Mise en place d’un serveur WSUS - WordPress.com...Mise en place d’un serveur WSUS Hélène Moutinho Page 3 I. Présentation A. Contexte TIPSO est le sevice info matiue de la société

Mise en place d’un serveur WSUS Epreuve E4 : projet n° 1 Hélène Moutinho BTS SIO

Mise en place d’un serveur WSUS

Hélène Moutinho Page 2

Table des matières

I. Présentation .................................................................................................................................... 3

A. Contexte ...................................................................................................................................... 3

B. Analyse des choix ........................................................................................................................ 3

C. Solution retenue .......................................................................................................................... 6

II. Mise en œuvre de la solution .......................................................................................................... 7

A. Pré-requis .................................................................................................................................... 7

B. Configuration d’un nom de serveur, d’une adresse IP fixe et entrée dans le domaine .............. 7

C. Installation du rôle WSUS ............................................................................................................ 9

D. Paramétrage de WSUS .............................................................................................................. 18

E. Approbation des mises à jour .................................................................................................... 27

F. Création de groupe d’ordinateurs sur WSUS ............................................................................ 31

G. Déploiement de la configuration ............................................................................................... 32

1. Choix de la solution de déploiement ..................................................................................... 33

2. Déploiement par création d’une GPO sur l’Active Directory ................................................ 33

III. Phase de test ............................................................................................................................. 46

A. Déploiement sur des postes clients de test à l’aide des GPOs .................................................. 46

B. Mises à jour des postes clients .................................................................................................. 47

IV. Conclusion du projet ................................................................................................................. 48

V. Pour aller plus loin ......................................................................................................................... 49

VI. Webographie ............................................................................................................................. 50



I. Présentation

A. Contexte

TIPSO est le service informatique de la société @com, cabinet d’expertise comptable et conseil, avec plus de 80 agences partout en France. Ainsi, TIPSO a décidé de développer le réseau de l’entreprise en TSE (terminal Server Edition), qui permet à un utilisateur d'accéder à des applications ou des données stockées sur un ordinateur distant au moyen d'une connexion réseau. De plus, la plupart des changements et mises à jour se font directement sur le serveur, ce qui permet une maintenance et une administration plus centralisée. Jusqu’à présent, TIPSO mettait à jour manuellement les serveurs et les postes. Elle cherche un moyen d’automatiser cette tâche, et si possible à des horaires qui ne gêneraient les utilisateurs. Un audit du parc informatique a déjà été fait et donc il faut impérativement prendre en compte que tout l’environnement de travail de l’entreprise est sous Windows, avec notamment Windows Server 2012, Windows 7 et quelques postes en Windows 10. Aussi, il pourrait être intéressant de mettre à jour en même temps le Pack Office, très utilisé par la grande majorité des collaborateurs, mais aussi d’autres programmes partenaires de Windows.

B. Analyse des choix

Ici, dans un environnement Windows, un certain nombre de choix s’offrent à nous. On pourrait créer une GPO (group policy object ou stratégie de groupe) directement sur l’Active Directory de l’entreprise où l’on pourrait spécifier différents paramètres, comme par exemple choisir ou non que la session redémarrera après les mises à jour, l’ouverture d’une boite de dialogue annonçant la mise à jour ou permettant de la refuser ou la fréquence de détection des mises à jour automatiques. Cependant, l’entreprise mettant à ma disposition un serveur de 9 To, il me semble plus judicieux de créer un serveur WSUS. En effet, WSUS (Windows Server Update Services) est un rôle serveur de Windows Server, présent depuis juillet 2007, date à laquelle il remplaça SUS (Software Update Services). Il utilise le protocole HTTP et HTTPS, car il est couplé à un serveur IIS (Internet Information Services ou serveur Web) et il doit aussi obtenir des mises à jour de Microsoft Update. Le fonctionnement d’un serveur WSUS est assez simple. Tout d’abord, le serveur va télécharger les mises à jour de Windows et d’autres applications Microsoft correspondant aux paramètres des différentes machines présentes sur le parc informatique. C’est donc à l’administrateur de choisir ces différents paramètres afin de ne pas saturer la mémoire du serveur avec des mises à jour inutiles, comme par exemple des mises à jour correspondant à un OS dans une langue autre que le français, quand tout le parc est en français. Ensuite, ces mises à jour vont être individuellement envoyées aux postes selon leurs caractéristiques. Le serveur WSUS va périodiquement se synchroniser avec Windows Update afin de voir si de nouvelles mises à jour sont disponibles. Ainsi, un serveur WSUS présente en plusieurs avantages :



- Une économie de la bande passante sur le réseau, car ce ne sont pas tous les postes qui vont téléchargés leurs mises à jour, mais seulement le serveur WSUS en une fois, pour ensuite les redistribuer individuellement selon les spécificités de chaque poste.

- Une administration simplifiée, car le serveur WSUS gérera automatiquement les mises à jour de chaque poste, suivant les paramètres décidés par l’administrateur réseau. Ainsi, il pourra gérer les mises à jour à télécharger, les horaires de téléchargement mais aussi les horaires de distribution des mises à jour par une GPO s’il est couplé à un Active Directory Aussi, il dispose d’une interface web de gestion des mises à jour, qui peut aussi générer des rapports sur l’état des clients au niveau des mises à jour.

Ainsi, il nous reste à décider le scénario de déploiement WSUS. En effet, il existe 3 grands scénarios de déploiement : Un serveur WSUS unique :

Un déploiement simple tel que celui-ci est intéressant dans le cas d’un réseau de petite taille ou un réseau unique. Ainsi, il existera un seul serveur WSUS sur le réseau à l’intérieur du pare-feu de l’entreprise, et celui-ci se synchronisera directement avec Microsoft Update et qui distribuera les mises à jour aux clients du réseau, comme dans le schéma ci-dessous.

Des serveurs WSUS multiples :

Avoir plusieurs serveurs WSUS sur un réseau peut être intéressant dans le cas d’un réseau de taille moyenne ou d’un réseau complexe. Dans ce cas, il existe 2 scénarios principaux selon le réseau de l’entreprise :

- On peut déployer des serveurs WSUS multiples indépendants. Ainsi, même si plusieurs serveurs sont présents sur le réseau, ces derniers sont gérés de façon indépendante. Les serveurs se synchroniseront tous avec Microsoft Update, comme dans le schéma qui va suivre. Ce genre de déploiement est utile lorsque que le réseau de l’entreprise est divisé en plusieurs segments, gérés en tant qu’entités distinctes, ou lorsque que chaque serveur WSUS est dévolu à un système d’exploitation en particulier (un serveur WSUS pour les mises à jour de Windows 7, un autre pour Windows Server, etc).



- On peut aussi déployer des serveurs WSUS multiples synchronisés en interne. Dans ce type de déploiement, seul un des serveurs se synchronise directement avec Windows Update, on appellera ce serveur le serveur en amont. Les autres serveurs, appelés serveurs en aval, se synchroniseront seulement avec le serveur en amont.

Un serveur WSUS déconnecté :

Un déploiement comme cela est intéressant dans le cas où l’entreprise a peu ou pas de bande passante, et donc un accès limité à internet, du fait d’une stratégie d’entreprise ou d’autres circonstances. Dans ce cas, un autre serveur WSUS hors du réseau mais qui aura accès à Internet, sera utilisé pour télécharger, tester et approuver les mises à jour. Ensuite, l’administrateur exportera les métadonnées et le contenu des mises à jour vers un support externe et les importera vers le serveur WSUS du réseau.



WSUS permet aussi de mettre à jour des logiciels tiers, n’appartenant pas à Microsoft, mais ayant soit un partenariat avec ces derniers, comme Flash ou Adobe, en utilisant des extensions plus ou moins payantes de WSUS, soit n’importe lequel des logiciels grâce à d’autres applications qui viendront se greffer sur WSUS. Dans notre cas, cela ne sera pas utile car nous avons seulement besoin des mises à jour pour les OS et le Pack Office. Mais il est intéressant de savoir que cela est possible, pour une possible extension dans l’avenir.

C. Solution retenue

En se basant sur une analyse détaillée des différents choix et la prise en compte des paramètres du réseau, l’une des solutions qui ressort majoritairement est la mise en place d’un serveur WSUS unique. En effet, pour l’instant rien ne justifie plusieurs serveurs WSUS, car pour l’instant cette mise en place est un test. Si cette solution fonctionne, l’entreprise pourrait peut-être envisager la mise en place de serveur sur chaque site, mais il faudra alors choisir en déploiement indépendant ou synchronisé. De plus, l’Active Directory de l’entreprise nous permettra par le biais d’une GPO de spécifier à tous les postes sans passer individuellement sur chacun d’entre eux que les mises à jour se font désormais par le serveur WSUS.



II. Mise en œuvre de la solution

A. Pré-requis

Nous devons disposer d’un réseau fonctionnel, composé au moins d’un serveur avec les rôles d’Active Directory et de DNS (ce sont au minimum les rôles dont nous aurons besoin dans ce cas-ci), de plusieurs postes avec différentes configurations et d’un serveur que nous allons configurer pour qu’il devienne notre serveur WSUS. Vous trouverez ci-dessous un récapitulatif concernant les paramètres des postes clients et du Serveur Active Directory.

Nom Poste ou Serveur

Fonction dans le réseau

Adresse IP Masque de sous-réseau

Serveur DNS Appartenance à une OU

ProjetAD

Serveur Active Directory et DNS

172.16.10.1 255.255.255.0 127.0.0.1 (lui-même)

Client1 Client sous Windows 7

175.16.80.50 255.255.255.0 ProjetAD Agence Bordeaux


172.16.80.51 255.255.255.0 ProjetAD Agence Cahors


172.16.80.52 255.255.255.0 ProjetAD Agence Villeneuve sur Lot

Non renseigné

Futur Serveur WSUS

Non renseigné Non renseigné Non renseigné

Enfin, nous utiliserons aussi un serveur 2012 R2, que nous allons paramétrer. La configuration minimale pour un serveur WSUS est :

- un processeur de 1,4 GHz et compatible 64 bits - une mémoire RAM de 2 Go minimum - un espace disque disponible de 10 Go (il est conseillé 40 Go minimum pour une optimisation

optimale mais cela dépend de votre réseau, du nombre de clients, du type de mises à jour, etc)

- une carte réseau de 100Mb/s Il doit aussi disposer au niveau logiciel de Microsoft .NET Framework 4.5 et Microsoft Report Viewer Redistributable 2008.

B. Configuration d’un nom de serveur, d’une adresse IP fixe et entrée dans le domaine

Nous allons d’abord lui donner l’adresse IP 172.16.80.10, le masque de sous-réseau 255.255.255.0 et l’adresse du serveur Active Directory en tant que Serveur DNS et passerelle par défaut. Ainsi, notre serveur sera sur le même réseau que les autres clients et l’autre serveur, il pourra donc rentrer dans le domaine.



Ensuite, nous allons donner un nom de serveur valide à notre serveur et joindre ce serveur à

notre domaine Active Directory btsynov33.co.

Nous sommes dans le domaine si le message suivant apparait :



Pour que les modifications soient prises en compte, nous redémarrons le serveur.

C. Installation du rôle WSUS

L’installation se déroule comme suit : Ouvrez le Gestionnaire de serveur et cliquer sur Gérer puis Ajouter des rôles et des

fonctionnalités.

L’assistant se lance, il nous suffit alors de cliquer sur Suivant puis à l’écran suivant de laisser sélectionner Installation basé sur un rôle ou une fonctionnalité et de cliquer sur Continuer.



Il nous faudra ensuite spécifier le serveur sur lequel nous souhaitons installer la

fonctionnalité. Cela nous est demandé car depuis Windows Server 2012 R2 il est possible d’administrer un serveur à distance. Ici cela ne nous concerne pas donc nous allons sélectionner notre serveur nouvellement créé et cliquer sur Suivant.



Dans la liste des rôles disponibles, nous allons sélectionner Services WSUS puis cliquer sur

Ajouter des fonctionnalités, afin que toutes les dépendances nécessaires au bon fonctionnement de ce service soient installées. Nous pouvons ensuite cliquer sur Suivant.



L’assistant ayant déjà sélectionné automatiquement les fonctionnalités nécessaires, il ne

reste plus qu’à cliquer sur Suivant.

Nous arrivons à la partie de l’installation spécifique au service WSUS. Cliquez sur Suivant.



Ici, nous laisserons cocher WSUS Services et nous allons sélectionner WID Database afin

d’utiliser la base de données interne à Windows pour stocker les informations. Si nous avions voulu utiliser un serveur SQL déjà présent ou en créer un, nous aurions pu cocher la solution Base de données.



Il faut alors indiquer un chemin vers un répertoire préalablement créé, qui va servir à stocker

les mises à jour. Cliquez sur Suivant.



WSUS requiert un serveur web IIS, qui créera une interface web de gestion des mises à jour et de génération de rapports. Cliquez donc sur Suivant.

L’assistant ayant sélectionné les fonctionnalités nécessaires, il ne nous reste qu’à cliquer sur

Suivant.



Un résumé des composants qui vont être installés s’affiche alors, il nous faut juste confirmer

que tout y est et cliquer sur Installer.



Il faut patienter quelques minutes, le temps que les fonctionnalités s’installent.

Nous allons ensuite cliquer sur Lancer les tâches de post-installation, qui permettront de

mettre en place une configuration de post-déploiement, en initialisant les bases de données de WSUS, l’architecture du répertoire de téléchargement des mises à jour, le site sur IIS, etc. Cela prend un certain temps.



L’installation est terminée lorsque l’on obtiendra le message suivant : Configuration terminée pour Services WSUS (Windows Server Update Services) à votre serveur.

Nous pouvons alors passer au paramétrage de WSUS.

D. Paramétrage de WSUS

Selon l’utilité que vous en avez, le paramétrage sera différent. Ici, nous allons paramétrer notre serveur en déploiement simple, sans serveur proxy et nous allons lui demander qu’il télécharge les mises à jour critique, de sécurité et Service Pack pour les produits Windows 7, Windows XP, Windows 10 et le Pack Office, tout cela en langue française. Nous allons donc commencer le paramétrage de WSUS. Pour cela, il faut cliquer sur Services WSUS qui se trouve soit dans les Outils d’administration

de notre service.



Un assistant de configuration va alors s’exécuter. Nous devons alors nous assurer comme le

conseille l’assistant que les clients pourront accéder au serveur sans être bloqué par le pare-feu Windows et que ce serveur WSUS soit en mesure de télécharger les mises à jour sur Windows Update. La troisième condition demandé concerne le proxy, qui dans notre solution n’est pas présent, donc cela ne nous concerne pas. Une fois que ces vérifications ont été faite, il ne nous reste plus qu’à cliquer sur Suivant.



Nous avons alors le choix de participer ou non au programme d’amélioration Microsoft Update. Dans le cas où l’on répondrait oui, il faut savoir que quelques informations sur notre parc informatique seraient envoyées automatiquement à Microsoft. Dans notre cas, nous décocherons cette option. Nous cliquons sur Suivant.



L’assistant demande alors si nous souhaitons synchroniser votre serveur WSUS à partir de

Windows Update ou à partir d’un serveur en amont. Vu que nous faisons un déploiement simple avec un seul serveur WSUS, nous laisserons donc cocher la première option. Nous cliquons ensuite sur Suivant.



Ensuite, l’assistant vous demandera aussi si notre serveur doit passer par un proxy afin

d’atteindre internet ou un autre serveur. Dans notre cas, nous n’en avons pas besoin donc nous cliquerons directement sur Suivant.



Il nous faudra alors cliquer sur Démarrer la connexion afin que notre serveur mette à jour sa

base sur Windows Update afin de présenter les choix les plus récents possibles concernant la liste des produits pouvant bénéficier de mise à jour, les types de mise à jour proposés et les langues disponibles. Cliquez sur Suivant.

Ensuite, l’assistant nous demande de choisir les langues pour lesquelles le serveur

téléchargera les mises jour. Tout notre réseau étant en Français, nous allons seulement cocher cette option puis cliquer sur Suivant.



Nous allons alors choisir les produits pour lesquels nous souhaitons des mises à jour. Nous

allons donc sélectionner Windows 7, Windows XP, Windows 10 et le Pack Office puis cliquer sur Suivant.



Concernant le type de mises à jour à télécharger, nous allons pour le moment nous

contentez des mises à jour critiques, de sécurité et les Services Pack qui sont les plus importantes, et nous allons ensuite cliquer sur Suivant.

Afin d’automatiser la tâche de synchronisation avec Windows Update, nous allons cocher

l’option Synchroniser automatiquement et choisir l’heure de première synchronisation et sa périodicité. Nous choisissons de faire une mise à jour par jour, et cela à 3h du matin, car techniquement personne ne devrait travailler et donc utiliser le réseau. Il faut ensuite cliquer sur Suivant.



Enfin, nous allons cocher la case Commencer la synchronisation initiale afin que WSUS

effectue sa première synchronisation auprès des serveurs Microsoft Update. Nous cliquons ensuite sur Terminer.



E. Approbation des mises à jour

En allant dans le volet de gauche et en déroulant le menu Mises à jour, une liste apparait alors à l’écran.

Il faut savoir qu’à ce moment du projet, les mises à jour n’ont pas encore été téléchargées sur le serveur. Notre serveur s’est juste synchronisé avec Windows Update afin de nous fournir une liste de mises à jour qui correspondent aux produits et aux types de mise à jour que nous avions demandée précédemment. Pour qu’elles soient téléchargées dans la base de données de notre serveur, et donc accessibles aux postes clients, il va falloir les approuver. Il existe deux façons d’approuver des mises à jour. Il est possible d’approuver manuellement toutes les mises à jour, seulement cela implique de devoir à nouveau approuver les mises à jour à chaque synchronisation. Nous allons plutôt nous tourner vers l’approbation automatique. En effet, il est possible de créer de règles d’approbation automatique. De plus, nous avons sélectionné spécifiquement les produits présents sur notre réseau donc nous n’avons pas besoin de « trier » les mises à jour. Nous allons créer une nouvelle règle d’approbation automatique pour chaque OS présent sur notre réseau (Windows 7, Windows XP et Windows 10). Nous allons donc reproduire la procédure qui suit pour chaque OS, donc 3 fois. Dans le volet de gauche, nous allons sélectionner Options, puis Approbations automatiques.



Nous cliquons donc sur Nouvelle règle.

Dans l’étape 1, nous cochons donc l’option Lorsqu’une mise à jour se trouve dans un

produit précis puis dans l’étape 2 nous cliquons sur Tous les produits.



Cela nous renvoie vers une fenêtre pour choisir les produits. Nous voulons autoriser les mises

à jour pour chaque OS présent sur le parc, donc nous allons décocher la case Tous les produits et cocher seulement Windows 7, Windows XP ou Windows 10, puis cliquer sur OK.



Il nous faut alors nommer notre règle, nous prendrons comme convention de nommage

APP_AUTO_ suivi du nom de l’OS. Par exemple, pour la règle d’approbation des mises à jour de Windows 7, le nom de la règle sera APP_AUTO_W7. Nous cliquons ensuite sur OK.



Nous sommes maintenant à nouveau sur la fenêtre d’approbations automatiques. Nous

cliquons donc sur la règle que nous venons de créer, puis sur Exécuter la règle.

L’opération est terminée.

F. Création de groupe d’ordinateurs sur WSUS

Il ne serait pas obligatoire de créer des groupes d’ordinateurs. Cependant, nous allons en créer afin de voir l’avancement des mises à jour sur les ordinateurs selon l’agence auxquels ils appartiennent. Nous allons donc recréer les agences comme elles existent sur l’Active Directory. Dans le volet de gauche, nous allons développer l’onglet Ordinateurs, faire un clic-droit sur

Tous les Ordinateurs et cliquer sur Ajouter un groupe d’ordinateurs … .



Il nous faut alors indiquer le nom du nouveau groupe d’ordinateur. Nous allons donc créer

les groupes d’ordinateurs Bordeaux, Cahors et Villeneuve sur Lot. Nous cliquons après sur Ajouter.

Nous venons donc de créer nos groupes d’ordinateurs correspondant à nos agences.

G. Déploiement de la configuration



1. Choix de la solution de déploiement

Maintenant que notre serveur WSUS est fonctionnel et paramétré à notre convenance, il faut que nos ordinateurs puissent remonter sur le serveur WSUS, afin que ce soit celui-ci qui leur fournisse les mises à jour. Ainsi, il faudra que tous les postes aient dans leur configuration le serveur WSUS comme serveur de mise à jour Windows. Pour cela, il existe différentes manières de procéder. Nous pourrions par exemple taper sur chaque poste la commande wuauclt /detectnow qui fera remonter le poste en question dans la catégorie Ordinateurs non attribués de notre serveur WSUS, et le réattribuer au bon groupe par la suite. Nous pourrions aussi modifier les paramètres de mises à jour dans la stratégie de groupe locale, en tapant gpedit.msc dans le menu démarrer/exécuter (symbole Windows + R) et en allant dans configuration de l'ordinateur/modèles d'administrations/composant windows/windows update. Un autre choix qui s’offre à nous est de modifier les paramètres concernant WSUS dans la base de registre en tapant regedit toujours dans le menu exécuter, puis en allant dans [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] et [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]. Cependant, toutes ces solutions impliquent soit de passer poste par poste, soit de créer un script qui s’exécutera sur tout notre parc informatique. Elles peuvent être intéressantes dans le cas d’une entreprise en Workgroup ou avec peu de postes. Ainsi, il nous semble plus judicieux de créer une GPO (Group Policy Object ou stratégie de groupe globale) sur l’Active Directory, car tous nos postes récupéreront de façon automatique le paramétrage que nous aurons choisi d’appliquer. Cela sera donc plus efficient.

2. Déploiement par création d’une GPO sur l’Active Directory

Nous allons donc créer des GPO différentes selon les agences, afin de paramétrer des heures différentes de mises à jour. Nous devrons donc reproduire cette manipulation pour chaque agence. Ici nous présenterons les paramétrages pour Bordeaux. Pour les deux autres agences, il nous suffira de modifier le ciblage côté client, et le jour et l’heure de l’installation planifiée. Sur notre contrôleur de domaine, nous allons accéder à la console de gestion des stratégies

de groupe dans les Outils d’administration de notre serveur.



Dans le volet de gauche, nous allons développer le répertoire Agences, puis nous ferons un

clic-droit sur l’agence de Bordeaux puis cliquer sur Créer un objet GPO dans ce domaine, et le lier ici … .



On nous demande alors de donner un nom à notre GPO, nous choisissons comme convention de nommage WSUS_ suivi du nom de l’agence. Ici, nous appellerons donc notre GPO WSUS_Bordeaux puis nous cliquerons sur OK.

Ce dernier va donc s’ajouter dans l’OU. Nous allons donc faire un clic-droit dessus, puis

Modifier.

Pour arriver dans les paramètres relatifs aux mises à jour à partir d’un serveur WSUS, il nous

faut alors dérouler l’arborescence Configuration ordinateur Stratégies Modèle d’administration Composants Windows Windows Update.



Nous allons commencer par le paramètre le plus important, qui est Spécifier l’emplacement

intranet du service de mise à jour Microsoft, que nous allons activer et auquel nous allons indiquer l’URL de notre serveur WSUS, qui sera http://172.16.10.10:8530. En effet, les ordinateurs du parc se connecteront directement au site IIS spécifique à WSUS, donc nous avons besoin de lui mettre http:// puis l’adresse IP du serveur WSUS puis le port spécifique à WSUS, qui est le port 8530.

http://172.16.10.10:8530/



Nous allons ensuite décider de paramètres spécifiques dans notre cas. Ainsi, nous allons

activer le paramètre Configuration du service de mises à jour automatique et nous choisirons l’option 4, qui nous permettra donc de choisir le jour de la semaine et l’heure à laquelle les postes doivent téléchargés et installer les mises à jour. Nous avons choisi pour toutes les agences que cette installation planifiée se ferait à 12h, car les employées de l’entreprise prennent leur pause déjeuner à 12h30, ainsi les mises à jour ont le temps de se télécharger, et s’il y a besoin de redémarrer l’ordinateur cela ne les gênera pas. Par contre, nous avons choisi des jours différents selon les agences, afin d’éviter une trop grande utilisation de la bande passante. Pour Bordeaux, cela sera lundi, pour Cahors mercredi et pour Villeneuve sur Lot ce sera vendredi.



Nous avons choisi les mises à jour utiles pour tous les postes, donc nous ne voulons pas

laisser le choix aux utilisateurs d’accepter ou refuser certaines mises à jour. Nous allons donc désactiver le paramètre Autoriser les non-administrateurs à recevoir les notifications de mises à jour.



Nous ne souhaitons pas que l’ordinateur redémarre automatiquement pour certaines mises

à jour qui le demandent, mais plutôt que celui-ci attende le prochain démarrage afin d’appliquer les mises à jour. Nous allons donc activer le paramètre Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques.



Nous avons déjà créé des groupes d’ordinateurs dans notre serveur WSUS, nous voulons

donc que les ordinateurs appartenant à chaque agence remontent directement dans le groupe d’ordinateurs correspondant à son agence. Nous allons donc activer le paramètre Autoriser le ciblage côté client, et dans le cas de postes appartenant à l’agence de Bordeaux, spécifier que nous voulons qu’ils remontent dans le groupe d’ordinateurs Bordeaux.



Pour l’instant, nous avons décidé de seulement mettre à jour des produits certifiés Windows,

ainsi nous pouvons désactiver l’option Autoriser les mises à jour signées provenant d’un emplacement intranet du service de Mise à jour Microsoft.



Aussi, nous souhaitons que l’utilisateur sache quand il veut arrêter ou redémarrer

l’ordinateur si des mises vont s’installer. Nous désactivons donc le paramètre Ne pas afficher l’option « Installer les mises à jour et éteindre » dans la boite de dialogue Arrêt de Windows.

Par contre, nous souhaitons que cette option (« Installer les mises à jour et éteindre ») soit

l’option par défaut dans la boite de dialogue Arrêt de Windows. Nous allons donc désactiver le paramètre Ne pas modifier l’option par défaut « Installer les mises à jour et éteindre » dans la boite de dialogue Arrêt de Windows.



Nous ne voulons pas que l’utilisateur puisse faire des mises à jour autre que celles que nous

avons approuvés, ni ne puisse accéder au Windows Store, ainsi nous allons activer l’option Ne pas se connecter à des emplacements Internet Windows Update.



Les autres paramètres ne nous semblent pas pertinents dans notre cas. Nous les laisserons

donc en Non configuré.

Nous avons donc au final 3 GPOs, qui s’applique à une OU d’agences spécifiques.

Enfin, pour finaliser tout notre paramétrage, nous allons revenir sur notre serveur WSUS.

Dans l’outil d’administration Services WSUS, nous allons cliquer sur Options, puis nous irons sur Ordinateurs. WSUS nous demande alors de choisir le mode d’attribution des ordinateurs aux groupes, nous choisissons donc Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs puis nous cliquons sur OK.



Il ne nous reste plus qu’à passer à la phase de test.



III. Phase de test

A. Déploiement sur des postes clients de test à l’aide des GPOs

Voici un rappel de la typologie de notre réseau :

Nom Poste ou Serveur

Fonction dans le réseau

Adresse IP Masque de sous-réseau

Serveur DNS Appartenance à une OU

DC0-BTSYNOV33

Serveur Active Directory et DNS

172.16.10.1 255.255.255.0 127.0.0.1 (lui-même)

S1WSUS1 Serveur WSUS

172.16.80.10 255.255.255.0 DC0-BTSYNOV33

Serveurs


175.16.80.50 255.255.255.0 DC0-BTSYNOV33

Agence Bordeaux


172.16.80.51 255.255.255.0 DC0-BTSYNOV33

Agence Cahors


172.16.80.52 255.255.255.0 DC0-BTSYNOV33

Agence Villeneuve sur Lot

Nous venons donc de créer nos GPOs. Nous voulons actualiser notre stratégie de groupe,

donc nous allons taper la commande gpupdate /force sur notre serveur Active Directory afin d’être sûr que nos GPOs s’exécutent bien.

Nous allons ensuite vérifier que nos postes ont bien pris en compte la nouvelle GPO en

tapant la commande gpresult /v.



Nous pouvons aussi voir sur notre serveur WSUS que nos clients sont bien remontés dans les

groupes d’ordinateurs que nous leur avions attribués

B. Mises à jour des postes clients

Nous pouvons voir que les mises à jour se font bien le jour et l’heure que nous avions paramétrés dans nos GPOs, et qu’elles se font donc de façon automatique.



IV. Conclusion du projet

Nous avons à présent un serveur WSUS entièrement paramétré sur le réseau de l’entreprise et nous avons pu tester que notre solution fonctionne bien. Cela permettra donc une économie de la bande passante, car ce ne sont plus les postes qui demanderont les mises à jour à des horaires aléatoires, mais le serveur qui va télécharger les mises à jour nécessaires et les redistribuer selon les modalités que nous avons choisi. De plus, en décidant d’appliquer ces mises à jour à des jours et des heures différentes, cela permet de nous protéger dans la limite du possible des problèmes liés aux mises à jour, comme par exemple des mises à jour peu stables. L’un des autres avantages notables de WSUS est qu’il permet une automatisation quasi-totale, aussi bien sur la périodicité de la synchronisation de notre serveur WSUS avec Windows Update, la périodicité du téléchargement des mises à jour selon les agences, mais aussi l’approbation automatique des mises à jour. L’administrateur aura seulement besoin de revenir sur le serveur WSUS pour vérifier l’état des mises à jour et pour de temps nettoyer le serveur des anciens ordinateurs, des anciennes mises à jour et des anciens fichiers de mises à jour qui pourraient prendre inutilement de la place sur le serveur.



V. Pour aller plus loin

Voici quelques pistes pour aller plus loin dans notre sujet :

- La création de rapport de mises à jour et de synchronisation - L’élimination des anciens ordinateurs, des anciennes mises à jour et des anciens fichiers de

mises à jour qui pourraient prendre inutilement de la place sur le serveur grâce à l’assistant de nettoyage du serveur

- L’envoi de notifications relatives aux nouvelles mises à jour et aux rapports d’état par courrier électronique

- La mise en place de serveurs en aval - La sécurisation de WSUS avec le protocole SSL (Secure Sockets Layer) - La synchronisation avec des mises à jour de produits partenaires avec Windows



VI. Webographie

https://fr.wikipedia.org/wiki/Windows_Server_Update_Services https://fr.wikipedia.org/wiki/Software_Update_Services https://msdn.microsoft.com/fr-fr/library/hh852344(v=ws.11).aspx https://www.electrogen.fr/tutoriel-installer-et-configurer-wsus-workgroup-windows/ https://www.it-connect.fr/mise-en-place-de-wsus-en-workgroup/ https://www.it-connect.fr/configuration-basique-de-wsus-sur-ws-2012/ https://www.it-connect.fr/installation-de-wsus-sur-windows-server-2012/ https://www.google.fr/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=role+windows+server+2003&* http://www.serverwatch.com/tutorials/article.php/2171481/Set-Server-Roles-in-Windows-Server-2003.htm https://fr.wikipedia.org/wiki/Windows_Server https://labo-microsoft.supinfo.com/articles/WSUS/ https://technet.microsoft.com/fr-fr/library/cc708576(v=ws.10).aspx https://technet.microsoft.com/library/hh852345.aspx https://msdn.microsoft.com/fr-fr/library/hh852344(v=ws.11).aspx http://www.sac-en-papier.net/creer-une-regle-dapprobation-automatique-sous-wsus/ http://www.lolokai.com/blog/2012/04/18/deploiement-des-services-wsus-via-gpo/ http://www.sac-en-papier.net/creer-une-strategie-de-groupe-pour-wsus-sous-windows-2012-r2/ https://www.it-connect.fr/configurer-un-client-wsus-dans-un-domaine/ https://forum.nextinpact.com/topic/156283-resolu-wsus-comment-ajouter-des-ordinateurs/ http://www.commentcamarche.net/forum/affich-1742293-wsus-forcer-synchro-des-clients-imediatemen

https://fr.wikipedia.org/wiki/Windows_Server_Update_Services

https://fr.wikipedia.org/wiki/Software_Update_Services

https://msdn.microsoft.com/fr-fr/library/hh852344(v=ws.11).aspx

https://www.electrogen.fr/tutoriel-installer-et-configurer-wsus-workgroup-windows/

https://www.it-connect.fr/mise-en-place-de-wsus-en-workgroup/

https://www.it-connect.fr/configuration-basique-de-wsus-sur-ws-2012/

https://www.it-connect.fr/installation-de-wsus-sur-windows-server-2012/

https://www.google.fr/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=role+windows+server+2003&*

https://www.google.fr/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=role+windows+server+2003&*

http://www.serverwatch.com/tutorials/article.php/2171481/Set-Server-Roles-in-Windows-Server-2003.htm

http://www.serverwatch.com/tutorials/article.php/2171481/Set-Server-Roles-in-Windows-Server-2003.htm

https://fr.wikipedia.org/wiki/Windows_Server

https://labo-microsoft.supinfo.com/articles/WSUS/

https://technet.microsoft.com/fr-fr/library/cc708576(v=ws.10).aspx

https://technet.microsoft.com/library/hh852345.aspx

https://msdn.microsoft.com/fr-fr/library/hh852344(v=ws.11).aspx

http://www.sac-en-papier.net/creer-une-regle-dapprobation-automatique-sous-wsus/

http://www.lolokai.com/blog/2012/04/18/deploiement-des-services-wsus-via-gpo/

http://www.sac-en-papier.net/creer-une-strategie-de-groupe-pour-wsus-sous-windows-2012-r2/

https://www.it-connect.fr/configurer-un-client-wsus-dans-un-domaine/

https://forum.nextinpact.com/topic/156283-resolu-wsus-comment-ajouter-des-ordinateurs/

http://www.commentcamarche.net/forum/affich-1742293-wsus-forcer-synchro-des-clients-imediatemen

http://www.commentcamarche.net/forum/affich-1742293-wsus-forcer-synchro-des-clients-imediatemen

Documents

Mise en place d’un serveur WSUS - WordPress.com...Mise en place d’un serveur WSUS Hélène Moutinho Page 3 I. Présentation A. Contexte TIPSO est le sevice info matiue de la société