Top Banner

of 29

Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript

Installation et configuration dun serveur WSUS 3 SP2Objectifs :Ce document est un guide pour linstallation et le paramtrage du composant Windows Server Update Service sur Windows Server 2008. Cest un exemple adapter selon vos besoins.

Mathias

SommaireI. a. b. c. II. Introduction..................................................................................................................................... 1 Prsentation ................................................................................................................................ 1 Type de dploiement possible .................................................................................................... 2 Prrequis ..................................................................................................................................... 2 Installation ....................................................................................................................................... 3

III. Configuration................................................................................................................................... 6 a. b. c. a. Configuration de WSUS ............................................................................................................... 6 Scurisation des changes Configuration du serveur ............................................................ 12 Scurisation des changes configuration des machines clientes........................................... 13 Configuration des GPO .............................................................................................................. 14

IV. Lancement de la console dadministration, derniers paramtrages, premire synchronisation . 19 a. b. c. d. e. Cration du groupe ................................................................................................................... 19 Modification des Options .......................................................................................................... 20 Premire synchronisation ......................................................................................................... 23 Importation de mises jour ...................................................................................................... 25 Utilisation du Cleanup Wizard ............................................................................................. 27

I.

Introductiona. Prsentation

Windows Server Update Services est un composant serveur gratuit permettant de grer les mises jour des diffrents logiciels de Microsoft ainsi que certains pilotes de matriel.

Cette solution centralise prsente de multiples avantages :

-

Dassurer la gestion des mises jour pour une gamme tendue de produits Microsoft : Dtre notifi par courriel de larrive de nouvelles mises jour ; De hirarchiser des serveurs de mises jour dans le cadre de la gestion centralise ou distribue de ces mises jour ; De valider automatiquement les catgories de mises jour de notre choix au travers de multiples rgles dapprobation ; De spcifier le primtre dapplication des mises jour valides au travers la cration de groupes dordinateurs imbriqus ; De tlcharger puis de dployer ces mises jour, sans saturation de bande passante grce au service de transfert intelligent en arrire-plan BITS 2.0.

b. Type de dploiement possibleIl existe plusieurs types de dploiements possibles : WSUS chains, WSUS hors ligne, etc. Voici celui que nous choisirons :

WSUS simple

Cest la mthode la plus simple: le serveur derrire notre pare feu qui se met jour directement sur les serveurs de Microsoft Update. Les clients rcuprent les mises jour sur ce serveur WSUS.

A propos de la synchronisation Les mises jour se composent de deux parties : les mtadonnes qui dcrivent la mise jour, et les fichiers de la mise jour qui sont les fichiers rellement ncessaires pour installer une mise jour sur un ordinateur (nous les appellerons fichiers dinstallation). Les mtadonnes sont stockes dans la base de donnes WSUS et les fichiers dinstallation sont stocks sur votre serveur WSUS. Au cours dune synchronisation, seuls les fichiers dinstallation des mises jour approuves sont tlchargs.

c. PrrequisLes prrequis et les composants de WSUS sont valider sur le serveur FS.

Configuration matrielle requise

Selon Microsoft, pour un serveur WSUS ddi, il faut minima : Jusqu 500 postes clients : Processeur 1Ghz, 1 Go de mmoire vive De 500 3000 postes clients : Processeur 1,5Ghz, 2 Go de mmoire vive

Dans les deux cas, systme de fichiers NTFS, au moins 1 Go libre sur la partition systme et selon la quantit de mises jour (et de langues) que vous souhaiterez tlcharger il vous faudra disposer de plus ou moins despace disponible sur votre serveur. Pour information, Microsoft dfinit le seuil minimal 20 Go et recommande un espace libre de 30 Go (notez bien quil sagit de recommandation minimale de Microsoft, en pratique elles sont souvent insuffisante, 60 Go est pour ma part le minimum)

Configuration logicielle requiseWindows Server 2003 Service Pack 1 ou Service Pack 2, Windows Server 2008 Les services requis avec Windows 2003 sont : IIS 6.0, .NET 2.0, MMC 3.0, Report Viewer 2005 Pour Windows 2008, il est fortement conseill dinstaller Microsoft Report Viewer 2008 Redistributable SP1 avant le lancement de linstallation, tlcharger ici sur le site de Microsoft. (Pour la cration de rapport et surtout pour une utilisation complte de linterface dadministration)

Configuration du pare feu

Tout dpend de la configuration de vos pare-feu, mais pour information sachez que le serveur WSUS utilise le port TCP 80 et le SSL 443 pour se connecter Microsoft Update.

Pour info, la liste des domaines requis par WSUS (au 22/08/2007):

http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://test.stats.update.microsoft.com http://ntservicepack.microsoft.com

II.

Installation

WSUS 3 SP1 est intgr directement Windows Server 2008, toutefois vous pouvez tlcharger directement en version SP2 ici sur le site de Microsoft.

Nous pouvons donc lancer linstallation de 2 faons :

Ajouter un nouveau rle sur votre serveur depuis la console SERVER MANAGER, et slectionner le rle Windows Server Update Services, ceci installera WSUS 3 SP1 ( mettre jours en SP2 plus tard) ou alors lancer directement linstallation de WSUS 3 SP2 que vous avez pralablement tlcharg. Linstallation dmarre, il faut accepter la licence.

Nous devons ensuite slectionner diffrents paramtres dinstallation :

Choisir un dossier pour le stockage local des fichiers de mises jour : choisissez comme rpertoire : D:\WSUS (Noubliez pas de vrifier la quantit despace disque) Bien que les mtadonnes soient stockes dans la base de donnes de WSUS, les fichiers dinstallation des mises jour ne le sont pas.

Renseigner le type et lemplacement de la base de donnes utilis par le service WSUS : On choisira dutiliser la base de donnes Interne de Windows (version allge de SQL Server sans interface ni outil) sur D:\WSUS

Windows Server 2008 teste ensuite la connexion linstance du serveur SQL :

Dans la fentre Slection du site Web : nous slectionnons le site web par dfaut dIIS, car aucun autre site nest hberg sur le serveur.(Si un autre site tait dj prsent, par souci de flexibilit, on peut slectionnez Crer un site Web Microsoft Windows Update Services 3.0 )

Maintenant un cran vient rcapituler tous les paramtres slectionns, et linstallation se termine :

III.

Configuration

a. Configuration de WSUSUne fois linstallation termine, lassistant de configuration doit souvrir. Lessentiel de la configuration du serveur WSUS seffectue au moyen de cet assistant galement disponible tout moment depuis le menu Options de la console WSUS

Nous dcochons loption du service damlioration auprs de Microsoft.

Dans notre cas, nous slectionnons la synchronisation depuis Microsoft Update (cest un serveur matre)

Pour lcran des paramtres de connexion, nous nutilisons pas de serveur proxy.

Windows Server 2008 va ensuite tester la connexion avec ses serveurs Update et transfrer nos paramtres de connexion.

Nous slectionnons ensuite les langages des systmes dexploitation dont nous disposons. (ici Franais et Anglais, mais en cas de faible bande passante ou despace disque, on pourra se contenter de Franais)

Nous slectionnons les diffrents logiciels Microsoft que nous souhaitons mettre jour via ce service. Slectionnez les produits suivants : - Office 2003 / 2007 - SDK CAPICOM - Silverlight - Windows XP - Windows 7

Puis les types de mises jour que lon souhaite voir appliqus : Slectionnez toutes les mises jour :

Optez pour une synchronisation bi-journalire automatique dont vous prciserez lheure de dpart : 5h00, puis cliquez sur Suivant

Enfin la configuration se termine, dcocher la dernire case.

Cocher la case Commencer la synchronisation initiale nous empcherait de modifier les options du serveur tant que la synchronisation des mtadonnes ne serait pas acheve (de 20 minutes 1 heure en moyenne), cest pourquoi nous lancerons la synchronisation une fois le paramtrage achev.

Fin de linstallation :

b. Scurisation des changes Configuration du serveurLorsquun poste de travail se connecte au serveur WSUS afin dy chercher la liste des mises jour qui le concernent (ou lorsquun serveur rplica se connecte au serveur en amont afin de se synchroniser), il est important de sassurer de lidentit du serveur qui rpond.

Ouvrez la console IIS 7 Sur le site que vous avez choisi pour linstallation WSUS, vrifier que la connexion en https est prsente (ici https avec le port 8531) en cliquant sur Bindings .

Vrifier aussi le certificat du serveur

Certificat valide, dlivr par lAC

c. Scurisation des changes configuration des machines clientesIl y a 2 choses importantes prendre en compte lors du paramtrage des machines clients : Les clients utilisent un canal scuris (URL avec un port scuris (HTTPS) lors de la connexion clients/serveur, ce paramtre se fait par GPO.

Le certificat sur la machine cliente doit tre import dans le store Autorit de certification racine de confiance . Limportation de certificats est automatique pour les ordinateurs joints au domaine. Pour information, vous pouvez vrifier la prsence de celui-ci comme ceci en consultant les stores certificats de la machine

a. Configuration des GPOCe chapitre dcrit la liste des stratgies activer dans diffrents objets lis aux units dorganisation des stations de travail et du contrleur de domaine. Ce nest quun exemple, mais trs proche des configurations standards que lon trouve un peu partout. Ces stratgies portent sur lemplacement du serveur de mise jour, lheure laquelle les clients contacteront le serveur WSUS et lintervalle dactualisation automatique des GPO sur les stations.

Dans celle-ci, les paramtres qui nous intressent sont sous : Computer Configuration / Policies / Administrative Templates / Windows Components / Windows Update .

Voici un rsum des paramtres slectionner :

Pour diter la GPO Computer ME : o Faites un clic droit sur la GPO, puis Edit

Ensuite dans la fentre diter, vous allez modifier les paramtres suivants :

Modifier les paramtres de tlchargement et dinstallation automatiques

Spcifier lemplacement du serveur WSUS pour les clients (Notez lutilisation du canal scuris, et du nom FQDN)

Activer la notification pour les non-administrateurs

Activer linstallation immdiate des mises jour aprs linstallation

Activer le blocage du redmarrage automatique lorsquun utilisateur est logu (un pop-up le prviendra quun reboot est ncessaire.)

Activer le ciblage des clients par GPO, en portant le nom du groupe cible. Ce paramtre va permettre dorganiser dans la console dadministration WSUS Dans notre exemple, pour le site dIstanbul, le nom du groupe sera ME d Istanbul

La configuration des GPO est termine. Vous noterez que si nous avons correctement renseign les paramtres pour les machines clientes, nous navons rien renseign pour les serveurs. En effet aujourdhui, dans mon exemple, je mets jour les serveurs manuellement, mais rien nempche de faire la mme chose pour vos serveurs.

IV.

Lancement de la console dadministration, derniers paramtrages, premire synchronisation

Ouvrez la console dadministration de WSUS (raccourci disponible parmi les Outils dadministration) : nous allons prsent achever le paramtrage de WSUS.

a. Cration du groupeNous allons commencer par crer un groupe utile au classement des PC clients. Avec un clic droit sur All Computers ajouter le groupe correspondant au site et correspondant au nom que vous avez renseign pour le ciblage des clients dans la GPO. Ici on ajoutera le groupe ME d Istanbul

b. Modification des OptionsDans la console, dans le menu de navigation gauche, cliquez sur Options , vous retrouvez alors les paramtres que lon avait renseign lors de linstallation (et mme cet assistant : WSUS Server Configuration Wizard)

Toutefois il reste quelques options dfinir : Les Automatic Approvals , il faut approuver une mise jour pour dclencher le tlchargement local des fichiers. On approuvera automatiquement les mises jour selon cette rgle :

Et vrifiez que toutes les options de longlet Avanc sont coches

Dans loption Computers

c. Premire synchronisation

A lissue de cette synchronisation il vous faudra parcourir la liste des mises jour nappartenant pas aux catgories valides automatiquement pour les stations de travail afin de valider si besoin leur dploiement

Dans larborescence de la console WSUS, cliquez sur Toutes les mises jour [1] : apparaitront alors dans le volet de droite toutes les mises jour non approuves (paramtrage par dfaut). Notez quil est possible comme dans lexemple ci-aprs :

o

De modifier laffichage afin de faire apparaitre toutes les mises jour lexception de celles qui ont t refuses (choisissez pour cela Toutes les exceptions)

o o

Dajouter dautres colonnes : par exemple Date de version ou Nombre dordinateurs ncessitant des mises jour dajouter dautres vues, par exemple une vue propre aux mises jour du produit Windows Server 2008

Cliquez ensuite sur la mise jour qui vous intresse [2] afin den faire apparaitre le descriptif et les informations additionnelles

[3]Dun simple clic sur cette mise jour, vous pouvez alors la refuser ou lapprouver [4]

Slectionnez le groupe dordinateurs pour lequel la

Cliquez sur la flche en vis--vis de ce groupe puis

mise jour slectionne sera approuve (pour le groupe et tous les sous-groupes associs).

slectionnez Approuve pour installation puis validez.

d. Importation de mises jourCertaines mises jour ne sont pas disponibles par dfaut sous WSUS ; cest en particulier le cas des mises jour dites optionnelles lors dun appel Windows Update. La procdure ci-aprs sera donc trs utile lorsque certaines de ces mises jour ont un rle jour sur nos parcs.

Depuis la console en cliquant sur Import Update

Une page Internet souvre, installer le contrle ActiveX

Tapez le numro de la KB qui vous intresse (prenons comme exemple le KB 940157 qui correspond Windows Search 4.0, pour pouvoir le dployer sur toutes nos machines XP

Cliquez sur Ajouter afin dajouter la mise jour qui vous intresse au panier. Notez au passage la colonne Classification qui vous claire quant la (future) catgorie dappartenance de cette mise jour sous votre serveur WSUS. Cliquez sur Afficher le panier, et Importer directement dans Windows Update Service

Il ne vous reste plus qu approuver cette mise jour sous votre serveur WSUS

Pour vrifier quelques jours plus tard o en est le dploiement des mises jour valides, cliquez sur Rapports, Tableau de ltat des mises jour puis sur Excutez le rapport. Exportez ces rapports au format Excel ou PDF en cliquant sur la disquette dans la barre doutils. Vous pouvez galement cliquer sur Ordinateurs afin de visualiser ltat de lensemble de vos parcs et ainsi identifiez les ordinateurs sur lesquels linstallation de mises jour a chou.

e. Utilisation du Cleanup Wizard Vous trouverez cette fonction dans lcran des options.

Prenez le temps de dcouvrir chacune des options de nettoyage : cet assistant nous permettra dsormais de dbarrasser WSUS de tout ce qui lembarrasse mesure que nos parcs voluent et que de nouvelles mises jour remplacent de prcdentes versions. Laissez toutes les cases coches sauf la seconde (qui pourrait masquer un problme sur le parc) puis cliquez sur Suivant. Un bilan apparaitra lcran lissue du nettoyage. Afin de vous assurer que tous les ordinateurs du domaine sont bien devenus clients du serveur WSUS 48h aprs sa mise en service, comparez la liste des clients de votre serveur WSUS la liste des clients de votre serveur Office Scan Bon savoir :

Une icne signale une mise jour encore requise par au moins un ordinateur ou un ordinateur sur lequel au moins une mise jour doit tre installe. Une icne signale une mise jour dont linstallation a chou sur au moins un ordinateur ou un ordinateur sur lequel linstallation dau moins une mise jour a chou. A lissue de linstallation du serveur WSUS, sur votre PC, si vous souhaitez que ce dernier puisse accder aux rapports du serveur WSUS local sans ouvrir de session sur le serveur, il est possible dinstaller la console seule WSUS 3.0 introduit un nouveau fichier journal Change.log dans lequel vous trouverez lhistorique des oprations dapprobations et plus gnralement tous les changements de configuration oprs sur le serveur. Ce fichier est enregistr sous C:\Program Files\Update Services\LogFiles. Le serveur WSUS ne prend pas en charge les Hotfix, il vous faut pour cela vous tourner vers une des solutions suivantes : Dploiement laide de script (batch, VBS, etc) Utilisation dun Local Update Publisher (je vais essayer de faire un article la dessus).

Pour forcer lapplication immdiate de ces nouvelles stratgies et lenregistrement dun poste client auprs de son serveur WSUS, excutez sur ce poste les trois commandes suivantes : gpupdate /force wuauclt /detectnow wuauclt /reportnow

Il existe un petit utilitaire (ClientDiag.exe) qui sexcute depuis un poste client et qui test la connexion avec le serveur WSUS et indique en dtail les tapes de la connexion. Voici le lien : http://technet.microsoft.com/en-us/wsus/bb466192.aspx

Ce guide sachve ici, pour plus dinformations, je vous invite consultez :

La page Technet consacre WSUS 3 ici : http://technet.microsoft.com/en-us/wsus/default.aspx Quelques outils pour WSUS : http://technet.microsoft.com/fr-fr/wsus/default%28en-us%29.aspx La description de WSUS 3 par Microsoft : http://support.microsoft.com/kb/972455


Related Documents
Instalando e Configurando o Wsus 3

Instalando e Configurando o Wsus 3

Category: Documents
Alles bereit fuer die private … Hybrid oder public …–Windows Server 2008 R2 + SP1 / 2012 / R2 –Fileserver •Update Management –WSUS 3.0 SP2 64 Bit •PRO (Performance and

Alles bereit fuer die private … Hybrid oder public...

Category: Documents
Wsus 2012r2e Guide

Wsus 2012r2e Guide

Category: Documents
WSUS exposicion

WSUS exposicion

Category: Documents
WSUS Architecture and History

WSUS Architecture and History

Category: Documents
WSUS Women's Health Guide (chapters 1-3)

WSUS Women's Health Guide (chapters 1-3)

Category: Documents
Wsus Interview

Wsus Interview

Category: Documents
WSUS - Smith.N Studio

WSUS - Smith.N Studio

Category: Documents
Server wsus

Server wsus

Category: Education
Shavlik Patch para Microsoft System Centerhelp.shavlik.com/ug-patch-2-1_ESP.pdf · o Windows Server 2008 R2 SP1 o ... está instalado en el servidor WSUS principal y ... después

Shavlik Patch para Microsoft System...

Category: Documents
Administering WSUS Servers - TechTargetmedia.techtarget.com/digitalguide/images/Misc/345_HTC_SUS_06.pdf · 168 Chapter 6 • Administering WSUS Servers 345_HTC_SUS_06.qxd 11/3/05

Administering WSUS Servers -...

Category: Documents
Install WSUS 3

Install WSUS 3

Category: Documents