Maintenir les postes clients et les serveurs à jour est l’une des règles de base de la technologie de l’information. Selon la taille de votre entreprise, il existe plusieurs façons de tenir les ordinateurs à jour. En tout, il y a trois possibilités :
- Géré par Windows Update, par défaut
- Géré par WSUS
- Géré par SCCM
Le dernier est utilisé par les moyennes-grandes entreprises, car “System Center Configuration Manager” n’est pas seulement un gestionnaire de correctifs, mais est également une plate-forme complète permettant d’administrer l’intégralité de l’infrastructure informatique.
Dans cet article, nous verrons comment gérer les postes clients et les serveurs avec WSUS.
WSUS – Windows Server Update Services – est un rôle présent dans Windows Server depuis 2008, mais qui existe depuis 2001 et qui portait le nom de “Software Update Services”. WSUS permet aux administrateurs de gérer la distribution des mises à jour, et des correctifs logiciels, publiés pour les produits Microsoft vers les ordinateurs clients dans un environnement d’entreprise.
Installer et Configurer WSUS
Afin d’activer WSUS, si nécessaire, sélectionner le rôle dans le gestionnaire de serveur, comme indiqué dans la figure 1.
Laisser tous les paramètres tels quel, mais sélectionner quel type de rôles activer comme sur la figure 2. La configuration classique utilise la base de données interne de Windows, basée sur SQL Express, entièrement gérée par Windows.
Afin d’augmenter les performances, il est possible d’utiliser une base de donnée hébergée sur SQL Server ; Cela peut aider à réduire la consommation CPU et RAM sur la machine hébergeant WSUS. Ce scénario est également utile lorsqu’il existe de nombreux ordinateurs clients. Évidemment, le coût peut être élevé, à moins que vous ne possédiez déjà une licence SQL Server.
La dernière étape de cet Assistant permet de préciser le chemin d’accès au contenu : le système de fichiers ciblé doit être NTFS et l’espace de stockage d’au moins 150 Go. Si vous souhaitez dédier une machine virtuelle à WSUS, il est préférable d’ajouter un disque dédié uniquement à ce service.
Confirmer les options sélectionnées et fermez l’assistant. À la fin de la procédure, vous serez en mesure d’ouvrir la console à partir du menu Démarrer.
Cet assistant vous permet de configurer :
- Upstream Server : Permet de déterminer si le serveur est maître ou source
- Langue des mises à jours
- Les produits à considérer
- Classification
- Horaire de planification (je suggère au moins 4 Synchronisations par jour)
Il ne sera pas question, ici, de ces détails, car ils sont très simples d’utilisation, le seul point que à clarifier est la “classification”. En effet, il est impératif de sélectionner toutes les cases à cocher afin de pouvoir fournir des mises à jour. Au sujet des produits, vous devrez choisir les systèmes d’exploitation et les logiciels présents au sein de votre infrastructure.
NB: Rappelez-vous que Office 365 ProPlus ne peut pas être géré via WSUS. Le produit est présent dans le catalogue, mais à moins que vous n’utilisiez SCCM, il n’existe aucun moyen d’en fournir des mises à jour. Plus de détails sont disponibles dans cet article: https://blogs.technet.microsoft.com/wsus/2016/04/13/office-365-client-updates-via-wsus/
Stratégie de Groupe
Pendant que votre installation WSUS travaille à synchroniser le catalogue, nous avons le temps de créer les stratégies de groupe pour paramétrer les postes clients devant utiliser notre serveur local à des fins de mises à jour. C’est un aspect important, car il existe de nombreuses écoles sur la stratégie à appliquer. Il est indispensable de définir la stratégie d’installation automatique pour les clients, mais pour la majorité des serveurs, vous devez définir le mode de téléchargement uniquement et installer les mises à jour manuellement en dehors des heures ouvrables; Soit dit en passant, de nombreux serveurs peuvent être installés automatiquement (cela dépend de la présence d’une application métier critique).
Créer un nouvel objet de stratégie de groupe appelé “Manage WSUS – Server” (et, par analogie, pour le client, “manage WSUS – Client”) dans l’unité d’organisation où les serveurs sont localisés. n’oubliez pas les contrôleurs de domaine OU pour éviter que chaque contrôleur de domaine ne télécharger les correctifs externes.
Les paramètres permettant de gérer les mises à jour sont disponibles dans le dossier Configuration de l’ordinateur / Stratégies / Modèles d’administration / Composants Windows / Windows Update
Les paramètres les plus importants pour les modifications sont :
- Configurer les mises à jours automatiques : Activé – Téléchargement automatique et notification pour l’installation – Tous les jours
- Spécifier l’emplacement du service de mise à jour Microsoft intranet : – Activé – définit le chemin d’accès WSUS au format FQDN (ex. http://myserver.contoso.com:8530) pour les deux rangées
- Fréquence de détection des mises à jour automatiques – Activé – régler l’intervalle par heure
Les Groupes
Afin de mieux gérer les ordinateurs, WSUS utilise un groupe logique pour déployer les mises à jour approuvées. Un seul ordinateur peut être membre de plusieurs groupes ; ainsi, vous pouvez déployer des correctifs basés sur ce type d’ensemble. Pour créer un nouveau groupe, cliquer avec le bouton droit sur Computer/All Computers et sélectionnez Add Computer Group – figure 6.
NB : le nom du groupe ne peut pas être modifié après la création ; par conséquent, décidez de la convention de nommage avant de vous lancer.
Pour attribuer un ou plusieurs ordinateurs à un groupe, sélectionnez-le, puis choisissez “Modifier l’appartenance”, comme illustré à la figure 7.
Une fois que vous avez affecté les clients et les serveurs aux groupes cibles appropriés, nous pouvons procéder à l’approbation des mises à jour. Dans la zone Mises à jour – Toutes les mises à jour, nous pouvons voir tous les correctifs à déployer dans notre infrastructure. Il est suggéré d’aménager ma présentation du tableaue – figure 8 – en ajoutant les colonnes Remplacement et Nombre nécessaire. Cela peut vous aider à supprimer les anciennes mises à jour et ainsi savoir combien d’ordinateurs nécessitent une mise à jour spécifique.
N’oubliez pas de refuser toutes les mises à jour déjà expirées : vous pouvez les détecter à l’aide de l’icône affichée dans la colonne Remplacement – figure 9.
Pour approuver les mises à jour, cliquez dessus et utiliser le menu contextuel Approuver – figure 10.
Sélectionnez le groupe cible auquel appliquer les mises à jour – figure 11 – et cliquer sur OK.
WSUS commencera à télécharger les packages depuis Microsoft Catalog- figure 12. Le temps d’exécution dépend de votre connexion Internet. Après cela, les postes clients/serveurs concernés seront à même de détecter les nouvelles mises à jour à partir de WSUS.
Installer les mises à jour dans le client
Ouvrez le panneau Windows Update de votre ordinateur et vérifiez la présence de nouveaux éléments. Comme vous pouvez le constater, un message d’avertissement stipule que ces paramètres sont gérés par une autorité supérieure, et donc l’administrateur.
Si vous choisissez de télécharger et d’installer les mises à jour, la tâche sera exécutée pendant la période sélectionnée dans la GPO. Sinon, les mises à jour seront disponibles pour installation.
Dépannage
Dans la zone Options, vous trouverez un excellent outil pour nettoyer votre serveur. Par exemple, il est possible de supprimer des mises à jour expirées ou des ordinateurs ne faisant plus partie du parc. Il est important d’exécuter cet assistant au moins une fois par mois afin de réduire la taille des données conservées et limiter le gaspillage d’espace disque.
Migrer le dossier de contenu
Si vous souhaitez migrer le dossier de dépôt, procédez comme suit:
- Ouvrir une commande dans le répertoire d’installation WSUS – (ex. C:\Program Files\Update Services\Tools)
- Exécutez la commande :
exe movecontent "nouveau chemin pour le contenu" "nouveau chemin pour les journaux"
Cette opération peut nécessiter plusieurs heures. Veillez donc à exécuter la commande en dehors des heures ouvrables.
Migrer la base de données
Si vous souhaitez migrer votre base de données depuis une base de données distante, peut-être un serveur SQL, suivez la documentation officielle de Microsoft Docs : https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/manage/wid-to-sql-migration
Réfléxion
Windows Server Update Services devrait être un impératif dans toutes les entreprises afin d’automatiser et de simplifier la gestion des correctifs. Comme nous l’avons vu, en quelques étapes, nous avons installé et activé les rôles pour fournir des mises à jour à tous les ordinateurs de notre infrastructure.
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
**********************************************************************************
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
*****************************************