Les Software Update Services (SUS), ou services de mise à jour logiciel, correspondent à une adaptation de Windows Update à l’intérieur de l’entreprise.
Jusqu’à présent, tout poste client ou serveur qui voulait mettre à jour ses logiciels Windows avec les derniers hotfixes devait passer par Windows Update
et devait donc contacter un serveur Microsoft par Internet pour récupérer ces hotfixes.
Cette solution, valable pour un utilisateur disposant d’un seul poste, devient inacceptable pour les hôpitaux qui gèrent un parc de plusieurs dizaines,
centaines ou milliers de postes. Le principe de SUS est donc :
• D’avoir un serveur Windows 2000/2003 au sein du réseau interne de l’Hôpital, sur lequel tournent les services SUS. Ce serveur récupère les dernières
mises à jour disponibles sur le site Microsoft Windows Update et les approuve automatiquement ou à la demande de l’administrateur. Le serveur peut éventuellement
diffuser les mises à jour et la liste de celles approuvées à d’autres serveurs SUS.
• D’installer sur les postes de travail et les serveurs Windows 2000/XP/2003 un client de mise à jour automatique (WUAU – Windows Automatic Updates client),
qui contactera un serveur SUS pour effectuer les mises à jour approuvées, des Services Packs, en fonction du système (2000, XP ou 2003), et des applications
installées. L’administrateur pourra paramétrer le nom du serveur que le client contactera, ainsi que la fréquence des tentatives de mises à jour, soit par
la base de registres, soit par Stratégies de Groupe.
Note : Ce client WUAU est déjà inclus dans les systèmes d’exploitation Windows 2000 Pro SP3 ou supérieur et XP SP1 ou supérieur.
Avec cette solution, l’administrateur peut vérifier les dernières mises à jour disponibles sur le site de Microsoft, les tester et décider de celles qui doivent
être déployées, puis paramétrer la mise à jour automatique des postes utilisateurs. La bande passante de l’accès Internet est préservée, les mises à jour des postes
sont plus rapides (tout passe par le réseau local dans la majorité des cas), et la possibilité de tester les mises à jour avant déploiement évite de se retrouver
avec des postes instables.
Pour le moment, SUS concerne les mises à jour critiques ou de sécurité des logiciels Windows et les Services Packs des Systèmes d’Exploitation. A terme, cette solution
pourrait permettre d’autres types de mises à jour, notamment la mise à jour des pilotes de périphériques d’un poste certifié Microsoft (ce que fait déjà Windows Update).
Pour tous les sites AP-HP, un serveur SUS Maître est disponible. Pour l’instant, ce serveur approuve automatiquement toutes les mises à jour. Voici un schéma de principe
explicitant succintement l’architecture SUS préconisée à l’AP-HP :
Comme dit précédemment, il y a une partie serveur (les services SUS), et une partie cliente (WUAU).
Pré requis :
Microsoft conseille un serveur disposant d’un Pentium III 700 et supérieur, de 512 Mo de RAM et de 6 Go d’espace disque. Cela dit, ces spécifications permettent
de gérer jusqu’à 15000 clients.
Le serveur doit tourner soit sous Windows 2000 Server Service Pack 2 ou supérieur, soit sous Windows Server 2003. La partition système de ce serveur et la partition
sur laquelle sera le dossier SUS doivent être au format NTFS.
Le serveur doit également avoir Internet Information Services (IIS) 5.0 ou supérieur d’installé, ainsi que Internet Explorer 5.5 ou supérieur.
Enfin, Microsoft conseille de mettre SUS sur un serveur dédié pour des raisons de compatibilité. Cependant, rien n’empêche, techniquement, de le mettre sur un serveur disposant
des services classiques (Active Directory, DNS, DHCP, RIS, etc…) ou de certaines applications compatibles (FrontPage Server Extensions, SharePoint Team Services, applications ASP.NET).
Concernant la liste des applications compatibles, consulter le site de Microsoft pour des informations plus précises.
Attention : L’installation de SUS utilise l’outil IISLockdown., ce qui peut verrouiller les éventuels autres sites Web ou FTP du serveur.
Le package d’installation de SUS 1.0 Service Pack 1 est disponible sur ce lien : Page de téléchargement de Microsoft Software Update Services.
Cet exécutable contient le package d’installation MSI des services SUS, package qu’il exécute automatiquement.
Il faut choisir le type d’installation, Custom ou Typical. Il est préférable de choisir Custom.
L’installation Custom présente alors une suite de fenêtres :
- Il est possible de spécifier deux emplacements différents pour SUS.
Une partie contenant les fichiers système de SUS, il doit s’agir d’une partition NTFS.
Une partie contenant le stockage des mises à jours « Update Storage ».
Le téléchargement des mises à jour occupe un espace disque non négligeable (prévoir 2 Go minimum).
Nous avons opté pour:
C:\SUS\ pour les fichiers du programme et D:\SUS\content\ pour le stockage des updates.
Après avoir configuré cet écran, cliquez sur Next >.
Cliquez sur OK puis sur Next>
L’administration de SUS se lance automatiquement dans une fenêtre Internet Explorer. L’adresse URL du site pour l’administration SUS est :
http://localhost/SUSAdmin/.
SUS utilise IIS pour l’affichage de la page d’administration. Si elle ne se lance pas directement ou s'affiche en erreur, il faudra redémarrer le service IIS dans :
Exécuter / services.msc.
L’interface d’administration étant une interface Web, il est possible de l’administrer à distance dont l’URL est dans notre cas :
http://ServeurDistant/SUSAdmin/.
Pour les rendre disponibles au client, il faut cliquer sur "ApproveUpdates" et approuver les mises à jour qui convient à l’ensemble des machines de l’hôpital (Windows 2000, 2003, XP).
Les logs des mises à jour approuvées se trouvent sur le lien « view approval log » .
Afin que le client puisse bénéficier des mises à jour, il faut que le client wuau soit installé sur son système. On peut le télécharger en cliquant sur : wuau22fra.msi.
Ce client est déjà présent sur les systèmes équipés de Windows 2000 (à partir du Service Pack 3), de Windows XP (à partir du SP1) et de Windows Server 2003.
Il ne faut donc pas installer le client Automatic Updates sur ces postes, car l’installation échouerait.
L’installation du client AU ne doit donc être faite que sur des postes Windows 2000 SP2 (ou inférieur) et Windows XP (sans Service Pack). Cette installation passe par un package MSI disponible
sur le site de Microsoft, sous le nom WUAU22fra.msi (pour la version française). Il peut donc être facilement déployé avec les technologies de déploiement automatique des logiciels comme IntelliMirror ou SMS, ou plus simplement avec un script.
Sur ce principe, nous avons déployé dans un premier temps les services Packs de 2000 et XP : respectivement sp4 et sp1a.
Téléchargez le Service Pack 4 pour Windows 2000 à cette adresse : Page de téléchargement de Microsoft.
Téléchargez le Service Pack 1a pour Windows XP à cette adresse : Page de téléchargement de Microsoft.
a) Extraction des packs :
Créez un dossier partagé à tout le monde, dans ce dossier créez deux sous dossiers, nommez les respectivement pour chacun des packs (ex : i386W2k et i386wxp).
Copiez les fichiers téléchargés dans le dossier partagé.
Nous allons extraire les exécutables « w2ksp4_fr.exe » et « xpsp1a_fr_x86.exe »:
Démarrer / exécuter / cmd
Dans la console :
- Placez vous dans le répertoire du dossier partagé
- Tapez: "nomduSP" -x
Une fenêtre nous prévient de la vérification du pack
Une fois la vérification terminée une fenêtre nous demande de sélectionner un répertoire, indiquez lui un des sous dossiers que nous avons créé dans le partage (ex : i386W2k et i386wxp).
b) Création de la stratégie de déploiement par Active Directory :
Ouvrez Utilisateur et Ordinateurs Active Directory du contrôleur de domaine.
Nous allons créer une UO pour chaque déploiement afin d’inclure les machines Windows 2000 dans l’UO du sp4 et les machines XP dans celle du sp1a . Il s’agit là d’une GPO ordinateur.
- Effectuez un clic droit sur l’UO, modifier puis Stratégie de groupe.
- Cliquez sur nouveau pour créer la GPO puis nommez la.
- Double cliquez sur le nom de la GPO afin de l’ouvrir.
- Sélectionnez Configuration ordinateur / Installation de logiciel / Nouveau / Package
Il est important, à ce niveau, d’aller chercher le dossier par le parcours du réseau même si il se trouve en local sur le PC. Ainsi nous aurons le chemin UNC qui permettra aux autres machines de trouver le package.
- Il faut sélectionner le dossier partagé que nous avons créé précédemment. Il contient le sous dossier i386w2k où nous avons décompressé le pack
- Dans le i386w2k il y a un dossier nommé update. Celui-ci contient un fichier nommé update.msi, ce sera celui du déploiement. Le sélectionner.
Après avoir sélectionné update.msi, cette boite de dialogue apparaît, laissez Attribution.
Après avoir fait cette manipulation pour les deux packs, nous obtenons ceci :
Il ne reste plus qu’à rafraîchir les stratégies de sécurité du serveur.
Sur le contrôleur de domaine, ouvrez une console cmd et tapez :
secedit /refreshpolicy machine_policy /enforce
c) Comportement du déploiement chez le client
Les clients qui ont reçu la GPO devront redémarrer leur ordinateur deux fois pour que les services packs s’installent.
Au premier redémarrage, il suffit d’aller dans le journal des événements / applications pour voir que la stratégie est passée mais que le pack s’installera au prochain démarrage.
Au second démarrage, à l’ouverture de session de la machine, une fenêtre signale l’installation du service pack. Le PC va rebooter automatiquement. Les utilisateurs pourrons se loguer qu’après le redémarrage.
Les services packs étant passés, il convient de créer une UO pour SUS que nous appellerons UO_Depl_SUS. Cela permettra aux clients d’obtenir les derniers hotfix de Microsoft.
Une fois l’UO_Depl_SUS créé, nous allons appliquer une GPO pour le déploiement de la Stratégie par Active Directory.
Bien entendu cela s’adresse aux machines appartenant au domaine.
Cette GPO devrait permettre de modifier directement le registre du client. Cela aura pour effet de donner à la machine la possibilité de trouver le serveur SUS du réseau local, de planifier les mises à jour, de définir
la méthode de téléchargement et d’installation ainsi que de paramétrer le reboot.
La clé de registre qui s’inscrit chez le client est la suivante :
HKEY_LOCAL_MACHINE / SOFTWARE / Policies / Microsoft / Windows / WindowsUpdate
Cette clé de registre s’inscrit grâce au fichier wuau.adm. Ce fichier devrait se trouver dans winnt / inf. Il doit faire 27.5 Ko pour la version française.
Si il n’y est pas vous pouvez le télécharger depuis ce portail par le lien Téléchargements. Afin de le retrouver avec les autres fichier .adm, il conviendra de le placer dans winnt / inf.
a) Création de la GPO avec wuau.adm :
- Créez une GPO nommée GPO_SUS.
- Allez dans Configuration ordinateur / Modèles d’administration / Ajout suppression…
Le fichier wuau.adm étant placé dans inf, vous obtenez :
Cliquez sur le modèle wuau puis ajouter, ensuite fermer.
Vous voyez apparaître dans votre GPO le dossier « windowsupdate » localisé dans : configuration d’ordinateur / modèle d’administration / Composant windows / .
Il suffit de passer à la configuration des quatres éléments non configurés de la fenêtre de droite.
b) Configuration du modèle :
Nous allons définir les paramètres du modèle (ces paramètres modifient les données de la clé de registre).
A la fin de chaque modification, cliquez sur stratégie suivante et en dernier appliquez :
La stratégie pour les clients SUS est terminée.
Au reboot des machines clientes, Active Directory devrait appliquer les stratégies en ajoutant la clé de registre en accord avec les paramètres entrés dans wuau.adm.
Avant ce reboot il convient de réactualiser les stratégies du contrôleur avec :
Secedit /refreshpolicy machine_policy /enforce
c) Installation du client AU sur des machines en Workgroups :
Il est possible d’installer ce client sur des machines pour lesquelles une stratégie de domaine serait sans effet.
Nous avons vu que le fichier wuau.adm créait une clé de registre contenant tous les paramètres utiles au client.
Il suffit d’exporter cette clé. Nous obtenons un .reg que nous plaçons dans un dossier partagé. Le client double clique sur le fichier "wuau.reg" et la clé de registre s’installe après un avertissement.
Pour rendre cette opération plus conviviale, nous pouvons aussi créer la clé de registre par l’intermédiaire d’une page web. Pour cela il faut écrire un script dans la source de la page.
Le script VB doit se trouver entre la balise et
en ouvrant et fermant la balise script.
a) Sur le Serveur :
Comme le signale le message de Secedit, attendez que la stratégie s’applique. Pour cela, regardez l’heure à laquelle vous avez lancé le refresh et allez voir dans le journal :
Double cliquez sur l’info source SceCli, vous obtenez :
b) Chez le client :
Dans Exécuter / services.msc, le service mise à jour est démarré, automatique.
Sur le PC client allez dans Démarrer / Paramètres / Panneau de config / Mises à jour automatiques :
La stratégie s’applique si le client ne peut modifier les paramètres. C’est le cas, il ne peut qu’annuler.
Sur les systèmes XP, il se peut que l’icône soit absente du panneau de configuration. Dans ce cas il faut récupérer le fichier wuaucpl.cpl dans C:\winnt\system32 d’un PC sous 2000 et l’injecter sous la même directory dans XP.
Réception des mises à jour :
Les mises à jour ne s’installent que si l’utilisateur est connecté avec des droits d'administrateur.
Windows update signale à l’utilisateur que les mises à jour sont prêtes pour l’installation, en faisant un double clic sur l’icône on obtient le détail de ce qui va être installé.
A l’ouverture d’une session administrateur:
Détail des mises à jour :
Vérification de l’installation des mises à jour :
Les mises à jour s’inscrivent dans le registre sous la clé :
HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Update / Windows2000
L'installation et la configuration d'une architecture SUS est terminée. D'autres procédures sont disponibles, en cliquant sur l'image qui suit vous retournerez sur le CV.