Serveur WSUS Introduction : Dans le cadre de mon stage de 2 ème année, l on m a proposé plusieurs projets. J ai choisi l installation d un serveur WSUS. Je vais présenter mes choix et les étapes de la mise place d un tel serveur dans un réseau mais aussi comment le mettre en place chez TR2S et les problèmes que l on peut rencontrer avec ce service. Windows Server Update Service est un logiciel pour serveur Windows qui permet le déploiement automatique de mise à jour Microsoft. Son utilité est de limiter la bande passante utilisée pour le téléchargement des mises à jour Microsoft, puisque l'application télécharge les mises à jour puis les redistribue à la demande au client. De ce fait les clients ne vont plus sur internet pour récupérer les mises-à-jour. De plus, avec WSUS, on peut automatiser le déploiement des mises à jour et il n'y a ainsi plus besoin de gérer les mises-à-jour pour chaque poste. Phase d étude : Tout d abord, j ai effectué des recherches afin de me lancer dans ce projet. Les sources sont en annexes. Ensuite j ai listé toute les étapes du projet : - Préparation des servers et des postes, création de domaine, intégration, AD, IIS - Installation de WSUS 3.0 SP2 pour une prise en charge de Windows 7 - Configuration du service WSUS, synchronisation et approbation - Gestion des postes, installation de la console de stratégie de groupe, création de la stratégie - Test - Mise en production Phase de préparation : Pour commencer j ai installé 2 serveurs et 3 postes clients : un contrôleur de domaine et un serveur avec le service WSUS sous Windows 2003, 2 Windows XP et un poste sous Windows 7. Les 5 sont des machines virtuelles, sur un serveur VmWare ESX. Avant de commencer la configuration du service WSUS, j ai effectué les configurations suivantes sur mes postes : - Contrôleur de domaine DIN-VM100 : J ai appelé mon domaine testwsus.local. Dans mon AD, j ai créé un UO où j ai placé tout mes postes que je souhaite gérer avec WSUS. Cette UO servira à faire le lien entre les postes et ma stratégie. Je lui ai attribué un IP fixe. - Serveur WSUS DIN-VM101 : J ai installé le service IIS, obligatoire pour le bon fonctionnement de WSUS, WSUS 3.0 SP2 ainsi qu un correctif (KB2720211) et la console de gestion des stratégies de groupe. Je lui ai attribué un IP fixe.
Aperçu de la console d administration WSUS : Aperçu de la console de gestion des stratégies de groupe : - Postes clients : J ai ajouté mes postes au domaine et installé l agent WU le plus récent, sinon les postes ne sont pas détectés par le serveur WSUS.
Configuration du service WSUS Pour configurer plus facilement notre serveur WSUS, il faut aller dans l onglet options de la console d administration et exécuter l assistant de configuration du serveur WSUS. Voici quelques vérifications à faire avant de commencer le paramétrage : Ensuite il faut indiquer au serveur où récupérer les mises à jour, soit sur Microsoft Update, ou alors sur un serveur WSUS en amont :
Si l accès à internet passe par un proxy, il faut le paramétrer sur le serveur : Le serveur synchronise certaines informations avec Microsoft Update :
Ensuite on paramètre les mises à jour que l on veut installer, d abord on choisit la langue des produits que l on souhaite mises à jour : On sélectionne les produits que l on souhaite mettre à jour :
Puis on choisit les types de mises à jour : Il faut planifier l heure à laquelle on souhaite que le serveur récupère les mises à jour :
La configuration est terminée : L assistant nous quelques conseils pour poursuivre la configuration du service :
Mais télécharger les mises à jour sur le serveur ne suffit pas pour mettre à jour les postes. Avant que le postes téléchargent les mises à jour depuis le serveur, il faut que celles-ci soit autoriser à être installées. J ai donc créé une règle pour approuver automatiquement les mises à jour : Maintenant que le serveur WSUS est correctement configuré, il faut faire remonter les postes dans la console d administration WSUS. Pour cela, il faut utiliser une stratégie de groupe. Dans la console de gestion des stratégies de groupe, l on voit l UO que j ai crée précédemment où j ai placé mes postes, il faut faire un clique droit sur l UO et cliquer sur «Créer et lier un objet de stratégie de groupe ici» :
Et voici la stratégie créée : Ensuite il faut configurer la stratégie pour le service WU. Il faut faire clique droit sur la stratégie et cliquer sur modifier. L éditeur d objet de stratégie s ouvre et pour accéder au service WU, il faut suivre le chemin suivant : Configuration ordinateur > Modèles d administration > Composants Windows > Windows Update Liste des éléments que l on peut configurer : Je spécifie sur quel serveur il faut aller hercher les mises à jour :
Je définie la fréquence de détection des mises à jour : (j ai choisi 1h ici pour accélérer la phase de test mais en production l intervalle sera beaucoup plus grand) J autorise l installation immédiate des mises à jour, pour que l installation des mises à jour qui ne nécessite pas de redémarrage de Windows, soit transparente pour l utilisateur :
Phase de test : Une fois la configuration terminée, je suis passé à la phase de test. Cette phase s est écoulée sur plusieurs jours car aucunes mises à jour n avait été faite avant sur mes machines cela a donc été assez long de tout installer. J ai d abord commencé par vérifier le déroulement de la synchronisation du serveur à Windows Update. J ai n ai pas rencontré de problème particulier mise à part une fois où mon câble réseau avait été malencontreusement débranché donc la synchronisation avait échoué. Ensuite j ai vérifié la partie postes clients. Là j ai eu plus de soucis. Mes postes ont été dès le départ détecté par le serveur WSUS mais une fois visible par le serveur, les postes doivent remontés un rapport au serveur sur l état de leurs mises à jour (ce rapport indique quelles mises à jour sont déjà présentes sur le poste client et celles dont il a besoin), le statut de mes postes restaient en «Rapport non émis». Pour remédier à cela, j ai du appliquer un correctif sur le serveur WSUS (KB2720211). Il peut aussi parfois être nécessaire de redémarrer le poste client afin que le 1 er rapport remonte sur le serveur. Ensuite tout s est bien déroulé, l installation des mises à jour était complètement transparente pour l utilisateur, sauf pour les mises à jour nécessitant un redémarrage, l utilisateur doit cliquer sur le logo WU à droite dans la barre des tâches et ensuite cliquer sur installer, ou lors de l arrêt du poste, sélectionner «Installer les mises à jour et éteindre». Mise en place chez TR2S : Pour intégrer le serveur au réseau TR2S, voici les différentes étapes : - Intégration du serveur au domaine de TR2S. - Création d une nouvelle stratégie à lier avec une UO existante de l AD. Il serait même judicieux de faire 2 stratégies selon le type de postes (serveurs et postes utilisateurs). - Il est probable que sur certains postes, l agent WU ne soit pas à jour. Dans ce cas, il faut passer sur tous les postes pour installer manuellement la version de l agent la plus récente. - Création de groupe dans la console d administration WSUS pour plus de clarté car par défaut, tous les postes se placent dans le groupe «Ordinateurs non attribués». Problèmes : Lors de la mise en place d un serveur WSUS, on peut rencontrer quelques soucis, notamment avec la remonté des rapports sur le serveur, comme expliqué précédemment, il suffit d appliquer le correctif KB2720211. Petite astuce, pour que le poste client remonte un rapport au serveur avant l intervalle défini, on peut utiliser la commande wuauclt /detectnow (il faut être administrateur du poste pour pouvoir l exécuter). Pour consulter ces rapports sur l état des postes, il faut installer Microsoft Report Viewer sur le serveur. Autre problème, il faut absolument penser à nettoyer le serveur régulièrement, avec l outil de nettoyage qui se trouve dans la console d administration WSUS, car les mises à jour prennent énormément de place et si le disque est plein les synchronisations avec WU échoueront. Annexes : http://www.labo-microsoft.org/articles/server/wsus/0/ http://technet.microsoft.com/fr-fr/library/cc720481(v=ws.10).aspx http://www.lolokai.com/systemes/installation-dun-serveur-wsus/