Administrer et maintenir Windows Server 2019
Vue d’ensemble de WSUS
Le rôle WSUS permet à un administrateur de centraliser l’administration des correctifs Microsoft. Ainsi, seuls les correctifs souhaités sont installés sur les postes de travail ou serveurs.
WSUS est inclus dans les systèmes d’exploitation serveur sous forme de rôle. Il est possible depuis WSUS de déployer des correctifs de type SQL Server, Office, Windows client, Windows Server…
En fonction de la taille de l’entreprise, et du nombre de postes ou serveurs, il est possible de mettre en place un ou plusieurs serveurs WSUS. Dans le cas d’une hiérarchie de serveurs, le serveur-maître pilote les autres serveurs de la hiérarchie. Dans ce cas, le serveur-maître se synchronise sur les serveurs de Microsoft, et les serveurs-fils viennent pour leur part récupérer les mises à jour depuis le serveur-maître. Par la suite, les ordinateurs clients et autres serveurs sont ajoutés au serveur WSUS. Ces derniers sont intégrés dans des groupes d’ordinateurs WSUS. Cela permet d’appliquer des mises à jour différentes en fonction des groupes. Une fois intégré à WSUS, le poste ou serveur transmet un rapport. Cette action permet à l’administrateur d’avoir un état sur les mises à jour installées qui doivent être installées ou celles en erreur.
1. Hiérarchie de serveur WSUS
Avant d’implémenter le rôle WSUS, il est très important...
Service WSUS
Le service WSUS, comme d’autres rôles dans Windows Server 2019, doit respecter certains prérequis.
1. Prérequis
Il est dans un premier temps nécessaire d’avoir le rôle IIS installé sur le serveur. Ce dernier est d’ailleurs installé automatiquement s’il n’est pas présent sur le serveur.
Comme pour IIS, .NET Framework 4.7 est automatiquement installé s’il n’est pas présent. Afin de pouvoir visualiser les rapports (état des mises à jour, état des postes…), le logiciel Microsoft Report Viewer Redistribuable 2012 doit être installé. Ce dernier n’est néanmoins pas un prérequis à l’installation et au fonctionnement de WSUS. S’il n’est pas présent, il n’est pas possible d’accéder aux rapports. SQL 2012 Feature pack est un prérequis pour Microsoft Report Viewer Redistribuable 2012.
Une base de données est nécessaire pour le fonctionnement de WSUS. Elle peut être de type base de données interne (WID - Windows Internal Database) ou SQL Server (2008 R2 avec SP1/SP2, 2012, 2014, 2016 ou 2017). Les éditions Standard, Enterprise ou Express peuvent être utilisées.
Concernant la partie matérielle, WSUS possède les mêmes prérequis que Windows Server. Néanmoins, l’espace disque doit lui permettre de stocker l’ensemble des métadonnées. En fonction du nombre de produits, de la classification et des langues, cette taille peut atteindre plus de 100 Go.
2. Configuration...
Paramètres de stratégie de groupe
Afin de configurer le client Windows Update des postes de travail et serveurs, il est nécessaire d’utiliser les stratégies de groupe. La liste ci-dessous est une partie des paramètres configurables pour WSUS.
-
Fréquence de détection des mises à jour : ce paramètre permet de définir quand la détection est effectuée.
-
Configuration de mise à jour : ce paramètre configure le client Windows Update. Il permet d’indiquer l’option d’installation souhaitée (option 3 : installation manuelle, option 4 : installation automatique et redémarrage si besoin…). Il est également possible de déterminer le jour et l’heure d’installation.
-
Autoriser le ciblage côté client : ce paramètre permet d’indiquer le groupe d’ordinateurs WSUS dans lequel le poste de travail ou serveur doit être ajouté.
-
Spécifier l’emplacement intranet du service de mise à jour Microsoft : avec ce paramètre, l’administrateur détermine le serveur WSUS qu’il est nécessaire de contacter. L’URL est de la forme http://FQDN:8530.
D’autres paramètres sont configurables par l’intermédiaire de GPO.
Maintenance de WSUS
La maintenance est un point important dans une infrastructure WSUS.
1. Rapports WSUS
Après avoir joint l’infrastructure WSUS, le poste de travail ou le serveur envoie son rapport d’état à son serveur WSUS. Cette opération est renouvelée à intervalles réguliers. Il est possible de trouver trois types de catégories différentes. Les rapports de mise à jour permettent à l’administrateur de simplifier la gestion quotidienne des mises à jour.
Il est ainsi aisé d’avoir un résumé sur le statut des mises à jour (en erreur, mise à jour nécessaire, utile pour des ordinateurs). Le statut détaillé des mises à jour permet à l’administrateur d’avoir un rapport détaillé. Chaque page du rapport permet de lister une mise à jour ainsi que les ordinateurs concernés.
Les rapports d’ordinateur permettent, eux, d’obtenir des informations sur les postes présents dans WSUS. Un résumé est disponible afin de valider très rapidement l’état des postes. Il est possible d’avoir des rapports plus détaillés. Le rapport représente pour chaque ordinateur l’état des mises à jour.
Enfin, le troisième type de rapports concerne la synchronisation.
2. Dépannage de l’infrastructure...
Mise en place de WSUS avec SSL
La mise en place du protocole SSL nécessite d’avoir une autorité de certification d’entreprise sur le réseau local. Un certificat autosigné peut également fonctionner. Il est néanmoins préférable d’utiliser une autorité de certification.
Une fois le certificat obtenu, il est nécessaire de procéder à la configuration du serveur à l’aide de la commande wsusutil.
L’installation de l’autorité de certification va dans un premier temps être effectuée. Le serveur qui aura ce rôle est AD1. Attention, en production, il est préférable d’installer le rôle sur un serveur qui n’est pas contrôleur de domaine.
1. Installation et configuration de l’autorité de certification
Sur le serveur AD1, accédez à la console Gestionnaire de serveur puis cliquez sur Ajouter des rôles et des fonctionnalités.
Dans la fenêtre Avant de commencer, cliquez sur Suivant.
Laissez cochée Installation basée sur un rôle ou une fonctionnalité dans la fenêtre Sélectionner le type d’installation.
Cliquez sur Suivant pour valider la destination.
Cochez le rôle Services de certificats Active Directory puis cliquez sur le bouton Ajouter les fonctionnalités dans la fenêtre qui s’affiche.
Laissez les Services de rôles par défaut et cliquez sur Suivant.
Cliquez sur Suivant puis sur Installer.
Depuis la console Gestionnaire de serveur, cliquez sur la zone de notification puis sur Lancer les tâches de post-installation. Pour cela, cliquez sur la notification (point d’exclamation noir dans triangle jaune).
Un assistant se lance, cliquez sur Suivant.
Cochez Autorité de certification puis cliquez sur Suivant.
L’autorité de certification qui va être installée est de type autorité de certification d’entreprise. Laissez coché le choix par défaut dans la fenêtre Type d’installation.
Laissez les choix par défaut dans les fenêtres suivantes puis lancez la configuration de l’autorité de certification. Les différentes fenêtres vont permettre la création de la clé...
Vue d’ensemble de Windows PowerShell DSC
Windows PowerShell DSC (Desired State Configuration) est un composant du Windows Management Framework. PowerShell 4.0. Les systèmes d’exploitation Windows Server 2012 R2 et Windows 8.1 ont été les premiers à introduire cette fonctionnalité. Cette dernière peut être utilisée pour administrer et maintenir un système, ceci en utilisant des configurations déclaratives. Ainsi, au lieu de créer le script qui exécute des actions de manière séquentielle, on déclare à PowerShell ce que l’on souhaite faire. Par la suite, l’infrastructure d’automatisation sous-jacente va prendre en charge la demande.
La différence entre les deux se situe au niveau de l’approche. Avec PowerShell, l’approche est impérative. Avec PowerShell DSC, elle est déclarative.
Ainsi, avec un script, on effectue la définition de comment une tâche doit être exécutée. Avec DSC, on définit ce qui doit être fait. La lecture d’un script peut être assez complexe alors que DSC permet une compréhension plus aisée.
La réexécution d’un script n’est pas automatique et doit être effectuée manuellement ou par le biais d’un outil. DSC réapplique la configuration si besoin.
Plusieurs prérequis...
Surveillance et dépannage des serveurs
Comme pour les versions précédentes, Windows Server 2019 contient nativement des outils pour la surveillance et le dépannage du système d’exploitation.
1. Gestionnaire de tâches
Le gestionnaire de tâches est un outil qui permet d’obtenir des informations sur un éventuel problème de performance. L’onglet Processus liste l’ensemble des programmes en cours d’exécution sur le serveur. Pour chacun des processus, l’administrateur a la possibilité de voir l’utilisation en mémoire et processeur. De plus, un résumé est fourni et concerne cette fois l’utilisation mémoire / processeur de l’ensemble des processus. Il est possible de mettre fin à un programme posant problème depuis cet onglet.
L’onglet Performance affiche un graphique sur l’utilisation des différents composants du serveur (mémoire, processeur, carte Ethernet). Des données (utilisation, temps de réponse moyen…) sont fournies à l’administrateur. Ces données sont utiles en cas de problème de performance.
L’onglet Utilisateurs est très pratique car il permet d’avoir un résumé des ressources (mémoire, processeur…) utilisées par l’utilisateur connecté. Il est également possible d’avoir une liste de l’ensemble des processus exécutés et l’utilisation des ressources pour chacun.
L’onglet Détails offre une liste de l’ensemble des processus en cours d’exécution. Pour chacun de ces processus, un lot d’information est fourni, comme le pourcentage d’utilisation du processeur, la mémoire ainsi que le nom d’utilisateur utilisé par le processus (nom de l’utilisateur ayant ouvert la session ou Système). Depuis cet onglet, il est possible de mettre fin à un processus ou de modifier sa priorité. Le changement de priorité influe sur les ressources processeur que le processus peut utiliser.
L’onglet Services fournit pour sa part la liste des services Windows. Il est possible de retrouver leur état (arrêté, en cours d’exécution). Il est possible depuis cet onglet de démarrer...