Passer en revue les options de déploiement des serveurs Windows Server Update Services
Avant d’installer et de configurer les serveurs WSUS (Windows Server Update Services), vous devez réfléchir à la façon de déployer WSUS dans votre environnement. Les implémentations de WSUS varient en taille et en configuration selon votre environnement réseau et le mode de gestion des mises à jour que vous souhaitez. Vous pouvez avoir un seul serveur WSUS pour votre organisation entière, plusieurs serveurs WSUS qui agissent indépendamment ou plusieurs serveurs WSUS connectés les uns aux autres dans une hiérarchie.
Serveur WSUS unique
L’implémentation la plus basique de WSUS utilise un seul serveur WSUS dans votre réseau. Ce serveur se connecte à Microsoft Update et télécharge les mises à jour via le pare-feu. Le serveur WSUS utilise le port 8530 pour la communication HTTP et le port 8531 pour HTTPS, au lieu des ports 80 et 443 par défaut, respectivement. Vous devez vous assurer que votre pare-feu a les règles nécessaires pour autoriser le serveur à se connecter à Microsoft Update. Ce scénario basique est couramment utilisé pour les petits réseaux qui ont un seul emplacement physique.
Plusieurs serveurs WSUS
Si votre environnement se compose de plusieurs emplacements physiques isolés, vous aurez probablement besoin d’implémenter un serveur WSUS dans chaque emplacement. Dans ce scénario, chaque serveur WSUS a sa propre connexion à Internet pour télécharger les mises à jour de Microsoft Update.
Même si cette option est valable, elle demande en substance plus d’efforts administratifs—en particulier si le nombre d’emplacements physiques augmente—parce que vous devez gérer chaque serveur WSUS indépendamment. Vous devez télécharger les mises à jour sur chaque serveur séparément, approuver les mises à jour sur chaque serveur individuellement et gérer les clients WSUS pour leur permettre de recevoir les mises à jour du bon serveur WSUS.
Les serveurs WSUS individuels fonctionnent bien pour les organisations qui ont un petit nombre d’emplacements physiques, où chaque emplacement physique a sa propre équipe de gestion informatique. Vous pouvez aussi utiliser ce scénario pour un emplacement physique qui a trop de clients pour un seul serveur WSUS à gérer, en plaçant plusieurs serveurs WSUS dans un cluster d’équilibrage de charge réseau (NLB).
Serveurs WSUS déconnectés
Un serveur WSUS déconnecté est un serveur qui ne se connecte pas à Microsoft Update sur Internet et qui ne reçoit pas non plus ses mises à jour d’un autre serveur du réseau. Ce serveur reçoit ses mises à jour d’un média amovible généré sur un autre serveur WSUS.
Un serveur WSUS déconnecté est le plus souvent utilisé dans les environnements réseau isolés sans accès Internet, comme dans certains environnements sous haute sécurité. Vous pouvez utiliser un serveur WSUS dans un autre emplacement à synchroniser avec Microsoft Update, exporter les mises à jour vers un média portable, puis transporter le média portable vers l’emplacement distant pour l’importer dans le serveur WSUS déconnecté.
Hiérarchies de serveurs WSUS
Tous les scénarios dont nous avons parlé jusqu’ici concernent un serveur WSUS géré indépendamment qui se connecte directement à Microsoft Update ou reçoit ses mises à jour en mode déconnecté. Toutefois, dans les organisations plus grandes qui ont plusieurs emplacements physiques, vous voudrez probablement avoir la possibilité de synchroniser avec Microsoft Update sur un serveur. Vous voudrez aussi certainement pousser les mises à jour vers les serveurs à différents emplacements de votre réseau et approuver les mises à jour à partir d’un seul emplacement.
Les hiérarchies des serveurs WSUS vous permettent de :
Télécharger les mises à jour vers les serveurs qui sont plus près des clients, comme les serveurs des succursales.
Télécharger les mises à jour une fois vers un seul serveur, puis répliquer les mises à jour sur votre réseau sur d’autres serveurs.
Séparer les serveurs WSUS en fonction de la langue utilisée par leurs clients.
Mettre à l’échelle les serveurs WSUS d’une grande organisation qui a plus d’ordinateurs client que ne peut en gérer un seul serveur WSUS.
Dans une hiérarchie de serveurs WSUS, il existe deux types de serveurs :
Serveurs en amont. Les serveurs en amont se connectent directement à Microsoft Update pour récupérer les mises à jour, ou sont déconnectés et reçoivent les mises à jour en utilisant un média portable.
Serveurs en aval. Les serveurs en aval reçoivent les mises à jour d’un serveur en aval WSUS.
Vous pouvez configurer les serveurs en aval dans l’un des deux modes :
Mode autonome. Le mode autonome, ou administration distribuée, permet à un serveur en aval de recevoir les mises à jour d’un serveur en amont, mais permet aux administrateurs de gérer l’administration des mises à jour en local. Dans ce scénario, le serveur en aval gère son propre groupe d’ordinateurs et les mises à jour peuvent être approuvées indépendamment des paramètres d’approbation dans les serveurs en amont. Cela permet à un autre groupe d’administrateurs de gérer les mises à jour à partir de leur propre emplacement et d’utiliser uniquement le serveur en amont comme source des mises à jour téléchargeables.
Mode de réplica. Le mode de réplica, ou administration centralisée, permet à un serveur en aval de recevoir les mises à jour, les informations d’appartenance aux groupes d’ordinateurs et les approbations d’un serveur en amont. Dans ce scénario, un seul groupe d’administrateurs peut gérer les mises à jour de l’organisation toute entière. De plus, les serveurs en aval peuvent être placés dans différents bureaux physiques et recevoir toutes les mises à jour et les données de gestion d’un serveur en amont.
Vous pouvez avoir plusieurs couches dans votre hiérarchie WSUS. Vous pouvez configurer certains de vos serveurs en aval pour utiliser le mode autonome et vous pouvez utiliser le mode de réplica pour configurer les autres serveurs. Par exemple, vous pouvez avoir un seul serveur en amont connecté à Microsoft Update qui télécharge les mises à jour pour votre organisation toute entière. Vous pouvez avoir deux autres serveurs en aval en mode autonome, un qui gère les mises à jour de tous les ordinateurs exécutant les logiciels en anglais, et un autre pour tous les ordinateurs exécutant les logiciels en espagnol. Enfin, vous pouvez avoir un autre groupe de serveurs en aval qui reçoivent leurs mises à jour des serveurs WSUS de niveau intermédiaire configurés en mode de réplica. Il s’agit des vrais serveurs desquels les clients reçoivent les mises à jour, mais toute la gestion est effectuée au niveau intermédiaire.
[NOTE] Vous pouvez configurer des serveurs en aval pour télécharger les métadonnées des informations de mise à jour à partir d’un serveur en amont, mais pour télécharger les vraies mises à jour à partir de Microsoft Update. Il s’agit d’une configuration courante lorsque les serveurs en aval ont une bonne connectivité Internet et que vous souhaitez réduire le trafic WAN.