WINDOWS 2012 : WSUS

1. Installation et configuration du rôle WSUS

But : installation et configuration du serveur WSUS.

Machines virtuelles : AD1 et CL8-01.

Pour effectuer cet atelier et les suivants, il est nécessaire de modifier la carte réseau utilisée. Le commutateur utilisé doit être de type externe afin d’avoir un accès à Internet sur le serveur.

Il peut être nécessaire de modifier la configuration IP.

images/13CE01N.png

Sur AD1, lancez la console Gestionnaire de serveur.

Cliquez sur Ajouter des rôles et des fonctionnalités.

Dans la fenêtre Avant de commencer, cliquez sur Suivant.

Laissez coché Installation basée sur un rôle ou une fonctionnalité dans la fenêtre de choix du type d’installation.

Cliquez sur Suivant pour valider la destination.

Cochez le rôle Services WSUS puis cliquez sur Ajouter les fonctionnalités.

images/13CE02N.png

Laissez les services de rôle par défaut et cliquez sur Suivant.

Le service de rôle Base de données permet l’utilisation d’un serveur SQL alors que WID Databaseconcerne la base de données Windows. En production, l’utilisation de SQL Server est recommandée.

images/13CE03N.png

Créez un répertoire nommé WSUS sur la deuxième partition. Ce dernier contiendra les mises à jour téléchargées depuis Microsoft Update.

Dans le champ, saisissez d:\WSUS (remplacez la lettre par celle attribuée à la partition).

images/13CE04N.png

Cliquez plusieurs fois sur Suivant puis sur Installer.

Une fois l’installation terminée, il faut s’assurer que le pare-feu de l’entreprise (serveur ISA) contient la règle qui autorise WSUS à se connecter au serveur Microsoft Update. La liste ci-dessous présente les URL auxquelles le serveur WSUS est susceptible de se connecter :

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

Depuis les Outils d’administration, lancez la console Services WSUS.

L’Assistant des services WSUS s’affiche.

Dans la fenêtre Terminer l’installation de WSUS, validez le chemin du répertoire de stockage des mises à jour et cliquez sur Exécuter.

images/13CE05N.png

Une fois le processus de post-installation terminé, cliquez sur Terminer.

Un assistant se lance, cliquez sur Suivant dans la fenêtre Avant de commencer.

Notre serveur est le serveur en amont, cliquez sur Suivant dans la fenêtre Choisir le serveur en amont.

Il est possible de configurer le serveur comme serveur en aval, indiquez dans ce cas quel est le serveur en amont.

images/13CE06N.png

Aucun serveur proxy n’est utilisé pour la connexion à Internet, laissez les choix par défaut dans la fenêtre Définir le serveur proxy.

Cliquez sur Démarrer la connexion pour récupérer depuis le serveur Microsoft Update :

  • Le type de mises à jour disponibles.

  • Les produits qui peuvent être mis à jour.

  • Les langues disponibles.

Une fois la connexion établie, cliquez sur Suivant pour continuer.

Sélectionnez la langue Français ou celle souhaitée puis cliquez sur Suivant.

images/13CE07N.png

Les produits qui doivent être mis à jour sont Windows Server 2012 R2 et Windows 8.1. Sélectionnez donc dans la liste ces produits et cliquez sur Suivant.

images/13CE08N.png

Cochez Toutes les classifications et cliquez sur Suivant.

images/13CE09N.png

La synchronisation du serveur WSUS avec le serveur Microsoft Update peut être planifiée ou être lancée manuellement.

Cochez le bouton radio Synchroniser manuellement.

Cliquez sur Suivant puis sur Terminer.

La console se lance, développez le nœud AD1.

images/13CE10N.png

Sélectionnez le nœud Synchronisations puis cliquez sur Synchroniser maintenant.

La synchronisation est en cours…

L’approbation peut être automatique en créant une règle d’approbation automatique depuis les options.

Développez le nœud Ordinateurs et effectuez un clic droit sur Tous les ordinateurs puis sélectionnez Ajouter un groupe d’ordinateurs.

Dans le champ Nom, saisissez Poste-Client et cliquez sur Ajouter.

images/13CE16N.png

La stratégie qui sera appliquée aux postes permettra de configurer l’adresse IP du serveur à contacter.

Sur AD1, lancez la console Gestion de stratégie de groupe.

Effectuez un clic droit sur Objets de stratégie de groupe puis sélectionnez Nouveau.

Saisissez Configuration WSUS Poste Client dans le champ Nom.

images/13CE16.png

Effectuez un clic droit sur Configuration WSUS Poste Client puis, dans le menu contextuel, sélectionnez Modifier.

Développez les nœuds Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows puis sélectionnez Windows Update.

Double cliquez sur Configuration du service Mises à jour automatiques.

Cochez le bouton radio Activé.

Dans la liste déroulante Configuration de la mise à jour automatique, sélectionnez Téléchargement automatique et notification des installations.

Quatre options sont possibles :

  • Notification des téléchargements et des installations. L’administrateur connecté est averti avant le téléchargement et l’installation des mises à jour.

  • Téléchargement automatique et notification des installations. Le téléchargement est automatiquement lancé, par la suite l’administrateur connecté reçoit un avertissement avant l’installation de la mise à jour.

  • Téléchargement automatique et planification des installations. Le téléchargement des mises à jour est automatique avec cette option, par la suite les mises à jour sont installées en fonction du jour et de l’heure spécifiés.

  • Autoriser l’administrateur local à choisir les paramètres. Cette option laisse la possibilité à un utilisateur membre du groupe Administrateurs de modifier des options configurées de l’applet Mises à jour automatique présent dans le panneau de configuration.

Sélectionnez 3 – Tous les mardis dans la liste Jour de l’installation planifiée et 17:00 dans la liste Heure de l’installation planifiée.

images/13CE11N.png

Cliquez sur Appliquer puis sur OK.

Double cliquez sur Spécifier l’emplacement intranet du service de mise à jour Microsoft.

Saisissez http://AD1.formation.local:8530 dans les champs Configurer le service de Mise à jour pour la détection des mises à jour et Configurer le serveur intranet de statistiques.

images/13CE12N.png

Cliquez sur Appliquer puis sur OK.

Double cliquez sur Autoriser le ciblage côté client.

Cochez le bouton radio Activé puis saisissez Poste-Client dans le champ Nom du groupe cible de cet ordinateur.

images/13CE13N.png

Fermez la fenêtre Éditeur de gestion des stratégies de groupe.

Dans la console Gestion de stratégie de groupe, effectuez un clic droit sur l’OU Ordinateurs(présente dans l’OU Marseille) puis sélectionnez Lier un objet de stratégie de groupe existantdans le menu contextuel.

Sélectionnez Configuration WSUS Poste Client puis cliquez sur OK.

Dans la console WSUS, cliquez sur Options puis sur Ordinateurs. Cochez le bouton radio permettant d’utiliser les paramètres de stratégie de groupe.

images/13CE14N.png

Lancez une invite de commandes DOS sur CL8-01 et saisissez la commande gpupdate /force.

Les paramètres dans Windows Update sont grisés car les paramètres de la stratégie de groupe ont été pris en compte.

images/13CE15N.png

Le poste client s’affiche désormais dans le groupe Poste-Client de la console WSUS.

2. Approbation et déploiement des mises à jour

But : approbation et installation des mises à jour pour le groupe Poste-Client.

Machines virtuelles : AD1 et CL8-01.

Dans la console d’administration WSUS, cliquez sur le nœud Mises à jour.

Une synthèse des mises à jour s’affiche. Un graphique est présent pour les catégories Toutes les mises à jourMises à jour critiquesMises à jour de sécurité et Mises à jour WSUS.

images/13CE17N.png

Dans la section Toutes les mises à jour, cliquez sur Mises à jour requises par des ordinateurs.

Sélectionnez la ou les mises à jour souhaitées.

Effectuez un clic droit sur la sélection de correctifs et cliquez sur Approuver.

Cliquez sur le groupe Poste-Client et sélectionnez Approuver pour l’installation dans la liste déroulante.

images/13CE18N.png

L’approbation est en cours…

images/13CE19N.png

Cliquez sur Fermer.

Le téléchargement des mises à jour commence, attendez la fin de cette étape.

Dans le menu contextuel utilisé pour approuver un correctif, d’autres options sont disponibles :

  • Approbation pour suppression : si le correctif cause des défaillances sur le poste après son installation, il est nécessaire de le désinstaller. Afin de ne pas avoir à passer sur tous les postes, il suffira d’approuver cette mise à jour pour suppression.

La mise à jour doit être compatible pour ce genre d’approbation.

  • Date limite : la date limite permet de déterminer la date et l’heure maximum pour l’installation de la mise à jour. Pour accélérer le traitement de la mise à jour, insérez une date passée (le 1erseptembre si l’approbation est faite le 2 septembre).

Sur le poste CL8-01, lancez la console Windows Update.

L’installation sur le poste client va être forcée afin d’éviter d’avoir à attendre la prochaine installation planifiée.

Dans la console, cliquez sur Rechercher des mises à jour afin d’afficher les mises à jour approuvées précédemment.

Cliquez sur le bouton Installer les mises à jours puis attendez la fin de l’installation.

images/13CE20N.png

En fonction du choix effectué dans la GPO, l’installation peut être faite de manière automatique (choix 4 au niveau du paramètre Configuration du service de mises à jour automatique).

3. Création de rapports

But : générer les rapports afin de faciliter l’administration du serveur WSUS.

Machines virtuelles : AD1 et CL8-01.

Le nœud Rapports permet la création et l’affichage de rapports permettant la gestion du serveur. Les informations sur les mises à jour, les ordinateurs et les synchronisations peuvent être analysées à l’aide des rapports.

Néanmoins pour profiter de cette fonctionnalité, le composant Report Viewer doit être installé sur le poste.

Il est possible de télécharger ce composant à l’adresse suivante : http://www.microsoft.com/fr-fr/download/details.aspx?id=3841

Report Viewer nécessite le framework .NET, installez par conséquent la fonctionnalité .NET Framework 3.5.

Connectez l’ISO ou le DVD de Windows Server 2012 R2 à AD1 puis saisissez la commande suivante : dism /online /enable-feature /featurename:NetFX3 /all /Source:e:\sources\sxs /LimitAccess

Remplacez e: par la lettre du lecteur DVD.

images/13CE21N.png

Une fois Report Viewer installé, cliquez sur le nœud Rapports.

Plusieurs types de rapports concernant les mises à jour, les ordinateurs ou les synchronisations peuvent être créés.

images/13CE27.png

Cliquez sur le lien État détaillé des mises à jour puis sur Exécuter le rapport.

images/13CE22N.png

Le rapport est en cours de génération. Les différents rapports permettent d’obtenir des informations très importantes pour l’administration quotidienne du serveur.