Gestion des mises à jour Windows -...
Transcript of Gestion des mises à jour Windows -...
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 1/45
Table des matières I- Contexte .......................................................................................................................................................... 2
II- C’est quoi WSUS .............................................................................................................................................. 2
III- Principe de fonctionnement ........................................................................................................................ 2
IV- Les différents scénarios ............................................................................................................................... 3
4.1- Déploiement simple de WSUS ................................................................................................................. 3
4.2- Plusieurs serveurs WSUS ......................................................................................................................... 3
4.3- Serveur WSUS déconnecté ...................................................................................................................... 4
V- Microsoft Windows update ............................................................................................................................ 4
VI- Le Patch Tuesday ......................................................................................................................................... 5
VII- Mise en œuvre ............................................................................................................................................. 5
4.1- Outil nécessaire ....................................................................................................................................... 5
4.2- Connaissance à avoir ............................................................................................................................... 5
4.3- Configuration préliminaire ...................................................................................................................... 6
4.4- Installation et configuration du rôle WSUS ............................................................................................. 7
4.5- Mise à jour avec une stratégie de groupe ............................................................................................. 27
4.6- Ajouter un ordinateur a une UO ............................................................................................................ 36
4.7- Ajouter un groupe d’ordinateur ............................................................................................................ 39
4.8- Avoir un détail de l’état des mises à jour .............................................................................................. 41
4.9- GPO pour bloquer la sélection ............................................................................................................... 43
VIII- Détails du projet ........................................................................................................................................ 45
IX- Sources ...................................................................................................................................................... 45
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 2/45
I- Contexte
Une organisation ayant un parc informatique de 300 postes et 3 serveurs dont un AD, un DHCP, un serveur
Web veulent automatiser les mises à jour des postes clients. Leur configuration actuelle permet à chaque
poste de télécharger automatiquement les mises à jour sur les serveurs de Microsoft Windows Update. Cette
méthode ne leur permet pas de contrôler si les mises à jour sont faites par tous les utilisateurs. Ce qui rend le
parc informatique vulnérable et mobilise une grande partie de la bande passante. L’administrateur réseau
souhaiterait libéré la bande passante en mettant en place un serveur qui permet de télécharger une seule fois
les mises tout en contrôlent leur déploiement. Après quelques recherches, l’administrateur décide d’installer
le rôle WSUS.
II- C’est quoi WSUS
Les services WSUS (Windows Server Update Services) permettent aux administrateurs des technologies de
l’information de déployer les dernières mises à jour des produits Microsoft. Avec WSUS, les administrateurs
peuvent administrer entièrement la distribution des mises à jour, publiées par le biais de Microsoft Update,
sur les ordinateurs de leur réseau. Dans Windows Server 2012, cette fonctionnalité est intégrée au système
d’exploitation en tant que rôle de serveur. Un serveur WSUS peut être la source des mises à jour pour les
autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est
appelé serveur en amont. Dans une implémentation WSUS, au moins un serveur WSUS du réseau doit se
connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles. L’administrateur
peut déterminer, en fonction de la configuration et de la sécurité du réseau, le nombre d’autres serveurs se
connectant directement à Microsoft Update.
III- Principe de fonctionnement
WSUS vous aide à assurer l’efficacité des opérations, à surmonter les failles de sécurité et à maintenir la
stabilité de votre environnement de production. Si votre organisation ne peut pas déterminer et assurer un
niveau connu de confiance dans ses systèmes d’exploitation et logiciels d’application, elle peut être confronté
à des failles de sécurité qui pour réduire au maximum cette menace, vous devez disposer de systèmes
correctement configurés, utiliser les derniers logiciels et installer les mises à jour logicielles recommandées.
Le fonctionnement de base de WSUS est simple. Il télécharge les mises à jour depuis les serveurs Windows
Update et il déploie les mises à jour téléchargées sur les machines de votre réseau.
Il permet donc une :
- gestion des mises à jour centralisée
- automatisation de la gestion des mises à jour
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 3/45
IV- Les différents scénarios
4.1- Déploiement simple de WSUS
Le déploiement de WSUS le plus simple est constitué d’un serveur à l’intérieur du pare-feu d’entreprise qui
sert les ordinateurs clients sur un intranet privé. Le serveur WSUS se connecte à Microsoft Update pour
télécharger les mises à jour. Cette opération est connue sous le nom de synchronisation. Lors de la
synchronisation, WSUS détermine si de nouvelles mises à jour ont été mises à disposition depuis la dernière
synchronisation.
4.2- Plusieurs serveurs WSUS
Les administrateurs peuvent déployer plusieurs serveurs exécutant WSUS qui synchronisent tout le contenu à
l’intérieur de l’intranet de leur organisation. Dans la figure, seul un serveur est exposé à Internet. Dans cette
configuration, il s’agit du seul serveur qui télécharge les mises à jour de Microsoft Update. Ce serveur est
configuré comme le serveur en amont, c’est-à-dire la source sur laquelle les serveurs en aval se synchronisent.
Les serveurs peuvent être situés sur un réseau multi sites afin d’offrir la meilleure connectivité à tous les
ordinateurs clients.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 4/45
4.3- Serveur WSUS déconnecté
Si la stratégie d’entreprise ou d’autres circonstances limitent l’accès des ordinateurs à Internet, les
administrateurs peuvent configurer un serveur interne pour exécuter WSUS. Il peut s’agir, par exemple, d’un
serveur connecté à l’intranet, mais isolé d’Internet. Après avoir téléchargé, testé et approuvé les mises à jour
sur ce serveur, un administrateur exporte les métadonnées et le contenu de mise à jour vers un stockage
amovible. Les métadonnées (ex : une photo avec la date, nom de l’appareil) et le contenu de mise à jour sont
importés du stockage amovible vers les serveurs exécutant WSUS à l’intérieur de l’intranet.
V- Microsoft Windows update
Apparu avec Windows 98, Windows Update est un site web de Microsoft sur lequel les utilisateurs peuvent
maintenir à jour leur système d'exploitation Windows et télécharger diverses mises à jour des produits de la
firme. La dernière version est la 7.0 date de 2005.
Auparavant, c’était un site web qui détectait les différentes mises à jour qui n'avaient pas été installées sur
l'ordinateur. Au fil du temps, de nombreuses améliorations sont apparues telles que les mises à jour
automatiques ou encore Microsoft Update qui permet de mettre ajour d'autres logiciels Microsoft.
Depuis juillet 2005, il est nécessaire que Windows Genuine Advantage ait été installé pour que l'utilisation du
logiciel soit possible. Sous Windows XP, Windows Update est toujours en version 6, sous la forme d'un site
web qui ne fonctionne que sous Internet Explorer.
La version 7.0 apparait comme un composant du panneau de configuration, et non plus comme un logiciel.
Bien plus pratique et rapide, il permet également de rechercher automatiquement des pilotes certifiés par
Microsoft. L'utilitaire se lance en passant par le Panneau de Configuration > Système et Sécurité > Windows
Update.
Les mises à jour prioritaires sont sélectionnées directement lorsque le logiciel en est informé et propose de
suite leur installation. Les mises à jour facultatives doivent être sélectionnées manuellement par l'utilisateur.
Il intègre désormais un module interne à Windows permettant d'un simple clic de visualiser l'historique des
mises à jour installées.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 5/45
VI- Le Patch Tuesday
Le Patch Tuesday, c’est le deuxième mardi de chaque mois ou Microsoft met à disposition de ses clients les
derniers patchs de sécurité pour ses logiciels. Cela a débuté avec Windows 98, Microsoft utilise le système
Windows Update qui permet de vérifier les patchs de sécurité à appliquer à Windows.
Le système de mise à jour de Windows a souffert de deux problèmes :
- Du côté des utilisateurs novices qui ne le connaissaient pas et qui ne l'utilisaient pas. La solution a été
d'introduire le système des « mises à jour automatiques ».
- Du coté des administrateurs de parcs informatique avec une difficulté pour leur déploiement. Il était
difficile de vérifier que tous les systèmes étaient à jour.
Afin de réduire les coûts engendrés par le déploiement des patchs, Microsoft a créé le concept de Patch
Tuesday. L'idée est que des patchs sont accumulés durant un mois et sont ensuite distribués un jour précis
pour que les administrateurs systèmes puissent se préparer. Cette date a été fixée à peu près au début de la
semaine, et surtout assez loin de la fin pour que tout problème éventuel soit corrigé avant le week-end.
Dans la plupart des cas, les mises à jour de Microsoft et les correctifs sont seulement diffusés le jour du Patch
Tuesday. Cependant, ce n’est pas rare qui les mises à jour sont délivré en dehors de cette date, en moyenne,
plusieurs fois par année.
VII- Mise en œuvre
Ce mode opératoire est un aide-mémoire pour installer rapidement WSUS qui a été testé sur VMware
Workstation avec des VM fraichement installé. Je ne serai pas tenu responsable pour toute erreur de
configuration ou d’erreur système. Je ne peux être tenu comme responsable en cas de "plantage" de vos
systèmes. Pouvez-vous me signaler tous problèmes à la réalisation et la rédaction de ce tutoriel, merci.
4.1- Outil nécessaire
Nous allons déployer WSUS de manier simple. Dans notre configuration, nous avons besoin :
Une VM avec Windows Serveur 2012 mise à jour avec pré configuré un AD, Mozilla et Wire Shark
Une ou plusieurs VM avec Windows 7 sans mise à jour effectuer pour faire des tests, Mozilla et Wire
Shark
4.2- Connaissance à avoir
configuration IP
installation/configuration de l’Active Directory
ajouter des utilisateurs à un domaine
se connecter à un domaine
création/gestion des UO/GPO
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 6/45
4.3- Configuration préliminaire
Vérifier si vos VM sont à bonne heure et à bonne date, attention lors d’un redémarrage la date et l’heure
sont à nouveau changer si l’heure du bios de votre hyperviseur est mal configuré.
Désactiver l’IPv6 pour toute carte réseau concernant la configuration
Configurer la carte réseau du serveur 2012 pour pouvoir se connecter à internet afin que le service
WSUS puisse plus tard télécharger les mises à jour. Ici utiliser l’adresse IP serveur attribué au début
de l’année.
Mètre ajour votre serveur
Installer le rôle AD sur le Windows Serveur 2012, regardé ici pour la procédure.
Modifier la stratégie des mots de passe pour pouvoir créer un utilisateur avec un mot de passe
simple, regardé ici pour la procédure
Créer un utilisateur sur le domaine nommé « testwsus », regardé ici pour la procédure
Configurer la carte réseau de Windows 7 pour qu’il puisse se connecter au domaine. Pour cela dans
la configuration de la carte réseau sélectionnez l’option « Obtenir une adresse IP automatique ».
Sélectionné l’option « Utiliser l’adresse de serveur DNS suivante », pour le Serveur DND préfère
mettez l’IP du serveur ou est installer les rôles AD et WSUS, pour le Serveur DNS auxiliaire mettre
l’IP local host « 127.1.0.1 ».
Ajouter le domaine à Windows 7, regardé ici pour la procédure puis redémarre la machine
Sur Windows 7 désactiver le pare-feu du domaine après avoir ouvert une session en tant
qu’Administrateur du domaine ou tout simplement par GPO cela vous évitera de faire à chaque
fois la manipulation lors de l’ajout d’un ordinateur, regardé ici pour la procédure, ne pas oublier de
faire un « gpupdate /force » et de redémarrer votre Windows 7.
Ouvrir une session sur le domaine avec l’utilisateur testwsus, regardé ici pour la procédure
Attention certain logiciel de virtualisation, a la création d’une VM,
l’hyperviseur crée un compte local par défaut. Ce compte n’ayant
pas les droits administrateurs, ne vous permettra pas de configurer
les rôles du serveur.
Veuillez à vérifier les droits du compte ou vous voulez que vos
modifications prennent effet.
Pensez à vérifier lors de l’ouverture de la session que vous avez
bien choisi le compte Administrateur ayant les droits, dans notre cas
ce sera le compte « Administrateur » du domaine créé.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 7/45
4.4- Installation et configuration du rôle WSUS
Vous devez avoir la fenêtre de « Gestionnaire de serveur » à chaque démarrage, c’est à partir d’ici qu’on va
configurer le serveur et ajouter le rôle WSUS.
Cliquer sur « Ajouter des rôles et des fonctionnalités » pour commencer la configuration du rôle WSUS.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 8/45
Vous obtenez « Assistant Ajout de rôles et de fonctionnalité » qui vous aidera à ajouter des rôles et les
fonctionnalités au serveur. Cliquer sur « Suivant ».
Garder la sélection par défaut « Installation basée sur le rôle ou une fonctionnalité ». Cliquer sur « Suivant ».
Garder sélectionné « Sélectionner un serveur du pool de serveur ». Cliqué sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 9/45
Sélectionné le rôle « Service WSUS » une fenêtre apparait.
Cliqué sur « Ajouter des fonctionnalités » cela permet d’ajouter les fonctionnalités nécessaires au
fonctionnement du rôle WSUS. Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 10/45
A cette étape, on vous propose d’ajouter d’autre fonctionnalité, ne rien rajouter, laisser par défaut.
Les fonctionnalités ajoutées par défaut sont : Base de données interne Windows, Service d’activation des
processus Windows. Après cliquer sur « Suivant ».
On vous présente le rôle WSUS. Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 11/45
Ici par défaut est sélection l’installation de la base de données Windows pour WSUS et le service WSUS laisser
comme tel. Vous pouvez sélectionner « Base de données » à ce moment-là, il faudra installer une base de
données autre que celle de Windows car elle ne permet pas de gérer un Park de plus de 500 machines pour le
rôle WSUS.
Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 12/45
Ici, nous devons choisir un dossier ou le service stockera les mises à jour téléchargé. Il est conseillé de les
stocker dans un lecteur réseau externe au serveur car suivant la configuration de votre parc informatique la
taille des mises à jour peut varier de 8 Go à une centaine de Go.
Dans notre cas, nous allons les stocker sur le serveur. Créer un dosser à la racine C : nommé « MAJWSUS » en
tant qu’administrateur du domaine pour que le service y et accédé en lecture et écriture. Puis, inscrire le
chemin « C:\MAJWSUS ». Puis cliquer sur « Suivant ».
Ici on vous explique que le Rôle Web Serveur sera installé, il permettra de sécurisé le serveur et de mieux
gérer la bande passante si plusieurs rôle sont installer sur celui-ci. Cliqué sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 13/45
Ici sera sélectionné par défaut les services nécessaires au fonctionnement du rôle Serveur Web, laissez tel
quel. Cliquer sur « Suivant ».
Ici vous avez un récapitulatif de tous les services choisi et qui seront installés. Sélection le « Redémarrage
automatique » cela permettra de redémarrer la machine si besoin puis cliquer sur « Oui » pour confirmer.
Cliquer enfin sur « Installer » pour lancer l’installation qui prend environ 10 minutes.
Vous avez un récapitulatif de tout ce qui a été installé. A la fin de l’installation cliquer sur « Fermer ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 14/45
Maintenant, il faut configurer le service WSUS. Pour cela aller dans « Outil » puis « Service WSUS ».
Une fenêtre apparait pour confirmer le répertoire ou seront stocker les mises à jour, cliquer sur « Exécuter ».
Une fenêtre s’ouvre. Si vous rencontrez un problème à cette étape, cela signifie que le droit sur le dossier
n’est pas correct, vérifiez.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 15/45
Patientez environ 15 minutes.
Cliquer sur « Fermer » une fois que le dossier a terminé sa préparation pour y stocker les mises à jour.
L’assistant de configuration de WSUS s’ouvre.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 16/45
Une série de questions sont posée, dans notre cas vérifiez que le pare feu est désactivé, que la VM accède
bien à internet et que vous n’êtes pas derrière un proxy. Cliquer sur « Suivant ».
On vous demande si vous souhaitez participer au programme d’amélioration de WSUS. Faites comme vous le
souhaitez. Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 17/45
Ici, on vous propose de choisir le serveur où seront téléchargés les mises à jour si vous n’avez pas de serveur
WSUS en amont c’est-à-dire derrière un pare feu pour renforcer la sécurité sélectionnée « Synchronisation à
partir de Microsoft Update ». Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 18/45
Ici, configurer votre connexion si vous êtes derrière un pare feu sinon cliquer sur « Suivant ».
Ici, cliquer sur « Démarrer la connexion » pour que le service fasse une première connexion à Windows
Update pour connaitre les types de mise à jour, les produits et les langues disponibles. Patientez quelques
instants.
Si à ce stade, on vous dit qu’il y a une erreur http celle-ci est dû à une mauvaise configuration de l’horloge,
réglez la si cela ne fonctionne toujours pas activez les mises à jour Windows du serveur et désactivez le
pare-feu.
Une fois terminée cliquer sur « Suivant »
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 19/45
Ici, on vous demande de choisir les langues des mises à jour. Si vous stockez vos mises à jour sur un disque
externe d’une grande capacité vous pouvez sélectionner la première option. Mais dans notre cas, nous
stockons les mises à jour sur notre serveur donc nous n’avons pas une très grande capacité, il faudra donc
sélectionner « Télécharger les mises à jour dans ces langues uniquement » et sélectionner « Français ». Si
vous disposez d’un parc informatique ayant plusieurs SE en langues différentes, sélectionnez anglais car c’est
le code de base des mises à jour les plus importantes.
Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 20/45
Ici, on vous propose de sélectionner la mise à jour de tous les produits Microsoft avant de tout sélectionner
vérifiez sur votre parc informatique quel produit est utilisé. Ici, nous avons un Windows 7 Pro x64 donc
sélectionné seulement « Windows 7 », penser à désélectionner tous les autres pour éviter des
téléchargements inutiles.
Cliquer sur « Suivant ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 21/45
Ici, nous devons choisir les différents niveaux de mise à jour. Dans notre cas, laissez la sélection par défaut.
Cliquer sur « Suivant »
Ici, vous avez deux options, ou c’est vous qui téléchargez la liste des mises à jour disponible manuellement ou
de manière automatiquement à une l’heure que vous choisissez, si vous prenez cette dernière option la mise
à jour s’effectuera 30 minutes après l’heure configurée.
Dans notre cas sélectionnez, « Synchronisation manuellement ». Dans une réelle configuration, la
synchronisation automatique est préconisé cela évitera à l’administrateur de faire une tache rébarbative.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 22/45
Sélectionnez « Commencer la synchronisation initiale » permettra au service de chercher toute les mises à
jours présente en fonction de ce que vous avez sélectionné précédemment.
Cliquez sur « Terminer », la synchronisation se lance automatiquement et une fenêtre apparait. La
synchronisation permet de chercher sur Windows update la liste des mises à jour disponibles comme chez
Linux.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 23/45
Cliquer sur « Actualisé ». Vous verrez au fur et à mesure que le service WSUS trouve les mises à jour sur
Windows Update en fonction des mises à jour sélection durant la configuration, cela peut prendre du temps
suivant votre bande passante. Ici, nous avons les mises à jour de sécurité, critique qui sont en attente
d’approbation de l’administrateur, elles ne sont pas téléchargées directement ce qui permet de choisir les
mises à jour à télécharger et à installer.
Pour télécharger les mises à jour, il faut les approuver une première fois, la deuxième approbation servira à
installer les mises à jour sur l’ordinateur sélectionné. Pour cela cliquez sur « Mise à jour critique ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 24/45
Vous disposez d’un filtre qui permet de visualiser les différents états des mises à jour, sélectionnées « Nom
approuver » et « Toutes ».
Ce filtre est parfois positionné de telle sorte que vous ne voyez aucun ordinateur où aucune
mise à jour quand cela ne se produit pas, penser à vérifier les différentes options du filtre.
Sélectionnez tous les mises à jour faite cliquez droit et cliquez sur « Approuver ».
Une fenêtre s’ouvre.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 25/45
A ce moment-là, il faut approuver les mises à jour pour un groupe d’ordinateur si vous en avait créé un ou
pour un ordinateur. Il est conseiller de créer plusieurs groupes d’ordinateurs cela vous permettra d’appliquer
les mises à jour que vous souhaitez à un groupe particulier.
Dans notre cas pour se simplifier la tâche, vous allez approuver les mises jour pour « Tout l’ordinateur » et
pour « Ordinateur non attribué » en cliquant sur « Approuver l’installation » puis cliquez sur « Ok » puis
« Fermer ».
Je vous rappelle que la première approbation à Tous les ordinateurs permet juste de télécharger les mises à
jour dans le dossier MAJWSUS et la deuxième approbation à Ordinateur nom attribuer permet d’appliquer
leur installation à la machine puisque l’ordinateur que l’on va ajouter ne sera pas dans un groupe.
Vous pouvez aller voir l’état des téléchargements en cliquant sur le nom du serveur « SRVWSUS ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 26/45
N’oubliez pas pour que les mises à jour soient appliquées à l’ordinateur, il faudra les approuver une
deuxième fois sur l’ordinateur que vous souhaitez.
Maintenant vous avez deux possibilités pour appliquer les mises à jour. La première consiste à utiliser un
utilitaire sur chaque client qui pointe sur les mises à jour du serveur. Une autre solution moins fastidieuse est
celle d’utiliser un objet de stratégie de groupe de domaine pour cela nous avons besoin du service Active
Directory.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 27/45
4.5- Mise à jour avec une stratégie de groupe
Pour faciliter l’administration des GPO, il est conseillé de créer une « Unité d’organisation » ou ont lie une
GPO pour que les mises à jour s’appliquent automatiquement.
Ouvrir la fenêtre « Utilisateur et ordinateur Activer Directory » sélectionnez votre domaine puis cliquez droit
Nouveau > Unité d’organisation une fenêtre s’ouvre. Vous nomerez votre UO « UO_WSUS » cliquez sur
« Ok ». Fermez la fenêtre.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 28/45
Ouvre la « Gestion de stratégie de groupe ».
Puis déployez votre domaine ici domaine09.net puis faites un clic droit sur votre UO « UO_WSUS » puis
cliquer sur « Cree un objet GPO dans ce domaine, et le lier ici… ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 29/45
Une fenêtrée s’ouvre, indiquer le nom « WSUS » cliquer sur « OK ». Vous venez de créer une GPO dans une
UO qui contiendra un ensemble de GPO relatif à la mise à jour Windows.
Faite un clic droit sur la GPO « WSUS » puis cliquer sur « Modifier ». Cela permettra de modifier différente
façon pour chaque ordinateur d’appliquer les mises à jour.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 30/45
Vous obtenez la fenêtre « Editeur de gestion des stratégies de groupe », c’est ici qu’on va sélectionner les
différents paramètres pour appliquer les GPO.
Développer le menu Configuration ordinateur >> Stratégie >> Model d’administration >>
Composant Windows >> puis double cliquer sur « Windows Update ».
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 31/45
Vous obtenez toute une liste de paramètres pour configurer Windows Update du parc. Attention certaine
GPO se contredisent ou ne s’appliquent pas suivant le SE. Dans notre cas, on va configurer quelque GPO pour
faire des tests mais dans une configuration réelle, il faudra bien distinguer toutes les GPO car suivant leur état
elles appliquent certains paramètres et pas d’autres. Ne pas oublier après avoir sélectionné l’état de cliquer
sur activer.
1- Sélectionnez « Spécifier l’emplacement internet du service de mise à jour Microsoft », activer la GPO
et indiquer aux deux emplacements le nom du domaine comme ceci : http://Domaine09.net:8530.
Attention cette GPO est celle des plus importantes elle permet de pointer sur le service qui enverra les
mises à jour utilisant le port par défaut 8530, pouvant être changé. NE PAS OUBLIER LE PORT.
WSUS utilise le port 8530 pour le http et le port 8531 pour HTTPS.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 32/45
2- Sélectionnez « Autoriser les non administrateurs à recevoir les notifications de mise à jour » activer
la GPO.
Elle permet au non administrateurs d’installer les mises à jour si dans votre parc il n’y a que des utilisateurs
administrateurs, elle sera inutile.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 33/45
3- Sélectionnez « Autorisez l’installation immédiate des mises à jour », activer cette GPO.
Cette GPO permet d’installer les mises à jour des quelles sont téléchargées ce qui permet de mettre à jour le
parc de manière transparente pour les utilisateurs.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 34/45
4- Sélectionnez « Pas de redémarrage automatique avec des utilisateurs connecter pour l’installation
planifier automatique », activer la GPO.
Cela permet d’empêcher le redémarrage pendant que l’utilisateur utilise sa session après l’installation d’une
mise à jour qui nécessite obligatoirement un redémarrage. Un message proposera seulement à l’utilisateur à
redémarrer.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 35/45
5- Sélectionnez « Configuration du service Mise à jour automatique », activer la GPO.
Cette GPO avec l’option 3 permet de chercher et de télécharger les mise en tache de fond, dès quelles sont
prêtes, un message est proposé à l’utilisateur pour les installer. Elle est idéale pour l’utilisateur expérimenté.
Vous pouvez choisir l’heure et le jour de l’exécution de la GPO, elle vous permet aussi de l’exécuter lors de la
maintenance de Windows. Sachez que Windows a intégré sur ses SE un centre de maintenance qui permet
l’exécution de diffèrent utilitaire vérifiant la bonne santé de votre SE, la mise à jour a été incluse.
L’option 4 permet une installation totalement transparente des mises à jour idéale pour un parc mais celle-ci
s’effectuera au fur à mesure de l’utilisation de la machine avec l’arrêt et redémarrage des utilisateurs.
Attention : avec ses GPO configuré, l’utilisateur a toujours accès au panneau Windows Update et pourra
désélectionner les mises à jour. On verra un peu plus tard avec une GPO comment bloquer cette interface à
l’utilisateur.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 36/45
Comme les GPO ne s’appliquent pas de suite, on va les forcer avec la commande dans un terminal du serveur
avec « gpupdate /force ».
4.6- Ajouter un ordinateur a une UO
Maintenant, il faut ajouter l’ordinateur sur l’UO. Ouvrer « Utilisateur et ordinateur Active Directory » aller
dans « Computeur » clic droit sur le nom de l’ordinateur « PCWSUS ». Cliquer sur déplacer dans votre dans
« UO_WSUS » puis sur « OK ». Si vous ne voyez pas votre machine cela signifie que votre Windows ne sait
jamais connecter au domaine ou que votre pare-feu du domaine est encore activé.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 37/45
Vous verrez votre ordinateur apparaitre dans UO maintenaient votre GPO s’applique à votre ordinateur.
Faites sur votre serveur un gpupdate /force par précaution. Redémarrer votre client pour que la GPO
s’applique sur l’ordinateur.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 38/45
A l’ouverture de votre session, attendez un peu normalement, un message apparait pour vous dire que des
mises à jour sont prêtes. Si vous ne voulez pas attendre, utilisez la commande « wuauclt.exe /detectnow »
pour une détection immédiate.
Ou
Sur votre client, aller dans Windows Update recherchez les mises à jour. Si vous voyez apparaitre « Vous
recevez les mises à jour : gérer par votre administrateur système » cela veut dire que vos GPO se sont
appliqués est que vous avez réussi. Je vous signale que la commande « gpresult –r » indiquera toujours que
vos GPO ne s’applique pas alors que parfois elle s’applique réellement. J’ai l’impression que la commande ne
fonctionne pas pour les GPO qui s’applique à l’ordinateur.
Ou
Si aucune mise à jour apparait vérifiez quel ont était bien approuver sur l’ordinateur, quel son télécharger sur
le serveur, que votre GPO pointe bien sur la bonne URL du service, que le pare-feu du domaine est désactivé.
Faites un redémarrage complet et vérifiez.
Je vous félicite si vous avez réussi.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 39/45
4.7- Ajouter un groupe d’ordinateur
Ajouter un groupe d’ordinateur au service WSUS vous permet d’appliquer certaines mises à jour et pas
d’autre sur un ensemble de machines que vous avez rattaché à ce groupe.
Ouvrez votre service « Mise à jour les services ». Déployez le menu « Ordinateur » faites un clic droit sur « Tous les ordinateurs », puis cliquer sur « Ajouter un groupe d’ordinateur ». Une fenêtre s’ouvre nommez le nouveau groupe d’ordinateur « groupewsus » et cliquez sur ajouter.
Vous venez de créer un groupe d’ordinateurs, il faut maintenant ajouter les ordinateurs souhaités au groupe
qui vient d’être créé.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 40/45
Allez dans le menu « Ordinateurs non attribués» vous trouverez la liste des ordinateurs qui ne sont pas
attribués à un groupe.
Faite un clic droit sur la machine souhaitée, puis cliquez sur « Modifier l’appartenance », une fenêtre s’ouvre
et vous propose les groupes qui ont été crée, sélectionnez le groupe souhaité puis cliquer sur « OK ».
Si vous ne voyez aucune machine apparaitre, vérifier que le filtre a un Etat en position « Toutes » puis
actualisez.
Vous pouvez maintenant sélectionner les mises à jour puis faire une approbation sur le groupe souhaité. La
machine appartenant au groupe où vous avez fait une approbation, recevra seulement les mises à jour
approuvées au groupe lors de la recherche de Windows Update. C’est comme si Windows Update pointe sur
un répertoire contenant les mises à jour attribuées à ce répertoire donc au groupe.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 41/45
4.8- Avoir un détail de l’état des mises à jour
WSUS ne dispose pas d’élément pour montrer clairement l’état de mise à jour appliqué sur votre machine ou
à l’ensemble de votre parc, seulement un pourcentage apparait avec un petit diagramme et un résumé pas
très explicite.
Un outil nommé Report Viewer vous permet d’avoir plus de détails sur la machine en rapport avec les mises. Il
vous permet même de les modifier directement à partir ce logiciel en cliquant sur la zone en bleu.
Pour que ce logiciel fonctionne, il faut ajouter une fonctionnalité le « NET Framework 3.5 » qui n’est pas
installé par défaut sur Windows Serveur 2012 mais la version 4.5 oui qui est plus récente et pas compatible
avec Report Viewer.
Il est fortement conseillé que votre serveur soit à jour pour ne pas avoir de souci, vérifiez.
Allez dans « Gestionnaire de serveur », « Ajouter des rôles et des fonctionnalités » après plusieurs suivis
vous tomberez sur « Fonctionnalité » sélectionnez « Fonctionnalité de Net Framework 3.5 » puis faites
« Suivant » puis « Installer».
Faites de nouveau une mise à jour du serveur pour appliquer les patchs de cette fonctionnalité puis
redémarrer le serveur.
Si l’installation ne fonctionne pas, suivez cette procédure proposée par Microsoft.
Apres l’installation de NET Framework 3.5 déployer le menu « Ordinateur » de WSUS et sélectionnez votre
groupe d’ordinateur « WSUSFranck » vous verrez apparaitre le nom de votre machine, faites un double clic
une fenêtre s’ouvre et vous demande de télécharger et d’installer « Report Viewer », faites le.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 42/45
Apres l’installation de Report Viewer faites un autre double clic sur le nom de votre ordinateur une fenêtre
s’ouvre et vous indiquer de manière détaillé l’état des mises à jour de la machine.
Il est possible d’exporter le résumé en format Excel, en PDF même de l’imprimer. Possibilité de filtrer les
résultats pour la classification, les produits et l’état et voir le résultat sous forme de tableau.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 43/45
Les flèches permettent de visualiser les différentes mises à jour que vous avez appliquées à l’ordinateur.
En cliquant sur l’écriture en bleu vous pouvez modifier l’installation, l’approbation, l’apparence au groupe, des
informations sur les mises à jour ainsi de suite.
4.9- GPO pour bloquer la sélection
Avec la configuration ci-dessous, l’utilisateur a accès Windows Update et peut faire une recherche tout en
désélectionnant certaines mises à jour à installer. Cette configuration n’est pas acceptable dans la gestion
d’un parc informatique ou l’utilisateur est novice. Cela pourra engendre un disfonctionnement de la sécurité
du parc.
- http://serverfault.com/questions/230818/how-to-disable-windows-update-on-all-computers-in-a-
domain
- http://www.tuxwin.net/wsus/configurer-les-clients-wsus-par-gpo/
En cours de réalisation.
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 44/45
Taches Détails Date/Heures
Observations
1 Début du projet = recherche, copie des VM de base, mise à jour de OS, configuration IP. Installation et configuration des VM pour Workstation, début de rédaction tutoriel.
20/11/132h30
Phase de test et de recherche
2 Mise en œuvre d’un tutoriel sur Workstation 21/11/132h
Je suis sur la bonne piste le service semble fonctionné
3 Test et réajustement sur Workstation 22/11/131h
Applications des GPO en attente du téléchargement
4 Début de la rédaction en cours pour la procédure, capture d’écran de l’installation du service
26/11/133h
Test sur ESXi
5 Rédaction et en même temps installation du servie 03/12/136h
Sur ESXi
6 Problème rencontrai les GPO ne s’applique pas et le service WSUS ne trouve pas l’ordinateur. Action faite avec Esquirol : désactivation pare-feu du domaine, suppression des GPO inutile, redémarrage du client pour une prise en compte des GPO, création de l’UO
04/12/133h
Abandon des VM de ESXi, configuration défectueuse. Je bascule sur VMware Workstation
7 Essayé à nouveau en appliquent les actions ci-dessous finalement ça marche très bien mais les GPO ne sont pas détecter pas gpresult –r mais elle s’applique quand même
05/12/132h
Sur Workstation. GPO de l’ordinateur ne sont pas reconnues pas la commande malgré quel s’applique
8 Mes VM crachent donc il faut tout recommencer. 08/12/133h
Sur Workstation. Ca ma permit de vérifier l’ordre de la procédure et de faire quelque capture d’écran
9 La procédure fonctionne correctement enfin.
- test avec Bruno pour que les mises à jour s’installer automatiquement de manier transparente, semble pas fonctionné (peut-être que ça se fait sur plusieurs redémarrage et lors de la maintenance de la machine)
- création de groupe d’ordi pour installer deux sorte des mises à jour différente, fonctionnel en créent les groupe d’ordinateur sur WSUS et en approuvant certain mise à jour a un groupe et pas à l’autre
- rechercher un moyen de visualiser les mises à jour approuver/installer/non installer, fonctionnel grâce à Report Viewer fonctionnent avec Net Framework 3.5 (ajouter une fonctionnalité a Windows plus faire la mise à jour du serveur)
- problème l’utilisateur a accès un Windows Update et peut chercher les mises à jour et les désélection, pas acceptable dans un parc ou l’utilisateur ne s’y connait pas, piste donner par Lysiane faire un script pour bloquer la recherche ou modifier le registre ou chercher un GPO qui est concernai
10/12/136h
La GPO qui recherche les mises à jour automatiquement et qui les installer à une heure préconfiguré fonctionne, il choisir l’option 4 J’ai trouvé une GPO qui bloque l’accès à Windows Update
10 Rédaction tutoriel 11/12/133h
11 Rédaction tutoriel 14/12/13
GESTION DES MISES A JOUR WINDOWS FRANCK FALCHI 45/45
VIII- Détails du projet
IX- Sources
URL Détails
http://www.coolwindows.fr/tutoriel-53.html Exemple de tutoriel complet sur serveur 2012
http://technet.microsoft.com/fr-fr/library/hh852345.aspx Site officiel du service WSUS sur serveur 2012
http://www.labo-microsoft.org/articles/server/WSUS/2/
Exemple de tutoriel complet sur serveur 2003
http://www.coolwindows.fr/tutoriel-33.html Exemple de tutoriel complet sur serveur 2008 R2
4h30
12 Rédaction tutoriel 15/12/133h
Total des heures
39 h