1 INSTALLATION ET CONFIGURATION WSUS 3.0 SUR WINDOWS SERVEUR 2008 x64 FR
2
Table des matières 1--Prérequis ...................................................................................................................................................................... 3
2--Installation des prérequis ............................................................................................................................................ 3
2.1 Installation de IIS ..................................................................................................................................................... 3
2.2 Installation de Bits ................................................................................................................................................... 6
2.3 Installation de Net Framework 4.5 et de Report Viewer 2008 ............................................................................... 9
3—Installation de Wsus ................................................................................................................................................. 12
3.1 Base de données ................................................................................................................................................... 12
3.2 Vérification des prérequis ..................................................................................................................................... 13
3.3 Nettoyage de l’espace disque ............................................................................................................................... 13
3.4 Installation Wsus 3.0 SP2 ...................................................................................................................................... 14
4—Configuration de Wsus ............................................................................................................................................. 18
5—Installation de la console d’administration sur un poste client .............................................................................. 25
5.1 Installation de Report Viewer 2008 ...................................................................................................................... 25
5.2 Installation de Wsus administration ..................................................................................................................... 26
6—Ajout des clients sur Wsus ........................................................................................................................................ 29
6.1 Ajout via GPO ........................................................................................................................................................ 29
6.2 Application de la stratégie .................................................................................................................................... 32
6.3 Vérification de l’application de la GPO ................................................................................................................. 32
7—Problème de remontée de postes clients ................................................................................................................ 35
7.1 Vérification 1 ......................................................................................................................................................... 35
7.2 Vérification 2 ......................................................................................................................................................... 36
7.3 Mises à jour Serveur Wsus .................................................................................................................................... 36
7.4 Compte rendu ....................................................................................................................................................... 37
8—Configuration avancée de Wsus ............................................................................................................................... 39
8.1 Création d’un groupe d’ordinateurs ..................................................................................................................... 39
8.2 Ajout d’un ordinateur à un groupe d’ordinateurs ................................................................................................ 40
9—Approbation des mises à jour .................................................................................................................................. 42
9.1 Approbation manuelle .......................................................................................................................................... 42
9.2 Approbation automatique .................................................................................................................................... 44
10—Organisation des mises à jour ................................................................................................................................ 47
10.1 Mises à jour suivant une classification ............................................................................................................... 47
10.2 Mises à jour approuvées à un produit ................................................................................................................ 48
10.2 Mises à jour approuvées à un groupe ................................................................................................................. 48
11—Administration des mises à jour............................................................................................................................. 50
11.1 Mises à jour non approuvées .............................................................................................................................. 50
11.2 Vérification des mises à jour approuvées ........................................................................................................... 52
11.3 Rapport de mises à jour ...................................................................................................................................... 52
12—Script Pour l’activation de Windows Update sur postes clients .......................................................................... 54
3
1-Pré-Requis
Avant d’installer WSUS vérifier que les logiciels suivants sont correctement installés.
IIS 6.0 ou ultérieur avec comme composants ASP.NET, Authentification Windows, Compression de
contenu dynamique, Compatibilité avec la gestion IIS 6. (Installation faite avec IIS 7)
Windows Installer 3.1 ou ultérieur
BITS 2.0 et WinHTTP5.1, cette mise à jour permet d’améliorer les protocoles de transfert utilisés par
les serveurs et les clients WSUS http://go.microsoft.com/fwlink/?LinkID=47251
Framework .NET 2.0 http://go.microsoft.com/fwlink/?LinkID=68935 (Installation de Net Framework 4.5) MMC 3.0 http://go.microsoft.com/fwlink/?LinkID=70412 Microsoft Report Viewer Redistribuable 2008 http://www.microsoft.com/downloads/fr-
fr/details.aspx?FamilyID=8a166cac-758d-45c8-b637-dd7726e61367 (Attention, j’’ai installé pour ma part la version 2008 car je pars sur l’installation de WSUS 3.0 SP2 directement)
2-Installation des prérequis
2.1 Installation de IIS
Gestionnaire de serveur > clic droit sur Rôles > Ajouter des rôles
Suivant
4
Cocher Serveur Web IIS (une fenêtre apparait) > cliquer sur Ajouter des fonctionnalités puis cliquer
sur Suivant
Cliquer sur Suivant
Cocher Authentification Windows et ASP.net > cliquer sur Suivant
5
Cliquer sur Installer
L’installation se déroule. > Redémarrer le serveur une fois l’installation terminée.
Après installation, on pourra tester son fonctionnement. Pour cela, ouvrir le navigateur web sur un poste,
même client et se rendre sur l’adresse locale du serveur : http://vm08sys Ce qui donne l’affichage suivant :
6
2.2 Installation BITS
Gestionnaire de serveur > clic droit sur Fonctionnalité > Ajouter des fonctionnalités
Cocher Extensions du serveur BITS
La fenêtre suivante apparait > cliquer sur Ajouter les services de rôle requis
9
Cliquer sur Fermer pour terminer l’installation. > Redémarrer le serveur
Avant de continuer j’ai procédé à l’installation des mises à jour Windows sur la VM : vm08sys.
2-3 Installation de Net Framework 4.5.1 et Report Viewer 2008
Tout d’abord, télécharger Net Framework sur le site de Microsoft et lancer l’installation.
10
Tout d’abord, télécharger Report Viewer sur le site de Microsoft
Une fois le fichier téléchargé, double cliquer dessus pour l’exécuter. La fenêtre ci-dessous apparaît,
cliquer sur Suivant
Cocher, J’ai lu les termes du contrat de licence et je les accepte puis cliquer sur Installer
L’installation se déroule
12
3-Installation Wsus 3.0 Sp2 sous Windows Server 2008
3.1 Installation de la base de données interne
Gestionnaire de serveur > clic droit sur fonctionnalités > Ajouter des fonctionnalités > cocher base
de données interne de Windows.
13
3-2 Vérification des prérequis
Une fois le fichier téléchargé, nous allons vérifier si tous les prérequis sont correctement installés.
Clic sur Démarrer sur le serveur Wsus >cmd
Se déplacer dans le répertoire dans lequel se situe WSUSSetup.exe précédemment téléchargé puis saisir la
commande WSUS30-KB972455-x64 /p
En exécutant cette commande, l’utilitaire va vérifier que tous les prérequis sont correctement installés. Le
fichier WSUSPreReqCheck.xml est créé dans C:\Users\Administrateur\AppData\Local\Temp\2
Si tous les prérequis sont valides il suffit de passer à l’installation de WSUS. Double cliquer sur le fichier
WSUS30-KB972455-x64.exe pour commencer l’installation.
3-3 Nettoyage espace disque :
L’installation de Wsus ne prend pas beaucoup de place mais le dépôt des mises à jour en demandera
beaucoup suivant les options choisies. Prévoir 30 à 40 Go n’est pas à exclure. Il peut sembler utile de vider
les fichiers inutiles sur le serveur.
Avant de procéder à l’installation, j’ai fait un nettoyage du disque avec cleanmgr qui est un outil de
nettoyage mais qui n’est pas installé en natif, dont voici la méthode d’installation :
14
3-4 Installation de WSUS
Installation de WSUS SP2 x64 :
WSUS30-KB972455-x64.exe
Extraction des fichiers nécessaires.
15
Cliquer sur Suivant
Cocher Installation serveur complète avec la console d’administration > cliquer sur Suivant
Cliquer sur J’accepte les termes du contrat de licence > cliquer sur Suivant
16
Choisir l’emplacement des mises à jour puis cliquer sur Suivant. Dans mon cas je conserve
l’emplacement par défaut c’est-à-dire C:\WSUS-Stockage
c:\Wsus-Stockage
Cliquer sur Suivant
c:\Wsus-Stockage
Si l’on souhaite utiliser le site web par défaut, cliquer sur Suivant. Si l’on dispose déjà d’un site Web
sur le port 80, il est possible de créer un autre site sur le port 8530 en sélectionnant Créer un site Web
Windows Server Update Services 3.0 SP1 puis cliquer sur Suivant.
Pour mon cas, j’ai choisis par défaut sur le port 80 car je n’ai pas de site Web de stocké en interne, bien
que cela ne pose pas de problème de fonctionnement, avec le recul je pense que j’aurais dû opter pour le
port 8530 voire 8531 pour https. Car le port 8530 m’aurais permis de pouvoir séparer les flux classiques
http des téléchargements de mises à jours sur les firewalls.
18
4-Configuration de WSUS
A noter qu’après l’installation Wsus propose d’office la configuration de Wsus mais si ce n’est pas le cas, il
suffit de lancer la plateforme Wsus et de se rendre dans les options comme le montre l’illustration suivante.
La fenêtre suivante apparait. > Cliquer sur Suivant
Si l’on souhaite participer au Programme d’amélioration de Microsoft Update cocher la case puis
cliquer sur Suivant.
20
Cliquer sur Suivant. Dans le cas d’un proxy il faut renseigner les champs demandés et cliquer sur
Suivant
Cliquer sur Démarrer la connexion, Attention ici la durée de connexion peut être plus ou moins
longue suivant le débit. Pendant la connexion, WSUS va créer trois dossiers :
A noter que le dernier dossier contient tous les cab pour l’installation des mises à jour.
21
Cliquer sur Suivant
Sélectionner les langues que va télécharger le serveur puis cliquer sur Suivant. A noter qu’il est intéressant
de cocher la case Anglais car toutes les mises à jour ne sont pas forcément disponibles en Français, du
moins dans un premier temps.
24
Cocher Synchroniser automatiquement puis choisir l’heure de la synchronisation et sa fréquence puis
cliquer sur Suivant
Pour moi : 21h
La configuration de WSUS est terminé, Cliquer sur Terminer
25
5-Installation de la console d’administration sur un poste
Client
Installation de la version Wsus et de report Viewer 2008.
Ma version : WSUS30-KB972455-x86.exe
L’installation du Report Viewer et de Wsus sont les mêmes fichiers que pour l’installation sur le serveur.
L’installation de Report 2008 reste identique que celle faite sur le serveur. Par contre pour Wsus,
l’installation reconnaît que c’est un Pc Windows et non un serveur et propose l’installation de la console
d’administration.
5.1 – Installation de Report Viewer 2008
Cliquer sur Suivant
Cocher J’ai lu les termes du contrat de licence et je les accepte puis cliquer sur Installer
26
L’installation se déroule
Cliquer sur Terminer pour finir l’installation de Report Viewer
5.2 – Installation de la console d’administration Wsus
Cliquer sur Suivant
27
Cocher Console d’Administration uniquement puis cliquer sur Suivant
Cliquer sur J’accepte les termes du contrat de licence puis cliquer sur Suivant
L’installation se déroule
28
Une fois l’installation terminée, il faut connecter la console d’administration au serveur WSUS.
Clic sur Update Service > clic sur Se connecter au serveur
La fenêtre suivante apparait, saisir le nom ou l’adresse IP du serveur puis cliquer sur Connexion
Si la connexion réussi, cela doit donner la même chose que sur l’illustration
29
6- Ajout des clients sur le serveur WSUS
L’ajout de client peut se faire en local, c’est-à-dire en se connectant directement sur le poste client et en
ouvrant la stratégie de groupe via gpedit.msc… Mais, cette méthode est bien pour quelques postes mais n’est
pas dans la logique d’une administration de parc. Etant dans un domaine, il faut mieux passer par une Gpo
sur le serveur AD directement.
6-1 Ajout via GPO
Pour éviter d’aller modifier les stratégies locales sur tous les postes du parc informatique, il faut créer une
GPO qui va se propager sur les ordinateurs du parc.
Ouvrir la Console de gestion des stratégies de groupes depuis les outils d’administrations. Déployer
l’arborescence en cliquant sur Foret > Domaine > clic droit l’unité d’organisation désiré puis Créer un objet
GPO
Donner un nom à votre GPO dans mon cas MAGPO
Bien qu’il n’est pas coutume de ne pas ranger la GPO dans
une OU, j’ai fini par la placer au plus haut niveau de
l’arborescence car j’ai rencontré un problème d’application de
la GPO.
Ouvrir la GPO en faisant un clic droit puis Modifier
Développer l’arborescence Configuration ordinateur > Stratégie > Modèles d’Administration >
Composants Windows > Windows Update
30
L’affichage devra afficher ceci dans la colonne de droite.
Double cliquer sur Spécifier l’emplacement intranet du service de mise à jour
Dans mon cas :
Configurer le service de Mise à jour pour la détection des mises à jour : http://wm08sys
Configurer le serveur intranet de statistiques : http://wm08sys
31
Attention ! Ici, ma connexion se fait par le port 80, car cela a été mon choix lors de l’installation. Mais, il
ne faut surtout pas indiquer ce numéro de port http://vm08sys:80 car cela causera des problèmes de
remontée de machines, surtout pour les serveurs
Double cliquer sur Configuration du service Mises à jour automatiques
Double cliquer sur Pas de redémarrage automatique avec des utilisateurs connectés…
32
6-2 Application de la stratégie
Redémarrer le poste client ou forcer la mise à jour des stratégies. Pour cela ouvrir une console
Puis saisir gpupdate /force
Si tout se déroule correctement, la fenêtre suivante doit apparaitre.
6-3 Vérification de l’application de la GPO :
Bien que la GPO ait l’air de s’être bien appliquée, il arrive parfois que rien ne fonctionne. Deux étapes pour
vérifier que tout fonctionne.
Etape 1 :
Dans la gestion de stratégie de groupe, il existe un dossier Résultats de stratégie de groupe. Pour vérifier
qu’un client a bien sa GPO d’appliquée, il suffit de cliquer sur Assistant Résultats de stratégie de
groupe…Comme le montre l’illustration ci-dessous.
33
Choisir l’ordinateur client concerné
Et en générant le rapport on peut voir que l’objet MAGPO a bien été appliqué sur le PC182s dans le résumé
de la configuration ordinateur.
34
Etape 2 :
Un outil du nom de ClientDiag.exe permet de voir si tout est bien paramétrer, s’il n’y a aucun Fail en rouge
à l’écran ce que tout est bon. Dans le cas où il aurait du rouge, il faut se reporter au chapitre 7.
35
7- Problème de remontée des postes clients
Comme rien ne fonctionne du premier coup, à moins d’avoir de la chance… Il se peut que des ordinateurs ne
remontent pas dans la console WSUS.
7.1 Vérification 1
Vérifier que la Gpo est bien appliquée, pour cela deux méthodes :
1 – Sur la console du serveur Gestion de stratégie de groupe, il suffit de générer un rapport sur l’application
de Gpo pour un client ou un groupe.
Comme on peut le voir ci-dessous dans le cas présent la Gpo MaGPO est bien appliquée :
2- Il est possible de vérifier cela directement sur le poste client, pour cela en faisant Démarrer>exécuter, il
faut taper la commande suivante : rsop.msc.
Attention, étant connecté en tant qu’utilisateur du domaine et non administrateur, il me faut exécuter cette
commande avec les droits administrateur. Pour cela il suffit de lancer la commande en appuyant sur les
touches Ctrl+shift+entrée. Ce qui donne l’affichage suivant
36
Une fois encore, force est de constater que la GPO a bien été appliquée. Malgré tout, il se peut que les
ordinateurs ne remontent toujours pas, malgré x redémarrage de la machine. Cela vient du fait que le service
de mises à jour automatique est désactivé.
7.2 Vérification 2
Pour cela il nous faut ouvrir la console d’administration des services en tapant dans Démarrer>exécuter la
commande services.msc et de sélectionner le service Windows Update.
Comme on peut le voir sur l’image ci-dessus, dans type de démarrage, le service est désactivé. Aussi il est
fort à parier que le service n’est pas démarré. Le problème de remontée est ici et il faut activer ce service.
Seulement en mode utilisateur il est impossible de changer l’état du service. Pour remédier à cela, il faut
lancer une ligne de commande depuis un compte faisant partie du groupe administrateur ou le faire tout
simplement à partir du serveur.
Démarrer > Exécuter > cmd
Sc \\10.35.10.132 config wuauserv start= auto (attention à l’espace entre le = et le auto)
Sc \\10.35.10.132 start wuauserv (afin de démarrer le service)
Enfin faire Démarrer > Exécuter puis saisir la commande ci-dessous sur le poste client
wuauclt.exe /resetauthorization /detectnow
7.3 Mise à jour serveur Wsus
Malgré toutes ces opérations si aucun PC ne remonte son rapport de mises à jour comme sur l’illustration.
Il est possible qu’il manque un KB correctif, comme le KB2720211 qui permet de corriger la remontée des
rapports des différents postes. Mais si cela ne suffit pas, il faut alors mettre à jour le serveur en mode
manuel. Cela dit si Wsus a inclus le serveur pour les mises à jour il mettra alors un message d’erreur lors de
la recherche des mises à jour. Il faut avant tout exclure le serveur de la GPO. Pour cela il suffit de se rendre
dans les stratégies de groupe.
Clic sur la GPO > Délégation > Bouton Avancé en bas à droite
Sélection de la VM08SYS > Appliquer la stratégie de groupe > Refuser
Gpupdate /force
37
Maintenant il est possible de mettre à jour la VM. Cela n’est pas dans les prérequis de Wsus et devrait l’être,
avoir une machine contenant Wsus à jour. Cela permettrait d’éviter de chercher quel KB correctif à installer.
7.5 Compte Rendu
Finalement, si tout fonctionne bien l’utilisateur devrait avoir comme affichage dans Windows Update les
deux illustrations suivantes.
38
A noter également que le poste client doit remonter un état de ses mises à jour installées sur son poste, cela
peut être plus ou moins long suivant le réseau. Parfois il faut attendre une journée complète, il faut se
montrer patient. Par contre une fois que le poste client a reçu une première mise à jour, on peut être sûr que
tout fonctionnera bien par la suite.
39
8- Configuration avancée Wsus
Groupe d’ordinateurs
Avec WSUS, il est possible de créer des groupes d’ordinateurs. Ces groupes vont permettre de classer les
ordinateurs comme l’on souhaite mais surtout vous aller pourvoir déterminer des stratégies différentes pour
tous ces groupes. Par exemple, des stratégies d’approbation des mises à jour.
8-1 Création d’un groupe d’ordinateurs
Développer Ordinateurs en cliquant sur le (+) puis faire un clic droit sur Tous les ordinateurs puis
Ajouter un groupe d’ordinateurs.
Saisir le nom du groupe puis cliquer sur Ajouter
40
Ce qui donne l’arborescence suivante :
8-2 Ajout d’un ordinateur à un groupe d’ordinateur.
Depuis l’interface d’administration de WSUS.
clic sur Tous les ordinateurs > clic droit sur l’ordinateur que l’on désire mettre dans un groupe >
puis Modifier l’appartenance
41
Cocher le groupe dans lequel on souhaite le mettre puis cliquer sur Ok. Ce qui peut donner l’affichage
suivant.
42
9-Approbation des Mises à jour
Maintenant que WSUS est installé, il faut approuver les mises à jour pour les déployer sur les postes. Par
défaut, les mises à jour ne sont pas téléchargées et donc pas disponibles sur les postes client. Pour qu’elles
soient disponibles, il faut les approuver manuellement et définir quels groupes d’ordinateurs sont autorisés à
les installer.
L’avantage de l’approbation manuelle réside dans la possibilité de pouvoir tester les mises à jour pour un
petit groupe d’ordinateur de test avant de les déployer sur tout le parc.
9-1 Approbation Automatique
Pour l’approbation automatique depuis la console d’administration WSUS :
cliquer sur Options > Approbations automatique
La fenêtre ci-dessous apparait. Par défaut, une règle approbation est créée. En la cochant, seules les mises à
jour critiques et les mises à jour de sécurité seront approuvées pour tous les ordinateurs. Si celle-ci vous
convient, cocher la règle puis cliquer sur Appliquer et Ok.
43
Création d’une approbation automatique personnalisée :
1) Cliquer sur Nouvelle règle
2) Choisir la règle que l’on souhaite appliqué (Etape 1)
3) Dans la classification il est possible de choisir l’étendue de la mise à jour (critique, sécurité...)
4) Il faut ensuite choisir les ordinateurs à approuver pour cette règle
5) Enfin pour la dernière étape il faut lui attribuer un nom.
44
Vérifier que la règle soit bien cochée puis cliquer sur Appliquer puis Ok
9-2 Approbation Manuelle
L’approbation automatique reste un moyen sûr de se décharger du travail de l’administrateur. Seulement au
début si aucune mise à jour n’a jamais été faîtes sur les postes, il se peut que le réseau soit surchargé
d’application de mises à jour clients, aussi un utilisateur ne peut toujours pas attendre sagement que les
45
mises à jour se fassent sur son poste. C’est pourquoi, l’approbation manuelle permet d’envoyer des mises à
jour suivant sa convenance. Aussi, cela permet de tester sur un nombre restreint des nouvelles mises à jour,
si une erreur se produit, mieux faut-il avoir deux postes de plantés au lieu de plusieurs dizaines voire plus.
Développer Mises à jour (+) puis par exemple cliquer sur Mises à jour prioritaires. Dans la colonne de
droite, sélectionner la mise à jour à approuver puis clic droit sur celle-ci puis Approuver
Sélectionner soit le groupe soit tous les ordinateurs puis cliquer sur Approuvée pour l’installation puis
cliquer sur Ok. Dans mon cas, je teste d’abord la mise à jour sur un groupe d’ordinateur avant de la déployer
sur tous les ordinateurs. Cela permet d’éviter tout problème lié à la mise à jour.
Cette fenêtre montre la progression de l’approbation. Pour la fermer, cliquer sur Fermer.
46
La mise à jour est maintenant approuvée et va être déployée sur les ordinateurs membres du groupe. A noter
aussi qu’en cliquant sur une mise à jour, Wsus offre une mine d’information concernant la mise à jour
sélectionnée. Par exemple, si le poste doit être redémarré, si l’utilisateur doit intervenir… (Voir illustration
ci-dessous).
47
10 - Organisation des mises à jour
Afin de mieux organiser les mises à jour, il est tout à fait possible de créer différentes vues, cela permet
d’affiner l’application qui peut être fastidieuse. La mise en place reste simple, le plus dur est de travailler en
amont sur l’organisation que l’on souhaite avoir. Plus le travail sera bien fait avant et plus il sera facile de
s’organiser.
10.1 Mises à jour suivant classification
Le choix va se porter sur une catégorie de mise à jour.
48
10.2 Mises à jour suivant un produit
Cela reste plus intéressant ici car on peut être beaucoup plus précis et l’on peut affiner plus facilement/
10.3 Mises à jour approuvées à un groupe
49
Résumé de la création :
Vues organisationnelle des mises à jour
Organisation des ordinateurs pour l’approbation
50
11 - Administration des mises à jour
Maintenant que tout est bien paramétré, il faut faire vivre le produit.
11.1 Mise à jour non approuvées
Pour cela prenons un exemple en cliquant sur l’icône mise à jour Windows 7
Dans Approbation, afin d’afficher toutes les mises à jour, il suffit de cliquer sur Non approuvées, et
d’appuyer sur Actualiser.
Une liste comme le montre l’image ci-dessous apparaît.
Nombre de mises à jour totales pour Windows 7 / Nombre d’ordinateurs possédant déjà cette mise à jour
Mise à jour possible mais non affectée.
Maintenant, il suffit de sélectionner les mises à jour que l’on souhaite appliquer. Pour cela il est possible soit
de cliquer sur une mise à jour en d’en sélectionner plusieurs (clic sur le premier + shift et clic sur le dernier).
Ensuite clic droit > Approuver, donne l’affichage suivant :
51
Il faut ensuite choisir le groupe d’ordinateurs que l’on souhaite approuver pour l’installation et de faire un
clic droit sur Approuvée pour l’installation.
Résultat :
Les mises à jour seront poussées vers les Pc clients vers l’heure qui a été programmé dans la GPO.
52
11.2 Vérification des mises à jour approuvées
Pour cela il suffit de se rendre sur l’unité d’organisation Windows 7 et de choisir Approuvées dans
Approbation et enfin d’actualiser le tout pour que la liste de ce que l’on a sélectionné apparaisse.
11.3 Rapports de mises à jour :
Comme il serait bien difficile d’aller derrière chaque poste pour voir si les mises à jour ont été bien
appliquées, des rapports ont été prévus à cet effet.
Si l’on veut par exemple un rapport sur les mises à jour que l’on vient d’approuvées, il suffit de cliquer sur
Tableau de l’état des mises à jours pour les mises à jour approuvées :
Cela affiche l’écran suivant ou tous les champs en bleu sont modifiables. Pour notre cas, il suffit de cliquer
sur les ordinateurs afin de choisir 100-Peltier
Il ne reste plus qu’à cliquer sur Exécuter le rapport et l’affichage suivant apparaît :
53
Ici aucune mise à jour n’a encore été installée sur les postes clients mais cet affichage sera différent dès
qu’elles auront été appliquées.