    Télécharger ici le programme “WSUS Client Diagnostic Tool”

    Télécharger ici le programme “WSUS Debug Tool “

    Télécharger ici le White Paper Microsoft associé

    Vous pourrez trouvez aussi de l’aide ici sur le site TechNet de Microsoft

    Windows Server Update Services (WSUS) est la seconde génération de serveurs internes de mises à jour, proposée par Microsoft pour remplacer Software Update Services(SUS). La liste de ses options a été étoffée et le déploiement des serveurs a été grandement simplifié mais WSUS a toujours pour but de limiter l’utilisation de la bande passante vers Internet.

     Dans un premier temps, WSUS va télécharger les mises à jour depuis les serveurs Windows Update, ou alors depuis un autre serveur WSUS. Dans un second temps, le serveur va déployer les fichiers qu’il a téléchargés sur les machines du réseau (Windows 2000, XP et 2003). De cette façon, WSUS permet de limiter la charge des serveurs de Windows Update, car un seul client envoi des requêtes: votre serveur WSUS.

    Alors, nous tâcherons de comprendre comment installer votre serveur WSUS, et nous expliquerons comment le configurer. Ensuite, nous verrons comment utiliser les groupes pour déployer les mises à jour. Après cela, nous aborderons comment éditer des rapports et comment surveiller votre serveur WSUS. Enfin, nous apprendrons comment sécuriser votre serveur WSUS.