———————————————————————————————————————————————————————————-
WSUS 4.0 – Présentation
WSUS 4.0 est introduit avec Windows 2012 Server, cet outil est intégré au système d’exploitation en tant que rôle de serveur à ajouter depuis le Gestionnaire de Serveur.
WSUS (Windows Server Update Services) 4.0 permet aux techniciens /administrateurs /ingénieurs informatiques de déployer les dernières mises à jour des produits Microsoft. Avec WSUS, les informaticiens peuvent gérer et administrer entièrement la planification, téléchargement, approbation, ciblage et distribution des mises à jour, publiées par le biais de Microsoft Update, sur les ordinateurs de leur réseau.
Un serveur WSUS peut également être la source des mises à jour pour les autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est appelé serveur en amont. Dans une implémentation WSUS, au moins un serveur WSUS du réseau doit se connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles. L’administrateur peut déterminer, en fonction de la configuration et de la sécurité du réseau, le nombre d’autres serveurs se connectant directement à Microsoft Update.
WSUS 4.0 est géré et administré d’une façon centralisée par le biais d’une seule et unique console d’administration WSUS. Il peut être géré aussi à l’aide d’un outil en ligne de commande appelé WSUSUTIL.EXE.
Un serveur WSUS peut également être la source des mises à jour pour les autres serveurs WSUS de l’organisation. Le serveur WSUS qui agit en tant que source des mises à jour est appelé serveur en amont (ou UpStream). Dans une infrastructure WSUS, au moins un serveur WSUS du réseau doit se connecter à Microsoft Update pour obtenir les informations sur les mises à jour disponibles, il peut faire office de source de mises à jour pour d’autres serveurs WSUS appelés serveurs en aval (ou DownStream).
Une fois déployé en entreprise, WSUS 4.0 créé de la valeur ajoutée en offrant 2 choses :
WSUS 4.0 – Nouveautés
La version de WSUS intégrée à Windows Server 2012 intègre les améliorations suivantes :
- Commandlets PowerShell disponibles pour gérer les dix tâches administratives les plus importantes de WSUS.
- Hachage SHA256 possible afin d’améliorer la sécurité
- Séparation du client et du serveur : des versions de l’Agent de mise à jour automatique Windows Update (WUA) peuvent être livrées indépendamment de WSUS
WSUS 4.0 – Planification
Prérequis matériels
Minimum |
Recommandé |
|
Processeur |
1,4 GHz (x64) |
3 GHz biprocesseur |
Mémoire |
2 GB |
4 GB |
Espace disque |
20 GB |
40 GB |
Base de données |
Base de données Interne |
SQL Server 2008 R2 SP1 /2012 |
L’espace disque requis dépend de la taille des mises à jour à installer:
- Nombre produits
- Nombre de langues des mises à jour
- Classifications
Prérequis logiciels
- Microsoft Framework .NET 4.5
- Microsoft Report Viewer Redistributable 2008
- le Framework .NET 4.5 (installé automatiquement avec l’ajout du rôle WSUS 4.0 via le Gestionnaire de Serveur)
Autres Prérequis
- 2 Go d’espace libre sur la partition système (recommandé)
- 4 Go d’espace libre sur le volume /partition où les fichiers de base de données seront stockés (recommandé)
- Le disque /partition système ne doit pas être compressée
WSUS 4.0 – Préparation et Déploiement
Préparation
Microsoft n’a pas introduit de nouveaux scénarios de déploiement avec WSUS 4.0. Ces derniers restent les mêmes que ceux proposés avec la version 3.0, à savoir :
- WSUS Mode « Simple »
- WSUS Mode « Autonome »
- WSUS Mode « Replica »
- WSUS Mode « Déconnecté »
Installation
WSUS 4.0 peut être installé en utilisant
- Le Gestionnaire du Serveur (Outil graphique)
- Windows PowerShell (Interpréteur de commande)
1. Installation WSUS 4.0 via le Gestionnaire de Serveur
Avant toute chose, ouvrez le Gestionnaire du Serveur en cliquant sur l’icône présente dans la barre des tâches ou en utilisant le menu Exécuter (combinaison DRAPEAU Windows+R), saisissez ensuite servermanager
Suivez les instructions ci-dessous pour installer correctement WSUS 4.0 via le Gestionnaire de Serveur
2. Installation de WSUS 4.0 via Windows PowerShell
Pour installer WSUS via PowerShell, faites un clic-droit sur l’icône PowerShell sur la barre des tâches et sélectionnez « Exécuter en tant qu’Administrateur »
L’interpréteur de commande PowerShell est lancé, saisissez la commande suivante
pour installer WSUS :
Add-WindowsFeature –name UpdateServices -InclureManagementTools
Comme montré sur l’image ci-contre
L’installation de WSUS démarre …
Tous les composants nécessaires pour le bon fonctionnement du WSUS seront automatiquement ajoutés et installés.
Dès que l’installation est terminée, le résultat suivant apparaît. Notez que des tâches post-installation sont à lancer via le Gestionnaire de Serveur
Pour finaliser l’installation, lancez cmd.exe en tant qu’administrateur et saisissez ces deux commandes :
=> cd %ProgramFiles%\Update Services\Tools :
=> wsusutil PostInstall CONTENT_DIR=C:\WSUS
Important : C:\WSUS représente l’emplacement local de stockage des mises à jour qui vont être téléchargées, si vous êtes dans un environnement de production, je vous recommande de spécifier un chemin autre que C : et donc changer la lettre C : par D : ou E : …
WSUS 4.0 – Configuration
L’assistant de Configuration WSUS apparaît automatiquement après la finalisation de l’installation du WSUS ET/OU premier lancement de la console d’Administration WSUS, suivez les instructions ci-après pour configurer correctement votre serveur WSUS
WSUS 4.0 – Administration
Désormais, l’administration de WSUS 4.0 peut s’effectuer de plusieurs manières :
- Console d’Administration WSUS
- Commandlets PowerShell
- WSUSUTIL.exe
1. Administration de WSUS à l’aide de la console WSUS
L’administration de WSUS via la console d’administration WSUS est la même que sous WSUS 3.0
Referez-vous au « Chapitre 8 : Administration de Windows Server Update Services 3.0 SP2 » de la formation WSUS 3.0 SP2 pour en savoir plus (voir : http://www.alphorm.com/formation/wsus-windows-server-update-services-30-sp2)
2. Administration de WSUS à l’aide de WSUSUTIL.EXE
L’outil en ligne de commande WSUSUTIL.EXE vous permet de gérer et d’administrer votre serveur WSUS 3.0 SP2. Il permet également d’automatiser la plus part des tâches « répétitives » de configuration et de gestion : création de scripts Batch. WSUSUTIL.exe inclut des commandes vous permettant de migrer votre infrastructure WSUS vers WSUS 3.0 SP2 (e.i : WSUS 2.0 vers WSUS 3.0 S2).
Comment puis-je lancer l’outil en ligne de commande WSUSUTIL.EXE ?
L’outil WSUSUTIL.EXE est présent dans n’importe quel serveur WSUS (quel que soit le mode : Maître – Replica – Déconnecté – Autonome)
Si vous avez installé la version x64 de WSUS 3.0 SP2 dans la partition C:\, l’outil WSUSUTIL.EXE est situé dans : C:\Program Files\Update Services\Tools (voir la figure ci-dessus) :
Note :
Si vous êtes sous Windows 2008 /2008 R2, le chemin est plutôt => C:\Programmes\Update Services\Tools
Si vous avez installé la version x32, le chemin d’accès à l’outil WSUSUTIL.EXE est => C:\Program Files (x86)\Update Services\Tools
Liste des commandes que vous devez connaître
Déplacement des données du serveur WSUS
=> Déplacez la base de données WSUS vers un autre emplacement (e.i : vers la partition F:)
WSUSUTIL.EXE movecontent F:\WSUS\WSUSContent E:\Log2Déplacement.log –skipcopy
=> Déplacez l’ensemble des mises à jour vers un autre emplacement (e.i vers la partition F:)
WSUSUTIL.EXE movecontent F:\WSUS F:\Log2Déplacement.log
Note : Si la base de données WSUS est une base de données SQL, utilisez juste la deuxième commande (sans le paramètre –skipcopy pour déplacer les fichiers de mises à jour.
Important : les droits suivants doivent être spécifiés sur le dossier WSUSContent source et destination pour pouvoir déplacer avec succès les fichiers de mises à jour de l’ancien emplacement vers le nouveau.
=> Connaître la liste complète des mises à jour inactives, pour les supprimer et libérer de l’espace disque
WSUSUTIL.EXE listinactiveapprovals
=> Vérification de l’état de santé du serveur WSUS
WSUSUTIL.EXE checkhealth
->Vérifiez le résultat dans l’Observateur des événements => Journaux Windows => le journal « Application »
=> Réparation de la base de données WSUS (si le contenu des métadonnées est absent ou endommagé)
WSUSUTIL.EXE reset
->Cette commande est à exécuter après la restauration de la base de données WSUS suite à un crash du serveur WSUS. Elle vous permettra de réparer l’ensemble des données endommagées.
=> Connaître la liste complète des serveurs WSUS frontaux
WSUSUTIL.EXE listfrontendservers
=> Exporter les données WSUS (métadonnées) : vers une partition F : dans un dossier Export
WSUSUTIL.EXE export F:\Export\Export.cab F:\Export\Export.log
=> Importer les données WSUS (métadonnées) : vers une partition F : dans un dossier Import
WSUSUTIL.EXE import F:\Import\Export.cab F:\Import\Import.log
=> Surveiller la taille du disque hébergeant les fichiers de mises à jour & spécification du niveau d’avertissement
WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes : affiche le niveau d’erreur et d’avertissement
WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes XX YY : spécifie le niveau d’erreur et d’avertissement
->Exemple : WSUSUTIL.EXE healthmonitoring DiskSpaceInMegaBytes 400 800 : permet d’afficher un message d’avertissement à 800 Mo et un message d’erreur à 400 Mo
WSUS 4.0 – Migration depuis WSUS 3.0 (SP2)
Les principales étapes de migration sont :
Serveur Source
\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query Si votre serveur WSUS utilise une base de données hébergée sur un serveur SQL Server, connectez-vous à l’instance hébergeant la base de données utilisée par WSUS et sauvegardez- la. 4. Sauvegarder la base de données « SUSDB » utilisée par le serveur WSUS via la console SQL Management Studio ou via le script SQL que vous pouvez télécharger depuis la rubrique Téléchargements de la page de formation WSUS 3.0 SP2 sur www.alphorm.com 5. Copier la base de données SUSDB sauvegardée (fichier .bak) et coller le sur un dossier partagé du réseau qui sera accessible depuis le serveur WSUS de destination OU le coller directement sur le serveur WSUS de destination (sous Windows 2012) |
Serveur de Destination
\\.\pipe\Microsoft##WID\tsql\query 4. Supprimer la base de données SUSDB (installée par défaut avec WSUS) en utilisant la requête SQL suivante depuis SQL Server Management Studio : USE master GO ALTER DATABASE SUSDB SET SINGLE_USER WITH ROLLBACK IMMEDIATE GO DROP DATABASE SUSDB GO 5. Ensuite, récupérer la base de données sauvegardée (fichier .bak) et placez-le sur C:\ (chemin final : C:\SUSDB.bak). et lancez la requête SQL suivante depuis SQL Server Management Studio : RESTORE DATABASE [SUSDB] FROM DISK = N’C:\SUSDB.bak’ WITH FILE = 1, MOVE N’SUSDB’ TO N’c:\Windows\WID\Data\susdb.mdf’, MOVE N’SUSDB_log’ TO N’c:\Windows\WID\Data\SUSDB_log.ldf’, NOUNLOAD, STATS = 10 6. Lancez l’invite de commande (cmd.exe) en tant l’Administrateur et saisissez les commandes suivantes : => cd %ProgramFiles%\Update Services\Tools => wsusutil PostInstall 7. Changer l’identité du serveur en utilisant le script PowerShell ci-dessous, mais d’abord, lancez PowerShell ISE, cliquez sur Nouveau et coller le contenu de ce script : $updateServer = get-wsusserver $config = $updateServer.GetConfiguration() $config.ServerId = [System.Guid]::NewGuid() $config.Save() 8. Lancez l’invite de commande (cmd.exe) en tant l’Administrateur et saisissez les commandes suivantes : => cd %ProgramFiles%\Update Services\Tools => wsusutil PostInstall 9. Lancez la console WSUS et vérifiez que les données sont migrées correctement, notamment : => Les mises à jour et leurs statuts => Les groupes et sous-groupes d’ordinateurs => Règles d’approbation … |
Vos commentaires sont les bienvenus :).
++
salut,
tout d abord merci pour ma doc, qui m a aidé pour le déploiement post installation sur le serveur.
Par contre, quand j essaye de mettre en relation une station cliente (w7 64 bits) avec ce serveur.
Et la , misere de misere, cela ne fonctionne pas.
J ai l erreur 802 44019.
Malgré mes recherches je ne trouve pas trop de documentation la dessus.
POurtant j ai bien connecte le serveur dans le poste client.
Par contre ce que je n arrive pas a comprendre, c est les ports a mettre.
Car je me demande si le serveur IIS sur le serveur WSus est bien en fonction.
Est ce comme cela que la liaison est fait entre le client et le Wsus ?
Merci d avance de ton retour.
Bonjour chrys,
ci-après une documentation technique assez complète sur la solution WSUS :
> http://fr.slideshare.net/alphorm/alphormcom-formation-wsus-windows-server-update-services-30-sp2-ss
J’ai également réalisé une vidéo formation ou tout est bien expliqué en vidéo, elle est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-wsus-3-0-sp2
Pour ton problème, il faut simplement configurer le serveur WSUS via GPO en spécifiant l’URL suivie de :numéro de port > e.i : http://monserveurWSUS:8530 ou si vous l’avez configuré en https > https://monserveurWSUS8531
Si vous êtes parti sur les ports par défaut, remplacer le :
> 8530 : 80
> 8531 : 443
A+
HK.
Bonjour, j ai ajouté le profil pour mon utilisateur test wsus, mais cela ne fonctionne toujours pas.
DE plus, quand je vais sur le poste client et que je tape directement http://monserveurwsus:8530 8531 80 ou 443 je n ai pas de réponse.
Quand je tape sans le port j ai une réponse avec image de windows.
Les logiciels de diag que j ai trouvé ne fonctionne pas sur mon client (w7 64 bits) ni sur le serveur (W server 2012) .
Que faire ?
Bonjour Hicham et merci pour ce cours magistral !
Que pourriez vous me recommander rapidement pour résoudre rapidement mon probleme ?
Voila je dispose d’un serveur équipé de Windows Server 2012 Standard avec 2 VM
La partition systeme créé par le Technicien est de 40Go !!!
il ne reste environ que 3Go de libre !
Que pourriez vous me suggérer ?
Merci de votre aide
Dan Puigserver
Bonjour Dan, pourriez-vous télécharget, installer et lancer l’outil WinDirStat et me dire ce qui prend de l’espace ? en même temps 40 Go c’est un peu juste pour une partition système WS2012. Vous pouvez créer et attacher un nouveau vDisk (VHDx ou VMDK) à votre VM WS2012, utiliser un outil tel que Partition magique ou autre pour ajouter de l’espace disque du deuxième vDisque au premier de 40Go.
Merci Hicham
Je vais regarder et vous tenir au courant !
Moi, j’utilise encore WSUS 3.0 SP2 en ce moment et j’ai réussi à le manipuler grâce à des vidéos sur http://www.alphorm.com/tutoriel/formation-en-ligne-wsus-3-0-sp2. Cependant, je trouve cette version 4.0 très intéressant.
Merci pour ce feedback César :).
par contre qq chose que je ne comprends pas c est que quand je deploie des serveurs vers le wsus , (que je fais pointer leurs upgrades vers mon wsus) le premier que je mets je le vois, et ensuite quand j en ajoute un autre, le premier disparait de la liste. Je précise que les serveurs ne sont pas tous sur le meme vlan, mais le firewall permet de passer de l un a l autre pour ces machines .
Auriez vous une idée.?
Bonjour Chryst, normalement, si vos clients WSUS sont bien configurés, toutes les machines qui détectent votre WSUS apparaissent dans le groupe d’ordinateurs par défaut. Vous pouvez également configurer le ciblage des Machines /Groupes d’ordi WSUS pour les organiser correctement. Le fait qu’une machine disparaisse peut simplement signifier que votre client ne détecte plus /n’arrive plus à contacter un WSUS Server sur le réseau.
Bonjour, j ai réinstallé un serveur WSUS 4 sur une nouvelle machine virtuelle.
Apres je lance sur les machines WSUSClientManager.exe pour faire la connexion entre la machine et le wsus.
Mais cela ne fonctionne pas sur toutes les machines.
J ai aussi installé par GPO mais sans succès.
Je précise que les machines ne sont pas forcément sur le même vlan, mais que j ai crée des règles dans le firewall pour que la communication existe entre toutes les machines et le WSUS et réciproquemment.
Le souci par exemple, c est que la machine depuis laquelle j écris ce message se met à jour mais n apparait pas dans la console de gestion des machines sur le WSUS.
Sur cette machine, j arrive sans souci à accéder au serveur WSUS.
Auriez vous une idée ?
Merci beaucoup pour cette doc complète.
Bonjour Hicham,
Je suis sous 2012 R2,J’aimerai mettre en place un replica ou un deconnecté, cependant il n’existe pas de source de WSUS 4.0 téléchargeable. Quel est la solution dans ce as ?
Merci de ton retour.
un WSUS Replica doit pouvoir contacter le serveur UpStream, les flux entre les deux doivent être ouverts. Maintenant pour le mode « Déconnecté », les sources (binaires et metadata WSUS) doivent être récupérées manuellement et importées sur le serveur Déconnecté : vous devez utiliser un support amovible pour envoyer les sources entre un site central contenant votre serveur UpStream et le site « Enfant » contenant le serveur « Déconnecté ».
Hicham,
Je pense m’être mal exprimé, j’ai suivi votre formation sur Alphorm wsus 3.0.
Effectivement le réplication doit pouvoir contacter le upstream cependant le replica que je vais mettre en place ne sera pas exposé sur internet. Ma question était la suivante.
Comment installer wsus 4.0 sur un serveur non connecté à internet sachant que les sources wsus 4.0 ne sont telechargeable indépendamment ?
Merci de votre retour
Merci beaucoup pour le tutoriel, cela m’a été très utile et tout fonctionne.
Merci à toi sphene pour le comment. a bientôt
Petite question de passage, je voudrais mettre en place un GPO limitant la partie download des ordinateurs qui passe par le wsus, surtout pour les ordinateurs Windows 10 et 8.1, existe t-il une solution efficace ?
tout dépend de la manière dont vous gérer vos clients WSUS (vos PCs sous WS8.1 et 10). Si vous utilisez une GPO qui permet de configurer les paramètres windows Update, il suffit de sortir vos ordinateurs WS8.1 et WS10 du scope de cette ordinateur pour mettre en place cette restriction /limitation. mais je ne vois pas l’intérêt de limiter le download d’update sur des PCs spécifique. tout ordinateur connecté à un réseau Corportate d’une entreprise, doit être patché régulièrement.
Je me suis peut-être mal exprimé, mais dans mon cas, certains sites distants comportent des liens WAN très faible, même en passant par une GPO « Delivery Optimisation » il m’est impossible de limiter celle-ci j’ai l’impression. Je voudrais donc limiter pour que l’utilisateur travaille sans ralentissement tout en ayant son poste à jour.
Hello Sphene, donc ce cas, il faut simplement déployer des WSUS Server (Downstream >> serveur WSUS Replica) sur chaque site, pour éviter toute saturation de bande de passante et optimiser l’utilisation de la liason WAN. généralement dans une architecture multi site, il faut déployer un WSUS en central (WSUS Maitre : Upstream) et serveur WSUS Replica (Downstream) sur chaque site distant. les Updates seront récupérés une fois par le serveur WSUS downstream et dispatcher en local. cela évite de download les updates X fois sur les machines des sites distants.
Dans mon cas, j’ai un serveur replica sur un site plutôt gros, mais pour les autres sites ayant 4-5 ordinateurs par exemple, mettre en place autant de serveurs seraient trop de dépenses pour rien et des complications je pense … je vais donc continuer mes recherches sur la partie GPO peut-être que la GPO « transfert BITS » fonctionnera.
Tt à fait d’accord avec toi. pour moins de 10 machines sur un remote site, cela vaudrait pas le coup de déployer un WSUS Replica déidé. perso, je conseille et j’implémente toujours l’option de limitation de bande de passante via la configuration du paramètre > Computer config > Admin template > Network > Backgroup intelligent …. (BITS) > Limit the maximum network
bandwidth for BITS background transfers. Maintenant, tout dépend de la quantité de métadonnées transitant entre Central site & Remote site mais en configurant ce paramètre, tu peux limiter /contrôle ta bande passante et optimiser le traffic réseau.
Je me permets de revenir vers vous, j’ai pu implémenter une GPO « Delivery Optimization » qui fonctionne très bien avec les Windows 10 à partir de la version 1607 mais je n’arrive pas à implémenter BITS sur du Windows 7 – Windows 8.1, comment l’implémenter ? Faut-il l’implémenter sur la partie serveur ou client ? Faut-il installer des services supplémentaires ?
Cordialement.
Normalement pas de service supplémentaire. la vous pouvez implémenter la partie BITS sur Windows 7 > Windows 10. configuration doit être faite côté client.
SALUT HTB « Hicham The Best » tu aurai pu au moin numeroter les capture d’ecran