2. Configuration de la synchronisation et de l'approbation
2.1. Configuration du Service: Site Web d'administration
2.1.1. Option de synchronisation
Après la première synchronisation, vous vous rendrez compte que les
synchronisations manuelles vous obligent à faire une maintenance régulière de
votre serveur, en demandant les synchronisations de votre propre chef. C'est
pourquoi WSUS vous donne la possibilité de réaliser vos synchronisations
automatiquement, tous les jours, à une heure que vous pouvez définir en fonction
de la disponibilité de votre connexion à Internet (plutôt le soir pour ne pas
encombrer votre bande passante inutilement, par exemple :).
La planification est une étape incontournable de la configuration de base de
votre serveur WSUS.
- Produit et classification:
Si vous avez déjà mis en place un serveur SUS, vous avez du vous rendre
compte que vous étiez obligé de télécharger les mises à jour de l'ensemble de la
famille Windows même si votre entreprise ne comprenait que des postes de travail
sous Windows XP. De plus, il vous était impossible de déployer les mises à jour
pour Microsoft Office ou alors celles de Microsoft Exchange Server...
C'est pourquoi Microsoft a revu son serveur de mises à jour interne pour les
entreprises, afin de permettre aux administrateurs de celles-ci de sélectionner les produits
pour lesquels ils souhaitent télécharger les mises à jour. Avant la première
synchronisation, la liste des mises à jour est simplement composée des mises à
jour des plateformes Windows (2000, XP, 2003 Server). Suite à la première synchronisation,
la liste des produits est étoffée (Exchange, SQL, Office...).
En outre, WSUS vous donne la possibilité de sélectionner le type de mise à jour
(Feature Pack, Mise à jour critique, Mise à jour de la sécurité, Mise à jour,
Outils, Pilotes, Service Pack). Ainsi, vous avez la possibilité de réduire la
taille de la base de donnée de mises à jour, si vous pensez ne pas avoir besoin
des mises à jour de vos pilotes matériels...
Si vous utilisez un serveur Proxy entre votre serveur WSUS et sa source de
mises à jour (Windows Update ou un serveur WSUS amont), comme ISA Server par
exemple, vous aurez besoin de configurer les paramètres de serveur Proxy sur
votre serveur WSUS. Vous devrez indiquez le nom du serveur, le port que vous
utilisez ainsi que les informations d'identification de l'utilisateur que vous
utiliserez pour vous connectez au Proxy, si nécessaire.
En outre, si vous utilisez un pare-feu entre votre réseau local et Internet,
vous devrez rajouter les règles suivantes. Autrement, la synchronisation vers
les serveurs de Windows Update sera difficile.
- Autoriser le trafic sur le port 80 et 443 entre votre serveur WSUS
et Internet. Ces ports sont utilisés par WSUS pour se mettre à jour sur
les serveurs de Windows Update.
- Si la politique de votre entreprise ne vous permet pas de laisser
tout le trafic sur ces ports car le risque serait trop grand, vous
devrez alors le restreindre à ces sites:
Lors de l'installation, vous avez dû indiquer votre source de mise à jour.
Mais, si pour une raison ou pour une autre vous avez
besoin de changer cette source de mise à jour (par exemple: serveur en amont qui
serait tombé ou alors l'installation d'un nouveau serveur en amont...), il est possible à tout moment de
modifier les informations que vous avez spécifiées lors de l'installation.
- Fichiers et langue des mises à jour
Dans la section Fichiers et Langue des mises à jour, vous pouvez choisir de
stocker les fichiers de mise à jour localement sur le serveur. Mais aussi, vous
serez à même de choisir la façon dont vous allez télécharger les mises à jour.
Deux options s'offrent à vous: télécharger les mises à jour après les avoir
approuvées ou alors télécharger les fichiers d'installation rapide. En général,
les mises à jour consiste en de nouvelles versions de fichier qui existe déjà.
Si vous avez choisi l'option Télécharger les fichiers d'installation rapide,
alors votre serveur WSUS va
simplement télécharger les différences entre le fichier d'origine et le patch associé (au
niveau binaire). Cela vous permettra de limiter la consommation de bande
passante sur votre réseau local (mais aux dépens de votre connexion à Internet).
Ce choix peux se justifier si vous avez choisi de planifier vos synchronisation
à des heures où personnes n'est présent dans vos locaux (la nuit, par exemple),
ou alors si vous avez besoin de faire de l'exportation de votre base de donnée...
En outre, WSUS ne vous obligera pas de télécharger les mises à jour pour
l'ensemble des langues disponibles. En effet, une entreprise française a un parc informatique composé essentiellement de machines équipées de
systèmes d'exploitation en français et n'a nulle besoin de télécharger les mises
à jour en coréen ou en hébreu. Ainsi, WSUS vous permet de Télécharger que
les mises à jour correspondant à vos paramètres régionaux, ou alors
Télécharger les mises à jour dans toutes les langues, y compris les nouvelles. En fonction
de la diversité linguistique de votre parc informatique, vous pouvez déterminer
les langues que vous souhaitez télécharger afin de répondre au mieux à vos
besoins en choisissant vos langues (Anglais, Français... ), si vous avez coché
l'option Télécharger uniquement les mises à jour dans des langues
sélectionnées.
2.1.2. Option d'approbation automatique
Lors de la synchronisation, le serveur WSUS va télécharger la liste des mises
à jour disponible. Ses mises à jour ont deux caractéristiques : Approuver la
détection et Approuver l'installation. L'approbation de la détection permet de
spécifier au serveur WSUS, que telle ou telles mises à jour doivent être
présentes sur tel ou tels groupes. Pour cela, vous pouvez spécifier les types de
mises à jour que vous voulez automatiquement approuver pour le ou les groupes
d'ordinateurs que vous pouvez spécifier. Par défaut, les mises à jour critique
et de sécurité sont approuvées automatiquement pour tous les ordinateurs.
Ensuite, vous devrez approuver leur installation. En effet, sinon, votre
serveur WSUS ne téléchargera pas les mises à jours et ne pourra donc pas les
déployer! Veillez donc à côcher la case "Approuver automatiquement les mise à
jour à installer d'après la règle suivante". Ainsi, toutes les mises à jour
critiques et de sécurité seront approuvées et téléchargées (donc déployées) vers
toutes les machines de votre réseau. Si vous n'avez pas coché cette case avant
de faire votre première synchronisation, vous devrez alors lancer manuellement
le téléchargement de toutes les mises à jour que vous avez approuvées.
De plus vous avez le choix d'ajouter des Classifications ou de modifier la liste des
Groupes d'ordinateurs, vous êtes libre d'adapter les approbations automatiques en
fonction de la politique de sécurité de votre entreprise (vous pouvez par
exemple y ajouter les services packs et exclure le groupe de vos serveurs...)
- Révision des mises à jours
Cette option permet de configurer votre serveur WSUS pour que les révisions
des mises à jour:
- Soit approuvé automatiquement
- Soit approuvé manuellement et donc continuer à utiliser la version
précédente de la mise à jour.
Par défaut, la règle est d'Approuvé automatiquement la dernière révision
de la mise à jour car
ces mises à jours sont généralement publiées suite à des failles qui se sont
révélées après leurs sorties. Il est préférable de conserver cette option par
défaut mais si votre politique de sécurité est contre cette solution, sachez que
vous pouvez modifier cette option en choisissant de Continuer à utiliser la révision
précédente et approuver manuellement la nouvelle révision de la mise à jour.
- Mise à jour de Windows Server Update Service
Le serveur WSUS peut lui même être soumis à des mises à jour. Par défaut
celle-ci sont approuvée et Microsoft vous conseille de garder cette option par
défaut afin que toutes les futures mises à jour soient correctement détectées
par les ordinateurs clientes de ses services.
2.2. Synchronisation: téléchargement et installation des mises
à jour
Le serveur WSUS utilise le port 80 et le port 443 pour obtenir les mises à
jour depuis le site de Microsoft par contre, on ne peux pas le configurer. Si vous avez
un pare-feu entre votre réseau et Internet, souvenez vous qu'il faut
y placer des règles pour laisser passer le trafic sur le port 80 (HTTP)
et/ou 443 (HTTPS).
Par contre, vous pouvez toujours configurer vos autres serveurs WSUS pour qu'ils
se synchronisent sur le premier que vous avez configuré. Vous pourrez
alors profiter de la bande passante de votre réseau local.
Selon les options que vous avez choisies lors de l'installation,
les ports 80 ou 8530 seront sollicités pour la connexion chaînée
de vos serveurs WSUS. Prenez garde à utiliser les adresses du type
http://NomServeur:8350/..., si vous avez
choisi d'utiliser ce port.
Dans le cas où vous synchronisez votre serveur WSUS depuis un serveur depuis
un autre serveur WSUS de votre réseau, seules les mises à jour et les
métadonnées seront partagées (ni les informations sur les groupes de machines, ni
les informations sur les approbations des mises à jour le seront)
À partir du menu Mises à jour, vous pouvez gérer l'ensemble des
correctifs mis à disposition par Microsoft. C'est ici que vous serez capable de
gérer les approbations de chaque mise à jour, individuellement. Trois états
d'approbation peuvent être associés à une mise à jour: Installer, Détecter
uniquement ou alors Non approuvée. De plus vous pouvez Refuser les mises à jour,
ce qui entraînera un effacement de la base de données des événements signalés
par les ordinateurs concernés par cette mise à jour.
Dans la partie Vue à gauche, vous avez un petit
moteur de recherche qui vous permettra de trouver les mises à jour en fonction
de quatre critères que vous pouvez définir (Produit et classification,
Approbation, Synchronisé, Contenant le texte). Ainsi vous pourrez avoir des
Détails sur les mises à jours que vous avez recherchées (une description et des
détails d'information, l'État de déploiement sur vos groupes d'ordinateurs...)
et un rapport peut être imprimer si vous cliquez sur Imprimer le rapport
d'état..
2.3. Exporter, importer des mises à jour
Il y a trois étapes à remplir pour pouvoir exporter et importer des mises à
jour. Premièrement vous devez vous assurez que les options de synchronisation
avancée concorde entre le serveur WSUS source et celui de destination (le
téléchargement des fichiers d'installation rapide est alors indispensable).
Ensuite, copiez les mises à jour depuis le système de fichier du serveur source
vers le système de fichier du serveur de destination. Enfin, exporter les
métadonnées des mises à jour depuis la base de données sur le serveur source pour
les importer sur la base de données du serveur de destination.
2.3.1. Vérifier les options de synchronisation avancées
Afin de remplir la première étape, vérifiez la configuration de vos options
avancée, pour cela:
2.3.2. La migration des mises à jour
La deuxième étape consistera donc en la migration proprement dites des
fichiers de téléchargement rapide. La méthode à suivre est alors la suivante:
À noter: la configuration de base
des Access Control List ne sont pas le même sur Windows Serveur 2000 et Windows
2003 Server. Si nous copions des données d'un serveur sous Windows 2000 vers un
serveur sous Windows Server 2003, il faut ajouter manuellement le groupe SERVICE
RÉSEAU de façon à ce que le groupe puisse accéder au dossier ou seront stocker les
données.
- Pour exporter les fichiers depuis le système de fichier du serveur
d'export:
- Cliquez sur le bouton Démarrer puis sur Exécuter
- Alors dans la boite de dialogue Exécuter, tapez ntbackup.
L'assistant de sauvegarde ou de Restauration se lance par défaut, s'il
n'a pas été désactivé. Vous pouvez soit utiliser cet assistant ou alors
travailler en mode avancé (ce que nous allons faire).
- Cliquez sur l'onglet Sauvegarde, puis sélectionnez le dossier
où sont stockés les fichier que vous souhaitez exporter. Par défaut,
ceux-ci sont situés sur lecteurd'installationWSUS:\WSUS\WSUSContent\.
- Dans la partie Nom de fichier ou lecteur de sauvegarde, tapez
le chemin puis le nom de votre fichier de sauvegarde (.bkt) ou utilisez
le bouton Parcourir.
- Cliquez alors sur le bouton Démarrer et une boite de
dialogue Informations sur la sauvegarde s'ouvre.
- Cliquez sur Avancé puis dans la partie Type de
sauvegarde choisissez Incrémentiel.
- Dans la boite de dialogue Informations sur la sauvegarde
cliquez sur Démarrer la sauvegarde pour commencer le processus de
sauvegarde.
- Une fois la sauvegarde terminée, déplacez le fichier que vous venez
de créer vers le serveur sur lequel vous souhaitez importer les mises à
jour.
- Pour restaurer les fichiers de mises à jour vers le serveur d'import:
- Cliquez sur le bouton Démarrer puis sur Exécuter
- Alors dans la boite de dialogue Exécuter, tapez ntbackup.
L'assistant de sauvegarde ou de Restauration se lance par défaut, s'il
n'a pas été désactivé. Vous pouvez soit utiliser cet assistant ou alors
travailler en mode avancé.
- Cliquez sur l'onglet Restaurer et gérer le média,
sélectionner alors le fichier de sauvegarde que vous avez créer sur le
serveur d'export. Si le fichier n'apparaît pas, faite un clic droit sur
fichier puis cliquez sur fichier catalogue pour ajouter le
chemin vers le fichier.
- Dans Remplacer les fichiers vers, choisissez Autre
emplacement. Alors, spécifier le répertoire vers lequel vous voulez
restaurer les fichiers (lecteurd'installationWSUS:\WSUS\WSUSContent\)
- Cliquez alors sur Démarrer. Quand la boite de dialogue
Confirmation de restauration apparaît, cliquez sur OK pour
commencer la restauration.
2.3.3. L'exportation et l'importation des métadonnées
L'étape finale consiste à migrer les fichiers métadonnées vers le serveur
d'import. Durant l'installation de WSUS, le programme a copié l'utilitaire
WSUSutil.exe, par défaut dans le dossier C:\Program Files\Update
Services\Tools. Vous devez être membre du groupe administrateur local sur le
serveur WSUS pour exporter ou importer des fichiers métadonnées. Ces deux
opérations doivent ce faire sur le serveur WSUS directement. Par contre,
n'importer jamais des fichiers métadonnées depuis un serveur que vous n'approuvez
pas car la sécurité de votre serveur WSUS est en jeu.
- Pour exporter des mises à jour depuis la base de donnée du serveur
d'export:
- Ajouter le répertoire le chemin C:\Programme
Files\WSUS\Update Services\Tools dans votre variable
d'environnement PATH, si ce n'est pas déjà fait.
- Cliquez sur le bouton Démarrer puis sur Exécuter
- Alors dans la boite de dialogue Exécuter, tapez
wsusutil.exe export package.cab fichier.log
- Déplacer ainsi les fichiers que vous venez de créer et
qui se situe dans le répertoire C:\Documents and Setting\%USERNAME%\
sur le serveur qui est prêt à recevoir les fichier de mise à jour
- Pour importer les fichier métadonnées vers la base de donnée du serveur
d'import:
- Ajouter le répertoire le chemin C:\Programme
Files\WSUS\Update Services\Tools dans votre variable
d'environnement PATH
- Cliquez sur le bouton Démarrer puis sur Exécuter
- Alors dans la boite de dialogue Exécuter, tapez
wsusutil.exe export package.cab fichier.log
Enfin, l'export/import des mises à jour est réalisé avec brio. Si vous
respectez la manipulation à la règles, vous pourrez résoudre les problème lié au
téléchargement des fichiers de mise à jour sur un serveur isolé de votre réseau,
n'ayant pas de connexion à Internet ou ayant une bande passante faible et
utilisée
 Sommaire
1. Comment préparer l'installation de WSUS
1.1. Configuration minimale
1.2. Type de déploiement
1.3. Détails des options lors de l'installation d'un serveur WSUS
1.4. Migration d'un serveur SUS vers un serveur WSUS
2. Configuration de la synchronisation et de l'approbation
2.1. Configuration du service: Site Web d'administration
2.2. Synchronisation: téléchargement et installation des mises à jour
2.3. Exporter, importer des mises à jour
3. Gestion des machines clientes
3.1. Configuration des mises à jour automatiques des clients
3.2. Utilitaire en ligne de commande
3.3. Groupe d'ordinateurs WSUS
4. Fonctionnalités de surveillance
4.1 Rapports
4.2 Surveillance
4.3 Outil de débogage
5. Sécurisez un serveur WSUS
5.1. Renforcer la sécurité de votre serveur Windows Server 2003 exécutant WSUS
5.2. Ajouter l'authentification entre les serveurs chainés dans un environnement Active Directory
5.3. Sécurisé WSUS avec Secure Socket Layer
Conclusion
Ressources
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Présentation de Windows Server Update Services - WSUS
