Planification pour l'installation du point de mise à jour logicielle

Article
12/19/2014

Mis à jour: octobre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Avant de créer le rôle de système de site du point de mise à jour logicielle actif dans Configuration Manager 2007, plusieurs exigences doivent être prises en compte, en fonction de votre infrastructure Configuration Manager. Lorsque le point de mise à jour logicielle actif Configuration Manager 2007 est configuré pour communiquer en utilisant le protocole Secure Sockets Layer (SSL), ou lorsque le serveur de site est en mode natif, cette section vous est particulièrement utile. En effet, il est nécessaire de respecter quelques étapes supplémentaires avant que les points de mise à jour logicielle de la hiérarchie fonctionnent correctement. Cette section contient des informations sur chacune des étapes nécessaires à la préparation de l'installation d'un point de mise à jour logicielle. Il est nécessaire de déterminer l'infrastructure des points de mise à jour logicielle avant d'installer des points de mise à jour logicielle dans une hiérarchie. Pour plus d'informations, consultez Détermination de l'infrastructure du point de mise à jour logicielle.

Important

Lorsque le serveur de site fonctionne en mode natif, assurez-vous que toutes les exigences de ce mode sont respectées avant de mettre en œuvre les étapes décrites dans cette section. Pour plus d'informations, consultez Comment configurer le mode natif.

Configuration requise pour le point de mise à jour logicielle

Le rôle de système de site du point de mise à jour logicielle doit être installé sur un ordinateur disposant de la configuration minimale requise pour Windows Server Update Services (WSUS) 3.0. Pour plus d'informations sur la configuration requise, consultez la configuration requise pour WSUS 3.0 sur TechNet (https://go.microsoft.com/fwlink/?LinkId=99233).

Notes

Configuration Manager 2007 Service Pack 1 (SP1) nécessite WSUS 3.0 SP1 ou WSUS 3.0 Service Pack 2 (SP2). WSUS 3.0 SP2 est nécessaire pour prendre en charge la gestion des mises à jour logicielles de Configuration Manager 2007 SP2 pour les systèmes d'exploitation Windows 7 et Windows Server 2008 R2.

Installer WSUS sur des serveurs

La fonction des mises à jour logicielles exige que WSUS 3.0 soit installé sur tous les serveurs de système de site configurés pour le rôle de système de point de mise à jour logicielle. En outre, lorsque le point de mise à jour logicielle actif est distant du serveur de site, la console Administration WSUS 3.0 doit être présente sur le serveur de site lorsque WSUS 3.0 n'est pas encore installé.

Console Administration WSUS 3.0

Si le point de mise à jour logicielle doit être installé sur un serveur de système de site distant, la console Administration WSUS 3.0 doit être installée sur le serveur de site. Le serveur de site peut ainsi communiquer avec les composants WSUS sur l'ordinateur du système de site du point de mise à jour logicielle actif. Pour connaître les procédures détaillées d'installation de la console d'administration WSUS 3.0, consultez Comment installer la console Administrateur Windows Server Update Services 3.0.

Installation complète de WSUS 3.0

Avant que vous ne puissiez installer le rôle de système de site du point de mise à jour logicielle sur un serveur de système de site, WSUS 3.0 doit être installé. Lorsqu'un cluster d'équilibrage de la charge réseau (NLB) est utilisé en tant que point de mise à jour logicielle actif ou point de mise à jour logicielle Internet actif, il est nécessaire de procéder à l'installation complète de WSUS 3.0 sur tous les serveurs de systèmes de sites définis dans le cluster. Pour plus d'informations sur le point de mise à jour logicielle, l'emplacement d'une hiérarchie où installer ce rôle de système de site, et sur la nécessité ou non d'utiliser un cluster NLB pour un point de mise à jour logicielle actif, consultez Détermination de l'infrastructure du point de mise à jour logicielle. Pour connaître les procédures détaillées d'installation WSUS 3.0 pour les mises à jour logicielles, consultez Comment installer Windows Server Update Services 3.0.

Utiliser un site Web WSUS 3.0

Lors de l'installation de WSUS 3.0, vous pouvez définir le site Web par défaut utilisé par les services IIS ou créer un site Web WSUS 3.0. Il est recommandé de créer un site Web WSUS 3.0 afin que les services IIS hébergent les services WSUS 3.0 sur un site Web dédié plutôt que de partager un site Web utilisé par d'autres systèmes de site ou d'autres applications Configuration Manager 2007. Ceci est particulièrement vrai lors de l'installation du point de mise à jour logicielle sur le serveur de site. Lorsque vous utilisez un site Web personnalisé pour WSUS 3.0, les numéros de port par défaut sont 8530 pour le protocole HTTP et 8531 pour le protocole HTTPS (SSL). Ces paramètres de ports devront être définis durant la création du point de mise à jour logicielle actif du site.

Stocker des mises à jour logicielles localement sur le serveur WSUS

Lors de l'installation de WSUS 3.0, sélectionnez Stocker les mises à jour localement afin que tous les contrats de licence relatifs aux mises à jour logicielles soient téléchargés et stockés sur le disque dur local du serveur WSUS lors du processus de synchronisation. Si ce paramètre n'est pas sélectionné, il se peut que l'analyse de la conformité des mises à jour logicielles pour les mises à jour comportant un contrat de licence échoue sur les ordinateurs clients. Lors de l'installation du point de mise à jour logicielle actif, le paramètre Stocker les mises à jour localement de WSUS est automatiquement défini et, par défaut, le Gestionnaire de synchronisation WSUS vérifie son activation toutes les 60 minutes.

Utilisation d'un serveur WSUS existant pour un point de mise à jour logicielle

Vous pouvez utiliser un serveur WSUS qui était actif dans votre environnement avant l'installation de Configuration Manager 2007, mais les ordinateurs clients qui se connectent au serveur WSUS analyseront les mises à jour logicielles dans la base de données WSUS. Cela peut provoquer le renvoi d'informations sur l'état de conformité par les ordinateurs clients pour les mises à jour logicielles situées en dehors des classifications, des catégories et des langues configurées. Avant d'utiliser un serveur WSUS existant comme système de site pour le point de mise à jour logicielle actif, il est recommandé de supprimer les métadonnées de la base de données WSUS, si toutefois cela est possible. Le serveur WSUS est alors synchronisé avec les nouvelles métadonnées de mise à jour logicielle en fonction du paramètre configuré pour le point de mise à jour logicielle actif.

Configuration de WSUS comme serveur réplica

Lors de la création d'un rôle de système de site pour le point de mise à jour logicielle actif sur un serveur de site principal, vous ne pouvez pas utiliser un serveur WSUS configuré comme réplica du serveur en amont. Lorsque le serveur WSUS est configuré comme réplica, la configuration du serveur WSUS par Configuration Manager et la synchronisation WSUS échouent. Lorsqu'un point de mise à jour logicielle est créé sur un site secondaire, le serveur WSUS est configuré pour agir comme réplica pour le serveur WSUS fonctionnant sur le point de mise à jour logicielle situé sur le site principal parent. Pour plus d'informations, consultez Dépannage des problèmes liés à la configuration du point de mise à jour logicielle.

Ajouter le certificat de serveur Web au site Web personnalisé

Lorsque le serveur de site Configuration Manager 2007 est en mode natif ou lorsque le point de mise à jour logicielle actif est configuré pour utiliser le protocole SSL, un certificat de signature de serveur Web doit être attribué au site Web utilisé par WSUS. Lorsque le serveur WSUS utilise un site Web personnalisé, ce qui constitue la configuration recommandée, un certificat de serveur Web, dont le nom d'objet ou l'autre nom d'objet contient un nom de domaine Internet complet (FQDN), doit être attribué au site Web WSUS. Le serveur WSUS situé en amont doit recevoir le même certificat. Dans le cas contraire, la communication SSL ne pourra aboutir entre les serveurs. Pour que le site Web WSUS soit accessible, le certificat doit également se trouver dans les autorités de certification racines de confiance du magasin de certificats de l'ordinateur.

Lorsque le serveur de site est en mode natif, le certificat de serveur Web qui est utilisé pour les systèmes de site Configuration Manager peut être attribué au site Web WSUS. Lorsque WSUS utilise le même site Web que le serveur de site Configuration Manager 2007, et que le serveur de site est configuré en mode natif, il est possible qu'un certificat de serveur Web approprié soit déjà attribué au site Web par défaut. Il sera encore nécessaire de configurer le certificat sur le serveur WSUS en amont. Toutefois, ce certificat devra déjà se trouver dans le magasin local sur les ordinateurs clients.

Pour suivre la procédure détaillée d'ajout du certificat de serveur Web au site Web WSUS, consultez Comment ajouter le certificat de serveur Web vers le site Web WSUS personnalisé. Pour plus d'informations sur l'ajout du certificat de serveur Web aux systèmes de site Configuration Manager 2007, consultez Déploiement des certificats de serveur Web sur des serveurs de système de site.

Configurer SSL sur le serveur WSUS

Lorsque le serveur de site est en mode natif ou lorsque le point de mise à jour logicielle actif est configuré pour utiliser SSL, les paramètres IIS doivent être configurés sur le serveur WSUS pour le point de mise à jour logicielle actif et le point de mise à jour logicielle Internet actif, le cas échéant. Pour pouvoir utiliser SSL, vous devez configurer chacun des répertoires virtuels suivants :

APIRemoting30
ClientWebService
DSSAuthWebService
ServerSyncWebService
SimpleAuthWebService

Les mises à jour logicielles nécessitent que les répertoires virtuels suivants ne soient pas configurés pour utiliser SSL :

Content
inventaire,
ReportingWebService
SelfUpdate

Une fois que les répertoires virtuels ont été configurés, vous devez exécuter l'outil WSUSUtil pour indiquer au composant d'analyse du fonctionnement de WSUS qu'il doit utiliser SSL. La commande qui doit être exécutée sur le serveur WSUS est la suivante : WSUSUtil.exe configuressl*<Nom dans le certificat de signature du serveur Web>*. Pour connaître la procédure détaillée de configuration des racines virtuelles pour l'utilisation d'un canal sécurisé, consultez Comment configurer le site Web WSUS pour utiliser SSL.

Certificats sur les ordinateurs clients

Lorsque le site est en mode natif ou lorsqu'un point de mise à jour logicielle actif est configuré pour utiliser SSL, les ordinateurs clients doivent disposer du certificat configuré pour le site Web WSUS dans le magasin local des autorités de certification racines de confiance. Si le certificat ne se trouve pas dans le magasin local des autorités de certification racines de confiance, les ordinateurs clients ne pourront pas évaluer la conformité des mises à jour logicielles. Pour plus d'informations, consultez Déploiement d'une autorité de certification approuvée vers les ordinateurs Configuration Manager.

Configurer les pare-feu

Les mises à jour logicielles présentes sur un site central Configuration Manager 2007 communiquent avec le serveur WSUS fonctionnant sur le système de site du point de mise à jour logicielle actif qui, à son tour, communique avec Microsoft Update afin de synchroniser les métadonnées des mises à jour logicielles. Les sites enfants communiquent avec le point de mise à jour logicielle actif configuré pour le site parent. Lorsqu'un site comporte un point de mise à jour logicielle Internet actif, le serveur de site doit communiquer avec le point de mise à jour logicielle Internet actif, lequel communique à son tour avec le point de mise à jour logicielle actif du site pour terminer la synchronisation.

En présence d'un pare-feu entre le point de mise à jour logicielle actif Configuration Manager 2007 et Internet, entre un point de mise à jour logicielle actif et son serveur en amont, ou entre un point de mise à jour logicielle Internet actif et le point de mise à jour logicielle actif du site, une configuration du pare-feu peut s'avérer nécessaire pour autoriser l'utilisation des ports HTTP ou HTTPS utilisés par le site Web WSUS. Le point de mise à jour logicielle Internet se connecte au point de mise à jour logicielle actif à l'aide de HTTPS au cours de la synchronisation. Lorsque la stratégie de sécurité n'autorise pas de connexion HTTPS entre le point de mise à jour logicielle sur Internet et le point de mise à jour logicielle sur l'intranet, vous devez recourir à la méthode de synchronisation par exportation et importation. Pour plus d'informations, consultez Comment synchroniser des mises à jour logicielles à l'aide de l'exportation et de l'importation. Par défaut, un serveur WSUS configuré pour le site Web par défaut utilise les ports 80 pour HTTP et 443 pour HTTPS. Par défaut, lorsqu'il utilise un site Web personnalisé, le serveur WSUS utilise le port 8530 pour HTTP et le port 8531 pour HTTPS. Pour plus d'informations, consultez Comment déterminer les paramètres de port utilisés par WSUS.

Si votre organisation n'autorise pas l'ouverture de ces ports et de ces protocoles à toutes les adresses sur le pare-feu situé entre le point de mise à jour logicielle actif et Internet, vous pouvez restreindre l'accès aux domaines suivants de sorte que WSUS et les mises à jour automatiques puissent communiquer avec Microsoft Update :

https://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://test.stats.update.microsoft.com
http://ntservicepack.microsoft.com

En présence d'un point de mise à jour logicielle Internet actif ou de sites enfants dotés d'un point de mise à jour logicielle actif, il peut également s'avérer nécessaire d'ajouter les adresses suivantes à tous les pare-feu situés entre les serveurs :

Point de mise à jour logicielle actif du site enfant

http://<FQDN du point de mise à jour logicielle actif du site enfant>
https://<FQDN du point de mise à jour logicielle actif du site enfant>
http://<FQDN du point de mise à jour logicielle actif du site parent>
https://<FQDN du point de mise à jour logicielle actif du site parent>

Point de mise à jour logicielle Internet actif

http://<FQDN du point de mise à jour logicielle actif du site>
https://<FQDN du point de mise à jour logicielle actif du site>
http://<FQDN du point de mise à jour logicielle Internet actif>
https://<FQDN du point de mise à jour logicielle Internet actif>

Vérifier la connectivité aux serveurs WSUS distants

Avant d'installer le rôle de système de site du point de mise à jour logicielle, vous devez vous assurer du bon déroulement des connexions au serveur WSUS avec SSL. À partir du serveur de site, vous pouvez ouvrir la console Administration WSUS et établir une connexion au serveur WSUS. Vous pouvez également vérifier les communications SSL vers le serveur WSUS en utilisant un navigateur Internet et en entrant **https://**NomServeurWSUS. Si la connexion est établie, une page Web portant la mention En construction s'affiche.

Notes

Au cours des opérations de mise à jour logicielle, la connexion du serveur de site au serveur WSUS se déroule dans le contexte du compte d'ordinateur. Les tests de cette section ont pour objectif de s'assurer qu'un utilisateur peut se connecter au serveur WSUS.

Installer le système de site du point de mise à jour logicielle

Le rôle de système de site du point de mise à jour logicielle est une condition préalable à la synchronisation des mises à jour logicielles, qui font l'objet d'une évaluation de conformité sur les clients, avant d'être déployées. Il peut y avoir plusieurs serveurs de système de site avec le rôle de système de site du point de mise à jour logicielle mais seul un serveur de système de site peut être défini comme point de mise à jour logicielle actif. Lorsque le site est en mode natif, le point de mise à jour logicielle actif peut être configuré pour accepter les communications de tous les ordinateurs clients. De même, un point de mise à jour logicielle Internet actif peut être attribué à un serveur de système de site distant acceptant uniquement les communications des ordinateurs clients Internet, et le point de mise à jour logicielle actif accepte les communications des ordinateurs clients sur l'intranet. En outre, si le point de mise à jour logicielle actif est configuré comme cluster NLB, un serveur de système de site doté du rôle de site du point de mise à jour logicielle doit être créé pour chaque serveur dans NLB.

Important

WSUS 3.0 doit être installé et configuré sur chaque serveur de système de site avant que le rôle de site du point de mise à jour logicielle ne soit attribué. Dans le cas contraire, l'installation du composant du point de mise à jour logicielle échouera.

Pour chacun des scénarios suivants, utilisez les liens vers la procédure correspondante décrivant comment installer le point de mise à jour logicielle actif :

Scénario de point de mise à jour logicielle	Lien vers la procédure
Créer un rôle de site de point de mise à jour logicielle non-actif.	Comment ajouter le rôle de site du point de mise à jour logicielle sur un système de site
Créez et configurez un point de mise à jour logicielle actif.	Comment créer et configurer un point de mise à jour logicielle actif
Créez et configurez un point de mise à jour logicielle Internet actif, si nécessaire.	Comment créer et configurer un point de mise à jour logicielle Internet actif
Créez un point de mise à jour logicielle actif configuré en tant que cluster NLB, si nécessaire.	Comment configurer le composant du point de mise à jour logicielle actif de façon à utiliser un cluster NLB

Voir aussi

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.