Archive

Posts Tagged ‘WSUS’

Comment mettre à jour une machine virtuelle Windows 7 de référence ou une image WIM capturée en mode offline ?

windows 7 Bonjour à toutes et à tous,

Je voulais vous faire part d’une manière de mettre à jour une machine de référence ou une image WIM capturée, afin de la déployer ensuite à travers votre solution de déploiement (MDT ou SCCM 2012).

Je déclinerais en deux parties cet article rapide :
– Intégration facile de toutes les mises à jour avant capture de votre machine de références
– Intégration Offline de toutes les mises à jour au sein de votre image WIM déjà capturée

Note : Bien sûr nous avons des solutions comme MDT voire même SCCM 2012 pour faire cette opération. Notamment avec la séquence de tâches Build & Capture des deux solutions. Mais voyons comment intégrer une 3ème possibilité.

Pré requis

Pour les deux méthodes, nous utiliserons l’outil WSUS Offline Update, disponible ici.

En effet, cet outil est excellent pour notre démonstration. Il a le mérite de proposer une interface et d’automatiser l’ensemble des opérations voulues. Mais surtout de vérifier la cohérence entre les différentes installations et les différentes dépendances.

L’idée ou scénario

Imaginons que vous n’ayez pas accès à Internet depuis votre environnement d’industrialisation. Que votre WSUS de production n’a pas toutes des mises à jour approuvées que vous désirez intégrer dans votre image Windows 7…

L’idée ou l’approche est de faire une détection et une récupération de toutes les mises jour, depuis une machine A, ayant elle accès à Internet et venant d’être fraichement installée avec votre dernière image WIM entreprise sous Windows 7, via l’outil WSUS Offline Update.

Afin ensuite d’injecter les mises à jour récupérer, selon les méthodes 1 ou 2A savoir que pour la méthode 1, nécessite l’utilisation d’une machine B virtuelle, en mode Audit de Sysprep.exe, dans le but d’en capturer le résultat (Image WIM).

Autre point : Le redémarrage du poste ou de la machine virtuelle est bien souvent un pré requis aux installations des patchs. C’est généralement un pré requis à l’installation d’autres mises à jour qui ne peuvent s’installer sans un reboot du poste. Dans ce cas, la méthode 1 s’impose. A condition, de toujours rester en mode Audit de sysprep.exe

Méthode 1 : Intégration facile de toutes les mises à jour avant la capture votre machine de référence

1 – Installer dans une machine virtuelle A votre image WIM de Windows 7 Service Pack 1
2 – Une fois l’installation effectuée, passer en mode audit (CTRL+MAJ+F3)
3 – Décompresser / Copier les sources de WSUS Offline Update sur votre machine Win7
4 – Depuis les binaires de WSUS Offline Update, double-cliquer sur UpdatesGenerator.exe
5 – Dans le 1er onglet, sélectionner le type de mises à jour que vous désirez installer/intégrer

Dans mon cas :

image

6 – Cliquer sur Start et WSUS Offline Update se chargera de télécharger l’ensemble des mises à jour concernées. Celles-ci seront téléchargées et stockées : <Répertoire de WSUS Offline Updates Tool>\clients\GLB\..

7 – Une fois les mises à jour téléchargées, depuis votre machine A de référence , “Copier/Coller” toute la structure de répertoire de WSUS Offline Update sur votre machine B, elle aussi installer avec votre dernière version de votre Image Windows 7.

8 – Une fois fait, aller dans le répertoire de WSUS Offline Update puis dans ..\Client

8 – Double-cliquer sur UpdateInstaller.exe

image

L’outil WSUS Offline Update se chargera de faire alors une détection des mises à jour à installer sur le poste ou machine B et les installera le cas échéant. Redémarrer à chaque fois que nécessaire (jusqu’à épuisement des patchs Microsoft)

IMPORTANT : Pour chaque redémarrage lié à l’installation des patchs de sécurité, veillez bien à déclencher le reboot de votre machine B en utilisant l’interface de Sysprep. Celui-ci et en mode audit vous sera toujours présenté.

image

Un mot sur le mode Audit du Sysprep.exe

Le mode audit est utilisé par les OEM et les sociétés dans le but d’ajouter des personnalisations à leurs images Windows. Le mode audit ne nécessite pas l’application de paramètres dans les écrans d’accueil de Windows.

En contournant les écrans d’accueil de Windows, vous accédez plus rapidement au Bureau pour effectuer vos personnalisations. Vous pouvez ainsi ajouter des pilotes de périphériques supplémentaires, installer des applications et tester la validité de l’installation.

Les OEM et les sociétés doivent utiliser le mode audit pour réaliser leurs personnalisations manuelles avant d’expédier l’ordinateur à l’utilisateur final.

Note : Si vous utilisez la commande sysprep/audit pour démarrer en mode audit, l’ordinateur sera supprimé du domaine. Vous devez réassocier l’ordinateur à un domaine en mode audit

http://technet.microsoft.com/fr-fr/library/cc722413(v=ws.10).aspx 

8 – Une fois toutes les mises intégrées, vous n’avez plus qu’à sceller celle-ci en faisant un Sysprep.exe /OOBE /Generalize /Shutdown

9 – Vous l’avez plus qu’à capturer votre Machine B via Winpe (Boot CD ou PXE)

Autre conseil : Lorsque vous désirez faire une machine de référence dans le but d’en faire une capture, il est fortement recommandé de le faire dans une machine virtuelle. Cela évite d’embarquer dans votre capture le adhérences liées au matériel du poste physique utilisé (la HAL)

WSUS Offline Update

Au-delà du fait de pouvoir récupérer l’ensemble des mises à jour, cet outil vous permet des générer un format ISO, gère aussi les applicatifs et encore bien d’autre chose. Je vous invite à visiter la page suivante : http://www.wsusoffline.net/docs/

Méthode 2 : Intégration Offline de toutes les mises à jour au sein d’une image WIM de référence déjà capturée

Le concept reste le même, à ceci près que nous devons monter l’image WIM de référence puis y appliquer les mises à jour ainsi récupérer en amont. Mises à jour récupérer depuis une machine sur laquelle vous auriez installer votre image Windows 7 à la version actuelle. L’injection des mises à jour se fera grâce à l’outil DISM.exe.

Il vous faudra donc les outils ADK disponible chez Microsoft téléchargeable ici !

1 – Monter votre image dans un répertoire

DISM.exe /Mount-Wim /WimFile:[X:]\CaptureWin7Ref1.wim/index:1
/MountDir:"[X:]\OSD\Images\x64\Images\Mount"

2 – Injecter l’ensemble des mises à jour éligibles dans votre image WIM

DISM.exe /Image:[X:]\OSD\Images\x64\Images\Mount
/Add-Package /PackagePath:[X:]\wsusoffline\Client\w61-x64\GLB

3 – Sceller (Commit) en validant votre image WIM, mise à jour

DISM.exe /UnMount-Wim /MountDir:"[X:]\OSD\Images\x64\Images\Mount" /Commit

3 – Déployer votre nouvelle image dans un environnement virtuel pour valider sa viabilité

Enjoy !

avatar_thumb2 Michel PICOLLET
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :Windows Étiquettes : , , , , , , ,

SCCM – Désinstallation de Microsoft WSUS, impossible !

logo-sccm-20072

Comment forcer la désinstallation un serveur WSUS récalcitrant ?

Suite à un disfontionnement du rôle Software Update Point sur un site secondaire SCCM, vous vous rendez compte que WSUS n’est pas en très bonne santé. Vous vous confirmez le problème en ouvrant la console MMC de WSUS. Impossible de se connecter à la base SUSDB et de contacter le serveur WSUS.

Après un certain nombre de vérifications, etc. (Cf. L’article suivant) vous vous rendez compte qu’il vous faut désinstaller WSUS. Après le retrait du rôle dans SCCM, vous lancez la désinstallation WSUS. Mais impossible d’aboutir ! L’assistant tombe sur une erreur fatale !

Il vous est donc impossible de continuer vos investigations de réparation. Même après un démarrage du dit serveur.

Lorsque vous consultez l’Event Log de Windows/Applications, vous constatez donc l’erreur 1001, et en consultant les fichiers de Logs, vous voyez l’erreur : 0x80070643

image

Deux actions sont à mener :

1 – Désinstallation manuellement la base MSDE
Passer en ligne de commande avec les droits d’administrateur Local, puis passer la ligne de commande en fonction de votre version d’OS (x86 ou x64)

Pour Microsoft Windows 2008 R2 x86
msiexec /x {CEB5780F-1A70-44A9-850F-DE6C4F6AA8FB} CALLERID=ocsetup.exe

Pour Microsoft Windows 2008 R2 x64
msiexec /x {BDD79957-5801-4A2D-B09E-852E7FA64D01} CALLERID=ocsetup.exe

2 – Modifier la clé de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup
Mettre à 0 la valeur de la clé wYukonInstalled

Redémarrer la serveur si nécessaire…

Puis relancer la désinstallation de WSUS… Cela devrait passer !

Sources m’ayant aidé dans ma démarche :
http://support.microsoft.com/kb/920660
http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/9c565dbf-3c1f-4385-8daa-9cd049a5f322/

Enjoy !

PS : Je dédie ce post à mon amis et collégue, Gilles du Support d’EXAKIS

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , ,

SCCM – Impossible pour WSUS de synchroniser le catalogue des mises à jour Microsoft ou SUP inopérant

logo-sccm-20072

Bonjour à tous,

Vous avez des problèmes et constatez l’erreur suivante dans le fichier de Log : wsyncmgr.log

Sync failed: WSUS server not configured. Source: CWSyncMgr :: DoSync

Cependant, le fichier de contrôle WSUSCtrl.log vous indique que la connexion au service et à la base SQL s’est effectuée avec succès vous indiquant les messages suivants :

• Successfully connected to local WSUS server
• Successfully checked database connection on WSUS server <SUPServerName>

De plus, vous constatez des erreurs de connexion au site IIS de WSUS dans le fichier de log WCM.log avec le message suivant :

System.Net.WebException: The request failed with HTTP status 403: Forbidden.~~ at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)~~ at Microsoft.UpdateServices.Administration.AdminProxy.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)~~ at Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber

Step 1 – http://technet.microsoft.com/fr-fr/library/bb735874.aspx

Step 2 – http://social.technet.microsoft.com/forums/en-US/configmgrsum/thread/0c95dae5-97a2-4ae1-a5d4-12a52e2719ee/

Note : Si vous utilisez FEP (Forefront Enpoint Protection) dans sa version TMG, il se peut que celui-ci bloque le serveur SCCM pour communiquer avec le serveur WSUS (Et ceci même si les 2 rôles sont hébergés sur le même serveur physique). Il faut dans ce cas donner l’autorisation au serveur SCCM de piloter et donc de communiquer avec le serveur WSUS dans TMG via le protocole http

Une désinstallation du rôle SUP (software Update Point) et de Microsoft WSUS peut être la dernière solution.

Les étapes sont :

1. Désinstallation du rôle SUP dans ConfigMgr
2. Désinstallation de Microsoft WSUS 2.0 (SP1 ou SP2)
3. Redémarrage du serveur
4. Réinstallation de Microsoft WSUS 2.0 (SP1 ou SP2) avec les recommandations, plus bas dans ce post
5. Configuration de Microsoft IIS 6.0 ou 7.0 pour utiliser le SSL
6. Réactivation du rôle SUP (software Update Point) dans SCCM en spécifiant bien les ports de communication IIS

Consultation des fichiers logs dans cet ordre, se trouvant dans le répertoire Logs de ConfigMgr

SUPSetup.log : Fichier de log de l’installation du rôle SUP dans ConfigMgr (SCCM)
WCM.log : Fichier de log du composant WSUS
WSUSCtrl.log : Fichier de log de contrôle de rôle SUP
wsyncmgr.log : Fichier de log de synchronisation du catalogue des MàJ

Recommandations

Pour une utilisation de WSUS dans Microsoft SCCM, il est conseillé d’installer Microsoft WSUS sur un site web dédié : WSUS Administration. Contrairement à ce qui est indiqué dans l’interface d’installation de WSUS… (Voir la figure ci-contre…) Choix à faire lors de l’installation de WSUS pour une utilisation des SCCM 2007 : Create a Windows Server Update Services 3.0 SP2 Web Site

Configuration de Microsoft IIS 7.0

Voici la structure de Microsoft IIS 7.0 une fois l’installation de WSUS terminée. Les flèches indiquent les répertoires virtuels que vous devez configurer en SSL Require / Ignore pour l’utilisation en SSL (8531). Pour une utilisation de SSL, vous devez bien sûr configurer le Bindings comme suit avec un certificat valide et conforme pour SCCM (plus bas) (Ne pas spécifier d’adresse IP vous devez avoir *)

Commande WSUSUtil.exe pour utiliser le SSL et Proxy

N’oubliez pas de passer la commande suivante pour une utilisation de SSL avec WSUS :

C:\Program Files\Update Services\Tools\wsusutil.exe configuressl WSUSServerName.FQDN

Exemple :
C:\Program Files\Update Services\Tools>wsusutil.exe configuressl server2.domain.lab
URL : https://server2.domaine.lab:8531

Pour finir, si vous utilisez un compte Proxy, n’oubliez pas de passer la commande suivante:

C:\Program Files\Update Services\Tools> wsusutil.exe configuresslproxy <ssl_proxy_ip_or_name> <port> –enable

Activation du rôle Software Update Point dans Microsoft SCCM 2007

Dans SCCM, vérifier bien ou spécifier bien les ports de communication en fonction de votre configuration Microsoft WSUS et IIS. Dans le cas de l’utilisation d’un site Web IIS dédié à WSUS les ports à renseigner sont :

– http : 8530
– https : 8531

Bon courage !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , , ,

WSUS – Script PowerShell d’installation automatisée de Microsoft WSUS 3.0 SPX pour Microsoft SCCM (ou Standalone)

février 25, 2011 5 commentaires

images

Bonjour à tous,
Voici pour ceux qu’ils veulent gagner du temps sur les temps d’installations, un script PowerShell qui installe Microsoft WSUS 3.0 spx de manière automatique.
Dans cette « livraison », se trouve le reportviewer.exe (2008) dont aurait besoin Microsoft WSUS 3.0 (dans .\Sources\WSUS). Le script l’installera de manière automatique, si celui-ci est présent dans le répertoire source…

Utilisation du script

Trois façons d’utiliser le script…
Usage du script -> .\inst-wsus-vx.x.ps1 [arg..]

.\i-mswsus-vx.x.ps1 -wsusOsql :
Installation de WSUS avec l’utilisation de Microsoft SQL [Node1]

.\i-mswsus-vx.x.ps1 -wsusOnlb :
Installation de WSUS en NLB avec l’utilisation de Microsoft SQL [Node2]

.\i-mswsus-vx.x.ps1 -wsusOsqlexpr :
Installation de WSUS avec l’utilisation de Microsoft SQL Express

.\i-mswsus-vx.x.ps1 -iisforwsus :
Installation de Microsoft IIS 7.0 pour Microsoft WSUS 3.0 spx

Pour l’usage du script, utiliser la commande suivante pour avoir l’aide :
.\i-mswsus-vx.x.ps1 –help

clip_image003

Configuration en NLB

Pour la commande : .\i-mswsus-vx.x.ps1 –wsusOnlb

Installer WSUS en cluster NLB

1. Installer Microsoft SQL sur un serveur dédié [par ex. Server1]

2. Passer la commande : .\i-mswsus-vx.x.ps1 –wsusOsql
pour installer WSUS sur votre autre serveur dédié WSUS [1er nœud NLB] [par ex. Server2]

3. Passer la commande : .\i-mswsus-vx.x.ps1 –wsusOnlb
pour installer WSUS (sans base SQL) sur un autre serveur [2ème nœud NLB] [par ex. Server3]

4. [Server1] – Configurer le répertoire virtuel Content dans Microsoft IIS, afin de pointer sur le partage DFS (ou autre)

5. [Server1] – Passer la commande : %ProgramFiles%\Update Service\Tools\wsusutil.exe MoveContent \\[DFS]Server\ShareName Log

6. etc.

Ceci n’est le sujet du présent mail, mai toute la procédure est là : http://technet.microsoft.com/en-us/library/cc708533(WS.10).aspx

NOTE : Vous devez créer un partage qui sera accessible par tous les serveurs WSUS frontaux. Même si vous ne stocker pas les mises à jour en local vous aurez besoin d’un emplacement pour les fichiers de type DFS : Distributed File System (ou autre). Cependant, il n’est pas nécessaire de mettre en place un partage DFS avec un cluster NLB, il est possible d’utiliser un partage classique et d’assurer une tolérance de panne à l’aide de la technologie RAID.

Microsoft IIS

Pour la commande : .\i-mswsus-vx.x.ps1 –iisforwsus

Le script PowerShell génère de manière automatique, à la volée le fichier XML de réponse qui sera dans la foulé utilisé avec le Switch –IISforWSUS pour l’installation des rôles serveur et notamment de Microsoft IIS 7.0

Autre fichiers de réponse

Le script s’appuie sur un fichier de réponse CSV que vous devez remplir ou modifier avant de lancer le script (représentant le contexte de votre environnement)

clip_image004

64pxwindows-powershell-icon Lien du script PowerShell

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , ,

SCCM – Comment activer (Auto-Approval) et utiliser les mises à jour de Microsoft Forefront 2010 ?

Voici la 3ème partie qui traite de l’aspect : Activation et gestion des mises à jour dans SCCM pour Microsoft Forefront 2010.

Ici les deux premières parties :

1 – Prérequis

Le Rôle Software Update Point doit être activé dans le site SCCM

image

Selection des mises à jour pour Microsoft Forefront 2010 (Security Client)

image   image

La synchronisation Software Update Point doit être activée

image

2 – Configuration de l’Auto-Approval dans Microsoft WSUS 3.x depuis la console

  • Ouvrir la console Microsoft WSUS et aller dans les options
  • sélectionner Automatic Approval dans la panneau central

image

  • Dans l’assistant, cocher la case When an update is in a specific
  • Cliquer ensuite sur Any Classifications pour When an update is in…
  • Puis sélectionner, Definition Updates, puis sur OK pour valider

image   image

  • Ensuite assurez-vous que All Computers pour la ligne Approval the update for est spécifier – Sinon, sélectionner All Computers (Cf. les 2 images suivantes)
  • Cliquer sur OK pour valider votre choix

image   image

  • Spécifier un nom pour la régle que vous venez de créer…
  • Puis cliquer sur OK pour valider et encore sur OK pour fermer l’assistant Automatic Approval

image   image

Fermer la console de Microsoft WSUS

3 – Actions dans la console SCCM

  • Ouvrir la console SCCM
  • Modifier le scheduler de synchronisation des mises à jour Microsoft afin de coller afin vos besoins versus la sortie des MàJ de Microsoft Forefront (Definiftion)

image

  • Exemple de modifications possibles

image   image

  • Puis déclencher une synchronisation de Software Update Point –> Clique-droit –> Run Synchronization sur l’item Update Repository dans Software Updates

image

NOTE : Vous pouvez aussi modifier depuis les options, la période des mises à jour dans la console WSUS et le nombre de synchronisations à effectuer par jour. (Cf. Ci-dessous)

image

image

NOTE : Normalement, Microsoft ne recommandait pas d’ouvrir et d’utiliser la console WSUS lorsqu’on utilisait SCCM. On ne devait absolument pas ouvrir la console… Les choses changent apparemment… 🙂 (Cf. Sources)

Sources : http://technet.microsoft.com/en-us/library/dd185652(printer).aspx

Microsoft Forefront Phasing

Enjoy !

Michel PICOLLET | EXAKIS Paris
Consultant Senior Microsoft [System Center]
mpicollet@event-horizon.emea.microsoftonline.com

%d blogueurs aiment cette page :