Serveur WSUS

Serveur WSUS

SOMMAIRE1. Comment prparer l'installation de WSUS .......................................... 51.1. Configuration minimale: ................................................................ 5 1.2. Type de dploiement ................................................................... 5 1.3. Dtails des options lors de l'installation d'un serveur WSUS ................... 7 1.4. Migration d'un serveur SUS vers un serveur WSUS ..............................111.4.1. Les Pr requis logiciels: ............................................................... 11 1.4.2. Installation de MSDE 2000 (Windows 2000 Server uniquement) ................... 11 1.4.3. Installation de WSUS ................................................................. 12 1.4.4. Migration du contenu du serveur SUS vers le serveur WSUS ...................... 12 1.4.5. Enlever les fonctions de SUS et activer WSUS vers le port 80. .................. 12

2. Configuration de la synchronisation et de l'approbation ....................... 132.1. Configuration du Service: Site Web d'administration ............................132.1.1. Option de synchronisation ............................................................. 13 2.1.2. Option d'approbation automatique .................................................... 17

2.2. Synchronisation: tlchargement et installation des mises jour ...............19 2.3. Exporter, importer des mises jour ...............................................202.3.1. Vrifier les options de synchronisation avances .................................... 20 2.3.2. La migration des mises jour ......................................................... 20 2.3.3. L'exportation et l'importation des mtadonnes..................................... 21

3. Gestion des machines clientes .......................................................... 223.1. Configuration des mises jours automatiques des clients ........................223.1.1. Avec des Stratgie De Groupe (GPO) ................................................ 22 3.1.2. Dans un environnement sans A/D ..................................................... 25 3.2. Utilitaire en ligne de commande ......................................................... 28

3.3. Groupe d'ordinateurs WSUS .........................................................30

4. Fonctionnalits de surveillance ......................................................... 32Serveur WSUS | Windows Server Update Services 2

4.1 Rapports ................................................................................324.1.1 Rapport "Etats des mises jour" ...................................................... 32 4.1.2 Rapport "Etats des ordinateurs" ....................................................... 33 4.1.3 Rapport "Rsultats de la synchronisation"............................................. 33

4.2 Surveillance .............................................................................35 4.3 Outil de dbogage ......................................................................37

5. Scurisez un serveur WSUS ................................................. 375.1. Renforcer la scurit de votre serveur Windows Server 2003 excutant WSUS ...............................................................................................37 5.2. Ajouter l'authentification entre les serveurs chans dans un environnement Active Directory ............................................................................385.2.1. Cration de la liste de serveurs ...................................................... 38 5.2.2. Dsactivation de l'accs anonyme dans IIS ......................................... 39

5.3. Scuris WSUS avec Secure Socket Layer ........................................395.3.1. Les limites du SSL ..................................................................... 40 5.3.2. Configurer le SSL sur le serveur WSUS ............................................. 40 5.3.3. Configurer le SSL sur les ordinateurs clients ........................................ 40 5.3.4. Configurer le SSL pour les serveurs avals WSUS ................................... 41

Conclusion

........................................................................................ 43

Ressources ....................................................................................... 44

Serveur WSUS | Windows Server Update Services 3

Introduction:Windows Server Update Services (WSUS) est la seconde gnration de logiciel serveur pour le dploiement des mises jour, propose par Microsoft pour remplacer Software Update Services (SUS). La liste des options a t toffe et le dploiement des serveurs a t grandement simplifi mais WSUS a toujours pour but de limiter l'utilisation de la bande passante vers Internet et de s'assurer que vos systmes Windows (Windows 2000, XP et 2003) possdent les dernires mises jour installes sur votre parc informatique. Le fonctionnement de base de WSUS est simple. Il tlcharge les mises jour depuis les serveurs Windows Update et il dploie les mises jour tlcharges sur les machines de votre rseau. Mais pour le bon fonctionnement de celui-ci, il est ncessaire de connatre toutes les fonctionnalits de WSUS. Alors, nous tcherons de comprendre comment installer votre serveur WSUS, et nous expliquerons comment le configurer. Ensuite, nous verrons comment utiliser les groupes pour dployer les mises jour. Aprs cela, nous aborderons comment diter des rapports et comment surveiller votre serveur WSUS. Enfin, nous apprendrons comment scuriser votre serveur WSUS.


1. Comment prparer l'installation de WSUS1.1. Configuration minimale:y

Recommandation Microsoft pour 500 clients ou moins

Minimum CPU RAM Base de Donnes Disque dury

Recommand1 GHz 1 GB WMSDE/MSDE 32 GB

750 MHz 512 MB WMSDE/MSDE 32 GB

Recommandation Microsoft pour 500 15,000 clients

Minimum CPU RAM Base de Donnes Disque dur1 GHz 1 GB SQL Server 2000 avec SP3a 32 GB

Recommand:3 GHz biprocesseur 1 GB SQL Server 2000 avec SP3a 32 GB

1.2. Type de dploiementy

WSUS simple:

o

o

o

Mthode la plus simple: un serveur derrire votre pare feu qui se met jour directement sur les serveurs de Microsoft Update Les mises jour sont dployes par le biais du client de mises jour automatique: il faut leur renseigner l'adresse du site web sur lequel il pourra rcuprer les correctifs Cration d'un site web par dfaut ou alors sur un site personnalis (port 8530)


y

WSUS chans:

o

o

o

o

Deux catgories de serveur: les serveurs amont et aval, un serveur aval se met jour sur un serveur amont Un serveur amont ne doit jamais se synchroniser sur un serveur aval, cela crerai une boucle ferme qui n'est pas supporte par le protocole de communication entre les serveurs. Une authentification peut tre demande, dans un environnement Active Directory, sur le serveur amont sur la base d'une liste dfinie de serveurs avals. Microsoft recommande de ne pas dpasser un enchanement de plus de trois serveurs avals bien qu'en thorie aucune limite ne soit impose par le protocole de communication entre les serveurs. Par contre, aucun test suprieur un enchanement de plus de cinq serveurs n'a t ralis par Microsoft.y

Rseau dconnect d'Internet:


o

o

Si un segment de votre rseau n'est pas connect Internet, pour quelque raison que ce soit, vous pouvez exporter le contenu de votre base de mises jour, sur un media physique, afin de les importer sur le serveur WSUS isol. Cette solution peut aussi tre envisageable pour les entreprises ayant des liaisons coteuses ou une bande passante faible vers Internet

1.3. Dtails des options lors de l'installation d'un serveur WSUSAu dbut de l'installation, vous pouvez choisir le rpertoire d'installation des mises jour WSUS. Vrifiez que la case Stocker les mises jour localement soit coche si vous n'avez pas de serveur SQL 2000, ou bientt, SQL Server 2005. Notez aussi que le rpertoire par dfaut est C:\WSUS\

La Base de Donnes de WSUS: ce moment de l'installation, vous pouvez choisir la base de donne qui correspond le mieux vos besoins: WMSDE, MSDE ou un autre serveur de base de donne (SQL Server 2000 SP3 minimum).o

Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE):

uniquement disponible pour Windows 2003 server, pas d'interface graphique, l'utilisateur ne peut que l'utiliser pour les besoins de WSUSo

Microsoft SQL Server 2000 Desktop Engine (MSDE): installez MSDE sivous souhaitez installer WSUS sur un serveur Windows 2000, il est identique


WMSDE mais sans les limitations pour la taille de la base ou le nombre de connexion. Son tlchargement est disponible sur le site de Microsoft.o

Microsoft SQL Server 2000: (le service pack 3a est obligatoire). C'est leserveur de base de donne le plus complet propos par Microsoft. Si vous choisissez d'utiliser ce serveur de base de donnes avec WSUS, les paramtres de configuration peuvent tre personnaliss (nested triggers, recursive triggers...)

Slection du site WEB:

Si sous avez dj install IIS pour un autre service Web, l'assistant d'installation vous donne le choix pour le site de WSUS:o le site par dfaut port 80 o ou alors la cration d'un site Microsoft Windows Server Update Service accessible par le port 8530: ce numro de port n'est pas paramtrable.

Notez ici les adresses utiles pour accder votre site Web WSUS:o

http://Nom_Serveur/WSUSAdmin : l'adresse d'accs la console d'administration de votre serveur WSUS, depuis votre navigateur Web (Microsoft IE 6 voir bientt 7... ;). http://Nom_Serveur : utilis pour l'accs depuis les clients BITS(Windows 2000, XP, 2003)

o


Paramtre de mise jour sur un serveur miroir

2 cas sont possibles: o Tlchargement depuis le site Web Microsoft Update o Installation d'un serveur aval depuis un serveur amont WSUS.

La page suivante rcapitule et informe sur les sites utiles: Site Web d'administration: http://votreServeur/wsusadmin et Site Web de mise jour automatique du client http://votreServeur/selfupdate


Le programme d'installation lance l'installation des services (ASP .net v1.1, WMSDE puis WSUS). Cliquez sur le bouton Terminer et commencez dcouvrir l'interface en cliquant sur les diffrents menus (les icnes en haut droite) ...


noter:

Ds le dbut, une tche vous demande de mettre en place des communications Secure Socket Layer (SSL)

1.4. Migration d'un serveur SUS vers un serveur WSUSWSUS est une deuxime gnration de serveur de mise jour pour les infrastructures ayant des plateformes Microsoft Windows (2000, XP, 2003). Par contre, vous ne pouvez pas mettre jour directement un serveur SUS avec l'assistant d'installation mais Microsoft fournit un support en anglais tlchargeable sur son site Web. La dmarche suivre dcrite est la suivante:

1.4.1. Les Pr requis logiciels:y Sur o o o

Windows 2003 Server:

Microsoft Internet Information Service (IIS) 6.0 Background Intelligent Transfer Service (BITS) 2.0 Microsoft .NET Framework 1.1 Service Pack 1 tlchargeable ici.y Sur

pour

Windows

Server 2003,

Windows 2000 Server:

o o o

o o

Microsoft Internet Information Service (IIS) 5.0 Background Intelligent Transfer Service (BITS) 2.0 Une base de donne 100% compatible avec Microsoft SQL; comme MSDE 2000, tlchargeable cliquez ici pour le tlcharger. Microsoft .NET Framework Version 1.1 Redistributable Package ici. Microsoft .NET Framework 1.1 Service Pack 1 pour Windows Server 2003, cliquez ici pour le tlcharger.

1.4.2. Installation de MSDE 2000 (Windows 2000 Server uniquement)Si vous n'avez pas d'accs aux licences des produits Microsoft SQL Server, Microsoft propose aux entreprises Microsoft SQL Server 2000 Desktop Engine (MSDE), un produit gratuit mis en tlchargement pour les personnes souhaitant avoir un serveur Microsoft gratuit 100% compatible avec Microsoft SQL. Toutes les options de configuration sont dsactives! L'installation de ce service passe par quatre tapes:o o o o

Tlchargez et dcompressez l'archive MSDE Installez MSDE Vrifiez que l'instance de la base de donnes est active Mettre jour la scurit de MSDE


1.4.3. Installation de WSUSSuivez le pas pas d'installation par dfaut, puis sur la page Option de base de donne, faite l'un des choix suivants:o

o

Sur un serveur Windows 2003 serveur, slectionnez l'option Installer SQL Desktop Engine (Windows) sur ce serveur. Si vous faite l'installation du serveur WSUS sur un serveur Windows 2000 serveur, slectionnez l'option Utiliser un serveur de base de donne existant sur ce serveur. Ensuite, choisissez dans la liste droulante le nom de l'instance qui correspond, et cliquez sur suivant.

Pour la suite de l'installation, sur la page Slection du Site Web, choisissez l'option Crer un site Web Microsoft Windows Server Update Services, La console WSUS utilisera un site diffrent et le port 8530. En effet, vous devez spcifier cette option car le site de SUS est, quand lui, toujours actifs sur le site par dfaut. En ce qui concerne les tapes suivantes, rfrez vous au pas pas. Une fois l'installation termine, vous devrez configurer WSUS afin que le serveur ait la mme configuration que celle de votre serveur SUS: les langues des tlchargements et autres options que vous avez configurez. Avant de passer la prochaine tape, vous devrez synchroniser le serveur. Pour plus de dtails sur la configuration et la synchronisation de WSUS, je vous invite vous reporter au chapitre suivant.

1.4.4. Migration du contenu du serveur SUS vers le serveur WSUSPour cela, nous allons utiliser l'outil wsusutil.exe que le programme d'installation a install lors de l'tape prcdente, pour cela:o

o o

Ajoutez le chemin C:\Program Files\WSUS\Update Services\Tools dans votre variable d'environnement PATH Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez wsusutil.exe migratesus /content c:\sus\content\cabs /approvals NomServeurSUS /log NomFichier.log

Il vous sera ensuite ncessaire de configurer les approbations sur les mises jour que vous venez de migrer en fonction des groupes. Nous dvelopperons ce sujet dans la suite de notre article.

1.4.5. Enlever les fonctions de SUS et activer WSUS vers le port 80.Pour supprimer le site Web de SUS:o o o

Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez inetmgr puis OK Dans la console d'administration de IIS, cliquez avec le bouton droit sur le site Web de SUS et cliquez sur Arrter


Pour migrer le site Web de WSUS sur le port 80:o o o

o

Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez inetmgr puis OK Dans la console d'administration de IIS, cliquez avec le bouton droit sur le site Web de WSUS et cliquez sur Proprits Dans la boite dialogue qui s'ouvre, changer la valeur du champ TCP de 8350 pour celle de 80

Afin de parfaire cette migration de votre serveur SUS en serveur WSUS, vous devrez changer le raccourci vers la console Web de configuration de WSUS dans le menu dmarrer en effet, le port ayant chang, le raccourci ne pointe pas vers le bon site Web.

2. Configuration de la synchronisation et de l'approbation2.1. Configuration du Service: Site Web d'administration2.1.1. Option de synchronisationy

Planification

Aprs la premire synchronisation, vous vous rendrez compte que les synchronisations manuelles vous obligent faire une maintenance rgulire de votre serveur, en demandant les synchronisations de votre propre chef. C'est pourquoi WSUS vous donne la possibilit de raliser vos synchronisations automatiquement, tous les jours, une heure que vous pouvez dfinir en fonction de la disponibilit de votre connexion Internet (plutt le soir pour ne pas encombrer votre bande passante inutilement, par exemple :).

La planification est une tape incontournable de la configuration de base de votre serveur WSUS.y

Produit et classification:

Si vous avez dj mis en place un serveur SUS, vous avez du vous rendre compte que vous tiez oblig de tlcharger les mises jour de l'ensemble de la famille Windows mme si votre entreprise ne comprenait que des postes de travail sous Windows XP. De plus, il vous tait impossible de dployer les mises jour pour Microsoft Office ou alors celles de Microsoft Exchange Server...


C'est pourquoi Microsoft a revu son serveur de mises jour interne pour les entreprises, afin de permettre aux administrateurs de celles-ci de slectionner les produits pour lesquels ils souhaitent tlcharger les mises jour. Avant la premire synchronisation, la liste des mises jour est simplement compose des mises jour des plateformes Windows (2000, XP, 2003 Server). Suite la premire synchronisation, la liste des produits est toffe (Exchange, SQL, Office...). En outre, WSUS vous donne la possibilit de slectionner le type de mise jour (Feature Pack, Mise jour critique, Mise jour de la scurit, Mise jour, Outils, Pilotes, Service Pack). Ainsi, vous avez la possibilit de rduire la taille de la base de donne de mises jour, si vous pensez ne pas avoir besoin des mises jour de vos pilotes matriels...


y

Serveur Proxy

Si vous utilisez un serveur Proxy entre votre serveur WSUS et sa source de mises jour (Windows Update ou un serveur WSUS amont), comme ISA Server par exemple, vous aurez besoin de configurer les paramtres de serveur Proxy sur votre serveur WSUS. Vous devrez indiquez le nom du serveur, le port que vous utilisez ainsi que les informations d'identification de l'utilisateur que vous utiliserez pour vous connectez au Proxy, si ncessaire.

En outre, si vous utilisez un pare-feu entre votre rseau local et Internet, vous devrez rajouter les rgles suivantes. Autrement, la synchronisation vers les serveurs de Windows Update sera difficile.o

o

Autoriser le trafic sur les ports 80 et 443 entre votre serveur WSUS et Internet. Ces ports sont utiliss par WSUS pour se mettre jour sur les serveurs de Windows Update. Si la politique de votre entreprise ne vous permet pas de laisser tout le trafic sur ces ports car le risque serait trop grand, vous devrez alors le restreindre ces sites: http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com


y

Source de la mise jour

Lors de l'installation, vous avez d indiquer votre source de mise jour. Mais, si pour une raison ou pour une autre vous avez besoin de changer cette source de mise jour (par exemple: serveur en amont qui serait tomb ou alors l'installation d'un nouveau serveur en amont...), il est possible tout moment de modifier les informations que vous avez spcifies lors de l'installation.

y

Fichiers et langue des mises jour

Dans la section Fichiers et Langue des mises jour, vous pouvez choisir de stocker les fichiers de mise jour localement sur le serveur. Mais aussi, vous serez mme de choisir la faon dont vous allez tlcharger les mises jour. Deux options s'offrent vous: tlcharger les mises jour aprs les avoir approuves ou alors tlcharger les fichiers d'installation rapide. En gnral, les mises jour consistent en de nouvelles versions de fichier qui existe dj. Si vous avez choisi l'option Tlcharger les fichiers d'installation rapide, alors votre serveur WSUS va simplement tlcharger les diffrences entre le fichier d'origine et le


patch associ (au niveau binaire). Cela vous permettra de limiter la consommation de bande passante sur votre rseau local (mais aux dpens de votre connexion Internet). Ce choix peux se justifier si vous avez choisi de planifier vos synchronisation des heures o personnes n'est prsent dans vos locaux (la nuit, par exemple), ou alors si vous avez besoin de faire de l'exportation de votre base de donne... En outre, WSUS ne vous obligera pas de tlcharger les mises jour pour l'ensemble des langues disponibles. En effet, une entreprise franaise a un parc informatique compos essentiellement de machines quipes de systmes d'exploitation en franais et n'a nulle besoin de tlcharger les mises jour en coren ou en hbreu. Ainsi, WSUS vous permet de Tlcharger que les mises jour correspondant vos paramtres rgionaux, ou alors Tlcharger les mises jour dans toutes les langues, y compris les nouvelles. En fonction de la diversit linguistique de votre parc informatique, vous pouvez dterminer les langues que vous souhaitez tlcharger afin de rpondre au mieux vos besoins en choisissant vos langues (Anglais, Franais...), si vous avez coch l'option Tlcharger uniquement les mises jour dans des langues slectionnes.

2.1.2. Option d'approbation automatiquey

Mises jour

Lors de la synchronisation, le serveur WSUS va tlcharger la liste des mises jour disponible. Ses mises jour ont deux caractristiques : Approuver la dtection et Approuver l'installation. L'approbation de la dtection permet de spcifier au serveur WSUS, que telle ou telles mises jour doivent tre prsentes sur tel ou tels groupes. Pour cela, vous pouvez spcifier les types de mises jour que vous voulez automatiquement approuver pour le ou les groupes d'ordinateurs que vous pouvez spcifier. Par dfaut, les mises jour critiques et de scurit sont approuves automatiquement pour tous les ordinateurs. Ensuite, vous devrez approuver leur installation. En effet, sinon, votre serveur WSUS ne tlchargera pas les mises jour et ne pourra donc pas les dployer! Veillez donc ccher la case "Approuver automatiquement les mise jour installer d'aprs la rgle suivante". Ainsi, toutes les mises jour critiques et de scurit seront approuves et tlcharges (donc dployes) vers toutes les machines de votre rseau. Si vous n'avez pas coch cette case avant de faire votre premire synchronisation, vous devrez alors lancer manuellement le tlchargement de toutes les mises jour que vous avez approuves. De plus vous avez le choix d'ajouter des Classifications ou de modifier la liste des Groupes d'ordinateurs, vous tes libre d'adapter les approbations automatiques en fonction de la politique de scurit de votre entreprise (vous pouvez par exemple y ajouter les services packs et exclure le groupe de vos serveurs...)


y

Rvision des mises jour

Cette option permet de configurer votre serveur WSUS pour que les rvisions des mises jour: o Soit approuv automatiquement o Soit approuv manuellement et donc continuer utiliser la version prcdente de la mise jour.

Par dfaut, la rgle est d'Approuv automatiquement la dernire rvision de la mise jour car ces mises jours sont gnralement publies suite des failles qui se sont rvles aprs leurs sorties. Il est prfrable de conserver cette option par dfaut mais si votre politique de scurit est contre cette solution, sachez que vous pouvez modifier cette option en choisissant de Continuer utiliser la rvision prcdente et approuver manuellement la nouvelle rvision de la mise jour.y

Mise jour de Windows Server Update Service

Le serveur WSUS peut lui mme tre soumis des mises jour. Par dfaut celle-ci sont approuve et Microsoft vous conseille de garder cette option par dfaut afin que toutes les futures mises jour soient correctement dtectes par les ordinateurs clientes de ses services.


2.2. Synchronisation: tlchargement et installation des mises jourLe serveur WSUS utilise le port 80 et le port 443 pour obtenir les mises jour depuis le site de Microsoft par contre, on ne peut pas le configurer. Si vous avez un pare-feu entre votre rseau et Internet, souvenez vous qu'il faut y placer des rgles pour laisser passer le trafic sur le port 80 (HTTP) et/ou 443 (HTTPS). Par contre, vous pouvez toujours configurer vos autres serveurs WSUS pour qu'ils se synchronisent sur le premier que vous avez configur. Vous pourrez alors profiter de la bande passante de votre rseau local. Selon les options que vous avez choisies lors de l'installation, les ports 80 ou 8530 seront sollicits pour la connexion chane de vos serveurs WSUS. Prenez garde utiliser les adresses du type http://NomServeur:8350/..., si vous avez choisi d'utiliser ce port. Dans le cas o vous synchronisez votre serveur WSUS depuis un serveur depuis un autre serveur WSUS de votre rseau, seules les mises jour et les mtadonnes seront partages (ni les informations sur les groupes de machines, ni les informations sur les approbations des mises jour le seront)

partir du menu Mises jour, vous pouvez grer l'ensemble des correctifs mis disposition par Microsoft. C'est ici que vous serez capable de grer les approbations de chaque mise jour, individuellement. Trois tats d'approbation peuvent tre associs une


mise jour: Installer, Dtecter uniquement ou alors Non approuve. De plus vous pouvez Refuser les mises jour, ce qui entranera un effacement de la base de donnes des vnements signals par les ordinateurs concerns par cette mise jour. Dans la partie Vue gauche, vous avez un petit moteur de recherche qui vous permettra de trouver les mises jour en fonction de quatre critres que vous pouvez dfinir (Produit et classification, Approbation, Synchronis, Contenant le texte). Ainsi vous pourrez avoir des Dtails sur les mises jours que vous avez recherches (une description et des dtails d'information, l'tat de dploiement sur vos groupes d'ordinateurs...) et un rapport peut tre imprimer si vous cliquez sur Imprimer le rapport d'tat...

2.3. Exporter, importer des mises jourIl y a trois tapes remplir pour pouvoir exporter et importer des mises jour. Premirement vous devez vous assurez que les options de synchronisation avance concorde entre le serveur WSUS source et celui de destination (le tlchargement des fichiers d'installation rapide est alors indispensable). Ensuite, copiez les mises jour depuis le systme de fichier du serveur source vers le systme de fichier du serveur de destination. Enfin, exporter les mtadonnes des mises jour depuis la base de donnes sur le serveur source pour les importer sur la base de donnes du serveur de destination.

2.3.1. Vrifier les options de synchronisation avancesAfin de remplir la premire tape, vrifiez la configuration de vos options avance, pour cela:o

o

o

o

En premier lieu, ouvrez la console WSUS du serveur d'export (http://votreServeur/wsusadmin ), cliquez sur l'onglet Options puis sur la section Options de Synchronisation. Ensuite, cliquez sur avance dans la section Fichiers et langue des mises jour. Alors dans la boite de dialogue Paramtre de Synchronisation Avance, cchez la case tlcharger les fichiers d'installation rapide et vrifier la configuration de la partie Langues. En second lieu, ouvrez la console WSUS du serveur d'import ( http://votreServeur/wsusadmin ), cliquez sur l'onglet Option puis sur la section Option de Synchronisation et cliquez sur avance dans la section fichiers et langue des mises jour. Dans la boite de dialogue Paramtre de Synchronisation Avance, vrifier que les configurations concorde.

2.3.2. La migration des mises jourLa deuxime tape consistera donc en la migration proprement dites des fichiers de tlchargement rapide. La mthode suivre est alors la suivante:

noter: la configuration de base des Access Control List ne sont pas le mme sur WindowsServeur 2000 et Windows 2003 Server. Si nous copions des donnes d'un serveur sous


Windows 2000 vers un serveur sous Windows Server 2003, il faut ajouter manuellement le groupe SERVICE RSEAU de faon ce que le groupe puisse accder au dossier ou seront stocker les donnes. Pour exporter les fichiers depuis le systme de fichier du serveur d'export:o o

o

o

o

o o

o

Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez ntbackup. L'assistant de sauvegarde ou de Restauration se lance par dfaut, s'il n'a pas t dsactiv. Vous pouvez soit utiliser cet assistant ou alors travailler en mode avanc (ce que nous allons faire). Cliquez sur l'onglet Sauvegarde, puis slectionnez le dossier o sont stocks les fichiers que vous souhaitez exporter. Par dfaut, ceux-ci sont situs sur lecteurd'installationWSUS:\WSUS\WSUSContent\. Dans la partie Nom de fichier ou lecteur de sauvegarde, tapez le chemin puis le nom de votre fichier de sauvegarde (.bkt) ou utilisez le bouton Parcourir. Cliquez alors sur le bouton Dmarrer et une boite de dialogue Informations sur la sauvegarde s'ouvre. Cliquez sur Avanc puis dans la partie Type de sauvegarde choisissez Incrmentiel. Dans la boite de dialogue Informations sur la sauvegarde cliquez sur Dmarrer la sauvegarde pour commencer le processus de sauvegarde. Une fois la sauvegarde termine, dplacez le fichier que vous venez de crer vers le serveur sur lequel vous souhaitez importer les mises jour.

Pour restaurer les fichiers de mises jour vers le serveur d'import:o o

o

o

o

Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez ntbackup. L'assistant de sauvegarde ou de Restauration se lance par dfaut, s'il n'a pas t dsactiv. Vous pouvez soit utiliser cet assistant ou alors travailler en mode avanc. Cliquez sur l'onglet Restaurer et grer le mdia, slectionner alors le fichier de sauvegarde que vous avez crer sur le serveur d'export. Si le fichier n'apparat pas, faite un clic droit sur fichier puis cliquez sur fichier catalogue pour ajouter le chemin vers le fichier. Dans Remplacer les fichiers vers, choisissez Autre emplacement. Alors, spcifier le rpertoire vers lequel vous voulez restaurer les fichiers (lecteurd'installationWSUS:\WSUS\WSUSContent\) Cliquez alors sur Dmarrer. Quand la boite de dialogue Confirmation de restauration apparat, cliquez sur OK pour commencer la restauration.

2.3.3. L'exportation et l'importation des mtadonnesL'tape finale consiste migrer les fichiers mtadonnes vers le serveur d'import. Durant l'installation de WSUS, le programme a copi l'utilitaire WSUSutil.exe, par dfaut dans le dossier C:\Program Files\Update Services\Tools. Vous devez tre membre du groupe administrateur local sur le serveur WSUS pour exporter ou importer des fichiers mtadonnes. Ces deux oprations doivent ce faire sur le serveur WSUS directement. Par contre, n'importer jamais des fichiers mtadonnes depuis un serveur que vous n'approuvez pas car la scurit de votre serveur WSUS est en jeu.


Pour exporter des mises jour depuis la base de donnes du serveur d'export:o

o o

o

Ajouter le rpertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre variable d'environnement PATH, si ce n'est pas dj fait. Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez wsusutil.exe export package.cab fichier.log Dplacer ainsi les fichiers que vous venez de crer et qui se situe dans le rpertoire C:\Documents and Setting\%USERNAME%\ sur le serveur qui est prt recevoir les fichiers de mise jour

Pour importer les fichier mtadonnes vers la base de donne du serveur d'import:o

o o

Ajouter le rpertoire le chemin C:\Programme Files\WSUS\Update Services\Tools dans votre variable d'environnement PATH Cliquez sur le bouton Dmarrer puis sur Excuter Alors dans la boite de dialogue Excuter, tapez wsusutil.exe export package.cab fichier.log

Enfin, l'export/import des mises jour est ralis avec brio. Si vous respectez la manipulation la rgles, vous pourrez rsoudre les problmes li au tlchargement des fichiers de mise jour sur un serveur isol de votre rseau, n'ayant pas de connexion Internet ou ayant une bande passante faible et utilise

3. Gestion des machines clientes3.1. Configuration des mises jours automatiques des clients3.1.1. Avec des Stratgie De Groupe (GPO)Voici la mthode pour dployer la politique de dploiement des mises jour sur votre rseau. Comme pr requis, il sera ncessaire d'avoir un domaine Active Directory.

Avant d'entamer la cration de GPO (Group Policy Object), pour la configuration de la mise jour automatique des clients, vous devez vous assurer que vous possdez le dernier modle d'administration Windows Update. Le fichier du modle intgrant la gestion de WSUS se nomme Wuau.adm et il est situ dans le dossier %systemroot%\Inf. Il est disponible dans le Service Pack 2 de Microsoft Windows XP. Procdure pour importer le modle d'administration Wuau.adm, si votre ordinateur ne possde pas la dernire version:y y y y y

3.1.1.1. Configuration de l'ordinateur qui configure les stratgies de Groupe

Dans l'diteur de Stratgie de groupe, cliquez sur le n ud Modle d'administration. Dans le menu Action, cliquez sur Ajout/Suppression de modles... Dans la fentre "Ajout/Suppression de modle", cliquez sur Ajouter... Dans la fentre de "Slection de modle", slectionnez Wuau.adm et cliquez sur Ouvrir... Fermer la fentre "Ajout/Suppression de modle".


3.1.1.2. Spcifier au client un serveur WSUSDs lors que ce modle stratgie de groupe sera import, les ordinateurs clients utiliseront le service WSUS disponible sur votre rseau pour la mise jour automatique mais les utilisateurs pourront toujours mettre jour manuellement leur ordinateur via Microsoft Windows Update. Pour empcher les utilisateurs d'utiliser Microsoft Windows Update, il faudra activer une autre stratgie de groupe (voir chapitre 3.1.1.3, stratgie Supprimer l'accs l'utilisation de toute les fonctionnalits de Windows Update) Procdure pour activer l'utilisation de votre serveur WSUS par les ordinateurs clients pour la mise jour automatique:y y y y

y

y

Dans l'diteur de Stratgie de groupe, dployez les n uds Configuration ordinateur, Modle d'administration, Composants Windows, Windows Update. Dans le panel de droite, modifiez la stratgie suivante: "Spcifier l'emplacement intranet du service de Mise jour Microsoft" Activez la stratgie dans la fentre Proprits de la stratgie Renseignez l'adresse DNS du serveur qui hberge le service WSUS dans les champs "Configurer le service intranet de Mise jour pour la dtection des mises jour" et "Configurer le serveur intranet de statistiques" (Exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/) Activez la stratgie Configuration des mises jours automatiques pour activer le service de Mise jour automatique des clients et spcifier une politique (voir cidessous) Cliquez OK

Une fois cette stratgie de groupe enregistre et lie un domaine ou une unit d'organisation, les ordinateurs utiliseront le serveur WSUS pour mettre jour le systme (aprs actualisation de la stratgie de groupe sur les clients) grce la fonctionnalit de mise jour automatique.

3.1.1.3. Spcifier des options de stratgie de groupe li la Mise jour Automatique de Microsoft WindowsGrce aux diffrentes options, vous pourrez changer l'interaction entre les clients, leur machine et le serveur WSUS. Vous trouverez ces options de stratgie de groupe dans le n ud ordinateur\Modle d'administration\Composants Windows\Windows Update Configuration

Stratgie Autoriser le ciblage cot client Autoriser les nonadministrateurs recevoir les notifications de mise jour

DescriptionVous pouvez crer des groupes dans WSUS. L'objectif de cette stratgie est de spcifier le nom de groupe que les ordinateurs doivent utiliser pour tlcharger les mises jour. Cette stratgie va permettre d'autoriser les utilisateurs nonadministrateurs de recevoir les notifications de mises jour. L'utilisateur pourra ou non confirmer l'installation des mises jour.


Autoriser l'installation Si la mise jour ne ncessite pas de redmarrage de Windows immdiate des mises jour ou de services Windows alors, si la stratgie est active, l'installation des mises jour s'effectue de suite. automatiqueCette stratgie va permettre d'activer le service "Mise jour automatique" et ensuite le fonctionnement de celle-ci (Notification, tlchargement, planification, interaction avec les stratgies locales) Fonctionnement des mises jour possible:

Configuration des mises jour automatiques

installation

2: Notification avant tlchargement et notification avantdes mises jour automatique installation valeurs des mises des mises jour et jour et

3:

Tlchargement notification avant

4: L'installation des mises jour est automatique et planifien fonction des ScheduledInstallTime ScheduledInstallDay

l'utilisateur final peut le configurer

5: La planification des mises jour est configur maisCette stratgie permet de renseigner la dure entre la fin de

Dlai de redmarrage pour l'installation de mise jour et le redmarrage de la machine. les installations planifies(par dfaut 5 minutes)

Elle permet de configurer la dure entre chaque vrification Frquence de dtection des de mise jour (de -20% 0%) sur le serveur WSUS (par mises jour automatiques dfaut: 22 heures, donc vrification aprs une dure de 18h24 et 22h)

Ne pas afficher l'option Si cette stratgie est active, l'option d'installation des mises 'Installer les mises jour jour avant extinction ne sera pas disponible aux utilisateurs. et teindre' Ne pas modifier l'option par dfaut 'Installer les mises jour et teindre'Si cette stratgie est active, alors la fonction arrt de la machine par dfaut sera celle avec l'installation des mises jour

Pas de redmarrage planifi Ne permet pas la fonction Mise jour automatique de des installations planifis redmarrer la machine si celle-ci est planifie. Seul des mises jour l'utilisateur le fera manuellement automatiques Redemander un redmarrage avec les installations planifiesPermet de spcifier une demande de redmarrage aprs un laps de temps, si la prcdente a t refuse

Replanifier les installations Si l'installation planifie prcdente a t manque, alors on planifies des mises jour renseigne le temps depuis le dmarrage de la machine avant une nouvelle planification. automatiquesVous trouverez d'autres stratgies de groupe li au service Windows Update dans le n ud Configuration utilisateur\Modle d'administration\Composants Windows\Windows Update.


Stratgie

Description

Supprimer l'accs l'utilisation Permet de dsactiver toutes les interactions avec de toutes les fonctionnalits de Windows Update. Il est fortement conseill de l'activer pour viter de faire doublon avec le service WSUS Windows Update Ne pas afficher l'option 'Installer les mises jour et teindre' Ne pas modifier l'option par dfaut 'Installer les mises jour et teindre'Si cette option est active, alors l'option d'installation des mises jour avant extinction ne sera pas disponible aux utilisateurs. Si cette option est active, alors la fonction arrt de la machine par dfaut sera celle avec l'installation des mises jour

3.1.2. Dans un environnement sans A/DSi vous ne possdez pas de domaine Active Directory, il est possible de configurer les clients via la base de registre avec toutes les options disponibles dans les stratgies de groupes mais la configuration des machines sera trs contraignante. Voici les diffrentes entres de la base de registre pour la configuration des clients: N ud de configuration gnral: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate D

EntreValeur possible: 0 ou 1

Description

ElevateNonAdmins

0: Seuls les administrateurs peuvent refuser ou accepter lesmises jour

1: Tout le monde peut refuser ou accepter les mises jour TargetGroupPermet de spcifier le groupe de mise jour auquel

l'ordinateur appartient (ciblage cot client) Valeur possible: 0 ou 1

TargetGroupEnabled

0: Dsactiver la fonctionnalit de ciblage cot client 1: Activer la fonctionnalit de ciblage cot clientPermet de spcifier l'emplacement du serveur WSUS (exemple:

WUServer

http://wsus.supinfo.lan/

ou

http://wsus.supinfo.lan:8350/).

Doit tre identique l'entre WUStatusServer

WUStatusServer

Permet de spcifier l'emplacement du serveur WSUS (exemple: http://wsus.supinfo.lan/ ou http://wsus.supinfo.lan:8350/).


Doit tre identique l'entre WUServer

N ud de configuration pour les mises jour automatique: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

Entre

DescriptionValeur Possible: 2,3,4 ou 5 Configuration du fonctionnement de la Mise jour automatique (Notification, tlchargement, planification, interaction avec les stratgies locales)

2: Notification avant tlchargement et notificationavant installation des mises jour

AUOptions

3: Tlchargement automatique des mises jour etnotification avant installation des mises jour

4: l'installation des mises jour est automatique etplanifi en fonction des valeurs DWORD ScheduledInstallDay et ScheduledInstallTime

5: la planification des mises jour est configur maisl'utilisateur final peut le configurer Valeur possible: 0 ou 1

0: N'installe pas de suite les mises jours mineurs quine ncessite pas de redmarrage de l'ordinateur ou de

AutoInstallMinorUpdates

service

1: Installe de suite les mises jours mineurs qui nencessite pas de redmarrage de l'ordinateur ou de service Valeur possible: de 1 22

DetectionFrequency

Dure en heure entre chaque vrification de mise jour (de -20% 0%) sur le serveur WSUS Valeur possible: 0 ou 1

0: Utilise la valeur par dfaut de la dure entre chaquevrification de mise jour (par dfaut: 22 heures, donc

DetectionFrequencyEnabled

vrification aprs une dure de 18h24 et 22h)

1: Utilise la valeur renseign par la valeur DWORDDetectionFrequency (toujours de -20% 0%) pour la dure entre chaque vrification de mise jour


Valeur possible: 0 ou 1

0: l'ordinateur redmarre la machine dans les 5 minutes NoAutoRebootWithLoggedOnUsers qui suivent la mise jour de la machine 1: l'utilisateur a le choix de redmarrer ou non lamachine Valeur possible: 0 ou 1

NoAutoUpdate

0: Mise jour automatique dsactiv 1: Mise jour automatique activ Valeur possible: de 1 1440

RebootRelaunchTimeout

Dure en minute entre chaque demande de redmarrage l'utilisateur de l'ordinateur Valeur possible: 0 ou 1 0: Le temps entre chaque demande de redmarrage l'utilisateur est celle par dfaut (10 minutes) 1: Le temps entre chaque demande de redmarrage l'utilisateur est celle renseigne par la valeur DWORD RebootRelaunchTimeout Valeur possible: de 1 30

RebootRelaunchTimeoutEnabled

RebootWarningTimeout

Dure en minutes du compteur avant redmarrage de la machine pour les mises jour planifies ou obligatoires Valeur possible: 0 ou 1 0: Le temps initial en minute du compteur avant redmarrage pour les mises jour planifies ou obligatoires est celle par dfaut (5 minutes) 1: Le temps initial en minute du compteur avant redmarrage pour les mises jour planifies ou obligatoires est celle renseign par la valeur DWORD RebootRelaunchTimeout Valeur possible: entre 1 et 60 Temps en minute pour l'attente depuis le dmarrage de la machine avant installation des mises jour planifi

RebootWarningTimeoutEnabled

RescheduleWaitTime

rat. Cette politique ne s'applique pas aux mises jour qui ont une chance spcifique. Si l'chance d'une mise jour est dpasse alors celle-ci est installe de suite.


Valeur possible: 0 ou 1 0: Les mises jour planifies rates seront reports lors de prochaine planification 1: Les mises jour planifies rates seront installs aprs le laps de temps spcifi par la valeur DWORD RebootRelaunchTimeout Valeur possible: entre 0 et 7 0: Mise jour planifi tous les jours de 1 7: jour de la semaine de dimanche (1) samedi (7) Cette option ne marche seulement si l'entre AUOption est configure la valeur 4 Valeur possible: entre 0 et 23

RescheduleWaitTimeEnabled

ScheduledInstallDay

ScheduledInstallTime

Heure de la journe pour les mises jour planifi Cette option ne marche seulement si l'entre AUOption est configure la valeur 4 Valeur possible: de 0 1

UseWUServer

0: Utilise Windows Update 1: Utilise votre serveur WSUS

3.2. Utilitaire en ligne de commandeMicrosoft fournit un outil pour tester le bon fonctionnement du client et de sa configuration. Il permet de tester aussi la connexion avec le serveur WSUS. Cet outil s'appelle "WSUS Client Diagnostic Tool". Vous pouvez le tlcharger l'adresse suivante: cliquez ici Il suffira juste de l'excuter pour voir les diffrents processus tests et fonctionnels.

3.2.1. Vrification du fonctionnement ct client


Vous pouvez, en utilisant la ligne de commande suivante sur la machine cliente, dtecter le serveur WSUS manuellement et ainsi pouvoir administrer la machine trs rapidement sur la console WSUS (choix d'un groupe, etc...) Procdure pour dtecter manuellement le serveur WSUS sur un ordinateur client:y y y

3.2.2. Dtection manuel du serveur WSUS

Cliquez sur Dmarrer puis sur Excuter... Tapez dans le champ Ouvrir: wuauclt.exe /detectnow Cliquez sur OK

WSUS utilise des cookies pour enregistrer un certain nombre d'information, y compris le groupe WSUS du client. Par dfaut, le cookie est supprim une heure aprs sa cration. Mais si dans ce laps de temps vous changer le groupe WSUS du client, vous risquez d'avoir des comportements inattendus. Pour viter tout souci, utilisez la procdure suivante. Procdure pour rinitialiser le cookie de l'ordinateur client:y y y

3.2.3. Mise zro des informations clientes

Cliquez sur Dmarrer puis sur Excuter... Tapez dans le champ Ouvrir: wuauclt.exe /resetauthorization /detectnow Cliquez sur OK


3.3. Groupe d'ordinateurs WSUSPar dfaut, deux groupes sont prsents All Computers et Unassigned Computers. Lorsque vous ajoutez une machine votre serveur WSUS, celle-ci est membre des deux groupes. Mais vous pouvez aussi enlever votre machine du groupe Unassigned Computers, pour l'assigner un autre groupe que vous avez cr. Le groupe All Computers vous permettra, quant lui, de distribuer trs facilement une mise jour (ou plusieurs) l'ensemble des ordinateurs que vous grez. Un avantage des groupes est que vous pouvez raliser des tests sur un groupe (ex: test_winXP_office2003), qui contient des machines reprsentative d'un autre groupe (celui-ci pour qui seront destins les correctifs), afin de vrifier les nouvelles mises jour. Si les rsultats sont concluant, vous pourrez dployer ces mises jour sur un second groupe rpondant aux critres de votre groupe de test (ex: PC_winXP_office2003). De cette faon, vous pourrez facilement grer le dploiement de vos mises jour en fonction des profils matriels et logiciels des machines de votre rseau. Le nombre de groupe n'est pas limit!

3.3.1. Prsentation

Vous avez la possibilit d'affecter les ordinateurs dans les groupes WSUS:y

3.3.2. Mode d'affectation des ordinateurs

y

soit automatiquement via la stratgie de groupe (stratgie Autoriser le ciblage cot client) ou via les informations de registre (entres: TargetGroup et TargetGroupEnabled). soit manuellement via la console WSUS

Dans les deux cas, il faudra manuellement cre les groupes WSUS via la console WSUS. Si vous devez maitrisez un parc informatique consquent, vous devez bien entendu utiliser l'affectation de groupe automatique. Procdure pour configurer l'affectation des ordinateurs:y y

Dans la console WSUS, cliquez sur Options et sur Options des ordinateurs Dans la fentre Options des ordinateurs, choisissez l'une des options possibles:o

Utiliser la tche Dplacer les ordinateurs dans Windows Server Update Services : si vous souhaitez crer les groupes et assigner les ordinateurs via laconsole WSUS

o

y

ordinateurs via les stratgies de groupe ou les informations de registre des ordinateurs clients Sous Tches, cliquez sur Enregistrer les paramtres et confirmer les modifications

Utiliser la stratgie du groupe ou les paramtres des Registres des ordinateurs : si vous souhaitez crer les groupes via WSUS et assigner les


En mode automatique ou manuel pour l'affectation des ordinateurs, vous devez crer les groupes. Procdure pour la cration des groupes dans la console WSUS: y Dans la console WSUS, cliquez sur Ordinateurs y Sous Tches, cliquez sur Crer un groupe d'ordinateurs y Cliquez sur OK

3.3.3. Cration des groupes

Si vous avez choisi l'affectation des ordinateurs manuelle, vous devrez pour chaque ordinateur de votre rseau lui dsigner un groupe cr prcdemment Procdure pour affecter un ordinateur un groupe WSUS manuellement: y Dans la console WSUS, cliquez sur Ordinateurs y Sous Groupes, slectionnez le groupe o se trouve l'ordinateur que vous souhaitez dplacer y Dans la liste des ordinateurs, slectionnez l'ordinateur que vous souhaitez dplacer y Sous Tches, cliquez sur Dplacer l'ordinateur slectionn y Dans la liste des groupes, slectionnez le groupe destinataire y Cliquez sur OK

3.3.4 Affectation des ordinateurs (affectation manuelle)


4. Fonctionnalits de surveillance4.1 RapportsAvec la console WSUS, vous avez la possibilit de gnrer un certain nombre de rapport pour surveiller le service WSUS et vous pourrez aussi les imprimer.

4.1.1 Rapport "Etats des mises jour"L'tat des mises jour va permettre de voir le statut de chaque mise jour approuve et trier par niveau: par mise jour, par groupe d'ordinateur et par ordinateur comme montr ci-dessous. Les rapports seront gnrs partir des contacts les plus rcents avec les ordinateurs clients (contact entre le serveur WSUS et les ordinateurs clients tous les 22 heures par dfaut).

En plus de rappeler l'approbation pour chaque groupe et l'chance configure pour chaque mise jour, vous trouverez dans le tableau des colonnes supplmentaire expliquez ci-dessous:

Information Install Ncessaire Non applicable Inconnu

DescriptionNombre de machines o la mise jour a t installe Nombre de machines o l'installation de la mise jour est ncessaire mais pas encore installe (par exemple: la mise jour est en cours de tlchargement par les clients) Nombre de machines o l'installation de la mise jour n'est pas ncessaire Nombre de machines qui depuis la dernire synchronisation n'ont pas contact le serveur WSUS


Echec

Nombre de machines o le tlchargement ou l'installation de mise jour a chou ou que celle-ci a t dsinstalle

On remarquera que vous pouvez avoir de plus amples informations sur une machine spcifique en cliquant sur l'tat de la mise jour de la machine.

4.1.2 Rapport "Etats des ordinateurs"Cette option de rapport va reprendre le mme principe que le rapport Etat des mises jour. Vous pouvez le voir ci-dessous, la seule diffrence est que le trie s'effectue par groupe d'ordinateur. Dans la liste des ordinateurs du groupe, vous trouverez pour chaque ordinateur l'tat de chaque mise jour synchronise sur le serveur WSUS. Il sera nanmoins trs pratique pour connaitre l'tat des mises jour d'une machine bien spcifique dans un groupe WSUS.

4.1.3 Rapport "Rsultats de la synchronisation"Ce rapport va permettre de faire un rsum de la dernire synchronisation ou de toutes les synchronisations sur une priode jusqu'au jour d'aujourd'hui (intervalle de 1 jour ou depuis l'installation de WSUS). Ci-dessous, vous trouverez un descriptif pour chaque composant de ce rapport:

Composant Dernire synchronisationAffiche les

Descriptioninformations propos de la dernire

synchronisation du serveur WSUS: le type (Manuelle ou


Automatique), la date et l'heure o la synchronisation a commenc, la date et l'heure o celle-ci s'est termine et son tat Affiche des informations sur toutes les synchronisations effectues sur la priode choisie par l'administrateur:

Rsum de la synchronisation Nombre total de mises jour tlcharges sur la priode,nombre de mises jour rvises et expires ainsi que le nombre d'erreurs de synchronisation

Erreur

Enumre et affiche de plus amples dtails sur les erreurs de synchronisation Liste l'ensemble de tous les mises jour tlcharges lors

Nouvelles mises jour

des synchronisations avec leur nom, la gamme de produit destine la mise jour et la classification

Ce rapport Rsultat de la synchronisation sera seulement utile lorsque les synchronisations chouent et ainsi avoir de plus amples dtails.

4.1.4 Rapport "Rsum des paramtres"Ce rapport permettra de connaitre tous les dtails dans le moindre recoin de la configuration de votre serveur WSUS. Trs utile, pour vrifier que votre serveur WSUS a t bien configur d'un seul coup d' il. y Planification de la synchronisation y Produits et classifications y Source de la mise jour y Serveur Proxy y Fichier de la mise jour y Langues y Approbation automatique y Rvisions des mises jour y Mises jour de Windows Server Update Services y Serveurs en aval y Options des ordinateurs y Base de donnes


4.2 SurveillanceAfin de vous assurez du bon fonctionnement de votre serveur WSUS, vous avez la possibilit d'utiliser la console performance afin de crer des fichiers journaux de l'activit de ce service.

Alors, vous devrez crer un nouveau fichier journal, en cliquant avec le bouton droit dans la partie dtails de la Journaux de Compteur puis slectionner Nouveau paramtre de journal... Dans la boite de dialogue qui s'ouvre, entrez le nom que vous souhaitez donner votre journal puis cliquez sur OK. La fentre suivante s'ouvre:

La prochaine tape sera de rajouter les compteurs que vous souhaitez surveiller: pour cela cliquez sur Ajouter des compteurs... Une nouvelle fentre s'ouvre et vous propose de choisir vos compteurs parmi une grande liste de compteurs possibles. Ceux-ci sont classs par catgorie que vous pouvez slectionner dans la liste de menu droulante Objet de performance. La liste de catgorie est mise jour chaque fois que vous ajoutez un service


votre serveur: lors de la mise en place d'un serveur DNS, une catgorie DNS fait sont apparition dans la liste des objets de performance.

En ce qui concerne WSUS, cinq catgories sont ajoutes: WSUS: Mthode du service Web client, WSUS: Mthodes Web du serveur, WSUS: Service Web client, WSUS: Service Web de cration de rapports, WSUS: Service Web du serveur. Dans chaque catgorie, vous avez une liste de compteur que vous pouvez ajouter votre guise. La liste de ces compteurs est longue mais je vous propose de dcouvrir une liste non exhaustive des compteurs qui peuvent tre intressants: a. b. c. d. e. f. g. h. WSUS: WSUS: WSUS: WSUS: WSUS: WSUS: WSUS: WSUS: Mthodes Web du serveur\ Nombre d'appel la mthode Web Mthode du service Web client\ Nombre d'appel la mthode Web Service Web client\ Nombre d'appel par seconde Service Web client\ Dure moyenne d'excution Service Web de cration de rapports\ Nombre d'vnements en file d'attente Service Web du serveur\ Dure d'excution maximale Service Web du serveur\ Dure moyenne d'excution Service Web du serveur\ Nombre d'appel par seconde

Les compteurs a et b vous permettront de ne pas passer cot d'une monte en charge imprvu de l'utilisation de votre serveur. Ensuite, les compteurs c et d pourront mettre en vidence un changement de comportement de vos clients (tentative d'attaque du type buffer overflow ou alors une attaque virale contre votre serveur WSUS). Le compteur e, quant lui, vous permettra de savoir si la cration de vos rapport avec le serveur WSUS n'utilisent pas trop les ressources sur de votre serveur (vous pouvez le combiner avec les compteurs classique de surveillance du serveur comme l'utilisation du processeur, de la mmoire vive, du disque


dur...). Pour finir, les compteurs f h vous donneront une vision objective de la charge que subit votre serveur. Ainsi, en combinant l'analyse que vous ferez de ces compteurs et de ceux que vous aurez choisis dans vos autres journaux de performance, vous serez mme de dterminer vos nouveaux besoin matriels ainsi que les probables attaques sur votre rseau. C'est pourquoi le choix des compteurs doit tre mrement rflchit afin de rcuprer les rsultats les plus reprsentatifs possibles.

4.3 Outil de dbogageCet outil permet aux administrateurs de rcuprer les journaux de debug, les informations de configuration ainsi que quelques possibilits dadministration pour rsoudre de possibles problmes.Vous pouvez tlcharger l'outil WsusDebugTool en cliquant sur le lien suivant: cliquez ici Loutil a la syntaxe suivante : WsusDebugTool [/OutputCab:] /Tool:

demandes

Outputcab : paramtre optionnel qui crer un fichier Cab qui va contenir les informations

Tool : paramtre principal pour spcifier quel outil dmarr. La liste des outils est cidessous: ResetAnchors: Permet de forcer une synchronisation complte lors de la prochainede mise jour.

synchronisation

peut-tre utile si le proxy ne supporte pas la plage requise pour les tlchargements des donnes. plan

PurgeUnneededFiles: Efface tous les fichiers inutiles du serveur WSUS SetForegroundDownload: Permet le tlchargement des donnes en premier plan. Cela

ResetForegroundDownload: Annule la configuration des tlchargements en premier(voir ci-dessus)

lexcutable

GetBitsStatus: Donne le statut du service de tlchargement BITS. Cet outil ncessite GetConfiguration: Donne la configuration complte du serveur GetLogs: Donne les journaux dinstallation et de debug du serveur WSUS

BitsAdmin.exe WSUS

5. Scurisez un serveur WSUS5.1. Renforcer la scurit de votre serveur Windows Server 2003 excutant WSUSDe faon vous aider pour scuriser votre serveur WSUS, Microsoft dveloppe dans le White Paper "Deploying Windows Serveur Update Service" (Appendix D) les points sur lesquels vous devez porter votre attention:y y

Activer des audits Appliquez les options de scurit


y y y y

Configurer les journaux d'vnement Lancer uniquement les services ncessaires Scuriser les interfaces utilisant les protocoles TCP/IP sur vos serveurs WSUS Configurer la scurit sur IIS 6 et SQL 2000 Serveur

Ces indications concernent uniquement les serveurs sous Windows 2003, utilisant un serveur Microsoft SQL 2000. Certains paramtres doivent tre en commun avec les serveurs WSUS s'excutant sur Windows 2000 Serveur mais rien n'est garanti. Nous n'allons pas ici nous tendre sur les diffrentes parties concernant la scurisation de votre serveur WSUS mais je recommande vivement aux personnes ayant des impratifs de scurit maximale de lire le WhitePaper (voir le chapitre Ressources). Nous allons ci-dessous traiter les points les plus importants

5.2. Ajouter l'authentification entre les serveurs chans dans un environnement Active DirectoryAfin de scuriser les communications entre les serveurs WSUS de votre infrastructure, vous avez la possibilit d'exiger une authentification sur vos serveurs WSUS en amont. Par contre, tous vos serveurs devront avoir un compte dans Active Directory pour permettre ce mcanisme. Alors, si vous avez plusieurs domaines ou forts dans votre entreprise, veillez vrifier que des relations d'approbation existent entre ceux-ci. Le processus se fait en deux tapes:y y

Cration d'une liste de serveurs autoriss sur le serveur amont et l'ajouter un fichier xml que l'assistant crer lors de l'installation de WSUS Dans IIS, dsactiver l'accs anonyme vers le site de WSUS.

Ainsi, seuls les serveurs que vous spcifierez pourront tlcharger les mises jour depuis vos serveurs WSUS en amont.

5.2.1. Cration de la liste de serveursLe fichier modifier est le suivant: %ProgramFiles%\UpdateServices\WebServices\Serversyncwebservice\Web.config. Vous devrez alors ajouter une balise pour dfinir la liste des serveurs que vous souhaitez autoriser pour le tlchargement des mises jour. Cette balise doit se situer aprs les balises et comme dans l'exemple suivant:


Comme vous pouvez le voir dans l'exemple, vous pouvez spcifier les listes des serveurs WSUS en les identifiant comme suit : DOMAINE\Nom_Ordinateur Et en les sparant par des virgules grce la balise . De plus, vous avez aussi la possibilit de dclarer explicitement une liste des serveurs non autoriss: dans l'exemple prsent, * signifie que tous les serveurs non dclars dans la balise au dessus n'ont pas le droit de tlcharger des donnes depuis ce serveur. Par contre, veillez vrifier l'ordre dans lequel vous placez les balises car le serveur excutera la premire condition qu'il pourra vrifier.

5.2.2. Dsactivation de l'accs anonyme dans IISLa seconde tape consiste alors configurer IIS pour dsactiver les accs anonymes vers le rpertoire virtuel Serversyncwebservice et permettre l'authentification intgre Windows:o

o

o o

o

o

Cliquez sur Tous les programmes dans le menu Dmarrer, puis dans la partie Outils d'administration, cliquez sur Gestionnaire des services Internet (IIS). Dvelopper le n ud au nom de votre serveur WSUS puis faite de mme avec le n ud Site Web puis site WSUS. Faites un click droit sur ServerSyncWebService et cliquez ensuite sur proprit. Sur l'onglet Scurit du rpertoire, dans la partie Authentification et contrle d'accs, cliquez sur le bouton Modifier Dans la boite de dialogue qui vient de s'ouvrir, dcochez la case Activer la connexion anonyme, et slectionnez la case Authentification Windows Intgre Cliquez ensuite deux fois sur OK.

5.3. Scuris WSUS avec Secure Socket LayerVous pouvez scuriser votre dploiement WSUS avec le protocole Secure Socket Layer (SSL). Le SSL va permettre de crypter l'authentification entre les ordinateurs clients ou les serveurs en aval et le serveur WSUS. Il sera aussi utilis pour crypter les mtadonnes (information sur la configuration de l'ordinateur et signature des mises jour) entre lordinateur client et le serveur WSUS. WSUS, pour viter de saturer l'activer du serveur Web, transmet les mises jour aux clients en clair (protocole HTTP et non HTTPS). Mais il transmet au client avec les mtadonnes une information de hachage ainsi qu'une signature digitale pour chaque mise jour via le cryptage SSL (protocole HTTPS). Le client va vrifier si la signature et le hash correspond la mise jour. Si elle ne correspond pas, il ne l'installe pas.


5.3.1. Les limites du SSLComme pour toute activit de cryptage, celle-ci induit une augmentation de charge de travail de votre ordinateur qui hberge WSUS. En moyenne, l'impact sur votre ordinateur est de l'ordre de 10% de perte de performance. De plus, si vous utilisez un serveur SQL distance, le trafic entre le service WSUS et le service SQL ne sera en aucun cas crypt par SSL. Si vous souhaitez scuris les transactions SQL, voici quelques recommandations:y y y

Installer le service serveur SQL sur la mme machine qui hberge la solution WSUS Installer les serveurs qui hbergent le service SQL et le service WSUS sur un rseau priv Dployer une stratgie de scurit IP (IPSec) sur votre rseau

5.3.2. Configurer le SSL sur le serveur WSUSComme expliqu ci-dessus, tous les dossiers virtuels n'utilise pas le cryptage SSL. Cidessous, la liste des dossiers virtuels o il faudra activer le cryptage SSL:y y y y y

SimpleAuthWebService DSSAuthWebService ServerSyncWebService WSUSAdmin ClientWebService

Et voici la liste des dossiers virtuels o il ne faudra pas activer le cryptage SSL:y y y

Content ReportingWebService SelfUpdate

La premire tape est celle d'importer votre certificat pour le cryptage SSL dans le compte de l'ordinateur dans la catgorie Autorit de certification racine de confiance Ensuite, importer le certificat dans les proprits du site web "Site Web par dfaut". Puis pour terminer, activer pour chaque dossier virtuel cit ci-dessus (seulement ceux de la premire liste) le cryptage SSL. Ds lors pour accder la console WSUS, vous allez devoir ouvrir la console via le canal scuris (HTTPS) l'adresse suivante: https://NomdelamachineWSUS/WSUSAdmin/ Pour que les ordinateurs clients puissent accder au serveur WSUS scuris, on va devoir modifier la configuration de celle-ci.

5.3.3. Configurer le SSL sur les ordinateurs clientsIl y a deux tapes pour permettre le bon fonctionnement du service WSUS avec le cryptage SSL


1ere tape:Renseign l'adresse du Serveur WSUS aux ordinateurs clients: soit par GPO (stratgie: "Spcifier l'emplacement intranet du service de Mise jour Microsoft") y soit par les informations de registre (valeur DWORD WUServer et WUStatusServer) par l'adresse qui utilise le protocole HTTPS (Exemple: https://wsus.laboratoire-microsoft.lan/)y

2eme tape:Importer le certificat du site web ou le certificat de l'autorit qui a dlivr le certificat pour le site web dans le groupe Autorit de certification racine de confiance sur les ordinateurs clients. Deux mthodes pour le faire:y

y

soit par GPO (Importez le certificat dans le noeud Configuration ordinateur\Paramtre Windows\Paramtres de scurit\Stratgies de scurit publique\Autorits de certification racine de confiance) et dployer la GPO soit manuellement sur chaque machine client (Importez le certificat dans la Console Certificat, Compte de l'ordinateur, Conteneur Autorits de certification racines de confiance)

5.3.4. Configurer le SSL pour les serveurs avals WSUSSi vous utilisez un serveur WSUS en aval pour synchroniser votre serveur WSUS et que ce serveur utilise aussi le cryptage SSL alors utilis la procdure suivante pour activer le SSL lors des transactions:y y y

Dans la barre d'outils de la console WSUS, cliquez sur Options Cliquez sur le lien Options de synchronisation Dans l'encart Source de la mise jour, renseign le champ Numro de port par 443 (port par dfaut du protocole HTTPS) et coch la case Utilisez SSL pour la synchronisation des informations de mise jour



ConclusionNotre article a pour but de vous familiariser avec le serveur WSUS afin de vous permettre de le mettre en place dans votre rseau pour dployer les mises jour sur les machines clientes excutant Microsoft Windows 2000, XP et 2003. Ainsi, nous avons dcouvert Comment...y

Prparer le dploiement d'un serveur WSUS: rflchir la configuration du ou desserveurs sur lequel vous souhaitez installer WSUS, la disposition de vos serveurs dans votre entreprise, l'hbergement de la base de donne.

y

les langues, les produits et les types de mises jours et effectuer l'approbation des mises jour.

Configurer votre serveur WSUS: pour planifier les mises jour, pour slectionner

y y y y y y

Migrer d'un serveur SUS vers WSUS Exporter et Importer des mises jour. Configurer les ordinateurs clients : dans un environnement Active Directory ou alorsdans des groupes de travail Utiliser les groupes WSUS pour le dploiement des mises jour

Crer des rapports et surveiller votre serveur WSUS Scuriser votre serveur WSUS

En fait, il est de votre intrt et de celui de Microsoft, de mettre en place un serveur WSUS au sein de votre rseau. De cette faon, il est possible d'conomiser de la bande passante vers Internet et il est plus facile de s'assurer du dploiement des mises jour sur les machines de votre parc. WSUS est un produit gratuit et facile d'utilisation, mais Microsoft propose un autre produit plus complet, System Management Server 2003 (SMS), qui s'oriente plus vers les grandes entreprises souhaitant centraliser tous les dploiements sur un serveur: dploiement des correctifs, de logiciels (avec des fichiers .msi ou .exe), l'installation via le rseau de Systme d'Exploitation... SMS reprend les fonctionnalits de WSUS mais va beaucoup plus loin dans ses fonctions de gestion du parc informatique. Si vous souhaitez avoir de plus amples informations, je vous conseille l'article de Thomas LIAUTARD et Nicolas MILBRAND: "Prsentation et implmentation de System Management Server 2003 (SMS 2003)".


RessourcesTlcharger ici le programme d'installation de WSUS Tlcharger ici le programme "WSUS Client Diagnostic Tool" Tlcharger ici le programme "WSUS Debug Tool " Tlcharger ici le White Paper Microsoft associ Vous pourrez trouvez aussi de l'aide ici sur le site TechNet de Microsoft
