WSUS 4.0 | Déploiement & Migration

Publié: 23/01/2014 dans WSUS 4.0

WSUS4_ArticleLogo

———————————————————————————————————————————————————————————-

WSUS 4.0 – Présentation

WSUS 4.0 est introduit avec Windows 2012 Server, cet outil est intégré au système d’exploitation en tant que rôle de serveur à ajouter depuis le Gestionnaire de Serveur.

WSUS (Windows Server Update Services) 4.0 permet aux techniciens /administrateurs /ingénieurs informatiques de déployer les dernières mises à jour des produits Microsoft. Avec WSUS, les informaticiens peuvent gérer et administrer entièrement la planification, téléchargement, approbation, ciblage et distribution des mises à jour, publiées par le biais de Microsoft Update, sur les ordinateurs de leur réseau.

Un serveur WSUS peut également être la source des mises à jour pour les autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est appelé serveur en amont. Dans une implémentation WSUS, au moins un serveur WSUS du réseau doit se connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles. L’administrateur peut déterminer, en fonction de la configuration et de la sécurité du réseau, le nombre d’autres serveurs se connectant directement à Microsoft Update.

WSUS 4.0 est géré et administré d’une façon centralisée par le biais d’une seule et unique console d’administration WSUS. Il peut être géré aussi à l’aide d’un outil en ligne de commande appelé WSUSUTIL.EXE.

Un serveur WSUS peut également être la source des mises à jour pour les autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est appelé serveur en amont (ou UpStream). Dans une infrastructure WSUS, au moins un serveur WSUS du réseau doit se connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles, il peut faire office de source de mises à jour pour d’autres serveurs WSUS appelés serveurs en aval (ou DownStream).

Une fois déployé en entreprise, WSUS 4.0 créé de la valeur ajoutée en offrant 2 choses :

2

WSUS 4.0 – Nouveautés 

La version de WSUS intégrée à Windows Server 2012 intègre les améliorations suivantes :

  • Commandlets PowerShell disponibles pour gérer les dix tâches administratives les plus importantes de WSUS.
  • Hachage SHA256  possible afin d’améliorer la sécurité
  • Séparation du client et du serveur : des versions de l’Agent de mise à jour automatique Windows Update (WUA) peuvent être livrées indépendamment de WSUS

WSUS 4.0 – Planification

Prérequis matériels

Minimum

Recommandé

Processeur

1,4 GHz (x64)

3 GHz biprocesseur

Mémoire

2 GB

4 GB

Espace disque

20 GB

40 GB

Base de données

Base de données Interne

SQL Server 2008 R2 SP1 /2012

L’espace disque requis dépend de la taille des mises à jour à installer:                                               

  • Nombre produits
  • Nombre de langues des mises à jour
  • Classifications

Prérequis logiciels

  • Microsoft Framework .NET 4.5
  • Microsoft Report Viewer Redistributable 2008
  • le Framework .NET 4.5 (installé automatiquement avec l’ajout du rôle WSUS 4.0 via le Gestionnaire de Serveur)

Autres Prérequis

  • 2 Go d’espace libre sur la partition système (recommandé)
  • 4 Go d’espace libre sur le volume /partition où les fichiers de base de données seront stockés (recommandé)
  • Le disque /partition système ne doit pas être compressée

WSUS 4.0 – Préparation et Déploiement

Préparation

Microsoft n’a pas introduit de nouveaux scénarios de déploiement avec WSUS 4.0. Ces derniers restent les mêmes que ceux proposés avec la version 3.0, à savoir :

  • WSUS Mode « Simple »
  • WSUS Mode « Autonome »
  • WSUS Mode « Replica »
  • WSUS Mode « Déconnecté »

Installation

WSUS 4.0 peut être installé en utilisant

  • Le Gestionnaire du Serveur (Outil graphique)
  • Windows PowerShell (Interpréteur de commande)

       1.   Installation WSUS 4.0 via le Gestionnaire  de Serveur

Avant toute chose, ouvrez le Gestionnaire du Serveur en cliquant sur l’icône présente dans la barre des tâches ou en utilisant le menu Exécuter (combinaison DRAPEAU Windows+R), saisissez ensuite servermanager

Suivez les instructions ci-dessous pour installer correctement WSUS 4.0 via le Gestionnaire de Serveur

1234

       2.   Installation de WSUS 4.0 via Windows PowerShell

Pour installer WSUS via PowerShell, faites un clic-droit sur l’icône PowerShell sur la barre des tâches et sélectionnez « Exécuter en tant qu’Administrateur »

Run as

L’interpréteur de commande PowerShell est lancé, saisissez la commande suivante

pour installer WSUS :

Add-WindowsFeature –name UpdateServices -InclureManagementTools

Comme montré sur l’image ci-contre

WSUSInstall

L’installation de WSUS démarre …

Tous les composants nécessaires pour le bon fonctionnement du WSUS seront automatiquement ajoutés et installés.

Dès que l’installation est terminée, le résultat suivant apparaît. Notez que des tâches post-installation sont à lancer via le Gestionnaire de Serveur

B

Pour finaliser l’installation, lancez cmd.exe en tant qu’administrateur et saisissez ces deux commandes :

=> cd %ProgramFiles%\Update Services\Tools : 

=> wsusutil PostInstall CONTENT_DIR=C:\WSUS           

Important : C:\WSUS représente l’emplacement local de stockage des mises à jour qui vont être téléchargées, si vous êtes dans un environnement de production, je vous recommande de spécifier un chemin autre que C : et donc changer la lettre C : par D : ou E : …

WSUS 4.0 – Configuration

L’assistant de Configuration WSUS apparaît automatiquement après la finalisation de l’installation du WSUS ET/OU premier lancement de la console d’Administration WSUS, suivez les instructions ci-après pour configurer correctement votre serveur WSUS

567

WSUS 4.0 – Administration

Désormais, l’administration de WSUS 4.0 peut s’effectuer de plusieurs manières :

  • Console d’Administration WSUS
  • Commandlets PowerShell
  • WSUSUTIL.exe

1.   Administration de WSUS à l’aide de la console WSUS

L’administration de WSUS via la console d’administration WSUS est la même que sous WSUS 3.0

Referez-vous au « Chapitre 8 : Administration de Windows Server Update Services 3.0 SP2 » de la formation WSUS 3.0 SP2 pour en savoir plus (voir : http://www.alphorm.com/formation/wsus-windows-server-update-services-30-sp2)

2.   Administration de WSUS à l’aide de WSUSUTIL.EXE

L’outil en ligne de commande WSUSUTIL.EXE vous permet de gérer et d’administrer votre serveur WSUS 3.0 SP2. Il permet également d’automatiser la plus part des tâches « répétitives » de configuration et de gestion : création de scripts Batch. WSUSUTIL.exe inclut des commandes vous permettant de migrer votre infrastructure WSUS vers WSUS 3.0 SP2 (e.i : WSUS 2.0 vers WSUS 3.0 S2).

Comment puis-je lancer l’outil en ligne de commande WSUSUTIL.EXE ?

L’outil WSUSUTIL.EXE est présent dans n’importe quel serveur WSUS (quel que soit le mode : Maître – Replica – Déconnecté – Autonome)

Si vous avez installé la version x64 de WSUS 3.0 SP2 dans la partition C:\, l’outil WSUSUTIL.EXE est situé dans : C:\Program Files\Update Services\Tools (voir la figure ci-dessus) :

N

Note :

Si vous êtes sous Windows 2008 /2008 R2, le chemin est plutôt => C:\Programmes\Update Services\Tools

Si vous avez installé la version x32, le chemin d’accès à l’outil WSUSUTIL.EXE est => C:\Program Files (x86)\Update Services\Tools

Liste des commandes que vous devez connaître

Déplacement des données du serveur WSUS

=> Déplacez la base de données WSUS vers un autre emplacement (e.i : vers la partition F:)

                          WSUSUTIL.EXE movecontent F:\WSUS\WSUSContent  E:\Log2Déplacement.log –skipcopy

=> Déplacez l’ensemble des mises à jour vers un autre emplacement (e.i vers la partition F:)

WSUSUTIL.EXE movecontent F:\WSUS  F:\Log2Déplacement.log

Note : Si la base de données WSUS est une base de données SQL, utilisez juste la deuxième commande (sans le paramètre –skipcopy pour déplacer les fichiers de mises à jour.

Important : les droits suivants doivent être spécifiés sur le dossier WSUSContent source et destination pour pouvoir déplacer avec succès les fichiers de mises à jour de l’ancien emplacement vers le nouveau.

W

=> Connaître la liste complète des mises à jour inactives, pour les supprimer et libérer de l’espace disque

WSUSUTIL.EXE listinactiveapprovals

=> Vérification de l’état de santé du serveur WSUS

WSUSUTIL.EXE checkhealth

->Vérifiez le résultat dans l’Observateur des événements => Journaux Windows => le journal « Application »

O

=> Réparation de la base de données WSUS (si le contenu des métadonnées est absent ou endommagé)

WSUSUTIL.EXE reset

->Cette commande est à exécuter après la restauration de la base de données WSUS suite à un crash du serveur WSUS. Elle vous permettra de réparer l’ensemble des données endommagées.

=> Connaître la liste complète des serveurs WSUS frontaux

WSUSUTIL.EXE listfrontendservers

=> Exporter les données WSUS (métadonnées) : vers une partition F : dans un dossier Export

WSUSUTIL.EXE export F:\Export\Export.cab F:\Export\Export.log

=> Importer les données WSUS (métadonnées) : vers une partition F : dans un dossier Import

WSUSUTIL.EXE import F:\Import\Export.cab F:\Import\Import.log

=> Surveiller la taille du disque hébergeant les fichiers de mises à jour & spécification du niveau d’avertissement

WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes : affiche le niveau d’erreur et d’avertissement

WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes XX YY : spécifie le niveau d’erreur et d’avertissement

->Exemple : WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes 400 800 : permet d’afficher un message d’avertissement à 800 Mo et un message d’erreur à 400 Mo

WSUS 4.0 – Migration depuis WSUS 3.0 (SP2)

Les principales étapes de migration sont :

Serveur Source

  1. tout d’abord, il faut copier le dossier WSUSContent et le coller sur un dossier partagé du réseau qui sera accessible depuis le serveur WSUS de destination OU le coller directement sur le serveur WSUS de destination (sous Windows 2012)
  2. Installez SQL Server Management Studio Express (version minimale : 2005 SP3 /Recommandée 2008 /2008 R2)
  3. Si votre serveur WSUS utilise la base de données interne, lancez SQL Management Studio et connectez-vous à l’instance suivante :

          \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query

Si votre serveur WSUS utilise une base de données hébergée sur un serveur SQL Server, connectez-vous à l’instance hébergeant la base de données utilisée par WSUS et sauvegardez- la.

      4.  Sauvegarder la base de données « SUSDB » utilisée par le serveur WSUS via la console SQL Management Studio ou              via le script SQL que vous pouvez télécharger depuis la rubrique Téléchargements de la page de formation WSUS 3.0            SP2 sur www.alphorm.com

      5.  Copier la base de données SUSDB sauvegardée (fichier .bak) et coller le sur un dossier partagé du réseau qui sera                accessible depuis le serveur WSUS de destination OU le coller directement sur le serveur WSUS de destination (sous              Windows 2012)

Serveur de Destination

  1. Ecrasez le dossier WSUSContent (généré après l’installation de WSUS 4.0) par celui copié auparavant depuis le serveur source.
  2. Installez SQL Server Management Studio Express 2012 SP1
  3. Si WSUS utilise la base de données interne à Windows, lancez SQL Management Studio et connectez-vous à l’instance suivante :

\\.\pipe\Microsoft##WID\tsql\query

      4. Supprimer la base de données SUSDB (installée par défaut avec WSUS) en utilisant la requête SQL suivante depuis               SQL Server Management Studio :

          USE master

          GO

          ALTER DATABASE SUSDB SET SINGLE_USER WITH ROLLBACK IMMEDIATE

          GO   

          DROP DATABASE SUSDB

          GO

          5. Ensuite, récupérer la base de données sauvegardée (fichier .bak) et placez-le sur C:\ (chemin final :             C:\SUSDB.bak). et lancez la requête SQL suivante depuis SQL Server Management Studio :

          RESTORE DATABASE [SUSDB] FROM DISK = N’C:\SUSDB.bak’ WITH FILE = 1, MOVE N’SUSDB’ TO                             N’c:\Windows\WID\Data\susdb.mdf’, MOVE N’SUSDB_log’ TO N’c:\Windows\WID\Data\SUSDB_log.ldf’,             NOUNLOAD, STATS = 10

6. Lancez l’invite de commande (cmd.exe) en tant l’Administrateur et saisissez les commandes suivantes :

            => cd %ProgramFiles%\Update Services\Tools

            => wsusutil PostInstall

              7. Changer l’identité du serveur en utilisant le script PowerShell ci-dessous, mais d’abord, lancez PowerShell ISE,                       cliquez sur Nouveau et coller le contenu de ce script :

                  $updateServer = get-wsusserver

                  $config = $updateServer.GetConfiguration()

                  $config.ServerId = [System.Guid]::NewGuid()

                  $config.Save()

8. Lancez l’invite de commande (cmd.exe) en tant l’Administrateur et saisissez les commandes suivantes :

                 => cd %ProgramFiles%\Update Services\Tools

                 => wsusutil PostInstall 

              9. Lancez la console WSUS et vérifiez que les données sont migrées correctement, notamment :

                 => Les mises à jour et leurs statuts

                 => Les groupes et sous-groupes d’ordinateurs

                 => Règles d’approbation

                      …

Vos commentaires sont les bienvenus :).

++

Publicités
commentaires
  1. chrys dit :

    salut,
    tout d abord merci pour ma doc, qui m a aidé pour le déploiement post installation sur le serveur.
    Par contre, quand j essaye de mettre en relation une station cliente (w7 64 bits) avec ce serveur.
    Et la , misere de misere, cela ne fonctionne pas.
    J ai l erreur 802 44019.
    Malgré mes recherches je ne trouve pas trop de documentation la dessus.
    POurtant j ai bien connecte le serveur dans le poste client.
    Par contre ce que je n arrive pas a comprendre, c est les ports a mettre.
    Car je me demande si le serveur IIS sur le serveur WSus est bien en fonction.
    Est ce comme cela que la liaison est fait entre le client et le Wsus ?

    Merci d avance de ton retour.

  2. Dan Puigserver dit :

    Bonjour Hicham et merci pour ce cours magistral !
    Que pourriez vous me recommander rapidement pour résoudre rapidement mon probleme ?
    Voila je dispose d’un serveur équipé de Windows Server 2012 Standard avec 2 VM
    La partition systeme créé par le Technicien est de 40Go !!!
    il ne reste environ que 3Go de libre !
    Que pourriez vous me suggérer ?
    Merci de votre aide
    Dan Puigserver

    • Hicham KADIRI dit :

      Bonjour Dan, pourriez-vous télécharget, installer et lancer l’outil WinDirStat et me dire ce qui prend de l’espace ? en même temps 40 Go c’est un peu juste pour une partition système WS2012. Vous pouvez créer et attacher un nouveau vDisk (VHDx ou VMDK) à votre VM WS2012, utiliser un outil tel que Partition magique ou autre pour ajouter de l’espace disque du deuxième vDisque au premier de 40Go.

      • Dan Puigserver dit :

        Merci Hicham
        Je vais regarder et vous tenir au courant !

  3. César dit :

    Moi, j’utilise encore WSUS 3.0 SP2 en ce moment et j’ai réussi à le manipuler grâce à des vidéos sur http://www.alphorm.com/tutoriel/formation-en-ligne-wsus-3-0-sp2. Cependant, je trouve cette version 4.0 très intéressant.

  4. chryst dit :

    par contre qq chose que je ne comprends pas c est que quand je deploie des serveurs vers le wsus , (que je fais pointer leurs upgrades vers mon wsus) le premier que je mets je le vois, et ensuite quand j en ajoute un autre, le premier disparait de la liste. Je précise que les serveurs ne sont pas tous sur le meme vlan, mais le firewall permet de passer de l un a l autre pour ces machines .
    Auriez vous une idée.?

    • Hicham KADIRI dit :

      Bonjour Chryst, normalement, si vos clients WSUS sont bien configurés, toutes les machines qui détectent votre WSUS apparaissent dans le groupe d’ordinateurs par défaut. Vous pouvez également configurer le ciblage des Machines /Groupes d’ordi WSUS pour les organiser correctement. Le fait qu’une machine disparaisse peut simplement signifier que votre client ne détecte plus /n’arrive plus à contacter un WSUS Server sur le réseau.

      • chryst dit :

        Bonjour, j ai réinstallé un serveur WSUS 4 sur une nouvelle machine virtuelle.
        Apres je lance sur les machines WSUSClientManager.exe pour faire la connexion entre la machine et le wsus.
        Mais cela ne fonctionne pas sur toutes les machines.
        J ai aussi installé par GPO mais sans succès.
        Je précise que les machines ne sont pas forcément sur le même vlan, mais que j ai crée des règles dans le firewall pour que la communication existe entre toutes les machines et le WSUS et réciproquemment.
        Le souci par exemple, c est que la machine depuis laquelle j écris ce message se met à jour mais n apparait pas dans la console de gestion des machines sur le WSUS.
        Sur cette machine, j arrive sans souci à accéder au serveur WSUS.

        Auriez vous une idée ?

  5. Tib's dit :

    Merci beaucoup pour cette doc complète.

  6. wanted dit :

    Bonjour Hicham,
    Je suis sous 2012 R2,J’aimerai mettre en place un replica ou un deconnecté, cependant il n’existe pas de source de WSUS 4.0 téléchargeable. Quel est la solution dans ce as ?
    Merci de ton retour.

    • Hicham KADIRI dit :

      un WSUS Replica doit pouvoir contacter le serveur UpStream, les flux entre les deux doivent être ouverts. Maintenant pour le mode « Déconnecté », les sources (binaires et metadata WSUS) doivent être récupérées manuellement et importées sur le serveur Déconnecté : vous devez utiliser un support amovible pour envoyer les sources entre un site central contenant votre serveur UpStream et le site « Enfant » contenant le serveur « Déconnecté ».

      • Wanted dit :

        Hicham,
        Je pense m’être mal exprimé, j’ai suivi votre formation sur Alphorm wsus 3.0.
        Effectivement le réplication doit pouvoir contacter le upstream cependant le replica que je vais mettre en place ne sera pas exposé sur internet. Ma question était la suivante.
        Comment installer wsus 4.0 sur un serveur non connecté à internet sachant que les sources wsus 4.0 ne sont telechargeable indépendamment ?
        Merci de votre retour

  7. Sphene dit :

    Merci beaucoup pour le tutoriel, cela m’a été très utile et tout fonctionne.

    • Hicham KADIRI dit :

      Merci à toi sphene pour le comment. a bientôt

      • Sphene dit :

        Petite question de passage, je voudrais mettre en place un GPO limitant la partie download des ordinateurs qui passe par le wsus, surtout pour les ordinateurs Windows 10 et 8.1, existe t-il une solution efficace ?

      • Hicham KADIRI dit :

        tout dépend de la manière dont vous gérer vos clients WSUS (vos PCs sous WS8.1 et 10). Si vous utilisez une GPO qui permet de configurer les paramètres windows Update, il suffit de sortir vos ordinateurs WS8.1 et WS10 du scope de cette ordinateur pour mettre en place cette restriction /limitation. mais je ne vois pas l’intérêt de limiter le download d’update sur des PCs spécifique. tout ordinateur connecté à un réseau Corportate d’une entreprise, doit être patché régulièrement.

      • Sphene dit :

        Je me suis peut-être mal exprimé, mais dans mon cas, certains sites distants comportent des liens WAN très faible, même en passant par une GPO « Delivery Optimisation » il m’est impossible de limiter celle-ci j’ai l’impression. Je voudrais donc limiter pour que l’utilisateur travaille sans ralentissement tout en ayant son poste à jour.

      • Hicham KADIRI dit :

        Hello Sphene, donc ce cas, il faut simplement déployer des WSUS Server (Downstream >> serveur WSUS Replica) sur chaque site, pour éviter toute saturation de bande de passante et optimiser l’utilisation de la liason WAN. généralement dans une architecture multi site, il faut déployer un WSUS en central (WSUS Maitre : Upstream) et serveur WSUS Replica (Downstream) sur chaque site distant. les Updates seront récupérés une fois par le serveur WSUS downstream et dispatcher en local. cela évite de download les updates X fois sur les machines des sites distants.

      • Sphene dit :

        Dans mon cas, j’ai un serveur replica sur un site plutôt gros, mais pour les autres sites ayant 4-5 ordinateurs par exemple, mettre en place autant de serveurs seraient trop de dépenses pour rien et des complications je pense … je vais donc continuer mes recherches sur la partie GPO peut-être que la GPO « transfert BITS » fonctionnera.

      • Hicham KADIRI dit :

        Tt à fait d’accord avec toi. pour moins de 10 machines sur un remote site, cela vaudrait pas le coup de déployer un WSUS Replica déidé. perso, je conseille et j’implémente toujours l’option de limitation de bande de passante via la configuration du paramètre > Computer config > Admin template > Network > Backgroup intelligent …. (BITS) > Limit the maximum network
        bandwidth for BITS background transfers. Maintenant, tout dépend de la quantité de métadonnées transitant entre Central site & Remote site mais en configurant ce paramètre, tu peux limiter /contrôle ta bande passante et optimiser le traffic réseau.

      • Sphene dit :

        Je me permets de revenir vers vous, j’ai pu implémenter une GPO « Delivery Optimization » qui fonctionne très bien avec les Windows 10 à partir de la version 1607 mais je n’arrive pas à implémenter BITS sur du Windows 7 – Windows 8.1, comment l’implémenter ? Faut-il l’implémenter sur la partie serveur ou client ? Faut-il installer des services supplémentaires ?
        Cordialement.

      • Hicham KADIRI dit :

        Normalement pas de service supplémentaire. la vous pouvez implémenter la partie BITS sur Windows 7 > Windows 10. configuration doit être faite côté client.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s