Serveur SUS




1) Définition:



Les Software Update Services (SUS), ou services de mise à jour logiciel, correspondent à une adaptation de Windows Update à l’intérieur de l’entreprise.
Jusqu’à présent, tout poste client ou serveur qui voulait mettre à jour ses logiciels Windows avec les derniers hotfixes devait passer par Windows Update et devait donc contacter un serveur Microsoft par Internet pour récupérer ces hotfixes.
Cette solution, valable pour un utilisateur disposant d’un seul poste, devient inacceptable pour les hôpitaux qui gèrent un parc de plusieurs dizaines, centaines ou milliers de postes. Le principe de SUS est donc :

• D’avoir un serveur Windows 2000/2003 au sein du réseau interne de l’Hôpital, sur lequel tournent les services SUS. Ce serveur récupère les dernières mises à jour disponibles sur le site Microsoft Windows Update et les approuve automatiquement ou à la demande de l’administrateur. Le serveur peut éventuellement diffuser les mises à jour et la liste de celles approuvées à d’autres serveurs SUS.

• D’installer sur les postes de travail et les serveurs Windows 2000/XP/2003 un client de mise à jour automatique (WUAU – Windows Automatic Updates client), qui contactera un serveur SUS pour effectuer les mises à jour approuvées, des Services Packs, en fonction du système (2000, XP ou 2003), et des applications installées. L’administrateur pourra paramétrer le nom du serveur que le client contactera, ainsi que la fréquence des tentatives de mises à jour, soit par la base de registres, soit par Stratégies de Groupe.

Note : Ce client WUAU est déjà inclus dans les systèmes d’exploitation Windows 2000 Pro SP3 ou supérieur et XP SP1 ou supérieur.

Avec cette solution, l’administrateur peut vérifier les dernières mises à jour disponibles sur le site de Microsoft, les tester et décider de celles qui doivent être déployées, puis paramétrer la mise à jour automatique des postes utilisateurs. La bande passante de l’accès Internet est préservée, les mises à jour des postes sont plus rapides (tout passe par le réseau local dans la majorité des cas), et la possibilité de tester les mises à jour avant déploiement évite de se retrouver avec des postes instables.

Pour le moment, SUS concerne les mises à jour critiques ou de sécurité des logiciels Windows et les Services Packs des Systèmes d’Exploitation. A terme, cette solution pourrait permettre d’autres types de mises à jour, notamment la mise à jour des pilotes de périphériques d’un poste certifié Microsoft (ce que fait déjà Windows Update).

Pour tous les sites AP-HP, un serveur SUS Maître est disponible. Pour l’instant, ce serveur approuve automatiquement toutes les mises à jour. Voici un schéma de principe explicitant succintement l’architecture SUS préconisée à l’AP-HP :




Architecture SUS



2) Installation de Microsoft S.U.S. :



Comme dit précédemment, il y a une partie serveur (les services SUS), et une partie cliente (WUAU).

Pré requis :

Microsoft conseille un serveur disposant d’un Pentium III 700 et supérieur, de 512 Mo de RAM et de 6 Go d’espace disque. Cela dit, ces spécifications permettent de gérer jusqu’à 15000 clients.

Le serveur doit tourner soit sous Windows 2000 Server Service Pack 2 ou supérieur, soit sous Windows Server 2003. La partition système de ce serveur et la partition sur laquelle sera le dossier SUS doivent être au format NTFS.

Le serveur doit également avoir Internet Information Services (IIS) 5.0 ou supérieur d’installé, ainsi que Internet Explorer 5.5 ou supérieur.

Enfin, Microsoft conseille de mettre SUS sur un serveur dédié pour des raisons de compatibilité. Cependant, rien n’empêche, techniquement, de le mettre sur un serveur disposant des services classiques (Active Directory, DNS, DHCP, RIS, etc…) ou de certaines applications compatibles (FrontPage Server Extensions, SharePoint Team Services, applications ASP.NET).
Concernant la liste des applications compatibles, consulter le site de Microsoft pour des informations plus précises.

Attention : L’installation de SUS utilise l’outil IISLockdown., ce qui peut verrouiller les éventuels autres sites Web ou FTP du serveur.




2.1) Installation du Serveur :



Le package d’installation de SUS 1.0 Service Pack 1 est disponible sur ce lien : Page de téléchargement de Microsoft Software Update Services.

Cet exécutable contient le package d’installation MSI des services SUS, package qu’il exécute automatiquement.


Extraction du .msi



Il faut choisir le type d’installation, Custom ou Typical. Il est préférable de choisir Custom.


Choix



L’installation Custom présente alors une suite de fenêtres :


Choix des dossiers d'installation



- Il est possible de spécifier deux emplacements différents pour SUS.
Une partie contenant les fichiers système de SUS, il doit s’agir d’une partition NTFS.
Une partie contenant le stockage des mises à jours « Update Storage ».

Le téléchargement des mises à jour occupe un espace disque non négligeable (prévoir 2 Go minimum).

Nous avons opté pour:
C:\SUS\ pour les fichiers du programme et D:\SUS\content\ pour le stockage des updates.

Après avoir configuré cet écran, cliquez sur Next >.


Sélection de la langue



  • Choix des Langues pour le téléchargement des mises à jour :

    Normalement, toutes les mises à jour sont les mêmes, donc en sélectionnant plusieurs langues on risque la redondance de mises à jour… Il vaut donc mieux sélectionner « specific languages » puis cliquer sur « Choose Languages… » et décocher toutes les autres cases que la case French pour n’avoir que les mises à jour françaises. On peut aussi sélectionner English pour être sûr de ne manquer aucune mise à jour importante.



  • Sélection de la langue



    Cliquez sur OK puis sur Next>



    Approuver les mises à jour



  • Update Approval :

    Choix de la méthode pour approuver les mises à jour. Doivent-elles être approuvées automatiquement ou non ? Il est préférable de sélectionner « I will manually approve new versions of approved updates » ; de cette façon, les mises à jour ne seront pas automatiquement approuvées et l’administrateur pourra les tester avant de les rendre disponibles au client.

    Lors de la première installation, il y a l’ensemble des mises à jour à approuver pour les mettre à disposition des clients.


  • Que l’installation ait été faite en Custom ou Typical, nous voyons ensuite un récapitulatif de l’installation.

    L’installation s’effectue, puis un écran de fin apparaît.


    Fin de l'installation



    L’administration de SUS se lance automatiquement dans une fenêtre Internet Explorer. L’adresse URL du site pour l’administration SUS est :
    http://localhost/SUSAdmin/.

    SUS utilise IIS pour l’affichage de la page d’administration. Si elle ne se lance pas directement ou s'affiche en erreur, il faudra redémarrer le service IIS dans :
    Exécuter / services.msc.

    L’interface d’administration étant une interface Web, il est possible de l’administrer à distance dont l’URL est dans notre cas :
    http://ServeurDistant/SUSAdmin/.


  • Au lancement du navigateur :



  • Gestion html de SUS



  • Menu « set options » :



  • Configuration



  • Paramètres du proxy :
    Permet de définir si le serveur SUS doit utiliser un proxy pour accéder à Internet ou non, et si oui, de définir son adresse et son port d’accès, ainsi qu’un nom de compte et mot de passe valide pour y accéder.


  • Nom d’accès au serveur pour les clients :
    Par défaut, le programme suppose que les clients utilisent son nom NetBIOS pour accéder au serveur SUS ; si les clients utilisent DNS pour accéder au serveur SUS, on peut mettre à la place le nom DNS du serveur (http://nom_serveur.nom_domaine). Bien sûr l’IP fonctionne également.


  • Synchronisation avec le serveur Maître :
    Afin que notre serveur dispense les mises à jour, il faut tout d’abord le synchroniser avec le serveur S.U.S. maître. Il convient de renseigner son adresse dans
    « Synchronize from a local Software Update Services server : ».


  • Pour vérifier si des mises à jour sont disponibles, il faut cliquer sur « Synchronize server ». Cette opération peut être aussi planifiée.


    Synchronisation



    Pour les rendre disponibles au client, il faut cliquer sur "ApproveUpdates" et approuver les mises à jour qui convient à l’ensemble des machines de l’hôpital (Windows 2000, 2003, XP).




    Approbation des mises à jour



    Les logs des mises à jour approuvées se trouvent sur le lien « view approval log » .




    2.2) Configuration des clients :




    Afin que le client puisse bénéficier des mises à jour, il faut que le client wuau soit installé sur son système. On peut le télécharger en cliquant sur : wuau22fra.msi.

    Ce client est déjà présent sur les systèmes équipés de Windows 2000 (à partir du Service Pack 3), de Windows XP (à partir du SP1) et de Windows Server 2003.
    Il ne faut donc pas installer le client Automatic Updates sur ces postes, car l’installation échouerait.


    L’installation du client AU ne doit donc être faite que sur des postes Windows 2000 SP2 (ou inférieur) et Windows XP (sans Service Pack). Cette installation passe par un package MSI disponible sur le site de Microsoft, sous le nom WUAU22fra.msi (pour la version française). Il peut donc être facilement déployé avec les technologies de déploiement automatique des logiciels comme IntelliMirror ou SMS, ou plus simplement avec un script.

    Sur ce principe, nous avons déployé dans un premier temps les services Packs de 2000 et XP : respectivement sp4 et sp1a.


    2.2.1) Déploiement des services packs :




    Téléchargez le Service Pack 4 pour Windows 2000 à cette adresse : Page de téléchargement de Microsoft.

    Téléchargez le Service Pack 1a pour Windows XP à cette adresse : Page de téléchargement de Microsoft.


    a) Extraction des packs :


    Créez un dossier partagé à tout le monde, dans ce dossier créez deux sous dossiers, nommez les respectivement pour chacun des packs (ex : i386W2k et i386wxp).
    Copiez les fichiers téléchargés dans le dossier partagé.

    Nous allons extraire les exécutables « w2ksp4_fr.exe » et « xpsp1a_fr_x86.exe »:
    Démarrer / exécuter / cmd

    Dans la console :
    - Placez vous dans le répertoire du dossier partagé
    - Tapez: "nomduSP" -x

    Une fenêtre nous prévient de la vérification du pack


    Approbation des mises à jour



    Une fois la vérification terminée une fenêtre nous demande de sélectionner un répertoire, indiquez lui un des sous dossiers que nous avons créé dans le partage (ex : i386W2k et i386wxp).


    Approbation des mises à jour



    b) Création de la stratégie de déploiement par Active Directory :


    Ouvrez Utilisateur et Ordinateurs Active Directory du contrôleur de domaine.

    Nous allons créer une UO pour chaque déploiement afin d’inclure les machines Windows 2000 dans l’UO du sp4 et les machines XP dans celle du sp1a . Il s’agit là d’une GPO ordinateur.


    Gestion Active Directory



    - Effectuez un clic droit sur l’UO, modifier puis Stratégie de groupe.
    - Cliquez sur nouveau pour créer la GPO puis nommez la.


    Stratégie de groupe



    - Double cliquez sur le nom de la GPO afin de l’ouvrir.
    - Sélectionnez Configuration ordinateur / Installation de logiciel / Nouveau / Package


    Sélection du .msi pour le déploiement



    Il est important, à ce niveau, d’aller chercher le dossier par le parcours du réseau même si il se trouve en local sur le PC. Ainsi nous aurons le chemin UNC qui permettra aux autres machines de trouver le package.

    - Il faut sélectionner le dossier partagé que nous avons créé précédemment. Il contient le sous dossier i386w2k où nous avons décompressé le pack

    - Dans le i386w2k il y a un dossier nommé update. Celui-ci contient un fichier nommé update.msi, ce sera celui du déploiement. Le sélectionner.


    Sélection de Update.msi



    Après avoir sélectionné update.msi, cette boite de dialogue apparaît, laissez Attribution.


    Attribution



    Après avoir fait cette manipulation pour les deux packs, nous obtenons ceci :


    Résultat



    Il ne reste plus qu’à rafraîchir les stratégies de sécurité du serveur.

    Sur le contrôleur de domaine, ouvrez une console cmd et tapez :
    secedit /refreshpolicy machine_policy /enforce


    Secedit



    c) Comportement du déploiement chez le client


    Les clients qui ont reçu la GPO devront redémarrer leur ordinateur deux fois pour que les services packs s’installent.
    Au premier redémarrage, il suffit d’aller dans le journal des événements / applications pour voir que la stratégie est passée mais que le pack s’installera au prochain démarrage.
    Au second démarrage, à l’ouverture de session de la machine, une fenêtre signale l’installation du service pack. Le PC va rebooter automatiquement. Les utilisateurs pourrons se loguer qu’après le redémarrage.

    Les services packs étant passés, il convient de créer une UO pour SUS que nous appellerons UO_Depl_SUS. Cela permettra aux clients d’obtenir les derniers hotfix de Microsoft.


    2.2.2) Création de la stratégie SUS :




    Une fois l’UO_Depl_SUS créé, nous allons appliquer une GPO pour le déploiement de la Stratégie par Active Directory.
    Bien entendu cela s’adresse aux machines appartenant au domaine.

    Cette GPO devrait permettre de modifier directement le registre du client. Cela aura pour effet de donner à la machine la possibilité de trouver le serveur SUS du réseau local, de planifier les mises à jour, de définir la méthode de téléchargement et d’installation ainsi que de paramétrer le reboot.

    La clé de registre qui s’inscrit chez le client est la suivante :
    HKEY_LOCAL_MACHINE / SOFTWARE / Policies / Microsoft / Windows / WindowsUpdate


    Regedit



    Regedit



    Cette clé de registre s’inscrit grâce au fichier wuau.adm. Ce fichier devrait se trouver dans winnt / inf. Il doit faire 27.5 Ko pour la version française.
    Si il n’y est pas vous pouvez le télécharger depuis ce portail par le lien Téléchargements. Afin de le retrouver avec les autres fichier .adm, il conviendra de le placer dans winnt / inf.


    a) Création de la GPO avec wuau.adm :


    - Créez une GPO nommée GPO_SUS.
    - Allez dans Configuration ordinateur / Modèles d’administration / Ajout suppression…


    Modèles d'administration



    Le fichier wuau.adm étant placé dans inf, vous obtenez :


    Modèle wuau dans winnt / inf



    Cliquez sur le modèle wuau puis ajouter, ensuite fermer.

    Vous voyez apparaître dans votre GPO le dossier « windowsupdate » localisé dans : configuration d’ordinateur / modèle d’administration / Composant windows / .
    Il suffit de passer à la configuration des quatres éléments non configurés de la fenêtre de droite.


    configuration de wuau



    b) Configuration du modèle :


    Nous allons définir les paramètres du modèle (ces paramètres modifient les données de la clé de registre).
    A la fin de chaque modification, cliquez sur stratégie suivante et en dernier appliquez :


    Planification des mises à jour


    Localisation du serveur http://IP ou Nom


    Temps d'attente aprés la connection de l'utilisateur


    Redémarrage planifié



    La stratégie pour les clients SUS est terminée.


    Au reboot des machines clientes, Active Directory devrait appliquer les stratégies en ajoutant la clé de registre en accord avec les paramètres entrés dans wuau.adm.

    Avant ce reboot il convient de réactualiser les stratégies du contrôleur avec :
    Secedit /refreshpolicy machine_policy /enforce


    c) Installation du client AU sur des machines en Workgroups :


    Il est possible d’installer ce client sur des machines pour lesquelles une stratégie de domaine serait sans effet.
    Nous avons vu que le fichier wuau.adm créait une clé de registre contenant tous les paramètres utiles au client.
    Il suffit d’exporter cette clé. Nous obtenons un .reg que nous plaçons dans un dossier partagé. Le client double clique sur le fichier "wuau.reg" et la clé de registre s’installe après un avertissement.

    Pour rendre cette opération plus conviviale, nous pouvons aussi créer la clé de registre par l’intermédiaire d’une page web. Pour cela il faut écrire un script dans la source de la page.


    Le .reg en script



    Avertissement



    Le script VB doit se trouver entre la balise et en ouvrant et fermant la balise script.

    Entre les balises et se trouve le corps de la page, c’est à ce niveau que l’on peut entrer du texte visible par les utilisateurs. Il est ainsi possible de créer une page Web à l'image de l'entreprise.
    Dans ce cas il faut aussi récupérer les fichiers utilisés pour son affichage et les mettre dans un dossier.

    2.3) Vérification de l’application de la stratégie :




    a) Sur le Serveur :


    Comme le signale le message de Secedit, attendez que la stratégie s’applique. Pour cela, regardez l’heure à laquelle vous avez lancé le refresh et allez voir dans le journal :


    Journal apllications



    Double cliquez sur l’info source SceCli, vous obtenez :


    Propriétés



    b) Chez le client :


    Dans Exécuter / services.msc, le service mise à jour est démarré, automatique.


    services.msc



    Sur le PC client allez dans Démarrer / Paramètres / Panneau de config / Mises à jour automatiques :


    Résultat des mises à jour automatiques



    La stratégie s’applique si le client ne peut modifier les paramètres. C’est le cas, il ne peut qu’annuler.

    Sur les systèmes XP, il se peut que l’icône soit absente du panneau de configuration. Dans ce cas il faut récupérer le fichier wuaucpl.cpl dans C:\winnt\system32 d’un PC sous 2000 et l’injecter sous la même directory dans XP.


    Réception des mises à jour :

    Les mises à jour ne s’installent que si l’utilisateur est connecté avec des droits d'administrateur.

    Windows update signale à l’utilisateur que les mises à jour sont prêtes pour l’installation, en faisant un double clic sur l’icône on obtient le détail de ce qui va être installé.

    A l’ouverture d’une session administrateur:


    Avertissement à l'ouverture de session



    Détail des mises à jour :


    Détails



    Vérification de l’installation des mises à jour :


    Les mises à jour s’inscrivent dans le registre sous la clé :

    HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Update / Windows2000


    regedit



    L'installation et la configuration d'une architecture SUS est terminée. D'autres procédures sont disponibles, en cliquant sur l'image qui suit vous retournerez sur le CV.




    *