Lolokai – Supervision, systèmes, réseaux, base de données…

2

Installation d’un serveur WSUS

taochy.samuel 10 avril 2012

Introduction

Il est très important dans un réseau de tenir à jour les machines. Tout d’abord, question de sécurité : une machine non mis à jour est une machine qui peut posséder des failles de sécurité. Il est donc important de tenir les machines de son réseau continuellement à jour.

Le problème avec les mises à jour c’est qu’elles peuvent parfois être lourdes et difficiles à télécharger. Imaginez plusieurs machines en train de faire des mises à jour pendant une heure de grand traffic sur le réseau. Votre réseau devient lourd et la bande passante internet est très vite saturée.

Je vous propose donc de voir avec moi une solution qu’est WSUS soit Windows Server Update Service. Cette solution permet de configurer un serveur qui va se charger de télécharger les mises à jours utiles pour les machines, puis il les stocke. Il les teste puis une fois approuvées il établit un ordre de priorité et à l’heure choisie les distribue sur le réseau. Le serveur WSUS interagit avec des clients Windows Update. Le serveur est capable de démarrer une machine en veille pour installer les mises à  jours.

Installation

Tout d’abord nous allons installer et configurer notre serveur WSUS.

Pour disposer de la dernière version de WSUS, il est indispensable de la télécharger sur le site de Microsoft : http://www.microsoft.com.

Pour installer WSUS il est indispensable d’avoir ajouter le role IIS avec la plus part de ses services de rôles

Une fois que tout est ok, vous pouvez lancer l’executable, vous accepter le contrat de licence et vous arrivez à la fenêtre ci-dessous. L’assistant nous demande juste de choisir l’emplacement voulu pour stocker nos mises à jour.

Ensuite, WSUS nous demande quel logiciel utiliser pour gérer la base de données. Par défaut, il propose de créer une base.

Puis WSUS vous demande de choisir le site qu’il doit utiliser. Je vous recommande fortement de laisser les paramètres par défaut. Une fois tout cela fait un petit bilan est dressé et il ne suffit qu’à cliquer sur « Suivant » pour lancer l’installation.

Après ces quelques minutes à attendre, un assistant s’ouvre pour nous proposer de configurer notre serveur WSUS.

La première chose que l’on doit configurer est le « serveur en amont ». L’assistant nous propose de choisir le Serveur Windows Update avec lequel on veut récupérer les mises à jour.

Par défaut, il vaut mieux ne pas toucher à ces paramètres. Donc à part être dans une grande architecture et vouloir synchroniser avec un serveur WSUS dans un but de délégation, ne touchez pas au paramètre par défaut !

Ensuite l’assistant nous propose d’entrer un proxy nous permettant d’accéder à Windows Update. Là selon vos architectures réseaux il se peut que vous ayez ou pas un proxy.

Puis vous avez différents types de réglages possibles. Vous avez la possibilité de régler la synchronisation ou la gestion des langues, mais pour vous montrer l’outil de configuration par excellence je configurerai WSUS via Update Services. Démarrer -> Outils d’administration ->  Update Services.

Dans cette fenêtre, vous pouvez retrouver toutes les possibilités de configuration. Nous ne les verons pas toutes car chaque administrateur a sa configuration personnelle. Je vous propose avec moi de voir deux options que je juge très très importantes. Tout d’abord, la synchronisation elle nous permet de fixer une heure et une fréquence de mise à jour. Je vous conseil de choisir des heures où il y a peu d’activité dans l’entreprise ou sur le réseau car il se peut que la bande passante soit réduite lors des mises à jour. Pour cela il suffit d’aller dans option -> Planification de la synchronisation.

Dans mon exemple j’ai choisis de faire les synchronisations une fois par jour à 05h30.

La deuxième option est ordinateur. Cette option nous permet de configurer des groupes d’ordinateurs. En effet dans un réseau vous ne distribuez pas les mises à jour à tout le monde en même temps surtout si vous avez un réseau consequent. Pour gérer cela il suffit de créer des groupes d’ordinateurs. Pour cela vous faites un clic droit sur Ordinateurs dans le menu de gauche, et faites « Ajouter ».

On vous demande simplement après d’entrer le nom du groupe. Vous renouvellerez la manipulation autant de fois que vous voulez de groupe. Pour l’exemple j’ai créé un groupe grp1 et un grp2.

Il existe deux methodes pour configurer un groupe d’ordinateur: le ciblage coté serveur ou coté client.

  • Ciblage coté serveur: préféré pour les petites structures, cette méthode implique le fait d’intégrer manuellement une machine cliente à un groupe.
  • Ciblage coté client: à l’inverse de l’autre méthode, celle ci permet d’automatiser l’ajout d’ordinateurs dans un groupe via les stratégies de groupe.

Nous avons donc choisi de faire un ciblage coté client. Pour cela dans la fenêtre Update Services dans le menu de gauche cliquez sur Option -> Ordinateur et sélectionnez « Utiliser les paramètres de stratégies de groupe ou de registre sur les ordinateurs ».

Ensuite ,il faut configurer les GPO pour que les ordinateurs soit dans les groupes adéquats, ce sera surement l’objet d’un autre article ! Restez connecté ;).

Conclusion:

Nous avons vu à travers ce ticket l’installation d’un serveur WSUS. Ce serveur vous permet de gagner du temps et surtout de la bande passante lors du déploiement de mises à jour à très grande échelle et reste un des rôle les plus importants pour les entreprises qui privilégient la sécurité sur un parc Microsoft.

Je n’ai proposé que deux options de configuration (ordinateur et planification) quel sont pour vous les options indispensable à configurer ?

 taochy.samuel

Comments (2)

  1. je reviens sur une chose dans ton article.

    Tu dis je cite « Contrairement à DNS, DHCP ou IIS il ne faut pas installer le role serveur WSUS, il n’existe pas » hier encore j’ai installé ce rôle sur mon Windows Serveur 2008 R2.

    As tu vraiment bien regardé ou est ce une erreur dans ton article ?

    Répondre
  2. Bonjour Willy1009,

    Tu as toute a fait raison de le signaler ! En effet le role existe et je me suis très mal exprimé sur ce point.
    Le message que je voulais passer était que pour avoir la dernière version de WSUS soit 3.0 SP1 pour 2008 et le 3.0 SP2 pour le 2008 R2 il fallait le télécharger sur microsoft.
    Je te remercie de l’avoir signaler c’est tout à fait une erreur ! C’était pas du tout ce que je voulais dire !
    Merci.

    Répondre

Laisser un commentaire

 

Login to your account

Can't remember your Password ?

Register for this site!