Lordasse-Serveur-WSUS

7/15/2019 Lordasse-Serveur-WSUS

http://slidepdf.com/reader/full/lordasse-serveur-wsus-563280d43340a 1/44

Serveur WSUS



Serveur WSUS | Windows Server Update Services 2

SOMMAIRE

1. Comment préparer l'installation de WSUS .......................................... 5

1.1. Configuration minimale:................................................................5

1.2. Type de déploiement...................................................................5

1.3. Détails des options lors de l'installation d'un serveur WSUS ...................7

1.4. Migration d'un serveur SUS vers un serveur WSUS .............................. 11

1.4.1. Les Pré requis logiciels: ............................................................... 11

1.4.2. Installation de MSDE 2000 (Windows 2000 Server uniquement) ................... 11

1.4.3. Installation de WSUS ................................................................. 12

1.4.4. Migration du contenu du serveur SUS vers le serveur WSUS ...................... 12

1.4.5. Enlever les fonctions de SUS et activer WSUS vers le port 80. .................. 12

2. Configuration de la synchronisation et de l'approbation ....................... 13

2.1. Configuration du Service: Site Web d'administration ............................ 13

2.1.1. Option de synchronisation ............................................................. 13

2.1.2. Option d'approbation automatique .................................................... 17

2.2.

Synchronisation: téléchargement et installation des mises à jour...............

19

2.3. Exporter, importer des mises à jour ............................................... 20

2.3.1. Vérifier les options de synchronisation avancées .................................... 20

2.3.2. La migration des mises à jour......................................................... 20

2.3.3. L'exportation et l'importation des métadonnées..................................... 21

3. Gestion des machines clientes .......................................................... 22

3.1. Configuration des mises à jours automatiques des clients ........................ 22

3.1.1. Avec des Stratégie De Groupe (GPO) ................................................ 22 3.1.2. Dans un environnement sans A/D ..................................................... 25

3.2. Utilitaire en ligne de commande ......................................................... 28

3.3. Groupe d'ordinateurs WSUS......................................................... 30

4. Fonctionnalités de surveillance ......................................................... 32




4.1 Rapports ................................................................................ 32

4.1.1 Rapport "Etats des mises à jour" ...................................................... 32

4.1.2 Rapport "Etats des ordinateurs" ....................................................... 33

4.1.3 Rapport "Résultats de la synchronisation"............................................. 33

4.2 Surveillance............................................................................. 35

4.3 Outil de débogage...................................................................... 37

5. Sécurisez un serveur WSUS................................................. 37

5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant WSUS ............................................................................................... 37

5.2. Ajouter l'authentification entre les serveurs chaînés dans un environnementActive Directory ............................................................................ 38

5.2.1. Création de la liste de serveurs ...................................................... 38

5.2.2. Désactivation de l'accès anonyme dans IIS ......................................... 39

5.3. Sécurisé WSUS avec Secure Socket Layer........................................ 39

5.3.1. Les limites du SSL ..................................................................... 40

5.3.2. Configurer le SSL sur le serveur WSUS ............................................. 40

5.3.3. Configurer le SSL sur les ordinateurs clients........................................ 40

5.3.4. Configurer le SSL pour les serveurs avals WSUS ................................... 41

Conclusion ........................................................................................ 43

Ressources .......................................................................................

44




Introduction:Windows Server Update Services (WSUS) est la seconde génération de logiciel serveur

pour le déploiement des mises à jour, proposée par Microsoft pour remplacer SoftwareUpdate Services (SUS). La liste des options a été étoffée et le déploiement des serveurs aété grandement simplifié mais WSUS a toujours pour but de limiter l'utilisation de la bandepassante vers Internet et de s'assurer que vos systèmes Windows (Windows 2000, XP et2003) possèdent les dernières mises à jour installées sur votre parc informatique.

Le fonctionnement de base de WSUS est simple. Il télécharge les mises à jour depuis lesserveurs Windows Update et il déploie les mises à jour téléchargées sur les machines de votreréseau. Mais pour le bon fonctionnement de celui-ci, il est nécessaire de connaître toutes lesfonctionnalités de WSUS.

Alors, nous tâcherons de comprendre comment installer votre serveur WSUS, et nousexpliquerons comment le configurer. Ensuite, nous verrons comment utiliser les groupes pourdéployer les mises à jour. Après cela, nous aborderons comment éditer des rapports etcomment surveiller votre serveur WSUS. Enfin, nous apprendrons comment sécuriser votreserveur WSUS.




1. Comment préparer l'installation de WSUS1.1. Configuration minimale:

y Recommandation Microsoft pour 500 clients ou moins

Minimum Recommandé CPU 750 MHz 1 GHz

RAM 512 MB 1 GBBase de Données WMSDE/MSDE WMSDE/MSDE

Disque dur 32 GB 32 GB

y Recommandation Microsoft pour 500 à 15,000 clients

Minimum Recommandé:

CPU 1 GHz 3 GHz biprocesseur

RAM 1 GB 1 GB

Base de Données SQL Server 2000 avec SP3a SQL Server 2000 avec SP3aDisque dur 32 GB 32 GB

1.2. Type de déploiement

y WSUS simple:

o Méthode la plus simple: un serveur derrière votre pare feu qui se met à jourdirectement sur les serveurs de Microsoft Update

o Les mises à jour sont déployées par le biais du client de mises à jourautomatique: il faut leur renseigner l'adresse du site web sur lequel il pourra

récupérer les correctifso Création d'un site web par défaut ou alors sur un site personnalisé (port 8530)




y WSUS chaînés:

o Deux catégories de serveur: les serveurs amont et aval, un serveur aval se metà jour sur un serveur amont

o Un serveur amont ne doit jamais se synchroniser sur un serveur aval, celacréerai une boucle fermée qui n'est pas supportée par le protocole decommunication entre les serveurs.

o Une authentification peut être demandée, dans un environnement ActiveDirectory, sur le serveur amont sur la base d'une liste définie de serveurs

avals. o Microsoft recommande de ne pas dépasser un enchaînement de plus de trois

serveurs avals bien qu'en théorie aucune limite ne soit imposée par le protocolede communication entre les serveurs. Par contre, aucun test supérieur à unenchaînement de plus de cinq serveurs n'a été réalisé par Microsoft.

y Réseau déconnecté d'Internet:




o Si un segment de votre réseau n'est pas connecté à Internet, pour quelqueraison que ce soit, vous pouvez exporter le contenu de votre base de mises à jour, sur un media physique, afin de les importer sur le serveur WSUS isolé.

o Cette solution peut aussi être envisageable pour les entreprises ayant desliaisons coûteuses ou une bande passante faible vers Internet

1.3. Détails des options lors de l'installation d'un serveur WSUS

Au début de l'installation, vouspouvez choisir le répertoired'installation des mises à jourWSUS.

Vérifiez que la case Stocker lesmises à jour localement soitcochée si vous n'avez pas deserveur SQL 2000, ou bientôt,

SQL Server 2005. Notez aussique le répertoire par défaut estC:\WSUS\

La Base de Données de WSUS:

À ce moment de l'installation,vous pouvez choisir la base dedonnée qui correspond le mieux àvos besoins: WMSDE, MSDE ou unautre serveur de base de donnée(SQL Server 2000 SP3 minimum).

o Microsoft WindowsSQL Server 2000 Desktop Engine(WMSDE):

uniquement disponiblepour Windows 2003 server, pasd'interface graphique, l'utilisateur ne peut que l'utiliser pour les besoins deWSUS

o Microsoft SQL Server 2000 Desktop Engine (MSDE): installez MSDE sivous souhaitez installer WSUS sur un serveur Windows 2000, il est identique à




WMSDE mais sans les limitations pour la taille de la base ou le nombre deconnexion. Son téléchargement est disponible sur le site de Microsoft.

o Microsoft SQL Server 2000: (le service pack 3a est obligatoire). C'est leserveur de base de donnée le plus complet proposé par Microsoft. Si vouschoisissez d'utiliser ce serveur de base de données avec WSUS, les paramètresde configuration peuvent être personnalisés (nested triggers, recursivetriggers...)

Sélection du site WEB:Si sous avez déjà installé IIS

pour un autre service Web,l'assistant d'installation vousdonne le choix pour le site deWSUS:

o le site pardéfaut port 80

o ou alors lacréation d'un siteMicrosoft WindowsServer UpdateService accessiblepar le port 8530:ce numéro de portn'est pasparamétrable.

Notez ici les adresses utiles pour accéder à votre site Web WSUS:

o http://Nom_Serveur/WSUSAdmin : l'adresse d'accès à la consoled'administration de votre serveur WSUS, depuis votre navigateur Web(Microsoft IE 6 voir bientôt 7... ;).

o http://Nom_Serveur : utilisé pour l'accès depuis les clients BITS(Windows 2000, XP, 2003)




Paramètre de mise à jour sur unserveur miroir2 cas sont possibles:

o Téléchargementdepuis le siteWeb MicrosoftUpdate

o Installation d'unserveur avaldepuis un serveuramont WSUS.

La page suivante récapitule etinforme sur les sites utiles: SiteWeb d'administration:http://votreServeur/wsusadmin etSite Web de mise à jour

automatique du clienthttp://votreServeur/selfupdate




Le programme d'installation lancel'installation des services (ASP .netv 1.1, WMSDE puis WSUS). Cliquezsur le bouton Terminer etcommencez à découvrir l'interfaceen cliquant sur les différents menus

(les icônes en haut à droite) ...




À noter:Dès le début, une tâche vous demande de mettre en place des communicationsSecure Socket Layer (SSL)

1.4. Migration d'un serveur SUS vers un serveur WSUS

WSUS est une deuxième génération de serveur de mise à jour pour les infrastructuresayant des plateformes Microsoft Windows (2000, XP, 2003). Par contre, vous ne pouvez pas

mettre à jour directement un serveur SUS avec l'assistant d'installation mais Microsoftfournit un support en anglais téléchargeable sur son site Web. La démarche à suivre décriteest la suivante:

1.4.1. Les Pré requis logiciels:

y Sur Windows 2003 Server: o Microsoft Internet Information Service (IIS) 6.0 o Background Intelligent Transfer Service (BITS) 2.0 o

Microsoft.

NET Framework1.1

Service Pack1

pour Windows Server2003

,téléchargeable ici.

y Sur Windows 2000 Server: o Microsoft Internet Information Service (IIS) 5.0 o Background Intelligent Transfer Service (BITS) 2.0 o Une base de donnée 100% compatible avec Microsoft SQL; comme MSDE 2000,

téléchargeable cliquez ici pour le télécharger. o Microsoft .NET Framework Version 1.1 Redistributable Package ici. o Microsoft .NET Framework 1.1 Service Pack 1 pour Windows Server 2003, cliquez ici

pour le télécharger.

1.4.2. Installation de MSDE 2000 (Windows 2000 Server uniquement )

Si vous n'avez pas d'accès aux licences des produits Microsoft SQL Server, Microsoftpropose aux entreprises Microsoft SQL Server 2000 Desktop Engine (MSDE), un produitgratuit mis en téléchargement pour les personnes souhaitant avoir un serveur Microsoftgratuit 100% compatible avec Microsoft SQL. Toutes les options de configuration sontdésactivées!

L'installation de ce service passe par quatre étapes:

o Téléchargez et décompressez l'archive MSDEo Installez MSDEo Vérifiez que l'instance de la base de données est activeo Mettre à jour la sécurité de MSDE




1.4.3. Installation de WSUS

Suivez le pas à pas d'installation par défaut, puis sur la page Option de base de donnée,faite l'un des choix suivants:

o Sur un serveur Windows 2003 serveur, sélectionnez l'option Installer SQL DesktopEngine (Windows) sur ce serveur.

o Si vous faite l'installation du serveur WSUS sur un serveur Windows 2000 serveur,

sélectionnez l'option Utiliser un serveur de base de donnée existant sur ce serveur. Ensuite, choisissez dans la liste déroulante le nom de l'instance qui correspond, etcliquez sur suivant.

Pour la suite de l'installation, sur la page Sélection du Site Web, choisissez l'option Créerun site Web Microsoft Windows Server Update Services, La console WSUS utilisera un sitedifférent et le port 8530. En effet, vous devez spécifier cette option car le site de SUSest, quand à lui, toujours actifs sur le site par défaut. En ce qui concerne les étapessuivantes, référez vous au pas à pas.

Une fois l'installation terminée, vous devrez configurer WSUS afin que le serveur ait la

même configuration que celle de votre serveur SUS: les langues des téléchargements etautres options que vous avez configurez. Avant de passer à la prochaine étape, vous devrezsynchroniser le serveur. Pour plus de détails sur la configuration et la synchronisation deWSUS, je vous invite à vous reporter au chapitre suivant.

1.4.4. Migration du contenu du serveur SUS vers le serveur WSUS

Pour cela, nous allons utiliser l'outil wsusutil.exe que le programme d'installation a installélors de l'étape précédente, pour cela:

o Ajoutez le chemin C:\Program Files\WSUS\Update Services\Tools dans votre variabled'environnement PATHo Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe migratesus /content

c:\sus\content\cabs /approvals NomServeurSUS /log NomFichier.log

Il vous sera ensuite nécessaire de configurer les approbations sur les mises à jour que vousvenez de migrer en fonction des groupes. Nous développerons ce sujet dans la suite de notrearticle.

1.4.5. Enlever les fonctions de SUS et activer WSUS vers le port 80.

Pour supprimer le site Web de SUS:

o Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez inetmgr puis OKo Dans la console d'administration de IIS, cliquez avec le bouton droit sur le site Web

de SUS et cliquez sur Arrêter




Pour migrer le site Web de WSUS sur le port 80:

o Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez inetmgr puis OKo Dans la console d'administration de IIS, cliquez avec le bouton droit sur le site Web

de WSUS et cliquez sur Propriétéso Dans la boite dialogue qui s'ouvre, changer la valeur du champ TCP de 8350 pour celle

de 80

Afin de parfaire cette migration de votre serveur SUS en serveur WSUS, vous devrezchanger le raccourci vers la console Web de configuration de WSUS dans le menu démarreren effet, le port ayant changé, le raccourci ne pointe pas vers le bon site Web.

2. Configuration de la synchronisation et de l'approbation2.1. Configuration du Service: Site Web d'administration

2.1.1. Option de synchronisation

y Planification

Après la première synchronisation, vous vous rendrez compte que les synchronisationsmanuelles vous obligent à faire une maintenance régulière de votre serveur, en demandant lessynchronisations de votre propre chef. C'est pourquoi WSUS vous donne la possibilité deréaliser vos synchronisations automatiquement, tous les jours, à une heure que vous pouvezdéfinir en fonction de la disponibilité de votre connexion à Internet (plutôt le soir pour ne pasencombrer votre bande passante inutilement, par exemple :).

La planification est une étape incontournable de la configuration de base de votre serveurWSUS.

y Produit et classification:

Si vous avez déjà mis en place un serveur SUS, vous avez du vous rendre compte que vousétiez obligé de télécharger les mises à jour de l'ensemble de la famille Windows même sivotre entreprise ne comprenait que des postes de travail sous Windows XP. De plus, il vousétait impossible de déployer les mises à jour pour Microsoft Office ou alors celles deMicrosoft Exchange Server...




C'est pourquoi Microsoft a revu son serveur de mises à jour interne pour les entreprises,afin de permettre aux administrateurs de celles-ci de sélectionner les produits pour lesquelsils souhaitent télécharger les mises à jour. Avant la première synchronisation, la liste desmises à jour est simplement composée des mises à jour des plateformes Windows (2000, XP,2003 Server). Suite à la première synchronisation, la liste des produits est étoffée(Exchange, SQL, Office...).

En outre, WSUS vous donne la possibilité de sélectionner le type de mise à jour (Feature

Pack, Mise à jour critique, Mise à jour de la sécurité, Mise à jour, Outils, Pilotes, ServicePack). Ainsi, vous avez la possibilité de réduire la taille de la base de donnée de mises à jour,si vous pensez ne pas avoir besoin des mises à jour de vos pilotes matériels...




y Serveur Proxy

Si vous utilisez un serveur Proxy entre votre serveur WSUS et sa source de mises à jour(Windows Update ou un serveur WSUS amont), comme ISA Server par exemple, vous aurezbesoin de configurer les paramètres de serveur Proxy sur votre serveur WSUS. Vous devrezindiquez le nom du serveur, le port que vous utilisez ainsi que les informations d'identificationde l'utilisateur que vous utiliserez pour vous connectez au Proxy, si nécessaire.

En outre, si vous utilisez un pare-feu entre votre réseau local et Internet, vous devrezrajouter les règles suivantes. Autrement, la synchronisation vers les serveurs de WindowsUpdate sera difficile.

o Autoriser le trafic sur les ports 80 et 443 entre votre serveur WSUS etInternet. Ces ports sont utilisés par WSUS pour se mettre à jour sur lesserveurs de Windows Update.

o Si la politique de votre entreprise ne vous permet pas de laisser tout le traficsur ces ports car le risque serait trop grand, vous devrez alors le restreindre àces sites:

http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com




y Source de la mise à jour

Lors de l'installation, vous avez dû indiquer votre source de mise à jour. Mais, si pour uneraison ou pour une autre vous avez besoin de changer cette source de mise à jour (parexemple: serveur en amont qui serait tombé ou alors l'installation d'un nouveau serveur enamont...), il est possible à tout moment de modifier les informations que vous avez spécifiéeslors de l'installation.

y Fichiers et langue des mises à jourDans la section Fichiers et Langue des mises à jour, vous pouvez choisir de stocker les

fichiers de mise à jour localement sur le serveur. Mais aussi, vous serez à même de choisir lafaçon dont vous allez télécharger les mises à jour. Deux options s'offrent à vous: téléchargerles mises à jour après les avoir approuvées ou alors télécharger les fichiers d'installationrapide. En général, les mises à jour consistent en de nouvelles versions de fichier qui existedéjà. Si vous avez choisi l'option Télécharger les fichiers d'installation rapide, alors votreserveur WSUS va simplement télécharger les différences entre le fichier d'origine et le




patch associé (au niveau binaire). Cela vous permettra de limiter la consommation de bandepassante sur votre réseau local (mais aux dépens de votre connexion à Internet). Ce choixpeux se justifier si vous avez choisi de planifier vos synchronisation à des heures où personnesn'est présent dans vos locaux (la nuit, par exemple), ou alors si vous avez besoin de faire del'exportation de votre base de donnée...

En outre, WSUS ne vous obligera pas de télécharger les mises à jour pour l'ensemble deslangues disponibles. En effet, une entreprise française a un parc informatique composé

essentiellement de machines équipées de systèmes d'exploitation en français et n'a nullebesoin de télécharger les mises à jour en coréen ou en hébreu. Ainsi, WSUS vous permet deTélécharger que les mises à jour correspondant à vos paramètres régionaux, ou alorsTélécharger les mises à jour dans toutes les langues, y compris les nouvelles. En fonction dela diversité linguistique de votre parc informatique, vous pouvez déterminer les langues quevous souhaitez télécharger afin de répondre au mieux à vos besoins en choisissant vos langues(Anglais, Français...), si vous avez coché l'option Télécharger uniquement les mises à jourdans des langues sélectionnées.

2.1.2. Option d'approbation automatique

y Mises à jour

Lors de la synchronisation, le serveur WSUS va télécharger la liste des mises à jourdisponible. Ses mises à jour ont deux caractéristiques : Approuver la détection et Approuverl'installation. L'approbation de la détection permet de spécifier au serveur WSUS, que telleou telles mises à jour doivent être présentes sur tel ou tels groupes. Pour cela, vous pouvezspécifier les types de mises à jour que vous voulez automatiquement approuver pour le ou lesgroupes d'ordinateurs que vous pouvez spécifier. Par défaut, les mises à jour critiques et desécurité sont approuvées automatiquement pour tous les ordinateurs.

Ensuite, vous devrez approuver leur installation. En effet, sinon, votre serveur WSUS netéléchargera pas les mises à jour et ne pourra donc pas les déployer! Veillez donc à côcher lacase "Approuver automatiquement les mise à jour à installer d'après la règle suivante". Ainsi,toutes les mises à jour critiques et de sécurité seront approuvées et téléchargées (doncdéployées) vers toutes les machines de votre réseau. Si vous n'avez pas coché cette caseavant de faire votre première synchronisation, vous devrez alors lancer manuellement letéléchargement de toutes les mises à jour que vous avez approuvées.

De plus vous avez le choix d'ajouter des Classifications ou de modifier la liste des Groupesd'ordinateurs, vous êtes libre d'adapter les approbations automatiques en fonction de lapolitique de sécurité de votre entreprise (vous pouvez par exemple y ajouter les services

packs et exclure le groupe de vos serveurs...)




y Révision des mises à jour

Cette option permet de configurer votre serveur WSUS pour que les révisions des mises à jour:

o Soit approuvé automatiquemento Soit approuvé manuellement et donc continuer à utiliser la version précédente de

la mise à jour.

Par défaut, la règle est d'Approuvé automatiquement la dernière révision de la mise à jourcar ces mises à jours sont généralement publiées suite à des failles qui se sont révélées aprèsleurs sorties. Il est préférable de conserver cette option par défaut mais si votre politiquede sécurité est contre cette solution, sachez que vous pouvez modifier cette option enchoisissant de Continuer à utiliser la révision précédente et approuver manuellement la nouvellerévision de la mise à jour.

y Mise à jour de Windows Server Update Service

Le serveur WSUS peut lui même être soumis à des mises à jour. Par défaut celle-ci sontapprouvée et Microsoft vous conseille de garder cette option par défaut afin que toutes lesfutures mises à jour soient correctement détectées par les ordinateurs clientes de sesservices.




2.2. Synchronisation: téléchargement et installation des mises à jour

Le serveur WSUS utilise le port 80 et le port 443 pour obtenir les mises à jour depuis le

site de Microsoft par contre, on ne peut pas le configurer. Si vous avez un pare-feu entrevotre réseau et Internet, souvenez vous qu'il faut y placer des règles pour laisser passer letrafic sur le port 80 (HTTP) et/ou 443 (HTTPS).

Par contre, vous pouvez toujours configurer vos autres serveurs WSUS pour qu'ils sesynchronisent sur le premier que vous avez configuré. Vous pourrez alors profiter de la bandepassante de votre réseau local. Selon les options que vous avez choisies lors de l'installation,les ports 80 ou 8530 seront sollicités pour la connexion chaînée de vos serveurs WSUS. Prenez garde à utiliser les adresses du type http://NomServeur:8350/..., si vous avez choisid'utiliser ce port.

Dans le cas où vous synchronisez votre serveur WSUS depuis un serveur depuis un autreserveur WSUS de votre réseau, seules les mises à jour et les métadonnées seront partagées(ni les informations sur les groupes de machines, ni les informations sur les approbations desmises à jour le seront)

À partir du menu Mises à jour, vous pouvez gérer l'ensemble des correctifs mis àdisposition par Microsoft. C'est ici que vous serez capable de gérer les approbations dechaque mise à jour, individuellement. Trois états d'approbation peuvent être associés à une




mise à jour: Installer, Détecter uniquement ou alors Non approuvée. De plus vous pouvezRefuser les mises à jour, ce qui entraînera un effacement de la base de données desévénements signalés par les ordinateurs concernés par cette mise à jour.

Dans la partie Vue à gauche, vous avez un petit moteur de recherche qui vous permettrade trouver les mises à jour en fonction de quatre critères que vous pouvez définir (Produit etclassification, Approbation, Synchronisé, Contenant le texte). Ainsi vous pourrez avoir desDétails sur les mises à jours que vous avez recherchées (une description et des détails

d'information, l'État de déploiement sur vos groupes d'ordinateurs...) et un rapport peut êtreimprimer si vous cliquez sur Imprimer le rapport d'état...

2.3. Exporter, importer des mises à jour

Il y a trois étapes à remplir pour pouvoir exporter et importer des mises à jour. Premièrement vous devez vous assurez que les options de synchronisation avancée concordeentre le serveur WSUS source et celui de destination (le téléchargement des fichiersd'installation rapide est alors indispensable). Ensuite, copiez les mises à jour depuis lesystème de fichier du serveur source vers le système de fichier du serveur de destination. Enfin, exporter les métadonnées des mises à jour depuis la base de données sur le serveursource pour les importer sur la base de données du serveur de destination.

2.3.1. Vérifier les options de synchronisation avancées

Afin de remplir la première étape, vérifiez la configuration de vos options avancée, pourcela:

o En premier lieu, ouvrez la console WSUS du serveur d'export(http://votreServeur/wsusadmin ), cliquez sur l'onglet Options puis sur la sectionOptions de Synchronisation. Ensuite, cliquez sur avancée dans la section Fichiers et

langue des mises à jour. o Alors dans la boite de dialogue Paramètre de Synchronisation Avancée, côchez la case

télécharger les fichiers d'installation rapide et vérifier la configuration de la partieLangues.

o En second lieu, ouvrez la console WSUS du serveur d'import (http://votreServeur/wsusadmin ), cliquez sur l'onglet Option puis sur la section Optionde Synchronisation et cliquez sur avancée dans la section fichiers et langue des mises à jour.

o Dans la boite de dialogue Paramètre de Synchronisation Avancée, vérifier que lesconfigurations concorde.

2.3.2. La migration des mises à jour

La deuxième étape consistera donc en la migration proprement dites des fichiers detéléchargement rapide. La méthode à suivre est alors la suivante:

À noter: la configuration de base des Access Control List ne sont pas le même sur WindowsServeur 2000 et Windows 2003 Server. Si nous copions des données d'un serveur sous




Windows 2000 vers un serveur sous Windows Server 2003, il faut ajouter manuellement legroupe SERVICE RÉSEAU de façon à ce que le groupe puisse accéder au dossier ou serontstocker les données.

Pour exporter les fichiers depuis le système de fichier du serveur d'export:

o Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez ntbackup. L'assistant de sauvegarde ou

de Restauration se lance par défaut, s'il n'a pas été désactivé.

Vous pouvez soitutiliser cet assistant ou alors travailler en mode avancé (ce que nous allons faire). o Cliquez sur l'onglet Sauvegarde, puis sélectionnez le dossier où sont stockés les fichiers

que vous souhaitez exporter. Par défaut, ceux-ci sont situés surlecteurd'installationWSUS:\WSUS\WSUSContent\.

o Dans la partie Nom de fichier ou lecteur de sauvegarde, tapez le chemin puis le nom devotre fichier de sauvegarde (.bkt) ou utilisez le bouton Parcourir.

o Cliquez alors sur le bouton Démarrer et une boite de dialogue Informations sur lasauvegarde s'ouvre.

o Cliquez sur Avancé puis dans la partie Type de sauvegarde choisissez Incrémentiel. o Dans la boite de dialogue Informations sur la sauvegarde cliquez sur Démarrer la

sauvegarde pour commencer le processus de sauvegarde. o Une fois la sauvegarde terminée, déplacez le fichier que vous venez de créer vers le

serveur sur lequel vous souhaitez importer les mises à jour.

Pour restaurer les fichiers de mises à jour vers le serveur d'import:

o Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez ntbackup. L'assistant de sauvegarde ou

de Restauration se lance par défaut, s'il n'a pas été désactivé. Vous pouvez soitutiliser cet assistant ou alors travailler en mode avancé.

o Cliquez sur l'onglet Restaurer et gérer le média, sélectionner alors le fichier de

sauvegarde que vous avez créer sur le serveur d'export. Si le fichier n'apparaît pas,faite un clic droit sur fichier puis cliquez sur fichier catalogue pour ajouter le cheminvers le fichier.

o Dans Remplacer les fichiers vers, choisissez Autre emplacement. Alors, spécifier lerépertoire vers lequel vous voulez restaurer les fichiers(lecteurd'installationWSUS:\WSUS\WSUSContent\)

o Cliquez alors sur Démarrer. Quand la boite de dialogue Confirmation de restaurationapparaît, cliquez sur OK pour commencer la restauration.

2.3.3. L'exportation et l'importation des métadonnées

L'étape finale consiste à migrer les fichiers métadonnées vers le serveur d'import. Durantl'installation de WSUS, le programme a copié l'utilitaire WSUSutil.exe, par défaut dans ledossier C:\Program Files\Update Services\Tools. Vous devez être membre du groupeadministrateur local sur le serveur WSUS pour exporter ou importer des fichiersmétadonnées. Ces deux opérations doivent ce faire sur le serveur WSUS directement. Parcontre, n'importer jamais des fichiers métadonnées depuis un serveur que vous n'approuvezpas car la sécurité de votre serveur WSUS est en jeu.




Pour exporter des mises à jour depuis la base de données du serveur d'export:

o Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dansvotre variable d'environnement PATH, si ce n'est pas déjà fait.

o Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cab

fichier.logo Déplacer ainsi les fichiers que vous venez de créer et qui se situe dans le répertoire

C:\Documents and Setting\%USERNAME%\ sur le serveur qui est prêt à recevoir lesfichiers de mise à jour

Pour importer les fichier métadonnées vers la base de donnée du serveur d'import:

o Ajouter le répertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dansvotre variable d'environnement PATH

o Cliquez sur le bouton Démarrer puis sur Exécutero Alors dans la boite de dialogue Exécuter, tapez wsusutil.exe export package.cab

fichier.log

Enfin, l'export/import des mises à jour est réalisé avec brio. Si vous respectez lamanipulation à la règles, vous pourrez résoudre les problèmes lié au téléchargement desfichiers de mise à jour sur un serveur isolé de votre réseau, n'ayant pas de connexion àInternet ou ayant une bande passante faible et utilisée

3. Gestion des machines clientes3.1. Configuration des mises à jours automatiques des clients

3.1.1. Avec des Stratégie De Groupe (GPO)Voici la méthode pour déployer la politique de déploiement des mises à jour sur votre

réseau.

Comme pré requis, il sera nécessaire d'avoir un domaine Active Directory.

3.1.1.1. Configuration de l'ordinateur qui configure les stratégies de

GroupeAvant d'entamer la création de GPO (Group Policy Object), pour la configuration de la mise

à jour automatique des clients, vous devez vous assurer que vous possédez le dernier modèled'administration Windows Update. Le fichier du modèle intégrant la gestion de WSUS senomme Wuau.adm et il est situé dans le dossier %systemroot%\Inf. Il est disponible dans leService Pack 2 de Microsoft Windows XP.

Procédure pour importer le modèle d'administration Wuau.adm, si votre ordinateur ne

possède pas la dernière version:

y Dans l'éditeur de Stratégie de groupe, cliquez sur le nœud Modèle d'administration. y Dans le menu Action, cliquez sur Ajout/Suppression de modèles... y Dans la fenêtre "Ajout/Suppression de modèle", cliquez sur Ajouter... y Dans la fenêtre de "Sélection de modèle", sélectionnez Wuau.adm et cliquez sur

Ouvrir... y Fermer la fenêtre "Ajout/Suppression de modèle".




3.1.1.2. Spécifier au client un serveur WSUS

Dès lors que ce modèle stratégie de groupe sera importé, les ordinateurs clients utiliserontle service WSUS disponible sur votre réseau pour la mise à jour automatique mais lesutilisateurs pourront toujours mettre à jour manuellement leur ordinateur via MicrosoftWindows Update. Pour empêcher les utilisateurs d'utiliser Microsoft Windows Update, ilfaudra activer une autre stratégie de groupe (voir chapitre 3.1.1.3, stratégie Supprimerl'accès à l'utilisation de toute les fonctionnalités de Windows Update)

Procédure pour activer l'utilisation de votre serveur WSUS par les ordinateurs clients pourla mise à jour automatique:

y Dans l'éditeur de Stratégie de groupe, déployez les nœuds Configuration ordinateur,Modèle d'administration, Composants Windows, Windows Update.

y Dans le panel de droite, modifiez la stratégie suivante: "Spécifier l'emplacementintranet du service de Mise à jour Microsoft"

y Activez la stratégie dans la fenêtre Propriétés de la stratégiey Renseignez l'adresse DNS du serveur qui héberge le service WSUS dans les champs

"Configurer le service intranet de Mise à jour pour la détection des mises à jour" et"Configurer le serveur intranet de statistiques" (Exemple: http://wsus.supinfo.lan/ ou

http://wsus.supinfo.lan:8350/)y Activez la stratégie Configuration des mises à jours automatiques pour activer le

service de Mise à jour automatique des clients et spécifier une politique (voir ci-dessous)

y Cliquez OK

Une fois cette stratégie de groupe enregistrée et liée à un domaine ou à une unitéd'organisation, les ordinateurs utiliseront le serveur WSUS pour mettre à jour le système(après actualisation de la stratégie de groupe sur les clients) grâce à la fonctionnalité de miseà jour automatique.

3.1.1.3. Spécifier des options de stratégie de groupe lié à la Mise à jour

Automatique de Microsoft WindowsGrâce aux différentes options, vous pourrez changer l'interaction entre les clients, leur

machine et le serveur WSUS.

Vous trouverez ces options de stratégie de groupe dans le nœud Configurationordinateur\Modèle d'administration\Composants Windows\Windows Update

Stratégie Description Autoriser le ciblage cotéclient

Vous pouvez créer des groupes dans WSUS. L'objectif decette stratégie est de spécifier le nom de groupe que lesordinateurs doivent utiliser pour télécharger les mises à jour.

Autoriser les non-administrateurs à recevoirles notifications de mise à

jour

Cette stratégie va permettre d'autoriser les utilisateurs non-administrateurs de recevoir les notifications de mises à jour. L'utilisateur pourra ou non confirmer l'installation des mises à jour.




Autoriser l'installationimmédiate des mises à jour

automatique

Si la mise à jour ne nécessite pas de redémarrage de Windowsou de services Windows alors, si la stratégie est active,l'installation des mises à jour s'effectue de suite.

Configuration des mises à jour automatiques

Cette stratégie va permettre d'activer le service "Mise à jourautomatique" et ensuite le fonctionnement de celle-ci(Notification, téléchargement, planification, interaction avecles stratégies locales)

Fonctionnement des mises à jour possible: 2: Notification avant téléchargement et notification avantinstallation des mises à jour 3: Téléchargement automatique des mises à jour etnotification avant installation des mises à jour 4: L'installation des mises à jour est automatique et planifiéen fonction des valeurs ScheduledInstallDay etScheduledInstallTime5: La planification des mises à jour est configuré maisl'utilisateur final peut le configurer

Délai de redémarrage pourles installations planifiées

Cette stratégie permet de renseigner la durée entre la fin del'installation de mise à jour et le redémarrage de la machine. (par défaut 5 minutes)

Fréquence de détection desmises à jour automatiques

Elle permet de configurer la durée entre chaque vérificationde mise à jour (de -20% à 0%) sur le serveur WSUS (pardéfaut: 22 heures, donc vérification après une durée de18h24 et 22h)

Ne pas afficher l'option'Installer les mises à jour

et éteindre'

Si cette stratégie est active, l'option d'installation des misesà jour avant extinction ne sera pas disponible aux utilisateurs.

Ne pas modifier l'optionpar défaut 'Installer lesmises à jour et éteindre'

Si cette stratégie est active, alors la fonction arrêt de lamachine par défaut sera celle avec l'installation des mises à jour

Pas de redémarrage planifiédes installations planifiés

des mises à jourautomatiques

Ne permet pas à la fonction Mise à jour automatique deredémarrer la machine si celle-ci est planifiée. Seull'utilisateur le fera manuellement

Redemander unredémarrage avec les

installations planifiées

Permet de spécifier une demande de redémarrage après unlaps de temps, si la précédente a été refusée

Replanifier les installationsplanifiées des mises à jour

automatiques

Si l'installation planifiée précédente a été manquée, alors onrenseigne le temps depuis le démarrage de la machine avantune nouvelle planification.

Vous trouverez d'autres stratégies de groupe lié au service Windows Update dans le nœudConfiguration utilisateur\Modèle d'administration\Composants Windows\Windows Update.




Stratégie Description

Supprimer l'accès à l'utilisationde toutes les fonctionnalités de

Windows Update

Permet de désactiver toutes les interactions avecWindows Update. Il est fortement conseillé de l'activerpour éviter de faire doublon avec le service WSUS

Ne pas afficher l'option'Installer les mises à jour et

éteindre'

Si cette option est active, alors l'option d'installationdes mises à jour avant extinction ne sera pas disponibleaux utilisateurs.

Ne pas modifier l'option pardéfaut 'Installer les mises à

jour et éteindre'

Si cette option est active, alors la fonction arrêt de lamachine par défaut sera celle avec l'installation desmises à jour

3.1.2. Dans un environnement sans A/DSi vous ne possédez pas de domaine Active Directory, il est possible de configurer les

clients via la base de registre avec toutes les options disponibles dans les stratégies degroupes mais la configuration des machines sera très contraignante.

Voici les différentes entrées de la base de registre pour la configuration des clients:

Nœud de configuration général: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

D

Entrée Description

ElevateNonAdmins

Valeur possible: 0 ou 1

0: Seuls les administrateurs peuvent refuser ou accepter lesmises à jour

1: Tout le monde peut refuser ou accepter les mises à jour

TargetGroupPermet de spécifier le groupe de mise à jour auquell'ordinateur appartient (ciblage coté client)

TargetGroupEnabledValeur possible: 0 ou 1

0: Désactiver la fonctionnalité de ciblage coté client1: Activer la fonctionnalité de ciblage coté client

WUServerPermet de spécifier l'emplacement du serveur WSUS (exemple:http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/). Doit être identique à l'entrée WUStatusServer

WUStatusServer Permet de spécifier l'emplacement du serveur WSUS (exemple:http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/).




Doit être identique à l'entrée WUServer

Nœud de configuration pour les mises à jour automatique:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Entrée Description

AUOptions

Valeur Possible: 2,3,4 ou 5Configuration du fonctionnement de la Mise à jourautomatique (Notification, téléchargement, planification,interaction avec les stratégies locales)

2: Notification avant téléchargement et notificationavant installation des mises à jour

3: Téléchargement automatique des mises à jour etnotification avant installation des mises à jour

4: l'installation des mises à jour est automatique et

planifié en fonction des valeurs DWORDScheduledInstallDay et ScheduledInstallTime

5: la planification des mises à jour est configuré maisl'utilisateur final peut le configurer

AutoInstallMinorUpdates

Valeur possible: 0 ou 1 0: N'installe pas de suite les mises à jours mineurs quine nécessite pas de redémarrage de l'ordinateur ou deservice

1: Installe de suite les mises à jours mineurs qui nenécessite pas de redémarrage de l'ordinateur ou deservice

DetectionFrequencyValeur possible: de 1 à 22 Durée en heure entre chaque vérification de mise à jour(de -20% à 0%) sur le serveur WSUS

DetectionFrequencyEnabled


0

: Utilise la valeur par défaut de la durée entre chaquevérification de mise à jour (par défaut: 22 heures, doncvérification après une durée de 18h24 et 22h)

1: Utilise la valeur renseigné par la valeur DWORDDetectionFrequency (toujours de -20% à 0%) pour ladurée entre chaque vérification de mise à jour




NoAutoRebootWithLoggedOnUsers

Valeur possible: 0 ou 1 0: l'ordinateur redémarre la machine dans les 5 minutesqui suivent la mise à jour de la machine

1: l'utilisateur a le choix de redémarrer ou non lamachine

NoAutoUpdate


0: Mise à jour automatique désactivé1: Mise à jour automatique activé

RebootRelaunchTimeoutValeur possible: de 1 à 1440 Durée en minute entre chaque demande de redémarrageà l'utilisateur de l'ordinateur

RebootRelaunchTimeoutEnabled

Valeur possible: 0 ou 1 0: Le temps entre chaque demande de redémarrage àl'utilisateur est celle par défaut (10 minutes)1: Le temps entre chaque demande de redémarrage àl'utilisateur est celle renseigne par la valeur DWORDRebootRelaunchTimeout

RebootWarningTimeoutValeur possible: de 1 à 30 Durée en minutes du compteur avant redémarrage de lamachine pour les mises à jour planifiées ou obligatoires

RebootWarningTimeoutEnabled


0: Le temps initial en minute du compteur avantredémarrage pour les mises à jour planifiées ouobligatoires est celle par défaut (5 minutes)1: Le temps initial en minute du compteur avantredémarrage pour les mises à jour planifiées ouobligatoires est celle renseigné par la valeur DWORDRebootRelaunchTimeout

RescheduleWaitTime

Valeur possible: entre 1 et 60 Temps en minute pour l'attente depuis le démarrage dela machine avant installation des mises à jour planifiératé. Cette politique ne s'applique pas aux mises à jour quiont une échéance spécifique. Si l'échéance d'une mise à jour est dépassée alors celle-ci est installée de suite.




RescheduleWaitTimeEnabled

Valeur possible: 0 ou 1 0: Les mises à jour planifiées ratées seront reportéslors de prochaine planification1: Les mises à jour planifiées ratées seront installésaprès le laps de temps spécifié par la valeur DWORDRebootRelaunchTimeout

ScheduledInstallDay

Valeur possible: entre 0 et 70: Mise à jour planifié tous les joursde 1 à 7: jour de la semaine de dimanche (1) à samedi(7)Cette option ne marche seulement si l'entrée AUOptionest configurée à la valeur 4

ScheduledInstallTime

Valeur possible: entre 0 et 23 Heure de la journée pour les mises à jour planifiéCette option ne marche seulement si l'entrée AUOptionest configurée à la valeur 4

UseWUServerValeur possible: de 0 à 1 0: Utilise Windows Update1: Utilise votre serveur WSUS

3.2. Utilitaire en ligne de commande

3.2.1. Vérification du fonctionnement côté client Microsoft fournit un outil pour tester le bon fonctionnement du client et de sa

configuration. Il permet de tester aussi la connexion avec le serveur WSUS. Cet outil s'appelle "WSUS Client Diagnostic Tool". Vous pouvez le télécharger à l'adressesuivante: cliquez ici

Il suffira juste de l'exécuter pour voir les différents processus testés et fonctionnels.




3.2.2. Détection manuel du serveur WSUS Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente, détecter le

serveur WSUS manuellement et ainsi pouvoir administrer la machine très rapidement sur laconsole WSUS (choix d'un groupe, etc...)

Procédure pour détecter manuellement le serveur WSUS sur un ordinateur client:

y Cliquez sur Démarrer puis sur Exécuter... y Tapez dans le champ Ouvrir: wuauclt.exe /detectnowy Cliquez sur OK

3.2.3. Mise à zéro des informations clientes WSUS utilise des cookies pour enregistrer un certain nombre d'information, y compris le

groupe WSUS du client. Par défaut, le cookie est supprimé une heure après sa création. Maissi dans ce laps de temps vous changer le groupe WSUS du client, vous risquez d'avoir descomportements inattendus. Pour éviter tout souci, utilisez la procédure suivante.

Procédure pour réinitialiser le cookie de l'ordinateur client:

y Cliquez sur Démarrer puis sur Exécuter... y Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnowy Cliquez sur OK




3.3. Groupe d'ordinateurs WSUS 3.3.1. Présentation

Par défaut, deux groupes sont présents All Computers et Unassigned Computers. Lorsquevous ajoutez une machine à votre serveur WSUS, celle-ci est membre des deux groupes. Maisvous pouvez aussi enlever votre machine du groupe Unassigned Computers, pour l'assigner à unautre groupe que vous avez créé. Le groupe All Computers vous permettra, quant à lui, dedistribuer très facilement une mise à jour (ou plusieurs) à l'ensemble des ordinateurs que vousgérez.

Un avantage des groupes est que vous pouvez réaliser des tests sur un groupe (ex:test_winXP_office2003), qui contient des machines représentative d'un autre groupe (celui-cipour qui seront destinés les correctifs), afin de vérifier les nouvelles mises à jour. Si lesrésultats sont concluant, vous pourrez déployer ces mises à jour sur un second grouperépondant aux critères de votre groupe de test (ex: PC_winXP_office2003). De cette façon,vous pourrez facilement gérer le déploiement de vos mises à jour en fonction des profilsmatériels et logiciels des machines de votre réseau.

Le nombre de groupe n'est pas limité!

3.3.2. Mode d'affectation des ordinateurs Vous avez la possibilité d'affecter les ordinateurs dans les groupes WSUS:

y soit automatiquement via la stratégie de groupe (stratégie Autoriser le ciblage cotéclient) ou via les informations de registre (entrées: TargetGroup etTargetGroupEnabled).

y soit manuellement via la console WSUS

Dans les deux cas, il faudra manuellement crée les groupes WSUS via la console WSUS . Sivous devez maitrisez un parc informatique conséquent, vous devez bien entendu utiliser

l'affectation de groupe automatique.

Procédure pour configurer l'affectation des ordinateurs:

y Dans la console WSUS, cliquez sur Options et sur Options des ordinateursy Dans la fenêtre Options des ordinateurs, choisissez l'une des options possibles:

o Utiliser la tâche Déplacer les ordinateurs dans Windows Server UpdateServices : si vous souhaitez créer les groupes et assigner les ordinateurs via laconsole WSUS

o Utiliser la stratégie du groupe ou les paramètres des Registres des

ordinateurs : si vous souhaitez créer les groupes via WSUS et assigner les

ordinateurs via les stratégies de groupe ou les informations de registre desordinateurs clients

y Sous Tâches, cliquez sur Enregistrer les paramètres et confirmer les modifications




3.3.3. Création des groupes En mode automatique ou manuel pour l'affectation des ordinateurs, vous devez créer lesgroupes.

Procédure pour la création des groupes dans la console WSUS:y Dans la console WSUS, cliquez sur Ordinateursy Sous Tâches, cliquez sur Créer un groupe d'ordinateursy Cliquez sur OK

3.3.4 Affectation des ordinateurs (affectation manuelle) Si vous avez choisi l'affectation des ordinateurs manuelle, vous devrez pour chaqueordinateur de votre réseau lui désigner un groupe créé précédemment

Procédure pour affecter un ordinateur à un groupe WSUS manuellement:y Dans la console WSUS, cliquez sur Ordinateursy Sous Groupes, sélectionnez le groupe où se trouve l'ordinateur que vous

souhaitez déplacery Dans la liste des ordinateurs, sélectionnez l'ordinateur que vous souhaitez

déplacery

Sous Tâches, cliquez sur Déplacer l'ordinateur sélectionnéy Dans la liste des groupes, sélectionnez le groupe destinatairey Cliquez sur OK




4. Fonctionnalités de surveillance4.1 Rapports

Avec la console WSUS, vous avez la possibilité de générer un certain nombre de rapportpour surveiller le service WSUS et vous pourrez aussi les imprimer.

4.1.1 Rapport "Etats des mises à jour"

L'état des mises à jour va permettre de voir le statut de chaque mise à jour approuvée ettrier par niveau: par mise à jour, par groupe d'ordinateur et par ordinateur comme montréci-dessous. Les rapports seront générés à partir des contacts les plus récents avec les ordinateurs clients(contact entre le serveur WSUS et les ordinateurs clients tous les 22 heures par défaut).

En plus de rappeler l'approbation pour chaque groupe et l'échéance configurée pour chaquemise à jour, vous trouverez dans le tableau des colonnes supplémentaire expliquez ci-dessous:

Information Description Installé Nombre de machines où la mise jour a été installée

Nécessaire Nombre de machines où l'installation de la mise à jour estnécessaire mais pas encore installée (par exemple: la mise à jour est en cours de téléchargement par les clients)

Non applicableNombre de machines où l'installation de la mise à jour n'estpas nécessaire

InconnuNombre de machines qui depuis la dernière synchronisationn'ont pas contacté le serveur WSUS




EchecNombre de machines où le téléchargement ou l'installation demise à jour a échoué ou que celle-ci a été désinstallée

On remarquera que vous pouvez avoir de plus amples informations sur une machinespécifique en cliquant sur l'état de la mise à jour de la machine.

4.1.2 Rapport "Etats des ordinateurs"

Cette option de rapport va reprendre le même principe que le rapport Etat des mises à jour. Vous pouvez le voir ci-dessous, la seule différence est que le trie s'effectue par grouped'ordinateur. Dans la liste des ordinateurs du groupe, vous trouverez pour chaque ordinateurl'état de chaque mise à jour synchronisée sur le serveur WSUS. Il sera néanmoins trèspratique pour connaitre l'état des mises à jour d'une machine bien spécifique dans un groupeWSUS.

4.1.3 Rapport "Résultats de la synchronisation"Ce rapport va permettre de faire un résumé de la dernière synchronisation ou de toutes les

synchronisations sur une période jusqu'au jour d'aujourd'hui (intervalle de 1 jour ou depuisl'installation de WSUS).

Ci-dessous, vous trouverez un descriptif pour chaque composant de ce rapport:

Composant Description

Dernière synchronisation Affiche les informations à propos de la dernièresynchronisation du serveur WSUS: le type (Manuelle ou




Automatique), la date et l'heure où la synchronisation acommencé, la date et l'heure où celle-ci s'est terminée etson état

Résumé de la synchronisation

Affiche des informations sur toutes les synchronisationseffectuées sur la période choisie par l'administrateur:Nombre total de mises à jour téléchargées sur la période,

nombre de mises à jour révisées et expirées ainsi que lenombre d'erreurs de synchronisation

ErreurEnumère et affiche de plus amples détails sur les erreurs desynchronisation

Nouvelles mises à jourListe l'ensemble de tous les mises à jour téléchargées lorsdes synchronisations avec leur nom, la gamme de produitdestinée à la mise à jour et la classification

Ce rapport Résultat de la synchronisation sera seulement utile lorsque les synchronisationséchouent et ainsi avoir de plus amples détails.

4.1.4 Rapport "Résumé des paramètres" Ce rapport permettra de connaitre tous les détails dans le moindre recoin de la

configuration de votre serveur WSUS. Très utile, pour vérifier que votre serveur WSUS aété bien configuré d'un seul coup d'œil.

y Planification de la synchronisationy Produits et classificationsy Source de la mise à joury Serveur Proxyy Fichier de la mise à joury Languesy Approbation automatiquey Révisions des mises à joury Mises à jour de Windows Server Update Servicesy Serveurs en avaly Options des ordinateursy Base de données




4.2 Surveillance

Afin de vous assurez du bon fonctionnement de votre serveur WSUS, vous avez lapossibilité d'utiliser la console performance afin de créer des fichiers journaux de l'activitéde ce service.

Alors, vous devrez créer un nouveau fichier journal, en cliquant avec le bouton droit dans lapartie détails de la Journaux de Compteur puis sélectionner Nouveau paramètre de journal... Dans la boite de dialogue qui s'ouvre, entrez le nom que vous souhaitez donner à votre journal

puis cliquez sur OK. La fenêtre suivante s'ouvre:

La prochaine étape sera de rajouter les compteurs que vous souhaitez surveiller: pour celacliquez sur Ajouter des compteurs... Une nouvelle fenêtre s'ouvre et vous propose de choisirvos compteurs parmi une grande liste de compteurs possibles. Ceux-ci sont classés parcatégorie que vous pouvez sélectionner dans la liste de menu déroulante Objet deperformance. La liste de catégorie est mise à jour à chaque fois que vous ajoutez un service




à votre serveur: lors de la mise en place d'un serveur DNS, une catégorie DNS fait sontapparition dans la liste des objets de performance.

En ce qui concerne WSUS, cinq catégories sont ajoutées: WSUS: Méthode du service Webclient, WSUS: Méthodes Web du serveur, WSUS: Service Web client, WSUS: Service Webde création de rapports, WSUS: Service Web du serveur. Dans chaque catégorie, vous avezune liste de compteur que vous pouvez ajouter à votre guise. La liste de ces compteurs est

longue mais je vous propose de découvrir une liste non exhaustive des compteurs qui peuventêtre intéressants:

a. WSUS: Méthodes Web du serveur\ Nombre d'appel à la méthode Webb. WSUS: Méthode du service Web client\ Nombre d'appel à la méthode Webc. WSUS: Service Web client\ Nombre d'appel par seconded. WSUS: Service Web client\ Durée moyenne d'exécutione. WSUS: Service Web de création de rapports\ Nombre d'événements en file d'attentef. WSUS: Service Web du serveur\ Durée d'exécution maximaleg. WSUS: Service Web du serveur\ Durée moyenne d'exécutionh. WSUS: Service Web du serveur\ Nombre d'appel par seconde

Les compteurs a et b vous permettront de ne pas passer à coté d'une montée en chargeimprévu de l'utilisation de votre serveur. Ensuite, les compteurs c et d pourront mettre enévidence un changement de comportement de vos clients (tentative d'attaque du type bufferoverflow ou alors une attaque virale contre votre serveur WSUS). Le compteur e, quant à lui,vous permettra de savoir si la création de vos rapport avec le serveur WSUS n'utilisent pastrop les ressources sur de votre serveur (vous pouvez le combiner avec les compteurs classiquede surveillance du serveur comme l'utilisation du processeur, de la mémoire vive, du disque




dur...). Pour finir, les compteurs f à h vous donneront une vision objective de la charge quesubit votre serveur.

Ainsi, en combinant l'analyse que vous ferez de ces compteurs et de ceux que vous aurezchoisis dans vos autres journaux de performance, vous serez à même de déterminer vosnouveaux besoin matériels ainsi que les probables attaques sur votre réseau. C'est pourquoi lechoix des compteurs doit être mûrement réfléchit afin de récupérer les résultats les plusreprésentatifs possibles.

4.3 Outil de débogage

Cet outil permet aux administrateurs de récupérer les journaux de debug, les informationsde configuration ainsi que quelques possibilités d·administration pour résoudre de possiblesproblèmes.Vous pouvez télécharger l'outil WsusDebugTool en cliquant sur le lien suivant:cliquez ici

L·outil a la syntaxe suivante : WsusDebugTool [/OutputCab:<valeur>] /Tool:<valeur>

Outputcab : paramètre optionnel qui créer un fichier Cab qui va contenir les informationsdemandéesTool : paramètre principal pour spécifier quel outil démarré. La liste des outils est ci-dessous:

ResetAnchors: Permet de forcer une synchronisation complète lors de la prochainesynchronisation de mise à jour.

PurgeUnneededFiles: Efface tous les fichiers inutiles du serveur WSUSSetForegroundDownload: Permet le téléchargement des données en premier plan. Cela

peut-être utile si le proxy ne supporte pas la plage requise pour les téléchargements desdonnées.

ResetForegroundDownload: Annule la configuration des téléchargements en premier

plan (voir ci-dessus)GetBitsStatus: Donne le statut du service de téléchargement BITS. Cet outil nécessite

l·exécutable BitsAdmin.exeGetConfiguration: Donne la configuration complète du serveur WSUSGetLogs: Donne les journaux d·installation et de debug du serveur WSUS

5. Sécurisez un serveur WSUS5.1. Renforcer la sécurité de votre serveur Windows Server 2003

exécutant WSUS

De façon à vous aider pour sécuriser votre serveur WSUS, Microsoft développe dans leWhite Paper "Deploying Windows Serveur Update Service" (Appendix D) les points sur lesquelsvous devez porter votre attention:

y Activer des auditsy Appliquez les options de sécurité




y Configurer les journaux d'événementy Lancer uniquement les services nécessairesy Sécuriser les interfaces utilisant les protocoles TCP/IP sur vos serveurs WSUSy Configurer la sécurité sur IIS 6 et SQL 2000 Serveur

Ces indications concernent uniquement les serveurs sous Windows 2003, utilisant un serveurMicrosoft SQL 2000. Certains paramètres doivent être en commun avec les serveurs WSUSs'exécutant sur Windows 2000 Serveur mais rien n'est garanti. Nous n'allons pas ici nous

étendre sur les différentes parties concernant la sécurisation de votre serveur WSUS mais jerecommande vivement aux personnes ayant des impératifs de sécurité maximale de lire leWhitePaper (voir le chapitre Ressources). Nous allons ci-dessous traiter les points les plusimportants

5.2. Ajouter l'authentification entre les serveurs chaînés dans un

environnement Active Directory

Afin de sécuriser les communications entre les serveurs WSUS de votre infrastructure,vous avez la possibilité d'exiger une authentification sur vos serveurs WSUS en amont. Par

contre, tous vos serveurs devront avoir un compte dans Active Directory pour permettre cemécanisme. Alors, si vous avez plusieurs domaines ou forêts dans votre entreprise, veillez àvérifier que des relations d'approbation existent entre ceux-ci.

Le processus se fait en deux étapes:

y Création d'une liste de serveurs autorisés sur le serveur amont et l'ajouter à unfichier xml que l'assistant à créer lors de l'installation de WSUS

y Dans IIS, désactiver l'accès anonyme vers le site de WSUS.

Ainsi, seuls les serveurs que vous spécifierez pourront télécharger les mises à jour depuis

vos serveurs WSUS en amont.

5.2.1. Création de la liste de serveurs

Le fichier à modifier est le suivant:%ProgramFiles%\UpdateServices\WebServices\Serversyncwebservice\Web.config.

Vous devrez alors ajouter une balise <authorization> pour définir la liste des serveurs quevous souhaitez autoriser pour le téléchargement des mises à jour. Cette balise doit se situeraprès les balises <configuration> et <system.web> comme dans l'exemple suivant:

<configuration><system.web><authorization><allow users="DOMAINE\Nom_Ordinateur, DOMAINE\Nom_Ordinateur" /><deny users="*" /></authorization></system.web></configuration>




Comme vous pouvez le voir dans l'exemple, vous pouvez spécifier les listes des serveursWSUS en les identifiant comme suit :

DOMAINE\Nom_Ordinateur

Et en les séparant par des virgules grâce à la balise

<allow users=" DOMAINE1\Nom_OrdinateurA, DOMAINE1\Nom_OrdinateurB,

DOMAINE2

\Nom_OrdinateurA...

" />.

De plus, vous avez aussi la possibilité de déclarer explicitement une liste des serveurs non

autorisés: dans l'exemple présenté, * signifie que tous les serveurs non déclarés dans labalise au dessus n'ont pas le droit de télécharger des données depuis ce serveur.

Par contre, veillez à vérifier l'ordre dans lequel vous placez les balises car le serveurexécutera la première condition qu'il pourra vérifier.

5.2.2. Désactivation de l'accès anonyme dans IIS

La seconde étape consiste alors à configurer IIS pour désactiver les accès anonymes versle répertoire virtuel Serversyncwebservice et permettre l'authentification intégrée àWindows:

o Cliquez sur Tous les programmes dans le menu Démarrer, puis dans la partie Outilsd'administration, cliquez sur Gestionnaire des services Internet (IIS).

o Développer le nœud au nom de votre serveur WSUS puis faite de même avec le nœudSite Web puis site WSUS.

o Faites un click droit sur ServerSyncWebService et cliquez ensuite sur propriété. o Sur l'onglet Sécurité du répertoire, dans la partie Authentification et contrôle

d'accès, cliquez sur le bouton Modifiero Dans la boite de dialogue qui vient de s'ouvrir, décochez la case Activer la connexion

anonyme, et sélectionnez la case Authentification Windows Intégréeo Cliquez ensuite deux fois sur OK.

5.3. Sécurisé WSUS avec Secure Socket Layer

Vous pouvez sécuriser votre déploiement WSUS avec le protocole Secure Socket Layer(SSL). Le SSL va permettre de crypter l'authentification entre les ordinateurs clients ou lesserveurs en aval et le serveur WSUS. Il sera aussi utilisé pour crypter les métadonnées(information sur la configuration de l'ordinateur et signature des mises à jour) entrel·ordinateur client et le serveur WSUS.

WSUS, pour éviter de saturer l'activer du serveur Web, transmet les mises à jour auxclients en clair (protocole HTTP et non HTTPS). Mais il transmet au client avec lesmétadonnées une information de hachage ainsi qu'une signature digitale pour chaque mise à jour via le cryptage SSL (protocole HTTPS). Le client va vérifier si la signature et le hashcorrespond à la mise à jour. Si elle ne correspond pas, il ne l'installe pas.




5.3.1. Les limites du SSL

Comme pour toute activité de cryptage, celle-ci induit une augmentation de charge detravail de votre ordinateur qui héberge WSUS. En moyenne, l'impact sur votre ordinateur estde l'ordre de 10% de perte de performance. De plus, si vous utilisez un serveur SQL à distance, le trafic entre le service WSUS et leservice SQL ne sera en aucun cas crypté par SSL. Si vous souhaitez sécurisé les transactions SQL, voici quelques recommandations:

y Installer le service serveur SQL sur la même machine qui héberge la solution WSUSy Installer les serveurs qui hébergent le service SQL et le service WSUS sur un réseau

privéy Déployer une stratégie de sécurité IP (IPSec) sur votre réseau

5.3.2. Configurer le SSL sur le serveur WSUS

Comme expliqué ci-dessus, tous les dossiers virtuels n'utilise pas le cryptage SSL . Ci-dessous, la liste des dossiers virtuels où il faudra activer le cryptage SSL:

y SimpleAuthWebServicey DSSAuthWebServicey ServerSyncWebServicey WSUSAdminy ClientWebService

Et voici la liste des dossiers virtuels où il ne faudra pas activer le cryptage SSL:

y Contenty ReportingWebServicey SelfUpdateLa première étape est celle d'importer votre certificat pour le cryptage SSL dans le

compte de l'ordinateur dans la catégorie Autorité de certification racine de confianceEnsuite, importer le certificat dans les propriétés du site web "Site Web par défaut". Puispour terminer, activer pour chaque dossier virtuel cité ci-dessus (seulement ceux de lapremière liste) le cryptage SSL.

Dès lors pour accéder à la console WSUS, vous allez devoir ouvrir la console via le canalsécurisé (HTTPS) à l'adresse suivante: https://NomdelamachineWSUS/WSUSAdmin/Pour que les ordinateurs clients puissent accéder au serveur WSUS sécurisé, on va devoir

modifier la configuration de celle-ci.

5.3.3. Configurer le SSL sur les ordinateurs clients

Il y a deux étapes pour permettre le bon fonctionnement du service WSUS avec lecryptage SSL




1ere Étape: Renseigné l'adresse du Serveur WSUS aux ordinateurs clients:

y soit par GPO (stratégie: "Spécifier l'emplacement intranet du service de Mise à jour Microsoft")

y soit par les informations de registre (valeur DWORD WUServer etWUStatusServer) par l'adresse qui utilise le protocole HTTPS (Exemple:

https://wsus.laboratoire-microsoft.lan/) 2eme Étape:

Importer le certificat du site web ou le certificat de l'autorité qui a délivré le certificatpour le site web dans le groupe Autorité de certification racine de confiance sur lesordinateurs clients.

Deux méthodes pour le faire:

y soit par GPO (Importez le certificat dans le noeud Configuration ordinateur\Paramètre

Windows\Paramètres de sécurité\Stratégies de sécurité publique\Autorités decertification racine de confiance) et déployer la GPOy soit manuellement sur chaque machine client (Importez le certificat dans la Console

Certificat, Compte de l'ordinateur, Conteneur Autorités de certification racines deconfiance)

5 .3.4. Configurer le SSL pour les serveurs avals WSUS

Si vous utilisez un serveur WSUS en aval pour synchroniser votre serveur WSUS et que ceserveur utilise aussi le cryptage SSL alors utilisé la procédure suivante pour activer le SSLlors des transactions:

y Dans la barre d'outils de la console WSUS, cliquez sur Optionsy Cliquez sur le lien Options de synchronisationy Dans l'encart Source de la mise à jour, renseigné le champ Numéro de port par 443

(port par défaut du protocole HTTPS) et coché la case Utilisez SSL pour lasynchronisation des informations de mise à jour




Conclusion

Notre article a pour but de vous familiariser avec le serveur WSUS afin de vous permettrede le mettre en place dans votre réseau pour déployer les mises à jour sur les machinesclientes exécutant Microsoft Windows 2000, XP et 2003.

Ainsi, nous avons découvert Comment...

y Préparer le déploiement d'un serveur WSUS: réfléchir à la configuration du ou desserveurs sur lequel vous souhaitez installer WSUS, à la disposition de vos serveursdans votre entreprise, à l'hébergement de la base de donnée.

y Configurer votre serveur WSUS: pour planifier les mises à jour, pour sélectionnerles langues, les produits et les types de mises à jours et effectuer l'approbation desmises à jour.

y Migrer d'un serveur SUS vers WSUSy Exporter et Importer des mises à jour. y Configurer les ordinateurs clients : dans un environnement Active Directory ou alors

dans des groupes de travaily Utiliser les groupes WSUS pour le déploiement des mises à joury Créer des rapports et surveiller votre serveur WSUSy Sécuriser votre serveur WSUS

En fait, il est de votre intérêt et de celui de Microsoft, de mettre en place un serveurWSUS au sein de votre réseau. De cette façon, il est possible d'économiser de la bandepassante vers Internet et il est plus facile de s'assurer du déploiement des mises à jour surles machines de votre parc.

WSUS est un produit gratuit et facile d'utilisation, mais Microsoft propose un autre

produit plus complet, System Management Server2003

(SMS), qui s'oriente plus vers lesgrandes entreprises souhaitant centraliser tous les déploiements sur un serveur: déploiementdes correctifs, de logiciels (avec des fichiers .msi ou .exe), l'installation via le réseau deSystème d'Exploitation... SMS reprend les fonctionnalités de WSUS mais va beaucoup plusloin dans ses fonctions de gestion du parc informatique. Si vous souhaitez avoir de plus amplesinformations, je vous conseille l'article de Thomas LIAUTARD et Nicolas MILBRAND:"Présentation et implémentation de System Management Server 2003 (SMS 2003)".



R essources

Télécharger ici le programme d'installation de WSUS

Télécharger ici le programme "WSUS Client Diagnostic Tool"

Télécharger ici le programme "WSUS Debug Tool "

Télécharger ici le White Paper Microsoft associé

Vous pourrez trouvez aussi de l'aide ici sur le site TechNet de Microsoft

Lordasse-Serveur-WSUS

Documents

Transcript of Lordasse-Serveur-WSUS