WSUS 4.0 | Déploiement & Migration

———————————————————————————————————————————————————————————-

WSUS 4.0 – Présentation

WSUS 4.0 est introduit avec Windows 2012 Server, cet outil est intégré au système d’exploitation en tant que rôle de serveur à ajouter depuis le Gestionnaire de Serveur.

WSUS (Windows Server Update Services) 4.0 permet aux techniciens /administrateurs /ingénieurs informatiques de déployer les dernières mises à jour des produits Microsoft. Avec WSUS, les informaticiens peuvent gérer et administrer entièrement la planification, téléchargement, approbation, ciblage et distribution des mises à jour, publiées par le biais de Microsoft Update, sur les ordinateurs de leur réseau.

Un serveur WSUS peut également être la source des mises à jour pour les autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est appelé serveur en amont. Dans une implémentation WSUS, au moins un serveur WSUS du réseau doit se connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles. L’administrateur peut déterminer, en fonction de la configuration et de la sécurité du réseau, le nombre d’autres serveurs se connectant directement à Microsoft Update.

WSUS 4.0 est géré et administré d’une façon centralisée par le biais d’une seule et unique console d’administration WSUS. Il peut être géré aussi à l’aide d’un outil en ligne de commande appelé WSUSUTIL.EXE.

Un serveur WSUS peut également être la source des mises à jour pour les autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est appelé serveur en amont (ou UpStream). Dans une infrastructure WSUS, au moins un serveur WSUS du réseau doit se connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles, il peut faire office de source de mises à jour pour d’autres serveurs WSUS appelés serveurs en aval (ou DownStream).

Une fois déployé en entreprise, WSUS 4.0 créé de la valeur ajoutée en offrant 2 choses :

WSUS 4.0 – Nouveautés 

La version de WSUS intégrée à Windows Server 2012 intègre les améliorations suivantes :

• Commandlets PowerShell disponibles pour gérer les dix tâches administratives les plus importantes de WSUS.
• Hachage SHA256  possible afin d’améliorer la sécurité
• Séparation du client et du serveur : des versions de l’Agent de mise à jour automatique Windows Update (WUA) peuvent être livrées indépendamment de WSUS

WSUS 4.0 – Planification

Prérequis matériels

	Minimum	Recommandé
Processeur	1,4 GHz (x64)	3 GHz biprocesseur
Mémoire	2 GB	4 GB
Espace disque	20 GB	40 GB
Base de données	Base de données Interne	SQL Server 2008 R2 SP1 /2012

L’espace disque requis dépend de la taille des mises à jour à installer:                                               

• Nombre produits
• Nombre de langues des mises à jour
• Classifications

Prérequis logiciels

• Microsoft Framework .NET 4.5
• Microsoft Report Viewer Redistributable 2008
• le Framework .NET 4.5 (installé automatiquement avec l’ajout du rôle WSUS 4.0 via le Gestionnaire de Serveur)

Autres Prérequis

• 2 Go d’espace libre sur la partition système (recommandé)
• 4 Go d’espace libre sur le volume /partition où les fichiers de base de données seront stockés (recommandé)
• Le disque /partition système ne doit pas être compressée

WSUS 4.0 – Préparation et Déploiement

Préparation

Microsoft n’a pas introduit de nouveaux scénarios de déploiement avec WSUS 4.0. Ces derniers restent les mêmes que ceux proposés avec la version 3.0, à savoir :

• WSUS Mode « Simple »
• WSUS Mode « Autonome »
• WSUS Mode « Replica »
• WSUS Mode « Déconnecté »

Installation

WSUS 4.0 peut être installé en utilisant

• Le Gestionnaire du Serveur (Outil graphique)
• Windows PowerShell (Interpréteur de commande)

       1.   Installation WSUS 4.0 via le Gestionnaire  de Serveur

Avant toute chose, ouvrez le Gestionnaire du Serveur en cliquant sur l’icône présente dans la barre des tâches ou en utilisant le menu Exécuter (combinaison DRAPEAU Windows+R), saisissez ensuite servermanager

Suivez les instructions ci-dessous pour installer correctement WSUS 4.0 via le Gestionnaire de Serveur

       2.   Installation de WSUS 4.0 via Windows PowerShell

Pour installer WSUS via PowerShell, faites un clic-droit sur l’icône PowerShell sur la barre des tâches et sélectionnez « Exécuter en tant qu’Administrateur »

L’interpréteur de commande PowerShell est lancé, saisissez la commande suivante

pour installer WSUS :

Add-WindowsFeature –name UpdateServices -InclureManagementTools

Comme montré sur l’image ci-contre

L’installation de WSUS démarre …

Tous les composants nécessaires pour le bon fonctionnement du WSUS seront automatiquement ajoutés et installés.

Dès que l’installation est terminée, le résultat suivant apparaît. Notez que des tâches post-installation sont à lancer via le Gestionnaire de Serveur

Pour finaliser l’installation, lancez cmd.exe en tant qu’administrateur et saisissez ces deux commandes :

=> cd %ProgramFiles%\Update Services\Tools : 

=> wsusutil PostInstall CONTENT_DIR=C:\WSUS           

Important : C:\WSUS représente l’emplacement local de stockage des mises à jour qui vont être téléchargées, si vous êtes dans un environnement de production, je vous recommande de spécifier un chemin autre que C : et donc changer la lettre C : par D : ou E : …

WSUS 4.0 – Configuration

L’assistant de Configuration WSUS apparaît automatiquement après la finalisation de l’installation du WSUS ET/OU premier lancement de la console d’Administration WSUS, suivez les instructions ci-après pour configurer correctement votre serveur WSUS

WSUS 4.0 – Administration

Désormais, l’administration de WSUS 4.0 peut s’effectuer de plusieurs manières :

• Console d’Administration WSUS
• Commandlets PowerShell
• WSUSUTIL.exe

1.   Administration de WSUS à l’aide de la console WSUS

L’administration de WSUS via la console d’administration WSUS est la même que sous WSUS 3.0

Referez-vous au « Chapitre 8 : Administration de Windows Server Update Services 3.0 SP2 » de la formation WSUS 3.0 SP2 pour en savoir plus (voir : http://www.alphorm.com/formation/wsus-windows-server-update-services-30-sp2)

2.   Administration de WSUS à l’aide de WSUSUTIL.EXE

L’outil en ligne de commande WSUSUTIL.EXE vous permet de gérer et d’administrer votre serveur WSUS 3.0 SP2. Il permet également d’automatiser la plus part des tâches « répétitives » de configuration et de gestion : création de scripts Batch. WSUSUTIL.exe inclut des commandes vous permettant de migrer votre infrastructure WSUS vers WSUS 3.0 SP2 (e.i : WSUS 2.0 vers WSUS 3.0 S2).

Comment puis-je lancer l’outil en ligne de commande WSUSUTIL.EXE ?

L’outil WSUSUTIL.EXE est présent dans n’importe quel serveur WSUS (quel que soit le mode : Maître – Replica – Déconnecté – Autonome)

Si vous avez installé la version x64 de WSUS 3.0 SP2 dans la partition C:\, l’outil WSUSUTIL.EXE est situé dans : C:\Program Files\Update Services\Tools (voir la figure ci-dessus) :

Note :

Si vous êtes sous Windows 2008 /2008 R2, le chemin est plutôt => C:\Programmes\Update Services\Tools

Si vous avez installé la version x32, le chemin d’accès à l’outil WSUSUTIL.EXE est => C:\Program Files (x86)\Update Services\Tools

Liste des commandes que vous devez connaître

Déplacement des données du serveur WSUS

=> Déplacez la base de données WSUS vers un autre emplacement (e.i : vers la partition F:)

                          WSUSUTIL.EXE movecontent F:\WSUS\WSUSContent  E:\Log2Déplacement.log –skipcopy

=> Déplacez l’ensemble des mises à jour vers un autre emplacement (e.i vers la partition F:)

WSUSUTIL.EXE movecontent F:\WSUS  F:\Log2Déplacement.log

Note : Si la base de données WSUS est une base de données SQL, utilisez juste la deuxième commande (sans le paramètre –skipcopy pour déplacer les fichiers de mises à jour.

Important : les droits suivants doivent être spécifiés sur le dossier WSUSContent source et destination pour pouvoir déplacer avec succès les fichiers de mises à jour de l’ancien emplacement vers le nouveau.

=> Connaître la liste complète des mises à jour inactives, pour les supprimer et libérer de l’espace disque

WSUSUTIL.EXE listinactiveapprovals

=> Vérification de l’état de santé du serveur WSUS

WSUSUTIL.EXE checkhealth

->Vérifiez le résultat dans l’Observateur des événements => Journaux Windows => le journal « Application »

=> Réparation de la base de données WSUS (si le contenu des métadonnées est absent ou endommagé)

WSUSUTIL.EXE reset

->Cette commande est à exécuter après la restauration de la base de données WSUS suite à un crash du serveur WSUS. Elle vous permettra de réparer l’ensemble des données endommagées.

=> Connaître la liste complète des serveurs WSUS frontaux

WSUSUTIL.EXE listfrontendservers

=> Exporter les données WSUS (métadonnées) : vers une partition F : dans un dossier Export

WSUSUTIL.EXE export F:\Export\Export.cab F:\Export\Export.log

=> Importer les données WSUS (métadonnées) : vers une partition F : dans un dossier Import

WSUSUTIL.EXE import F:\Import\Export.cab F:\Import\Import.log

=> Surveiller la taille du disque hébergeant les fichiers de mises à jour & spécification du niveau d’avertissement

WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes : affiche le niveau d’erreur et d’avertissement

WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes XX YY : spécifie le niveau d’erreur et d’avertissement

->Exemple : WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes 400 800 : permet d’afficher un message d’avertissement à 800 Mo et un message d’erreur à 400 Mo

WSUS 4.0 – Migration depuis WSUS 3.0 (SP2)

Les principales étapes de migration sont :

Serveur Source tout d’abord, il faut copier le dossier WSUSContent et le coller sur un dossier partagé du réseau qui sera accessible depuis le serveur WSUS de destination OU le coller directement sur le serveur WSUS de destination (sous Windows 2012) Installez SQL Server Management Studio Express (version minimale : 2005 SP3 /Recommandée 2008 /2008 R2) Si votre serveur WSUS utilise la base de données interne, lancez SQL Management Studio et connectez-vous à l’instance suivante :           \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query Si votre serveur WSUS utilise une base de données hébergée sur un serveur SQL Server, connectez-vous à l’instance hébergeant la base de données utilisée par WSUS et sauvegardez- la.       4.  Sauvegarder la base de données « SUSDB » utilisée par le serveur WSUS via la console SQL Management Studio ou              via le script SQL que vous pouvez télécharger depuis la rubrique Téléchargements de la page de formation WSUS 3.0            SP2 sur www.alphorm.com       5.  Copier la base de données SUSDB sauvegardée (fichier .bak) et coller le sur un dossier partagé du réseau qui sera                accessible depuis le serveur WSUS de destination OU le coller directement sur le serveur WSUS de destination (sous              Windows 2012)

Serveur de Destination Ecrasez le dossier WSUSContent (généré après l’installation de WSUS 4.0) par celui copié auparavant depuis le serveur source. Installez SQL Server Management Studio Express 2012 SP1 Si WSUS utilise la base de données interne à Windows, lancez SQL Management Studio et connectez-vous à l’instance suivante : \\.\pipe\Microsoft##WID\tsql\query       4. Supprimer la base de données SUSDB (installée par défaut avec WSUS) en utilisant la requête SQL suivante depuis               SQL Server Management Studio :           USE master           GO           ALTER DATABASE SUSDB SET SINGLE_USER WITH ROLLBACK IMMEDIATE           GO              DROP DATABASE SUSDB           GO           5. Ensuite, récupérer la base de données sauvegardée (fichier .bak) et placez-le sur C:\ (chemin final :             C:\SUSDB.bak). et lancez la requête SQL suivante depuis SQL Server Management Studio :           RESTORE DATABASE [SUSDB] FROM DISK = N’C:\SUSDB.bak’ WITH FILE = 1, MOVE N’SUSDB’ TO                             N’c:\Windows\WID\Data\susdb.mdf’, MOVE N’SUSDB_log’ TO N’c:\Windows\WID\Data\SUSDB_log.ldf’,             NOUNLOAD, STATS = 10 6. Lancez l’invite de commande (cmd.exe) en tant l’Administrateur et saisissez les commandes suivantes :             => cd %ProgramFiles%\Update Services\Tools             => wsusutil PostInstall               7. Changer l’identité du serveur en utilisant le script PowerShell ci-dessous, mais d’abord, lancez PowerShell ISE,                       cliquez sur Nouveau et coller le contenu de ce script :                   $updateServer = get-wsusserver                   $config = $updateServer.GetConfiguration()                   $config.ServerId = [System.Guid]::NewGuid()                   $config.Save() 8. Lancez l’invite de commande (cmd.exe) en tant l’Administrateur et saisissez les commandes suivantes :                  => cd %ProgramFiles%\Update Services\Tools                  => wsusutil PostInstall                9. Lancez la console WSUS et vérifiez que les données sont migrées correctement, notamment :                  => Les mises à jour et leurs statuts                  => Les groupes et sous-groupes d’ordinateurs                  => Règles d’approbation                       …

Vos commentaires sont les bienvenus :).

++