Gestion des mises à jour Windows -...

BTS SIO 2014

Gestion des mises à jour Windows PPE : WSUS

Franck FALCHI

GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 1/45

Table des matières I- Contexte .......................................................................................................................................................... 2

II- C’est quoi WSUS .............................................................................................................................................. 2

III- Principe de fonctionnement ........................................................................................................................ 2

IV- Les différents scénarios ............................................................................................................................... 3

4.1- Déploiement simple de WSUS ................................................................................................................. 3

4.2- Plusieurs serveurs WSUS ......................................................................................................................... 3

4.3- Serveur WSUS déconnecté ...................................................................................................................... 4

V- Microsoft Windows update ............................................................................................................................ 4

VI- Le Patch Tuesday ......................................................................................................................................... 5

VII- Mise en œuvre ............................................................................................................................................. 5

4.1- Outil nécessaire ....................................................................................................................................... 5

4.2- Connaissance à avoir ............................................................................................................................... 5

4.3- Configuration préliminaire ...................................................................................................................... 6

4.4- Installation et configuration du rôle WSUS ............................................................................................. 7

4.5- Mise à jour avec une stratégie de groupe ............................................................................................. 27

4.6- Ajouter un ordinateur a une UO ............................................................................................................ 36

4.7- Ajouter un groupe d’ordinateur ............................................................................................................ 39

4.8- Avoir un détail de l’état des mises à jour .............................................................................................. 41

4.9- GPO pour bloquer la sélection ............................................................................................................... 43

VIII- Détails du projet ........................................................................................................................................ 45

IX- Sources ...................................................................................................................................................... 45


I- Contexte

Une organisation ayant un parc informatique de 300 postes et 3 serveurs dont un AD, un DHCP, un serveur

Web veulent automatiser les mises à jour des postes clients. Leur configuration actuelle permet à chaque

poste de télécharger automatiquement les mises à jour sur les serveurs de Microsoft Windows Update. Cette

méthode ne leur permet pas de contrôler si les mises à jour sont faites par tous les utilisateurs. Ce qui rend le

parc informatique vulnérable et mobilise une grande partie de la bande passante. L’administrateur réseau

souhaiterait libéré la bande passante en mettant en place un serveur qui permet de télécharger une seule fois

les mises tout en contrôlent leur déploiement. Après quelques recherches, l’administrateur décide d’installer

le rôle WSUS.

II- C’est quoi WSUS

Les services WSUS (Windows Server Update Services) permettent aux administrateurs des technologies de

l’information de déployer les dernières mises à jour des produits Microsoft. Avec WSUS, les administrateurs

peuvent administrer entièrement la distribution des mises à jour, publiées par le biais de Microsoft Update,

sur les ordinateurs de leur réseau. Dans Windows Server 2012, cette fonctionnalité est intégrée au système

d’exploitation en tant que rôle de serveur. Un serveur WSUS peut être la source des mises à jour pour les

autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est

appelé serveur en amont. Dans une implémentation WSUS, au moins un serveur WSUS du réseau doit se

connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles. L’administrateur

peut déterminer, en fonction de la configuration et de la sécurité du réseau, le nombre d’autres serveurs se

connectant directement à Microsoft Update.

III- Principe de fonctionnement

WSUS vous aide à assurer l’efficacité des opérations, à surmonter les failles de sécurité et à maintenir la

stabilité de votre environnement de production. Si votre organisation ne peut pas déterminer et assurer un

niveau connu de confiance dans ses systèmes d’exploitation et logiciels d’application, elle peut être confronté

à des failles de sécurité qui pour réduire au maximum cette menace, vous devez disposer de systèmes

correctement configurés, utiliser les derniers logiciels et installer les mises à jour logicielles recommandées.

Le fonctionnement de base de WSUS est simple. Il télécharge les mises à jour depuis les serveurs Windows

Update et il déploie les mises à jour téléchargées sur les machines de votre réseau.

Il permet donc une :

- gestion des mises à jour centralisée

- automatisation de la gestion des mises à jour


IV- Les différents scénarios

4.1- Déploiement simple de WSUS

Le déploiement de WSUS le plus simple est constitué d’un serveur à l’intérieur du pare-feu d’entreprise qui

sert les ordinateurs clients sur un intranet privé. Le serveur WSUS se connecte à Microsoft Update pour

télécharger les mises à jour. Cette opération est connue sous le nom de synchronisation. Lors de la

synchronisation, WSUS détermine si de nouvelles mises à jour ont été mises à disposition depuis la dernière

synchronisation.

4.2- Plusieurs serveurs WSUS

Les administrateurs peuvent déployer plusieurs serveurs exécutant WSUS qui synchronisent tout le contenu à

l’intérieur de l’intranet de leur organisation. Dans la figure, seul un serveur est exposé à Internet. Dans cette

configuration, il s’agit du seul serveur qui télécharge les mises à jour de Microsoft Update. Ce serveur est

configuré comme le serveur en amont, c’est-à-dire la source sur laquelle les serveurs en aval se synchronisent.

Les serveurs peuvent être situés sur un réseau multi sites afin d’offrir la meilleure connectivité à tous les

ordinateurs clients.


4.3- Serveur WSUS déconnecté

Si la stratégie d’entreprise ou d’autres circonstances limitent l’accès des ordinateurs à Internet, les

administrateurs peuvent configurer un serveur interne pour exécuter WSUS. Il peut s’agir, par exemple, d’un

serveur connecté à l’intranet, mais isolé d’Internet. Après avoir téléchargé, testé et approuvé les mises à jour

sur ce serveur, un administrateur exporte les métadonnées et le contenu de mise à jour vers un stockage

amovible. Les métadonnées (ex : une photo avec la date, nom de l’appareil) et le contenu de mise à jour sont

importés du stockage amovible vers les serveurs exécutant WSUS à l’intérieur de l’intranet.

V- Microsoft Windows update

Apparu avec Windows 98, Windows Update est un site web de Microsoft sur lequel les utilisateurs peuvent

maintenir à jour leur système d'exploitation Windows et télécharger diverses mises à jour des produits de la

firme. La dernière version est la 7.0 date de 2005.

Auparavant, c’était un site web qui détectait les différentes mises à jour qui n'avaient pas été installées sur

l'ordinateur. Au fil du temps, de nombreuses améliorations sont apparues telles que les mises à jour

automatiques ou encore Microsoft Update qui permet de mettre ajour d'autres logiciels Microsoft.

Depuis juillet 2005, il est nécessaire que Windows Genuine Advantage ait été installé pour que l'utilisation du

logiciel soit possible. Sous Windows XP, Windows Update est toujours en version 6, sous la forme d'un site

web qui ne fonctionne que sous Internet Explorer.

La version 7.0 apparait comme un composant du panneau de configuration, et non plus comme un logiciel.

Bien plus pratique et rapide, il permet également de rechercher automatiquement des pilotes certifiés par

Microsoft. L'utilitaire se lance en passant par le Panneau de Configuration > Système et Sécurité > Windows

Update.

Les mises à jour prioritaires sont sélectionnées directement lorsque le logiciel en est informé et propose de

suite leur installation. Les mises à jour facultatives doivent être sélectionnées manuellement par l'utilisateur.

Il intègre désormais un module interne à Windows permettant d'un simple clic de visualiser l'historique des

mises à jour installées.


VI- Le Patch Tuesday

Le Patch Tuesday, c’est le deuxième mardi de chaque mois ou Microsoft met à disposition de ses clients les

derniers patchs de sécurité pour ses logiciels. Cela a débuté avec Windows 98, Microsoft utilise le système

Windows Update qui permet de vérifier les patchs de sécurité à appliquer à Windows.

Le système de mise à jour de Windows a souffert de deux problèmes :

- Du côté des utilisateurs novices qui ne le connaissaient pas et qui ne l'utilisaient pas. La solution a été

d'introduire le système des « mises à jour automatiques ».

- Du coté des administrateurs de parcs informatique avec une difficulté pour leur déploiement. Il était

difficile de vérifier que tous les systèmes étaient à jour.

Afin de réduire les coûts engendrés par le déploiement des patchs, Microsoft a créé le concept de Patch

Tuesday. L'idée est que des patchs sont accumulés durant un mois et sont ensuite distribués un jour précis

pour que les administrateurs systèmes puissent se préparer. Cette date a été fixée à peu près au début de la

semaine, et surtout assez loin de la fin pour que tout problème éventuel soit corrigé avant le week-end.

Dans la plupart des cas, les mises à jour de Microsoft et les correctifs sont seulement diffusés le jour du Patch

Tuesday. Cependant, ce n’est pas rare qui les mises à jour sont délivré en dehors de cette date, en moyenne,

plusieurs fois par année.

VII- Mise en œuvre

Ce mode opératoire est un aide-mémoire pour installer rapidement WSUS qui a été testé sur VMware

Workstation avec des VM fraichement installé. Je ne serai pas tenu responsable pour toute erreur de

configuration ou d’erreur système. Je ne peux être tenu comme responsable en cas de "plantage" de vos

systèmes. Pouvez-vous me signaler tous problèmes à la réalisation et la rédaction de ce tutoriel, merci.

4.1- Outil nécessaire

Nous allons déployer WSUS de manier simple. Dans notre configuration, nous avons besoin :

Une VM avec Windows Serveur 2012 mise à jour avec pré configuré un AD, Mozilla et Wire Shark

Une ou plusieurs VM avec Windows 7 sans mise à jour effectuer pour faire des tests, Mozilla et Wire

Shark

4.2- Connaissance à avoir

configuration IP

installation/configuration de l’Active Directory

ajouter des utilisateurs à un domaine

se connecter à un domaine

création/gestion des UO/GPO


4.3- Configuration préliminaire

Vérifier si vos VM sont à bonne heure et à bonne date, attention lors d’un redémarrage la date et l’heure

sont à nouveau changer si l’heure du bios de votre hyperviseur est mal configuré.

Désactiver l’IPv6 pour toute carte réseau concernant la configuration

Configurer la carte réseau du serveur 2012 pour pouvoir se connecter à internet afin que le service

WSUS puisse plus tard télécharger les mises à jour. Ici utiliser l’adresse IP serveur attribué au début

de l’année.

Mètre ajour votre serveur

Installer le rôle AD sur le Windows Serveur 2012, regardé ici pour la procédure.

Modifier la stratégie des mots de passe pour pouvoir créer un utilisateur avec un mot de passe

simple, regardé ici pour la procédure

Créer un utilisateur sur le domaine nommé « testwsus », regardé ici pour la procédure

Configurer la carte réseau de Windows 7 pour qu’il puisse se connecter au domaine. Pour cela dans

la configuration de la carte réseau sélectionnez l’option « Obtenir une adresse IP automatique ».

Sélectionné l’option « Utiliser l’adresse de serveur DNS suivante », pour le Serveur DND préfère

mettez l’IP du serveur ou est installer les rôles AD et WSUS, pour le Serveur DNS auxiliaire mettre

l’IP local host « 127.1.0.1 ».

Ajouter le domaine à Windows 7, regardé ici pour la procédure puis redémarre la machine

Sur Windows 7 désactiver le pare-feu du domaine après avoir ouvert une session en tant

qu’Administrateur du domaine ou tout simplement par GPO cela vous évitera de faire à chaque

fois la manipulation lors de l’ajout d’un ordinateur, regardé ici pour la procédure, ne pas oublier de

faire un « gpupdate /force » et de redémarrer votre Windows 7.

Ouvrir une session sur le domaine avec l’utilisateur testwsus, regardé ici pour la procédure

Attention certain logiciel de virtualisation, a la création d’une VM,

l’hyperviseur crée un compte local par défaut. Ce compte n’ayant

pas les droits administrateurs, ne vous permettra pas de configurer

les rôles du serveur.

Veuillez à vérifier les droits du compte ou vous voulez que vos

modifications prennent effet.

Pensez à vérifier lors de l’ouverture de la session que vous avez

bien choisi le compte Administrateur ayant les droits, dans notre cas

ce sera le compte « Administrateur » du domaine créé.

http://florent-appointaire.fr/blog/2012/06/08/installation-de-windows-server-2012-et-active-directory-part-2/

http://www.manzainfo.fr/index.php/microsoft/windows-serveur-2012/59-modifier-la-strategie-de-mot-de-passe-sur-windows-server-2012#.Uqwa1_TuJ8E

http://www.manzainfo.fr/index.php/microsoft/windows-serveur-2012/39-comment-creer-un-utilisateur-dans-un-domaine-sous-windows-serveur-2012#.Uqwbf_TuJ8F

http://windows.microsoft.com/fr-fr/windows/connect-computer-domain#1TC=windows-7

http://www.it-connect.fr/desactiver-le-pare-feu-windows-par-gpo/

http://technet.microsoft.com/fr-fr/library/dd894420(v=ws.10).aspx


4.4- Installation et configuration du rôle WSUS

Vous devez avoir la fenêtre de « Gestionnaire de serveur » à chaque démarrage, c’est à partir d’ici qu’on va

configurer le serveur et ajouter le rôle WSUS.

Cliquer sur « Ajouter des rôles et des fonctionnalités » pour commencer la configuration du rôle WSUS.


Vous obtenez « Assistant Ajout de rôles et de fonctionnalité » qui vous aidera à ajouter des rôles et les

fonctionnalités au serveur. Cliquer sur « Suivant ».

Garder la sélection par défaut « Installation basée sur le rôle ou une fonctionnalité ». Cliquer sur « Suivant ».

Garder sélectionné « Sélectionner un serveur du pool de serveur ». Cliqué sur « Suivant ».


Sélectionné le rôle « Service WSUS » une fenêtre apparait.

Cliqué sur « Ajouter des fonctionnalités » cela permet d’ajouter les fonctionnalités nécessaires au

fonctionnement du rôle WSUS. Cliquer sur « Suivant ».


A cette étape, on vous propose d’ajouter d’autre fonctionnalité, ne rien rajouter, laisser par défaut.

Les fonctionnalités ajoutées par défaut sont : Base de données interne Windows, Service d’activation des

processus Windows. Après cliquer sur « Suivant ».

On vous présente le rôle WSUS. Cliquer sur « Suivant ».


Ici par défaut est sélection l’installation de la base de données Windows pour WSUS et le service WSUS laisser

comme tel. Vous pouvez sélectionner « Base de données » à ce moment-là, il faudra installer une base de

données autre que celle de Windows car elle ne permet pas de gérer un Park de plus de 500 machines pour le

rôle WSUS.

Cliquer sur « Suivant ».


Ici, nous devons choisir un dossier ou le service stockera les mises à jour téléchargé. Il est conseillé de les

stocker dans un lecteur réseau externe au serveur car suivant la configuration de votre parc informatique la

taille des mises à jour peut varier de 8 Go à une centaine de Go.

Dans notre cas, nous allons les stocker sur le serveur. Créer un dosser à la racine C : nommé « MAJWSUS » en

tant qu’administrateur du domaine pour que le service y et accédé en lecture et écriture. Puis, inscrire le

chemin « C:\MAJWSUS ». Puis cliquer sur « Suivant ».

Ici on vous explique que le Rôle Web Serveur sera installé, il permettra de sécurisé le serveur et de mieux

gérer la bande passante si plusieurs rôle sont installer sur celui-ci. Cliqué sur « Suivant ».


Ici sera sélectionné par défaut les services nécessaires au fonctionnement du rôle Serveur Web, laissez tel

quel. Cliquer sur « Suivant ».

Ici vous avez un récapitulatif de tous les services choisi et qui seront installés. Sélection le « Redémarrage

automatique » cela permettra de redémarrer la machine si besoin puis cliquer sur « Oui » pour confirmer.

Cliquer enfin sur « Installer » pour lancer l’installation qui prend environ 10 minutes.

Vous avez un récapitulatif de tout ce qui a été installé. A la fin de l’installation cliquer sur « Fermer ».


Maintenant, il faut configurer le service WSUS. Pour cela aller dans « Outil » puis « Service WSUS ».

Une fenêtre apparait pour confirmer le répertoire ou seront stocker les mises à jour, cliquer sur « Exécuter ».

Une fenêtre s’ouvre. Si vous rencontrez un problème à cette étape, cela signifie que le droit sur le dossier

n’est pas correct, vérifiez.


Patientez environ 15 minutes.

Cliquer sur « Fermer » une fois que le dossier a terminé sa préparation pour y stocker les mises à jour.

L’assistant de configuration de WSUS s’ouvre.


Une série de questions sont posée, dans notre cas vérifiez que le pare feu est désactivé, que la VM accède

bien à internet et que vous n’êtes pas derrière un proxy. Cliquer sur « Suivant ».

On vous demande si vous souhaitez participer au programme d’amélioration de WSUS. Faites comme vous le

souhaitez. Cliquer sur « Suivant ».


Ici, on vous propose de choisir le serveur où seront téléchargés les mises à jour si vous n’avez pas de serveur

WSUS en amont c’est-à-dire derrière un pare feu pour renforcer la sécurité sélectionnée « Synchronisation à

partir de Microsoft Update ». Cliquer sur « Suivant ».


Ici, configurer votre connexion si vous êtes derrière un pare feu sinon cliquer sur « Suivant ».

Ici, cliquer sur « Démarrer la connexion » pour que le service fasse une première connexion à Windows

Update pour connaitre les types de mise à jour, les produits et les langues disponibles. Patientez quelques

instants.

Si à ce stade, on vous dit qu’il y a une erreur http celle-ci est dû à une mauvaise configuration de l’horloge,

réglez la si cela ne fonctionne toujours pas activez les mises à jour Windows du serveur et désactivez le

pare-feu.

Une fois terminée cliquer sur « Suivant »


Ici, on vous demande de choisir les langues des mises à jour. Si vous stockez vos mises à jour sur un disque

externe d’une grande capacité vous pouvez sélectionner la première option. Mais dans notre cas, nous

stockons les mises à jour sur notre serveur donc nous n’avons pas une très grande capacité, il faudra donc

sélectionner « Télécharger les mises à jour dans ces langues uniquement » et sélectionner « Français ». Si

vous disposez d’un parc informatique ayant plusieurs SE en langues différentes, sélectionnez anglais car c’est

le code de base des mises à jour les plus importantes.



Ici, on vous propose de sélectionner la mise à jour de tous les produits Microsoft avant de tout sélectionner

vérifiez sur votre parc informatique quel produit est utilisé. Ici, nous avons un Windows 7 Pro x64 donc

sélectionné seulement « Windows 7 », penser à désélectionner tous les autres pour éviter des

téléchargements inutiles.



Ici, nous devons choisir les différents niveaux de mise à jour. Dans notre cas, laissez la sélection par défaut.

Cliquer sur « Suivant »

Ici, vous avez deux options, ou c’est vous qui téléchargez la liste des mises à jour disponible manuellement ou

de manière automatiquement à une l’heure que vous choisissez, si vous prenez cette dernière option la mise

à jour s’effectuera 30 minutes après l’heure configurée.

Dans notre cas sélectionnez, « Synchronisation manuellement ». Dans une réelle configuration, la

synchronisation automatique est préconisé cela évitera à l’administrateur de faire une tache rébarbative.


Sélectionnez « Commencer la synchronisation initiale » permettra au service de chercher toute les mises à

jours présente en fonction de ce que vous avez sélectionné précédemment.

Cliquez sur « Terminer », la synchronisation se lance automatiquement et une fenêtre apparait. La

synchronisation permet de chercher sur Windows update la liste des mises à jour disponibles comme chez

Linux.


Cliquer sur « Actualisé ». Vous verrez au fur et à mesure que le service WSUS trouve les mises à jour sur

Windows Update en fonction des mises à jour sélection durant la configuration, cela peut prendre du temps

suivant votre bande passante. Ici, nous avons les mises à jour de sécurité, critique qui sont en attente

d’approbation de l’administrateur, elles ne sont pas téléchargées directement ce qui permet de choisir les

mises à jour à télécharger et à installer.

Pour télécharger les mises à jour, il faut les approuver une première fois, la deuxième approbation servira à

installer les mises à jour sur l’ordinateur sélectionné. Pour cela cliquez sur « Mise à jour critique ».


Vous disposez d’un filtre qui permet de visualiser les différents états des mises à jour, sélectionnées « Nom

approuver » et « Toutes ».

Ce filtre est parfois positionné de telle sorte que vous ne voyez aucun ordinateur où aucune

mise à jour quand cela ne se produit pas, penser à vérifier les différentes options du filtre.

Sélectionnez tous les mises à jour faite cliquez droit et cliquez sur « Approuver ».

Une fenêtre s’ouvre.


A ce moment-là, il faut approuver les mises à jour pour un groupe d’ordinateur si vous en avait créé un ou

pour un ordinateur. Il est conseiller de créer plusieurs groupes d’ordinateurs cela vous permettra d’appliquer

les mises à jour que vous souhaitez à un groupe particulier.

Dans notre cas pour se simplifier la tâche, vous allez approuver les mises jour pour « Tout l’ordinateur » et

pour « Ordinateur non attribué » en cliquant sur « Approuver l’installation » puis cliquez sur « Ok » puis

« Fermer ».

Je vous rappelle que la première approbation à Tous les ordinateurs permet juste de télécharger les mises à

jour dans le dossier MAJWSUS et la deuxième approbation à Ordinateur nom attribuer permet d’appliquer

leur installation à la machine puisque l’ordinateur que l’on va ajouter ne sera pas dans un groupe.

Vous pouvez aller voir l’état des téléchargements en cliquant sur le nom du serveur « SRVWSUS ».


N’oubliez pas pour que les mises à jour soient appliquées à l’ordinateur, il faudra les approuver une

deuxième fois sur l’ordinateur que vous souhaitez.

Maintenant vous avez deux possibilités pour appliquer les mises à jour. La première consiste à utiliser un

utilitaire sur chaque client qui pointe sur les mises à jour du serveur. Une autre solution moins fastidieuse est

celle d’utiliser un objet de stratégie de groupe de domaine pour cela nous avons besoin du service Active

Directory.


4.5- Mise à jour avec une stratégie de groupe

Pour faciliter l’administration des GPO, il est conseillé de créer une « Unité d’organisation » ou ont lie une

GPO pour que les mises à jour s’appliquent automatiquement.

Ouvrir la fenêtre « Utilisateur et ordinateur Activer Directory » sélectionnez votre domaine puis cliquez droit

Nouveau > Unité d’organisation une fenêtre s’ouvre. Vous nomerez votre UO « UO_WSUS » cliquez sur

« Ok ». Fermez la fenêtre.


Ouvre la « Gestion de stratégie de groupe ».

Puis déployez votre domaine ici domaine09.net puis faites un clic droit sur votre UO « UO_WSUS » puis

cliquer sur « Cree un objet GPO dans ce domaine, et le lier ici… ».


Une fenêtrée s’ouvre, indiquer le nom « WSUS » cliquer sur « OK ». Vous venez de créer une GPO dans une

UO qui contiendra un ensemble de GPO relatif à la mise à jour Windows.

Faite un clic droit sur la GPO « WSUS » puis cliquer sur « Modifier ». Cela permettra de modifier différente

façon pour chaque ordinateur d’appliquer les mises à jour.


Vous obtenez la fenêtre « Editeur de gestion des stratégies de groupe », c’est ici qu’on va sélectionner les

différents paramètres pour appliquer les GPO.

Développer le menu Configuration ordinateur >> Stratégie >> Model d’administration >>

Composant Windows >> puis double cliquer sur « Windows Update ».


Vous obtenez toute une liste de paramètres pour configurer Windows Update du parc. Attention certaine

GPO se contredisent ou ne s’appliquent pas suivant le SE. Dans notre cas, on va configurer quelque GPO pour

faire des tests mais dans une configuration réelle, il faudra bien distinguer toutes les GPO car suivant leur état

elles appliquent certains paramètres et pas d’autres. Ne pas oublier après avoir sélectionné l’état de cliquer

sur activer.

1- Sélectionnez « Spécifier l’emplacement internet du service de mise à jour Microsoft », activer la GPO

et indiquer aux deux emplacements le nom du domaine comme ceci : http://Domaine09.net:8530.

Attention cette GPO est celle des plus importantes elle permet de pointer sur le service qui enverra les

mises à jour utilisant le port par défaut 8530, pouvant être changé. NE PAS OUBLIER LE PORT.

WSUS utilise le port 8530 pour le http et le port 8531 pour HTTPS.

http://domaine09.net:8530/


2- Sélectionnez « Autoriser les non administrateurs à recevoir les notifications de mise à jour » activer

la GPO.

Elle permet au non administrateurs d’installer les mises à jour si dans votre parc il n’y a que des utilisateurs

administrateurs, elle sera inutile.


3- Sélectionnez « Autorisez l’installation immédiate des mises à jour », activer cette GPO.

Cette GPO permet d’installer les mises à jour des quelles sont téléchargées ce qui permet de mettre à jour le

parc de manière transparente pour les utilisateurs.


4- Sélectionnez « Pas de redémarrage automatique avec des utilisateurs connecter pour l’installation

planifier automatique », activer la GPO.

Cela permet d’empêcher le redémarrage pendant que l’utilisateur utilise sa session après l’installation d’une

mise à jour qui nécessite obligatoirement un redémarrage. Un message proposera seulement à l’utilisateur à

redémarrer.


5- Sélectionnez « Configuration du service Mise à jour automatique », activer la GPO.

Cette GPO avec l’option 3 permet de chercher et de télécharger les mise en tache de fond, dès quelles sont

prêtes, un message est proposé à l’utilisateur pour les installer. Elle est idéale pour l’utilisateur expérimenté.

Vous pouvez choisir l’heure et le jour de l’exécution de la GPO, elle vous permet aussi de l’exécuter lors de la

maintenance de Windows. Sachez que Windows a intégré sur ses SE un centre de maintenance qui permet

l’exécution de diffèrent utilitaire vérifiant la bonne santé de votre SE, la mise à jour a été incluse.

L’option 4 permet une installation totalement transparente des mises à jour idéale pour un parc mais celle-ci

s’effectuera au fur à mesure de l’utilisation de la machine avec l’arrêt et redémarrage des utilisateurs.

Attention : avec ses GPO configuré, l’utilisateur a toujours accès au panneau Windows Update et pourra

désélectionner les mises à jour. On verra un peu plus tard avec une GPO comment bloquer cette interface à

l’utilisateur.


Comme les GPO ne s’appliquent pas de suite, on va les forcer avec la commande dans un terminal du serveur

avec « gpupdate /force ».

4.6- Ajouter un ordinateur a une UO

Maintenant, il faut ajouter l’ordinateur sur l’UO. Ouvrer « Utilisateur et ordinateur Active Directory » aller

dans « Computeur » clic droit sur le nom de l’ordinateur « PCWSUS ». Cliquer sur déplacer dans votre dans

« UO_WSUS » puis sur « OK ». Si vous ne voyez pas votre machine cela signifie que votre Windows ne sait

jamais connecter au domaine ou que votre pare-feu du domaine est encore activé.


Vous verrez votre ordinateur apparaitre dans UO maintenaient votre GPO s’applique à votre ordinateur.

Faites sur votre serveur un gpupdate /force par précaution. Redémarrer votre client pour que la GPO

s’applique sur l’ordinateur.


A l’ouverture de votre session, attendez un peu normalement, un message apparait pour vous dire que des

mises à jour sont prêtes. Si vous ne voulez pas attendre, utilisez la commande « wuauclt.exe /detectnow »

pour une détection immédiate.

Ou

Sur votre client, aller dans Windows Update recherchez les mises à jour. Si vous voyez apparaitre « Vous

recevez les mises à jour : gérer par votre administrateur système » cela veut dire que vos GPO se sont

appliqués est que vous avez réussi. Je vous signale que la commande « gpresult –r » indiquera toujours que

vos GPO ne s’applique pas alors que parfois elle s’applique réellement. J’ai l’impression que la commande ne

fonctionne pas pour les GPO qui s’applique à l’ordinateur.

Ou

Si aucune mise à jour apparait vérifiez quel ont était bien approuver sur l’ordinateur, quel son télécharger sur

le serveur, que votre GPO pointe bien sur la bonne URL du service, que le pare-feu du domaine est désactivé.

Faites un redémarrage complet et vérifiez.

Je vous félicite si vous avez réussi.


4.7- Ajouter un groupe d’ordinateur

Ajouter un groupe d’ordinateur au service WSUS vous permet d’appliquer certaines mises à jour et pas

d’autre sur un ensemble de machines que vous avez rattaché à ce groupe.

Ouvrez votre service « Mise à jour les services ». Déployez le menu « Ordinateur » faites un clic droit sur « Tous les ordinateurs », puis cliquer sur « Ajouter un groupe d’ordinateur ». Une fenêtre s’ouvre nommez le nouveau groupe d’ordinateur « groupewsus » et cliquez sur ajouter.

Vous venez de créer un groupe d’ordinateurs, il faut maintenant ajouter les ordinateurs souhaités au groupe

qui vient d’être créé.


Allez dans le menu « Ordinateurs non attribués» vous trouverez la liste des ordinateurs qui ne sont pas

attribués à un groupe.

Faite un clic droit sur la machine souhaitée, puis cliquez sur « Modifier l’appartenance », une fenêtre s’ouvre

et vous propose les groupes qui ont été crée, sélectionnez le groupe souhaité puis cliquer sur « OK ».

Si vous ne voyez aucune machine apparaitre, vérifier que le filtre a un Etat en position « Toutes » puis

actualisez.

Vous pouvez maintenant sélectionner les mises à jour puis faire une approbation sur le groupe souhaité. La

machine appartenant au groupe où vous avez fait une approbation, recevra seulement les mises à jour

approuvées au groupe lors de la recherche de Windows Update. C’est comme si Windows Update pointe sur

un répertoire contenant les mises à jour attribuées à ce répertoire donc au groupe.


4.8- Avoir un détail de l’état des mises à jour

WSUS ne dispose pas d’élément pour montrer clairement l’état de mise à jour appliqué sur votre machine ou

à l’ensemble de votre parc, seulement un pourcentage apparait avec un petit diagramme et un résumé pas

très explicite.

Un outil nommé Report Viewer vous permet d’avoir plus de détails sur la machine en rapport avec les mises. Il

vous permet même de les modifier directement à partir ce logiciel en cliquant sur la zone en bleu.

Pour que ce logiciel fonctionne, il faut ajouter une fonctionnalité le « NET Framework 3.5 » qui n’est pas

installé par défaut sur Windows Serveur 2012 mais la version 4.5 oui qui est plus récente et pas compatible

avec Report Viewer.

Il est fortement conseillé que votre serveur soit à jour pour ne pas avoir de souci, vérifiez.

Allez dans « Gestionnaire de serveur », « Ajouter des rôles et des fonctionnalités » après plusieurs suivis

vous tomberez sur « Fonctionnalité » sélectionnez « Fonctionnalité de Net Framework 3.5 » puis faites

« Suivant » puis « Installer».

Faites de nouveau une mise à jour du serveur pour appliquer les patchs de cette fonctionnalité puis

redémarrer le serveur.

Si l’installation ne fonctionne pas, suivez cette procédure proposée par Microsoft.

Apres l’installation de NET Framework 3.5 déployer le menu « Ordinateur » de WSUS et sélectionnez votre

groupe d’ordinateur « WSUSFranck » vous verrez apparaitre le nom de votre machine, faites un double clic

une fenêtre s’ouvre et vous demande de télécharger et d’installer « Report Viewer », faites le.

http://support.microsoft.com/kb/2734782/fr


Apres l’installation de Report Viewer faites un autre double clic sur le nom de votre ordinateur une fenêtre

s’ouvre et vous indiquer de manière détaillé l’état des mises à jour de la machine.

Il est possible d’exporter le résumé en format Excel, en PDF même de l’imprimer. Possibilité de filtrer les

résultats pour la classification, les produits et l’état et voir le résultat sous forme de tableau.


Les flèches permettent de visualiser les différentes mises à jour que vous avez appliquées à l’ordinateur.

En cliquant sur l’écriture en bleu vous pouvez modifier l’installation, l’approbation, l’apparence au groupe, des

informations sur les mises à jour ainsi de suite.

4.9- GPO pour bloquer la sélection

Avec la configuration ci-dessous, l’utilisateur a accès Windows Update et peut faire une recherche tout en

désélectionnant certaines mises à jour à installer. Cette configuration n’est pas acceptable dans la gestion

d’un parc informatique ou l’utilisateur est novice. Cela pourra engendre un disfonctionnement de la sécurité

du parc.

- http://serverfault.com/questions/230818/how-to-disable-windows-update-on-all-computers-in-a-

domain

- http://www.tuxwin.net/wsus/configurer-les-clients-wsus-par-gpo/

En cours de réalisation.

http://serverfault.com/questions/230818/how-to-disable-windows-update-on-all-computers-in-a-domain

http://serverfault.com/questions/230818/how-to-disable-windows-update-on-all-computers-in-a-domain

http://www.tuxwin.net/wsus/configurer-les-clients-wsus-par-gpo/


Taches Détails Date/Heures

Observations

1 Début du projet = recherche, copie des VM de base, mise à jour de OS, configuration IP. Installation et configuration des VM pour Workstation, début de rédaction tutoriel.

20/11/132h30

Phase de test et de recherche

2 Mise en œuvre d’un tutoriel sur Workstation 21/11/132h

Je suis sur la bonne piste le service semble fonctionné

3 Test et réajustement sur Workstation 22/11/131h

Applications des GPO en attente du téléchargement

4 Début de la rédaction en cours pour la procédure, capture d’écran de l’installation du service

26/11/133h

Test sur ESXi

5 Rédaction et en même temps installation du servie 03/12/136h

Sur ESXi

6 Problème rencontrai les GPO ne s’applique pas et le service WSUS ne trouve pas l’ordinateur. Action faite avec Esquirol : désactivation pare-feu du domaine, suppression des GPO inutile, redémarrage du client pour une prise en compte des GPO, création de l’UO

04/12/133h

Abandon des VM de ESXi, configuration défectueuse. Je bascule sur VMware Workstation

7 Essayé à nouveau en appliquent les actions ci-dessous finalement ça marche très bien mais les GPO ne sont pas détecter pas gpresult –r mais elle s’applique quand même

05/12/132h

Sur Workstation. GPO de l’ordinateur ne sont pas reconnues pas la commande malgré quel s’applique

8 Mes VM crachent donc il faut tout recommencer. 08/12/133h

Sur Workstation. Ca ma permit de vérifier l’ordre de la procédure et de faire quelque capture d’écran

9 La procédure fonctionne correctement enfin.

- test avec Bruno pour que les mises à jour s’installer automatiquement de manier transparente, semble pas fonctionné (peut-être que ça se fait sur plusieurs redémarrage et lors de la maintenance de la machine)

- création de groupe d’ordi pour installer deux sorte des mises à jour différente, fonctionnel en créent les groupe d’ordinateur sur WSUS et en approuvant certain mise à jour a un groupe et pas à l’autre

- rechercher un moyen de visualiser les mises à jour approuver/installer/non installer, fonctionnel grâce à Report Viewer fonctionnent avec Net Framework 3.5 (ajouter une fonctionnalité a Windows plus faire la mise à jour du serveur)

- problème l’utilisateur a accès un Windows Update et peut chercher les mises à jour et les désélection, pas acceptable dans un parc ou l’utilisateur ne s’y connait pas, piste donner par Lysiane faire un script pour bloquer la recherche ou modifier le registre ou chercher un GPO qui est concernai

10/12/136h

La GPO qui recherche les mises à jour automatiquement et qui les installer à une heure préconfiguré fonctionne, il choisir l’option 4 J’ai trouvé une GPO qui bloque l’accès à Windows Update

10 Rédaction tutoriel 11/12/133h

11 Rédaction tutoriel 14/12/13


VIII- Détails du projet

IX- Sources

URL Détails

http://www.coolwindows.fr/tutoriel-53.html Exemple de tutoriel complet sur serveur 2012

http://technet.microsoft.com/fr-fr/library/hh852345.aspx Site officiel du service WSUS sur serveur 2012

http://www.labo-microsoft.org/articles/server/WSUS/2/

Exemple de tutoriel complet sur serveur 2003

http://www.coolwindows.fr/tutoriel-33.html Exemple de tutoriel complet sur serveur 2008 R2

4h30

12 Rédaction tutoriel 15/12/133h

Total des heures

39 h

http://www.coolwindows.fr/tutoriel-53.html

http://technet.microsoft.com/fr-fr/library/hh852345.aspx

http://www.labo-microsoft.org/articles/server/WSUS/2/

http://www.coolwindows.fr/tutoriel-33.html

Gestion des mises à jour Windows -...

Documents

Transcript of Gestion des mises à jour Windows -...