Le déploiement de Windows Update
Windows2000 possède un logiciel de mise à jour. Afin de résoudre les problèmes d’intégrité, de vulnérabilité et d’instabilité du système, il est nécessaire d’effectuer des mises à jour quotidiennes. Afin de limiter les goulots d’étranglement sur le réseau, on peut mettre en œuvre un service base sur de l’intranet client-serveur. Le serveur télécharge les mises à jour directement sur le site de Microsoft et le client récupère les mises à jour sur le serveur par le protocole http.
a)
le serveur
Le service update de Windows (software update services : S.U.S) est basé sur la technologie des mises à jour de Microsoft Windows update. Les administrateurs systèmes sont obligés de vérifier les récents pacthes de Windows et de les télécharger manuellement. Ils testent les pacthes dans leur environnement et distribuent manuellement sur chaque poste client avec le logiciel classique intégré dans windows. Le SUS fournit une solution simple et automatique de distribuer les updates par le serveur.
Le SUS est construit autour de deux composantes :
1) Un processus de mises à jour qui tourne sous Windows 2000 server. Le logiciel tourne sans arrêt et communique avec le site de microsoft.
2) Le logiciel de mise à jour sous Windows 2000.
Le logiciel de mise a jour est à installer sur Windows 2000
server par le fichier SUSsetup.msi.
47 MO . Il permet de synchroniser avec le site web de microsoft. La synchronisation (téléchargement) peut-être automatique ou manuelle selon le choix de l’administrateur système. Vous pouvez décider de publier les mises à jour par le serveur win2000 server (mettre en place le service II_S.)
Il faut au minimum :
-un pentium III 700mhz.
-512 MO de RAM.
-6 GO pour l’installation et les pacthes.
Cette configuration peut supporter jusqu'à 150000 clients. Le SUS a trois composantes principales. Un service de synchronisation qui télécharge les pacthes sur le serveur, IIS doit tourner sur le serveur, la page WEB d’administration du SUS. Il faut le service pack III, Internet explorer 5.5 ou plus.
1) Copiez et installez le SUSsetup.msi (47 MO)
2) Sur la page de bienvenue cliquez suivant
3) Lire et accepter la licence.
4) Configuration du serveur (synchronize server et approve updates)
5) La page suivante permet de donner l’URL du serveur afin que les machines clientes inter-agissent avec le serveur
6) La fin de l’installation fournit l’url que vous pouvez utiliser pour charger la page d’administration. Noter l’url et garder-le secret.
L’installation est terminée. Vous êtes à présent prêt à configurer et utiliser le SUS.
(SUS : Software Update Services)
Configuration
Les deux tâches principaux du SUS sont :
1) Le téléchargement des pacthes.
2) D’approuver la validité des pacthes.
Avant d’arriver à ces choses, il faut d’abord configurer le SUS. Ouvrez Internet explorer et tapez http://nomduserveur/SUSadmin pour commencer l’administration du serveur SUS.
Voir « set options », vous êtes l’administrateur à vous de voir les configurations requises. Pour votre réseau. (localisation des updates, tâches automatique…)
Remarque pour L’INSTA Je pense qu’il est nécessaire pour chaque groupe de réseau de faire tourner un service SUS vu la quantité de giga octets qui transitent entre le site de Microsoft et le serveur, il est inutile de répandre tous ces paquets sur tous les réseaux.
Installation
Vous pouvez utiliser les mises à jour automatique sur vos clients en utilisant l’une des méthodes suivantes.
1) Installation du WUAU22.msi sur le client.
2)
installation de Windows 2000 service pack 3
3) installation de Windows XP sp1 Bêta
4) Installation de windows.net RC1 ou supérieure.
Configuration
Plusieurs méthodes de déploiement existent pour le client. Mais la méthode qui nous
intéresse est celle du déploiement automatique des mises à jour via le self-update.
En sachant le service IIS tourne sur le serveur. Le répertoire SUSadmin et Self-Update sont visibles sur le serveur WEB (Internet explorer. Afin que chaque client communique avec le serveur, il faut
Ouvrir la base de registre
Aller a: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical
Update].
Crée la clé SelfUpdServer et mettre comme valeur chaîne :
REG_SZ..“SelfUpdServer”=http://<lenomduserveur>/SelfUpdate/CUN5_4
Une nouvelle fois sur la base de registre aller à :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Critical Update\Critical Update SelfUpdate].
Crée la clé chaîne de caractère SelfUpdServer et mettre comme valeur chaîne :
”SelfUpdServer”=http://<lenomduserveur>/SelfUpdate/CUN5_4
Redémarrer l’ordinateur et pour confirmer le service mise à jour automatique du système a été effectué aller dans le répertoire : %windir%\system32\
Faire un clique droit sur le fichier Wuaueng.dll, cliquer sur propriété
et la version du fichier doit être supérieure au moins a 5.4.3626.2.
Il est possible de
configurer les options du clients à l’aide de la base de registre. Vous devez
exécuter un script qui ajoute des clés dans la base de registre.
1 ajout cette clé : HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate=0||1
0=la mise a jour automatique est activée.
1= la mise a jour automatique est
désactivée.
Valeur de type hexadécimale : dword.
AUOptions=2||3||4
2=averti le téléchargement et l’installation
3=télécharge automatiquement et averti l’installation.
4=télécharge
automatiquement et les installations programmées.
Valeur de type hexadécimale : dword.
ScheduledInstallDay=0||1||2||3||4||5||6||7
0=c’est tous les jours
1=c’est dimanche.
(…)=au jour de la semaine
(7)=samedi.
Valeur de type hexadécimale : dword.
ScheduledInstallTime=n
ou n correspond à la valeur de
l’heure dans 24 heure (0->23)
Valeur de type hexadécimale : dword.
UseWUServer=0||1 Placer cette valeur à 1 pour activer les mises
automatique à travers le serveur SUS.
Valeur de type hexadécimale : dword.
Afin de déterminer qui est le serveur SUS, il faut placer deux clés de type valeur chaîne de caractère. Aller dans l’arborescence de la base de registre :
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
WUServer= http://<nomduserveur>
WUStatusServer=http://<nomduserveur>
exemple de config pour les postes clients Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate] "WUServer"="http://DC" "WUStatusServer"="http://DC" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU] "NoAutoRebootWithLoggedOnUsers"=dword:00000001 "NoAutoUpdate"=dword:00000000 "AUOptions"=dword:00000004 "ScheduledInstallDay"=dword:00000000 "ScheduledInstallTime"=dword:0000000c "RescheduleWaitTime"=dword:00000005 "UseWUServer"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\ Critical Update] "SelfUpdServer"="http://DC/SelfUpdate/CUN5_4" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\ Critical Update\Critical Update SelfUpdate] "SelfUpdServer"="http://DC/SelfUpdate/CUN5_4" ensuite Les fichiers Aucatalog1.cab, Aurtf1.cab et approveditems.txt qui sont sous le dossier content doivent être copiés dans le répertoire racine du site web par défaut du serveur SUS. et decochez l'option detection proxy sous ie et dans la partie http://xxxx/SUSADmin--> sinon les postes ne pourront pas aller sur le serveur SUS au sujet de la detection proxy, je tiens à remercier Clement Chalumet. Vous avez la possibilité d'utiliser les strategies de groupe pour un déploiement générale dans un domaine ou vous ne voulez pas utiliser les clés de registre ci-dessus. Executez la commande gpedit.msc-->configuration de l'ordinateur --> faites un clique droit sur modèle d'administration selectionnez le model suivant wuau.adm une ligne windows update va apparaître -->a vous de placer les paramètres necessaire mais elles sont similaires au clés de registre ci-dessus. Pour vérifier si le client va télécharger les updates ou hotfix sur le serveur SUS, au moment des mises à jour j'execute la commande netstat -a, je m'aperçois que la connexion s'établit avec le serveur SUS locale en intranet locale par le port 80 http