Serveurs WSUS
Les mises à jour de Windows, des logiciels first part ainsi que des pilotes peuvent êtres gérés par le domaine, centralisées et déployées de manière différée afin d'optimiser le workflow des postes et la bande passante de l'ensemble du parc informatique.
La fonctionnalité liée à cet objectif se nomme Windows Server Update Service et passe par Windows Server.
Avant-propos et configuration recommandée
Un serveur WSUS (donc de mises à jour Windows) aura besoin d'un espace disque mis en réseau (si possible invisible aux utilisateurs), ou mieux un disque dédié mais également de 8go de RAM minimum. Le serveur doit être ajouté au domaine et visible par le contrôleur de ce domaine.
Installation du rôle WSUS
Fonctions de serveur
Le rôle de serveur est à ajouter en suivant le chemin suivant sur le serveur concerné:
Gestionnaire de serveur > Onglet "Gérer" [1] > Ajouter un rôle ou une fonctionnalité > Valider l'installation basée sur un rôle ou une fonctionnalité > Choix du serveur concerné > Sélectionner le rôle "Services WSUS (Windows Server Update Service)" > Valider les fonctionnalités liées au rôle [2]
Rôle IIS
Ensuite, l'installation suivante concernera le rôle de Serveur Web (IIS) ainsi que les fonctionnalités liées à ce rôle. Laissez ce rôle et les fonctionnalités par défaut sauf si vous souhaitez utiliser une fonctionnalité telle que le dépôt sur FTP ou la journalisation.
Ports utilisés
Le rôle WSUS utilise le protocole HTTP et les ports 8530 et 8531 (connections SSL)
Rôles et services WSUS
La création du serveur propose trois services de rôles à la création du serveur WSUS et vous laisse le choix de l'installation ou non. Vous pouvez laisser ces choix tels quels mais:
WID Connectivity
Le service permet l'installation des mises à jour et des entrées dans la base de données interne du serveur (WID) afin de pouvoir indexer ces options de mise à jour.
WSUS Services
Les WSUS Services sont au cœur du rôle et remplissent plusieurs fonctionnalités (dépôt de MAJ, déploiement centralisé et asynchrone des mises à jour sans connexion directe des clients aux serveurs distants de Microsoft).
SQL Server Connectivity
La fonctionnalité à pour objet d'obtenir les références de Windows Update à partir d'une base de données SQL, ce qui est utile si le réseau utilise un service de gestion de parc et de déploiement.
Emplacement du répertoire de Mises à Jour
Les mises à jour se font sur un emplacement accessible par le serveur WSUS mais aussi accessible également aux postes concernés. Il faudra donc créer un emplacement réseau sur le disque.
Propriétés du dossier > Partage > Partage Avancé > Partager ce dossier
Erratum: L'administrateur doit avoir tous les accès sur le dossier partagé afin de permettre les executions, et non les droits simples de lecture comme sur la capture
Caractéristiques du partage réseau
Cet emplacement devra au minimum être accessible aux ordinateurs et utilisateurs du réseau en lecture et peut être modifié par les administrateurs. En sachant que ces mises à jour sont liées aux postes physiques et non aux profils d'utilisation.
Le chemin est donc ici un chemin d'emplacement réseau.
Il faudra ensuite confirmer la création du rôle en redémarrant le serveur de destination.L'étape de confirmation résume l'ensemble des paramètres de création, n'hésitez pas à tout vérifier avant la création du serveur.
Configuration initiale
Une fois installé, le rôle WSUS demandera une finalisation à faire.
Si l'activation du serveur WSUS ne fonctionne pas, il faudra probablement activer le serveur IIS. (Clic droit => Démarrer sur le serveur hébergeant les fonctions IIS)
Une fois effectuée, les options du rôle seront disponibles. Pour y accéder il faudra suivre le chemin suivant:
Gestion de serveurs > WSUS > Services WSUS
La configuration vous demandera ensuite les options suivantes:
Programme d'amélioration de Microsoft Update
Décochez à moins que vous souhaitiez vraiment le conserver
Choisir un serveur en amont
Vous avez le choix entre le maintien du serveur Microsoft Update par défaut ou un serveur personnalisé.
Définir le serveur proxy
A utiliser seulement si la situation l'impose
Se connecter au serveur en amont
Le WSUS va tenter de faire une première connexion aux serveurs de Microsoft Update afin de confirmer les paramètres réseaux qui seront ensuite utilisés pour l'obtention des paquets de mise à jour.
Choisir les langues
Les langues à l'installation par défaut sont l'anglais et le Français, vous pouvez laisser ces choix par défaut puisque les packs linguistiques ne sont pas systématiques avec les correctifs.
Choisir les produits
Les systèmes d'exploitation et les logiciels à mettre à jour sont définis sur cette page. Décochez les produits et services dont vous ne vous servirez pas sur votre réseau. Les mises à jour se feront donc selon les limites de ce paramètre.
Choisir la classification
Détermine le type de mises à jour.
Choisir la synchronisation
Un décalage de synchronisation peut perturber les mises à jour.
Une fois terminé, WSUS proposera une première synchronisation qui peut être assez longue.
Configuration des Services de MAJ
Modification des options
Les paramètres configurés après l'installation peuvent être modifiés dans la partie "Options" de WSUS. A utiliser si vous voulez ajouter ou retirer un service ou produit , nettoyer le dépôt de mises à jour ou encore changer vos options de connexion.
Synchronisation
La synchronisation se fait par un clic droit dans la partie "Synchronisation" de WSUS afin de permettre à la base de données de se mettre à jour.
ATTENTION: La procédure peut être très longue
Association aux GPO
Un lien indispensable
L'association de WSUS aux GPO (Objets de stratégies de Groupe) est indispensable pour déployer les mises à jour sur les postes, dans des conditions qui sont définies par les stratégies (dans d'autres objets).
Il faudra d'abord avoir les unités d'organisation (UO) correspondant à l'organisation et aux besoins de la structure. Les objets de stratégie de groupe seront donc multiples et correspondant chacun à une ou des modalités de déploiement.
Création de la GPO
Préalablement à la GPO, l'Active Directory gérant le réseau doit avoir connaissance des Unités d'Organisation qui sont présentes (Un poste sans UO ou GPO ne se verra pas intégré à la stratégie de déploiement WSUS) et en tenir compte avant la création de la GPO (le nommage des GPO devra donc correspondre aux UO auxquelles elles seront liées).
1 groupe/1 GPO Vs Objets starter de stratégie de groupe
Chaque groupe ou UO devra avoir sa stratégie GPO (ajouté à Objets de Stratégie de Groupes et copiés dans les groupes appropriés)
L'alternative est d'utiliser les Objets GPO Starter
Il est utile, s'il existe beaucoup d'applications de stratégies, de créer un objet starter pour les stratégie de groupes, ce qui agira comme une GPO préconfigurée qui ne devra être modifiée que pour sa partie variable, en ne faisant qu'une seule opération pour les (plus nombreuses) constantes. Chaque GPO utilisera ces constantes avec, à la création, le recours à la GPO générale dans l'option Objet Starter GPO source.
Options à activer
Dans le menu des GPO, il faudra chercher et activer les options suivantes qui se trouvent dans:
Configuration ordinateur > Stratégies >Modèles d'Administration > Composants Windows > Windows Update
Il vous faudra activer et paramétrer les options suivantes:
Configuration du service de mises à jour automatique
Il faut activer ce service et l'adapter à chaque UO concernant les dates et horaires de mise à jour: Les postes doivent être actifs sans être en cours d'utilisation pour des raisons de limites de bande passante.
Spécifier l'emplacement de mise à jour du service Microsoft Update
L'option est d'abord à activer [1] avant de saisir l'adresse IP du serveur WSUS afin de donner aux postes concernés l'emplacement d'origine des mises à jour [2] , selon le protocole HTTP. Ce qui donne donc la nomenclature suivante http://10.0.0.25:8530 (puisque WSUS utilise ce port et le 8531 pour le HTTPS), finalement il faudra valider la configuration [3]
Les options à modifier sont soulignées dans le screen suivant en sachant que celle concernant les horaires de mise à jour du parc variera d'UO en UO.
Supprimer l'accès à la fonctionnalité Interrompre les Mises à Jour
Empêche les utilisateurs de pouvoir décaler les mises à jour venant du serveur
Ne pas se connecter à des emplacements Internet Windows Update
Des conflits peuvent être provoqués entre l'utilitaire de mises à jour Windows Update sur les postes client el le serveur WSUS, fonctionnant sur le principe de centralisation des ressources de mise à jour et sur l'adaptation des paquets disponibles à l'environnement matériel et logiciel des postes. De plus, le recours aux serveurs distants peut empêcher le bon fonctionnement de WSUS.
Options d'affichage de notifications de Mise à jour
Les mises à jour peuvent ainsi, en bloquant l'outil de notification, être faites de manière seamless et ne plus être visibles des clients.
Options additionnelles
D'autres options de déploiement des mises à jour peuvent aussi être utilisées selon l'environnement, comme des stratégies de redémarrage des postes.