Dans ce tutoriel, nous allons voir comment déployer des applications (Firefox, Chrome, Agent Fusion, Java …) à l’aide du rôle WSUS et de WPP.
Pour rappel WSUS est un rôle Windows qui permet d’administrer les mises à jour des produits Microsoft au sein d’un parc informatique.
WPP (Wsus Package Publisher) va nous permettre d’ajouter des paquets personnalisés à déployer au travers de WSUS.
Prérequis
- Avoir un serveur WSUS fonctionnel.
- Maîtriser le fonctionnement du serveur WSUS.
- Maîtriser le déploiement de logiciel (installation silencieuse).
Installation de Wsus Package Publisher
WPP ne s’installe pas à proprement parler, téléchargement la dernière release puis décompresser l’archive sur le serveur WSUS.
Une fois l’archive décompressée, aller dans le dossier et exécuter le fichier Wsus Package Publisher.exe 1 pour lancer le programme.
Configuration de WPP
Dans cette partie, nous allons voir comment configurer WPP lors de son premier lancement. Exécuter le fichier Wsus Package Publisher.exe.
A la première ouverture, il va détecter que l’on est sur un serveur WSUS et mettre directement la connexion en favoris. Cliquer sur OK 1 pour fermer le message.
Dans la zone de connexion, on peut voir que le serveur a été ajouté 1, cliquer sur le bouton de connexion 2.
Certificat pour WPP
A la première connexion, un message s’affiche indiquant qu’il est nécessaire d’avoir un certificat. Cliquer sur OK 1 pour le fermer.
WPP a besoin d’un certificat pour signer les paquets qui vont être déployés par WSUS. Ce certificat devra ensuite être déployer sur les ordinateurs qui utilisent WSUS. Si le certificat n’est pas installé, les installations des logiciels déployés par WPP seront en échec.
Sur la console WPP, aller sur Tools 1 puis cliquer sur Certificate 2.
Cliquer sur le bouton Generate the certificate 1.
Une fenêtre s’affiche, confirmer la création du certificat en cliquant sur OK 1.
Un nouveau s’affiche pour confirmer que le certificat a été généré. Cliquer sur OK 1 pour fermer le message.
Redémarrer le serveur WSUS pour la prise en compte du certificat.
Configuration des clients
Maintenant que nous avons le certificat,il faut déployer celui-ci à l’aide d’une GPO. Le tutoriel : GPO : déployer un certificat vous explique comment faire, sauf qu’il mettre le certificat dans la magasin Éditeur approuvés 1.
Si vous utilisez le certificat autosigné, il peut être nécessaire également de le placer dans le magasin Autorité de certification racine de confiance.
Il est également nécessaire de modifier un paramètre de la stratégie de groupe qui distribue la configuration pour autoriser l’installation de mises à jour provenant de WSUS et non de Microsoft. Modifier la stratégie en allant à l’emplacement Configuration ordinateur / Stratégies / Modèle d’administration / Composant Windows / Windows Update. Faire un double clic sur Autoriser les mises à jour signées provenant d’un emplacement intranet du service de Mise à jour Microsoft. Activer 1 le paramètre.
Une fois que les clients auront les stratégies de groupe à jour, ils pourront installer des applications déployer à l’aide de WPP.
Rendre visible les applications WPP dans la console WSUS
Cette partie est facultatives, elle permet de configurer WPP de façon à rendre visible les programmes dans la console d’administration WSUS.
Depuis la console WPP, aller sur Outils 1 puis cliquer sur Paramètres.
Sur l’onglet Serveur 1, choisir l’option Toujours rendre la mise à jour visible dans la console Wsus. (La Base de données sera modifiée) 2 puis valider en cliquant sur OK 3.
Aller ensuite sur l’onglet Mises à jour 1 et cocher les deux caches 2 et cliquer sur OK 3. Pour la prise en compte des paramètres, il est nécessaire de fermer et d’ouvrir WPP.
Déployer une application avec WPP
Maintenant que WPP est configuré, nous allons voir comment déployer une application. Pour illustrer le tutoriel, nous allons voir comment déployer l’agent Fusion Inventory si celui-ci est déjà est présent sur le poste.
Ajouter une mise à jour
Depuis la console WPP, aller sur Mise à jour 1 et cliquer sur Créer une Mise à jour 2.
A la première fenêtre de l’assistant, il faut indiquer les fichiers nécessaires, indiquer l’emplacement du fichier 1 et cliquer sur Suivant 2.
Entrer les informations de la mise à jour, Editeur 1, Nom du produit 2, Titre 3 (celui-ci sera visible dans la console WSUS et sur les clients, entrer les paramètres d’installation si nécessaire 4 et cliquer sur Suivant 5.
Maintenant il faut configurer deux règles :
- Savoir si la mise à jour est déjà présente
- Savoir si la mise à jour doit être installée
Pour cela on va faire deux tests :
- Le fichier Uninstall.exe de l’agent est-il présent ?
- On va comparer la version de ce fichier pour savoir quelle version est installée.
Pour récupérer la version du fichier Uninstall.exe, sur un poste où celui-ci est déjà installé, il faut regarder dans les propriétés du fichier pour récupérer la version 1.
Règle pour savoir si la mise à jour est déjà installée
Choisir le type de règle Fichier existe 1 puis cliquer sur le bouton Ajouter 2.
Indiquer l’emplacement du fichier Uninstall.exe 1 et cliquer sur OK 2 pour ajouter la condition.
La condition est ajoutée 1. On va maintenant ajouter une seconde condition qui va vérifier la version du fichier Uninstall.exe. Dans type de règle, choisir Version de fichier 2 et cliquer sur le bouton Ajouter 3.
Indiquer l’emplacement du fichier à tester 1, l’opérateur de comparaison 2, entrer la version 3 et valider en cliquant sur Ok 4.
Afin de savoir si la mise à jour est déjà installé, on choisit l’opérateur Supérieure ou égal à, de cette façon si une version plus récente de l’agent est installé d’une autre façon, la version déployée par WSUS sera considérée comme déjà installée sur le poste.
Les deux conditions pour déterminer si la mise à jour est installée sont configurées 1, cliquer sur Suivant 2 pour passer au règle afin de savoir si la mise à jour doit être installée.
Règle pour savoir si la mise à jour est installable
Cette partie fonctionne de la même manière que pour la création des règles pour vérifier si la mise à jour est installée. On va ajouter les mêmes contrôles que la règle vu précédemment en changeant l’opérateur de comparaison pour la version du fichier, il faut utiliser l’opérateur inférieure à. Une fois les conditions ajoutées, cliquer sur Suivant 1.
Cliquer sur Publier 1.
Patienter pendant la génération du fichier et la publication…
La mise à jour est publiée, cliquer sur Ok 1 pour fermer l’assistant.
La mise à jour 1 disponible dans la console.
Administrer une mise à jour
Depuis les détails d’une mise à jour, il est possible de :
- Approuver : ce qui permet au ordinateur dans WSUS de l’installer.
- Refuser : arrête de l’installer.
- Expirer : la mise à jour n’est plus d’actualité
- Réviser : permet de modifier les conditions d’application de la mise à jour.
Approuver la mise à jour
Cliquer sur le bouton Approuver sur le détail de la mise à jour pour ouvrir une nouvelle fenêtre.
La fenêtre d’approbation est similaire à WSUS, utiliser les listes pour définir l’approbation 1 et cliquer sur Ok 2 pour valider.
Sur la vue de la mise à jour, on voit que celle-ci est maintenant est maintenant Approuvé 1.
Rapport
Sur les détails de la mise à jour, en allant sur l’onglet Rapport, il est possible d’avoir un aperçu du statut de la mise à jour.
La mise à jour dans WSUS et Windows Update
Console WSUS
Dans la console WSUS, on peut voir la mise à jour.
Client Windows Update
Dans la liste des mises à jour installées, on retrouve l’agent FusionInventory publié dans WPP.
Conclusion
Dans un environnement où l ensemble des ordinateurs et serveurs sont connectés à un serveur WSUS, WPP permet de mettre une solution de déploiement de logiciels et de mise à jour des logiciels gratuitement sans avoir besoin d installer d agent supplémentaire sur les ordinateurs.
En fonction de la configuration du serveur WSUS, il est même possible de déployer les mises à jour WPP sur les ordinateurs en dehors du réseau de l entreprise.
Dans ce tutoriel, seulement une partie de WPP a été abordé, les régles d application des mises à jour sont complètes et devrait pouvoir répondre à l ensemble des situations.