Media-center7.Fr

   Ce tuto se base en grande partie sur mon précèdent article. Très peu de choses changent pour installer WSUS sur WHS 2011.

 

   Ce tuto va vous présenter l’installation de Windows Serveur Update Service sur votre Home Server 2011.

   L’utilité d’une telle chose ? Vous avez au moins 2 PC connectés sur votre WHS 2011 ? Très bien, alors, au lieu de télécharger à chaque fois
   les mises à jour sur chacun de vos PC, plus ou moins rapidement selon votre vitesse de connexion, c’est votre WHS 2001 qui va désormais
   les télécharger une seule fois, et vos PC vont venir se servir sur votre WHS 2011, en locale, en 100 ou 1000 M/bits, selon la vitesse de votre réseau. Gain de temps indéniable sur un service pack de 250 ou 350 Mo, entre autre……..

ATTENTION : le WHS 2011 continuera d’aller prendre ces MAJ directement sur Microsoft Update. WHS étant un Windows Serveur 2008 modifié, il n’entre dans aucune des catégories reconnues par WSUS. C’est la seule exception car tous les autres logiciels Microsoft y figurent.

Avant de commencer, il faut vérifier que votre WHS 2011 à le minimum requis niveau matériel. Microsoft recommande pour WSUS la configuration minimum suivante : processeur 1.0 Ghz et 512 de RAM. Pour gérer WSUS sur un WHS 2011, je recommande plutôt un processeur 1.5 Ghz et 1.0 Go de RAM. Sur ma machine perso, un Athlon @ 2.1 Ghz double cœur et 4 Go de RAM, tout fonctionne à merveille.
Par contre, il faut prévoir un espace disque conséquent. D’ailleurs, l’installation ne se fera par sur votre disque C: mais sur D:. Pas de panique, il existe un utilitaire de nettoyage, ce qui évite de garder les MAJ en stock sur le WHS 2011 pour rien (chez moi, le ménage se fait automatiquement tout les 30 jours. On verra cela plus tard).

Les ingrédients pour une bonne recette ;-) :

• Avoir accès à une connexion Bureau à distance
• WSUS 3.0 x64 : Pas de panique, version US, mais il s’installe en FR
• Microsoft Framework 3.5 : requis pour Microsoft Report Viewer et recommandé pour WSUS
• Microsoft Report Viewer 2008 : requis pour WSUS
• Microsoft SQL Server Manager Studio Express : requis pour contrôler l’usage RAM de la base de donnée. Pas obligatoire, mais sans cela, WSUS utilisera toute la RAM dispo, et risque de ralentir votre serveur. Là aussi, on prend la version x64.
• Microsoft Core XML Service (MSXML) 6.0
• WSUS Cleanup Tool : comme son nom l’indique, fait le ménage
• Driver Decline Tool : vous en aurez besoin si vous avez activé les MAJ des drivers dans les options du WSUS. Il ferra le ménage là aussi.

Go !!!!!!!!!

Bon vous avez tout téléchargé ? Ok, allez, on copie tout ça sur le WHS 2011 et on se connecte à l’accès bureau à distance.

1. Configuration Installer Microsoft Report Viewer 2008. Laissez les options par défaut. Pas besoin de rebooter.
2. On passe aux choses sérieuses, ce pour quoi nous somme là : lancer l’installation de WSUS en cliquant sur le fichier télécharger précédemment.
3. A l’écran de sélection du mode d’installation, il faut prendre le mode complet, incluant la console administration.
   
   
4. Lisez bien les termes de la licence, et si c’est bon pour vous, acceptez et on continue ;-)
5. Par la suite, WSUS va vous demander où stocker les Updates. Sélectionnez stockage local.
   La partition C: de votre WHS ne dépassant pas les 60 Go, WSUS va vous proposer de stocker les MAJ directement sur D:\WSUS. Selon les réglages, vous aurez besoin de 30 à 150 Go d’espace de stockage. Vous pouvez accepter sans craintes cette configuration.
6. Pour les options de la base de données, laissez WSUS se débrouiller avec l’option Base de données Interne de Windows
   
   
7. Ensuite, choisissez de créer un site Web pour WSUS.
   
   
8. Vous êtes prêt, il ne reste plus qu’a valider toutes ces sélections. Et à rebooter une fois l’installation terminée.
9. La page finale de l’installation apparait, c’est bon, votre WSUS est installé. Reste à le configurer. Si tout ce passe bien, la console se lancera d’elle même, sinon, pas de panique, lancez la bête en manuel : Menu démarrer, Tous les programmes, Outils d’administration, Windows Serveur Update Services.
   Une fois lancée, allez directement dans le menu de gauche, et cliquez Options, Assistant de configuration du serveur WSUS. Validez toutes les options, jusqu’à ce que WSUS vous demande les langues à télécharger.

Configuration du langage de MAJ

A cet écran, WSUS vous demande dans quelles langues il doit télécharger les MAJ. Plus vous mettrez de langues, plus votre répertoire D:\WSUS sera gros. Inutile de télécharger des langues que vous n’utilisez pas. Les langues Anglais et Français sont en général bien suffisantes (ex : Anglais car si votre MCE tourne avec MyTV, vous avez SQL en US, donc, il vous faut bien les MAJ).

Configuration des produits à mettre à jour

Sur cet écran, vous devez choisir pour quels produits MS vous voulez télécharger les MAJ. A vous de voir quels softs MS vous possédez ;-) Bien sur, plus vous aurez choisi de produits, plus votre répertoire D:\WSUS va grossir, car pour chaque produits, WSUS va télécharger les MAJ dans les langues que vous avez précédemment choisies.

Configuration des classifications

Ici, vous avez les choix de ne prendre que les MAJ critiques, par exemples, ou que les MAJ de la sécurité, ou que les Service Pack, ou que…………

Configuration de la synchronisation

Bien, maintenant, à vous de choisir le mode de synchronisation qui vous convient. manuelle (bof) ou automatique (yeahhh !). Pour l’automatique, choisissez l’heure à laquelle votre WHS devra se synchroniser avec Microsoft Update, et la fréquence. Une fois par jour est bien suffisant.
Je vous recommande de lancer la synchronisation à une heure ou les WHS n’est pas trop sollicité, car selon le nombre de MAJ, le serveur peut ralentir un petit peu.

Fin de la configuration

Voilà, la configuration initiale du WSUS se termine. Il ne vous reste plus qu’a faire votre première synchronisation. Manuellement tout de suite (recommandé pour la suite du tuto), ou automatiquement en laissant WSUS se débrouiller avec ce que vous lui avez raconté tout au long de cette installation. Attention, selon le nombre de langues / de produits / de classification, la première synchronisation peut prendre quelques heures. Si si.

Rester alerté

L’option Notification par courrier électronique vous permet de savoir ce qui se passe sur votre WSUS en recevant par mail, tous les jours, un rapport d’état. Pratique.

En cas de besoin, vous pouvez reconfigurer certaines options de votre WSUS sans repasser par l’assistant complet.

Vous pouvez suivre l’avancement de votre synchronisation dans la console d’administration WSUS, menu de gauche, Synchronisation.

En attendant qu’elle se termine, nous allons préparer les autres PC du réseau. Ceux qui devront aller chercher leurs MAJ sur le WHS. Sachant que si vous partez 1 mois ou plus en vacances, loin de votre WHS, vous pourrez toujours profiter des MAJ de Microsoft Update. On verra plus loin comment (très très simple, en 3 clics de souris)

ATTENTION : pour activer WSUS sur votre PC (XP, Vista ou Seven), il faut modifier le registre. Si vous faites la moindre erreur, cela peut être fatal et vous obliger à réinstaller votre OS. Faites gaffe, et ne venez pas vous plaindre si vous ne suivez pas mes instructions ;-)

Copiez / collez ce petit texte dans un fichier que vous allez crée depuis le bloc note. Remplacez SERVEUR par le nom de VOTRE SERVEUR. Sauvegardez sous WSUS.reg puis deplacez le ficheir sur votre serveur, dans \\SERVEUR\Public\

Note: si vous êtes toujours en déplacement, loin de votre WHS et que vous avez crée votre nom de domaine en https://xxx.homeserver.com, vous pouvez remplacer SERVEUR par votre adresse https. Pensez alors à rediriger le port 8530 dans votre routeur.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

"WUServer"="http://SERVEUR:8530/"
"WUStatusServer"="http://SERVEUR:8530/"
"ElevateNonAdmins"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000005
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000000
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000005
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"RebootRelaunchTimeoutEnabled"=dword:00000000
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:00000005
"IncludeRecommendedUpdates"=dword:00000001
"AUPowerManagement"=dword:00000001

C’est bon ? Ok, allez vous placer devant le 1er PC à modifier, cherchez votre fichier sur \\SERVEUR\Public et exécutez le. Répondez OUI à l’avertissement de sécurité. Ensuite, lancez une console en mode commande (Menu démarrer, exécuter, CMD). Lancez la commande “GPUPDATE /force” qui aura pour effet de forcer le rafraichissement de votre stratégie d’utilisateur.

Répétez l’opération sur chacun des PC ayant besoin de prendre ses MAJ sur le WHS.

Créer un groupe d’ordinateur pour les MAJ

Les groupes d’ordinateurs sont une partie importantes de WSUS. Ils vous permettent de choisir quels PC doivent recevoir quelles MAJ. Indispensable pour une utilisation professionnelle, un peu moins de le cadre personnel. Mais bon, on va quand même les configurer ;-)

Dans la console d’administration WSUS, cliquer sur Ordinateurs, dans le menu, à droite. Puis, sur Tous les ordinateurs, click droit, Ajouter un groupe. Entrez le nom souhaité.

Utiliser la procédure suivante pour assigné un pc à un groupe :

1. Dans la console WSUS, cliquez sur Ordinateurs, puis Tous les ordinateurs
2. Dans la liste des PC présentés, sélectionnez celui auquel vous voulez attribuer un groupe
3. Clic droit, Modifier l’appartenance
4. Un pop-up s’ouvre, cochez le groupe voulu et validez

Note : un PC peut mettre 24h avant de se déclarer dans la console WSUS. Pas de panique donc, retentez votre chance plus tard.

Approbation et déploiement des MAJ

Votre WSUS télécharge les MAJ, c’est bien. Mais vous devez les approuver avant qu’elles ne soient distribuées aux PC les demandant. Nous allons automatiser cela, car si on devait se taper à la main l’approbation des MAJ, ou serait le progrès de posséder un WSUS à domicile ?????

1. Dans la console WSUS, cliquez sur Approbations automatique
2. Une règle existe déjà, cliquez sur Modifier
3. Modifiez les options selon vos besoin

Limitation de l’utilisation de la RAM par Windows Internal Database

Par défaut, Windows Internal Database, qui sert de base de données à WSUS, je le rappelle, occupe le maximum de mémoire disponible. Pas glop. Alors que 128, voir 256 Mo lui suffiraient largement.

Ici, vous aurez besoin d’installer Microsoft Core XML Service (MSXML) 6.0 et Microsoft SQL Server Manager Studio Express.

Via le menu démarrer de votre WHS, lancer Microsoft SQL Server Manager Studio Express (ouf…). Entrez “\\.\pipe\mssql$microsoft##ssee\sql\query” à la ligne Server name et validez.

Clic droit sur \\.\pipe\mssql$microsoft##ssee\sql\query puis Properties

Dans la case Maximum Server Memory, mettre 128. C’est largement suffisant. J’alimente 3 Pc en MAJ, et jamais le moindre ralentissement ne s’est fait sentir.

Validez et fermez SQL Management Studio. Le changement est immédiat et ne nécessite pas de reboot du serveur.

Maintenance du Windows Serveur Update Services, étape 1

Par défaut, Windows Serveur Update Services conserve l’ensemble des ses téléchargements. Bien ,mais très très gourmand en termes de stockage. Comme notre WHS à vocation à stocker autre chose que des patchs de sécurité, il va nous falloir faire un peu de ménage là dedans.
Nous allons le faire à travers 2 petits utilitaires, WSUS Cleanup Tool et Driver Decline Tool.

Décompressez les 2 exécutables, et allez les placer dans un répertoire WSUS_Cleanup_CL à la racine de votre disque C:

Puis, par le Menu démarrer, allez sur Panneau de configuration, Création d’une tache.  Allez chercher l’exécutable C:\WSUS_Cleanup_CL\WSUS_Cleanup_CL.exe puis réglez la planification sur Toute les semaines, pour régler la date et l’heure selon votre convenance. Entrer votre mot de passe Administrateur pour permettre l’exécution de la tâche planifiée. Validez, cochez la case Ouvrir les propriétés….. et validez.

Modifiez le chemin d’accès du programme inscrivant ceci : C:\WSUS_Cleanup_CL\WSUS_Cleanup_CL.exe serveur f 8530 all , ce qui aura pour effet de nettoyer votre WSUS, ayant pour nom serveur (modifiez cela selon le nom de votre serveur), se trouvant sur le port 8530 et all permet de demander un nettoyage de toutes les classifications.

Maintenance du Windows Serveur Update Services, étape 2, suite et fin

Dans l’étape 1, nous avons fait le ménage dans les MAJ, mais pas dans les drivers. Une nouvelle tache planifiée va gerer cela.

En toute logique, vous avez du décompresser  Driver Decline Tool dans le répertoire WSUS_Cleanup_CL à la racine de votre disque C:

Donc, depuis le Menu démarrer, allez sur Panneau de configuration, Création d’une tache.  Allez chercher l’exécutable C:\WSUS_Cleanup_CL\WSUS_Driver_Decline.exe puis régler la planification sur Toute les semaines, pour régler la date et l’heure selon votre convenance. Entrez votre mot de passe Administrateur pour permettre l’exécution de la tâche planifiée. Validez, et validez de nouveau.

Fini !!!! Ouf !!!! Votre WHS fait désormais office de WSUS !!! Bravo !!!!!