Déploiement automatique des correctifs

SUS (Software Update Services) s'appuie sur la technologie de Windows Update pour distribuer automatiquement à travers un réseau les mises à jour critiques disponibles pour les machines tournant sous Windows 2000, XP, Windows Server 2003.

L'idée de base est plutôt simple et part du constat suivant : dans tout réseau, petit ou grand, les administrateurs réseau doivent s'obliger à consulter fréquemment le site Windows Update pour vérifier l'existence de patches et mises à jour critiques disponibles. Ensuite, ils doivent télécharger ces fichiers et les vérifier sur une machine de test (là, il ne faut pas rêver, cette procédure est rarement respectée). Ensuite de quoi il leur incombe soit de télécharger autant de fois ces fichiers qu'il existe de machines à mettre à jour (opération extrêmement fastidieuse), soit à les distribuer vers les machines clientes à l'aide d'un logiciel spécifique.

En termes de sécurité, il n'est par ailleurs pas toujours recommandé de laisser les postes clients activer seuls l'option de notification de mise à jour automatique. D'autre part, on ne souhaite pas nécessairement que les machines soient encombrées de patchs et mises à jour non contrôlées. Même pour ceux d'entre nous qui disposent d'un petit réseau à la maison, il est très vite fastidieux de s'assurer que toutes les machines de la maison sont à jour. Et pour les réseaux dont la connexion Internet s'appuie encore sur des lignes téléphoniques, ça coûte très vite cher...

La solution de Microsoft, SUS, remplace avantageusement à mon sens celles que l'on trouve dans le commerce. La mise en place est relativement simple encore que la documentation puisse impressionner étant donné le nombre de possibilités de déploiement et de paramétrage. Il existe une solution plus évoluée de SUS (pour ce qui concerne la gestion des correctifs), c'est SMS (Systems Management Server).

En gros, voilà ce qu'il s'agira de faire : installer et déployer SUS sur un serveur, puis paramétrer les stations de travail. Attention, je m'abstiendrais ici de traiter SUS dans le cadre d'un grand réseau doté de plusieurs serveurs répartis sur plusieurs sites avec notamment les problèmes d'équilibrage de charge réseau ("load balancing") ou les réseaux qui emploient Systems Management Server. Ici, on s'adresse aux particuliers qui disposent d'un petit réseau et/ou aux entreprises dotées d'un réseau relativement simple où le serveur SUS sera physiquement présent sur le même site que les stations (mais on rappellera que le déploiement et le fonctionnement de SUS sont très souples et tolèrent un grand nombre de configurations réseau).

A) Eléments requis :

System Update Services tourne sur toute machine équipée de Windows 2000 Server SP2 et bien sûr des versions .NET (Windows 2003 Server si on peut dire). N'allez pas imaginer pouvoir faire fonctionner SUS dans le cadre d'un réseau poste à poste où toutes les machines tourneraient sous Windows XP ou 2000. Il faut un OS serveur.

Question performances, Microsoft recommande un PIII 733 MHz doté de 512 Mo de RAM et de 5 à 6 Go d'espace disque disponible. Il s'agit là d'une configuration pour environ 15.000 postes...

Bref, ce qu'il vous faut pour votre serveur c'est :
- Windows 2000 Server SP2 et plus;
- Internet Information Service (IIS) 5.0 et plus;
- Internet Exxplorer 5.5 et plus;
- Une partition NTFS pour SUS.

Sachez enfin que SUS n'a pas besoin d'être installé tout seul sur son serveur. Il fonctionne parfaitement avec d'autres applications comme SharePoint par exemple et ne va pas mettre la pagaille dans les sites Web hébergés sur votre serveur.

B) Installation :

C'est bête à dire mais assurez-vous tout de même que votre serveur est lui-même pourvu des derniers correctifs disponibles avant d'installer SUS. Commencez par télécharger SUS Service Pack 1. C'est un exécutable de 33 Mo. Vous copiez ce fichier sur le serveur sur lequel vous allez installer SUS. Pendant l'installation proprement dite on peut affiner les paramètres d'installation, mais il est également possible de le faire après. L'interface de gestion de SUS permet d'effectuer les changements nécessaires.

Lors de l'installation, deux URL vous seront données, la premières concernant celle que les poste clients devront "connaître" pour bénéficier du service (uniquement le nom du serveur), la seconde étant la page d'administration de SUS.

L'interface Web de l'administration de SUS est relativement ergonomique. Pour y accéder, l'URL est de type <nom_du_serveur>/SUSadmin. A partir de là, la première tâche à réaliser consistera à synchroniser le serveur avec les serveurs de Microsoft (ou avec un autre serveur SUS lui-même se synchronisant sur les sites de MS, etc.). Par la suite, vous aurez pour principale occupation d'approuver ou non les correctifs téléchargés et leurs mises à jour éventuelles avant toute distribution automatique sur les postes clients.

a) Création du point de distribution

On parle ici de l'endroit sur votre serveur où vont être stockés les correctifs téléchargés. Il faut donc prévoir de la place car il ne saurait être question, par définition, de le modifier sans cesse. Lors de l'installation de SUS, le répertoire par défaut est un sous-dossier du site Web par défaut tournant sur le port 80. L'utilisation du port 80 pour SUS est obligatoire.

Pour modifier manuellement le point de distribution, on passe par la console d'administration de IIS en repérant le dossier "content". Faites un clic droit dessus et choisissez l'endroit où seront désormais stockés les correctifs. Nul besoin que ce point de distribution se trouve sur le même serveur que SUS. Ici, comme l'illustre la capture ci-contre, j'ai choisi le disque D:\ du même serveur mais on aurait très bien pu indiquer une ressource partagée sur un autre serveur par exemple.

Les fichiers  Aucatalog1.cab, Aurtf1.cab et approveditems.txt qui sont sous le dossier content doivent être copiés dans le répertoire racine du site web par défaut du serveur SUS.

Le point de distribution ainsi créé est désormais apte à recevoir les correctifs téléchargés.

b) Paramétrage de SUS

Lancez l'interface d'administration de SUS via votre navigateur Web. Vous n'y aurez accès qu'à condition d'avoir les droits d'administrateur sur le serveur faisant tourner SUS.

Cliquez tout de suite sur le lien "Set Options". Là, vous aurez un aperçu de vos paramétrages, notamment l'URL du serveur SUS, les paramètres proxy éventuels, la faculté de télécharger ou non les correctifs, etc. Pensez à votre espace disque et, en fonction de vos besoin, ne sélectionnez que les correctifs dans les langues qui vous intéressent. Il est bien évidemment inutile de demander à SUS de synchroniser tous les correctifs de toutes les langues si vos poste clients ne fonctionnent que sous une seule langue. Par précaution, j'ai choisi le français et l'anglais.

Vous allez indiquer là également si les mises à jour des correctifs sont automatiquement validées par vous ou pas. Lorsque SUS télécharge les correctifs (quand il se synchronise), il stocke aussi bien les nouveaux correctifs que les mises à jour desdits correctifs. Si vous avez préalablement validé un correctif, SUS vous permet d'autoriser la validation automatique du même correctif mais dans une version plus récente. Tant qu'un correctif ou sa mise à jour ne sont pas validés par vous, il ne peut y avoir de téléchargement sur les postes clients.

c) La Synchronisation

Cliquez sur le lien Synchronize Server. Vous avez le choix entre une synchronisation manuelle ou automatique, cette dernière vous permettant de définir la base journalière ou hebdomadaire de l'opération. Commencez par définir vos options.

Ensuite, cliquez sur le bouton "Synchronize Now". Le téléchargement va commencer et comme il s'agit de la première fois, cela va être long. Comptez à peu près 300 Mo pour des correctifs en deux langues.

Une fois l'opération de première synchronisation réalisée et à l'avenir vous vous contenterez surtout d'aller cliquer sur le lien "Approve Updates". C'est ici que sont listés les correctifs téléchargés, les correctifs mis à jour et ceux d'entre eux qui sont approuvés ou non. Vous voyez dans l'illustration ci-contre que des correctifs sont nouveaux (et non approuvés) alors que d'autres sont déjà approuvés mais mis à jour ("updated"). Lorsque vous souhaitez approuver un correctif, vous cochez la case correspondante. Evidemment, après la première synchronisation, la liste des correctifs à approuver sera particulièrement longue, mais par la suite, sur la base par exemple d'une vérification hebdomadaire, la tâche sera beaucoup plus simple.

d) Vérification de la Synchronisation

Toujours depuis l'interface d'administration, il est possible d'accéder au "logs" de l'activité de SUS. On aura ainsi un aperçu des synchronisations effectuées par le serveur et des approbations faites pour les correctifs et mises à jour de correctifs. Si l'on a  par exemple choisi, comme je l'ai fait, d'approuver automatiquement les mises à jour de correctifs (mais pas les correctifs nouveaux), cela peut être utile.

L'ennui est que l'interface est peu explicite en soi et surtout qu'elle ne permet pas de savoir quelles sont les machines du réseau, et selon quelle fréquence, elles se sont connectées sur votre serveur SUS. Pour avoir un accès plus pertinent à ces informations, il faut configurer IIS sur le serveur SUS.

Ouvrez la console d'administration de IIS et éditez les propriétés du Site Web par Défaut ("Default Web Site"). Cliquez sur Propriétés et dans la boite de dialogue qui apparaît vous indiquez l'endroit où vous souhaitez que les fichiers logs (alias fichiers de journalisation) soient stockés. Le répertoire de stockage par défaut est %WINDOWS%/system32/LogFiles/W3SVCx.

Si vous souhaitez ne générer que l'activité propre aux stations clientes de SUS, en plus de l'étape ci-dessus, vous éditez les propriétés du Site Web par Défaut, vous cliquez sur l'onglet Home Directory et vous décochez l'option "log visits". Ensuite, sur le panneau de droite de la console IIS, vous verrez le fichier wutrack.bin. Faites un clic droit dessus, choisissez Propriétés et cochez la case "Log visits". De cette manière, seule sera enregistrée l'activité des stations clientes de votre réseau relativement au service Automatic Update. Ces fichiers sont interprétables graphiquement par la plupart des logiciels d'analyse de fichiers logs.

a) Installation du client de mises à jour automatiques

Toutes les machines équipées de Windows XP SP1 ou Windows 2000 SP3 disposent du client de mises à jour automatiques idoine.

Sinon, pour les stations françaises tournant sous Windows XP ou 2000 SP3, le client (WUAU22) est téléchargeable sur le site de Microsoft. Il s'agit d'un fichier MSI. Pour vérifier que vous possédez une version idoine, éditez les propriétés du fichier wuaueng.dll qui se trouve dans %Windir%\System32\. Si le numéro de version est égal ou supérieur à 5.4.3630.2550 vous avez une bonne version.

b) Paramétrage du client

Plusieurs solutions s'offrent à vous, la plus globale me semble t-il étant de recourir aux stratégies de groupe (Group Policy). Sur un tout petit réseau constitué de quelques postes, il vous sera toutefois possible de modifier la base de registre des postes clients. Mais au bout d'un certain nombres de stations, l'opération s'avère très rapidement fastidieuse et source d'erreurs.

1 - Stratégies de groupe dans un domaine (Active Directory) :

Si vous possédez les droits nécessaires, lancez la console d'administration Active Directory.

Il n'est peut-être pas inutile de vous rappeler que la puissance de cet outil requiert une attention particulière lorsque vous faites vos manipulations.

Une fois la console affichée, faites un clic droit sur le domaine ou l'unité d'organisation auxquels vous allez appliquer la nouvelle stratégie de groupe. Cliquez ensuite sur l'onglet Stratégie de Groupe (Group Policy), puis sur Nouveau (New). Donnez un nom à la nouvelle stratégie ("SUS Autoupdate" dans mon cas) et enfin cliquez sur Modifier (Edit).

Une nouvelle boite de dialogue apparaît qui lance la console spécifique de stratégie de groupe pour la nouvelle stratégie que l'on veut définir. Que ce soit sous Configuration Ordinateurs ou Configuration Utilisateur (Computer Settings ou User Settings), faites un clic droit sur Modèles d'administration (Administrative templates). Sélectionnez Ajout/Suppression de Modèles et cliquez sur Ajouter. Vous devez alors sélectionner le modèle du client Automatic Update qui se trouve dans %windir%\inf\WUAU.adm. Cliquez sur le bouton Fermer pour que le modèle soit chargé.

2 - Stratégies de groupe locale :

La manipulation est sensiblement la même que pour Active Directory. On lance la console de stratégie de groupe Gpedit.msc (Démarrer | Exécuter : gpedit.msc). Sous la rubrique Configuration Ordinateur, faites un clic droit sur Modèles d'administration (Administrative templates). Sélectionnez Ajout/Suppression de Modèles et cliquez sur Ajouter. Vous devez alors sélectionner le modèle du client Automatic Update qui se trouve dans %windir%\inf\WUAU.adm. Cliquez sur le bouton Fermer pour que le modèle soit chargé.

Ici, je ne fais plus la distinction entre une configuration via la console de Stratégie Locale ou via celle d'Active Directory. Nous aurons en effet accès aux mêmes stratégies.

Toujours à travers votre console d'administration, dérouler la rubrique Configuration Ordinateur, puis Modèles d'Administration. Cliquez sur Composants Windows puis sur Windows Update. Vous voyez alors deux stratégies que vous pouvez définir et activer. La première, Configuration du Service Mises à Jour Automatiques et la seconde Spécifier l'emplacement intranet du service de mise à jour Microsoft.

a) Configuration du service de mise à jour

Comme pour toute stratégie, il existe trois états (Non configuré, Activé et Désactivé). A partir du moment où la stratégie est activée, nous avons trois options possibles pour cette stratégie.

b) Spécification du serveur intranet

Cette stratégie ne fonctionne que si la précédente est activée. Le serveur en cause c'est celui qui héberge SUS. On spécifie l'adresse sous la forme http://<nom_du_serveur. C'est tout. Le serveur fonctionne comme un service de mises à jour interne et c'est sur ce serveur que les clients Automatic Updates des stations XP et 2000 rechercheront toutes les mises à jour disponibles, validées par vous.

Le deuxième champ, "configuration du serveur intranet de statistiques" est généralement le même que celui qui héberge SUS. C'est lui qui va vous permettre d'analyser les logs (voir plus haut), les requêtes réussies ou échouées des postes clients.
 


 

Mis en ligne le 20 février 2003 / Dernière modification : 13-04-2003