Planification des mises à jour logicielles dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Avant d'implémenter les mises à jour logicielles dans un environnement de production System Center 2012 Configuration Manager, vous devez d'abord planifier cette opération. Utilisez les sections suivantes de cette rubrique pour planifier les mises à jour logicielles dans votre hiérarchie Configuration Manager :
Planification de la capacité du point de mise à jour logicielle
Détermination de l'infrastructure du point de mise à jour logicielle
Points de mise à jour logicielle dans Configuration Manager
Liste des points de mise à jour logicielle
Basculement de point de mise à jour logicielle
Points de mise à jour logicielle dans une forêt non approuvée
Utiliser un serveur WSUS existant comme source de synchronisation sur le site de niveau supérieur
Point de mise à jour logicielle configuré pour utiliser un équilibrage de la charge réseau (NLB)
Point de mise à jour logicielle sur un site secondaire
Points de mise à jour logicielle dans Configuration Manager sans Service Pack
Point de mise à jour logicielle actif
Point de mise à jour logicielle Internet
Point de mise à jour logicielle actif configuré pour utiliser un équilibrage de la charge réseau (NLB)
Point de mise à jour logicielle sur un site secondaire
Mise à niveau depuis Configuration Manager sans Service Pack vers Configuration Manager SP1
Planification de l'installation du point de mise à jour logicielle
Configuration requise pour le point de mise à jour logicielle
Planifier l'installation de WSUS
Configurer des pare-feu
Planifier des paramètres de synchronisation
Source de synchronisation
Calendrier des synchronisations
Classifications des mises à jour
Produits
Règles de remplacement
Langues
Planifier des paramètres associés aux mises à jour logicielles
Paramètres client pour les mises à jour logicielles
Paramètre de cache du client
Paramètres de stratégie de groupe pour les mises à jour logicielles
Planification d'une fenêtre de maintenance pour les mises à jour logicielles
Recommandations pour la planification de la capacité pour les mises à jour logicielles
Vous pouvez utiliser les recommandations suivantes comme ligne de base pour déterminer les informations de planification de capacité des mises à jour logicielles convenant à votre organisation. Les besoins de capacité réels peuvent différer des recommandations indiquées dans cette rubrique selon le critères suivants : votre environnement réseau spécifique, le matériel utilisé pour héberger le système de site du point de mise à jour logicielle, le nombre de clients installés et les rôles de système de site qui sont installés sur le serveur.
Planification de la capacité du point de mise à jour logicielle
Le nombre de clients pris en charge dépend de la version de Windows Server Update Services (WSUS) qui s'exécute sur le point de mise à jour logicielle et de la coexistence ou non du rôle de système de site du point de mise à jour logicielle avec un autre rôle de système de site.
Le point de mise à jour logicielle peut prendre en charge jusqu'à 25 000 clients1 lorsque WSUS 3.0 Service Pack 2 (SP2) s'exécute sur l'ordinateur du point de mise à jour logicielle et lorsque le point de mise à jour logicielle coexiste avec un autre rôle de système de site.
Le point de mise à jour logicielle peut prendre en charge jusqu'à 100 000 clients2 lorsque WSUS 3.0 SP2 s'exécute sur l'ordinateur du point de mise à jour logicielle et lorsque le point de mise à jour logicielle ne coexiste pas avec un autre rôle de système de site.
1Pour permettre la prise en charge de plus de 25 000 clients, le point de mise à jour logicielle peut être configuré pour utiliser l'équilibrage de la charge réseau.
2Pour prendre en charge jusqu'à 100 000 clients, le point de mise à jour logicielle doit satisfaire le serveur WSUS. Pour plus d'informations, voir Déterminer la capacité requise pour WSUS.
Planification de la capacité pour les objets des mises à jour logicielles
Utilisez les informations de capacité suivantes pour planifier les objets des mises à jour logicielles.
Limite de 1 000 mises à jour logicielles dans un déploiement
Vous devez limiter le nombre de mises à jour logicielles à 1 000 pour chaque déploiement de mises à jour logicielles. Lorsque vous créez une règle de déploiement automatique, spécifiez un critère qui limite le nombre de mises à jour logicielles retournées. La règle de déploiement automatique échoue lorsque les critères que vous spécifiez renvoient plus de 1 000 mises à jour logicielles. Vous pouvez vérifier l'état de la règle de déploiement automatique depuis le nœud Règles de déploiement automatique dans la console Configuration Manager. Lorsque vous déployez manuellement des mises à jour logicielles, ne sélectionnez pas plus de 1 000 mises à jour à déployer.
Détermination de l'infrastructure du point de mise à jour logicielle
Le site d'administration centrale et tous les sites principaux enfants doivent disposer d'un point de mise à jour logicielle auquel vous allez déployer les mises à jour logicielles. Lors de la planification de l'infrastructure du point de mise à jour logicielle, vous devez déterminer les dépendances suivantes : où installer le point de mise à jour logicielle pour le site, quels sites requièrent un point de mise à jour logicielle acceptant des communications de clients Internet, si vous configurez ou non le point de mise à jour logicielle comme cluster NLB et si vous avez ou non besoin d'un point de mise à jour logicielle sur un site secondaire. Utilisez les sections suivantes pour déterminer l'infrastructure du point de mise à jour logicielle.
Important
Pour plus d'informations sur les dépendances internes et externes requises pour les mises à jour logicielles, voir Configuration requise pour les mises à jour logicielles dans Configuration Manager.
Points de mise à jour logicielle dans Configuration Manager
Important
Les informations contenues dans cette section s'appliquent uniquement à Configuration Manager SP1 et System Center 2012 R2 Configuration Manager.
À compter de Configuration Manager SP1, vous pouvez ajouter plusieurs points de mise à jour logicielle sur un site principal Configuration Manager. La possibilité d'avoir plusieurs points de mise à jour logicielle sur un site offre une tolérance de panne sans impliquer la complexité de l'équilibrage de la charge réseau (NLB). Toutefois, le basculement dont vous bénéficiez avec plusieurs points de mise à jour logicielle n'est pas aussi robuste qu'un équilibrage de la charge pur, mais plutôt conçu pour la tolérance de panne. En outre, la conception du basculement du point de mise à jour logicielle est différente de celle du modèle de randomisation pur utilisé dans la conception des points de gestion. Contrairement à la conception des points de gestion, dans les points de mise à jour logicielle, il existe des coûts en termes de performances du client et du réseau, associés au basculement vers un nouveau point de mise à jour logicielle. Lorsque le client bascule vers un nouveau serveur WSUS pour rechercher des mises à jour logicielles, la taille du catalogue augmente, tout comme les exigences de performance réseau et côté client associées. Par conséquent, le client conserve l'affinité avec le dernier point de mise à jour logicielle qu'il a correctement analysé.
Le premier point de mise à jour logicielle que vous installez sur un site principal est la source de synchronisation de tous les points de mise à jour logicielle supplémentaires que vous ajoutez sur le site principal. Une fois que vous avez ajouté vos points de mise à jour logicielle et lancé la synchronisation des mises à jour logicielles, vous pouvez afficher l'état des points de mise à jour logicielle et la source de synchronisation depuis le nœud État de la synchronisation du point de mise à jour logicielle dans l'espace de travail Surveillance.
Quand un point de mise à jour logicielle échoue, et qu'il est configuré en tant que source de synchronisation pour les autres points de mise à jour logicielle sur le site, vous devez supprimer manuellement ce point de mise à jour logicielle en échec et en sélectionner un nouveau à utiliser en tant que source de synchronisation. Pour plus d'informations sur la suppression d'un point de mise à jour logicielle, consultez la section Supprimer le rôle de système de site du point de mise à jour logicielle dans la rubrique Configuration des mises à jour dans Configuration Manager.
Liste des points de mise à jour logicielle
Configuration Manager fournit au client une liste de points de mise à jour logicielle dans les scénarios suivants : quand un nouveau client reçoit la stratégie d'activation des mises à jour logicielles, ou quand un client ne parvient pas à contacter son point de mise à jour logicielle et qu'il a besoin de basculer vers un autre. Le client sélectionne un point de mise à jour logicielle de manière aléatoire dans la liste, puis il hiérarchise les points de mise à jour logicielle qui se trouvent dans la même forêt.Configuration Manager fournit aux clients une liste différente selon le type de client.
Clients basés sur intranet : reçoivent la liste des points de mise à jour logicielle que vous pouvez configurer pour autoriser les connexions uniquement depuis l'intranet, ou la liste des points de mise à jour logicielle qui autorisent les connexions client Internet et intranet.
Clients basés sur Internet : reçoivent la liste des points de mise à jour logicielle que vous pouvez configurer pour autoriser les connexions uniquement depuis Internet, ou la liste des points de mise à jour logicielle qui autorisent les connexions client Internet et intranet.
Basculement de point de mise à jour logicielle
Si vous avez plusieurs points de mise à jour logicielle sur un site, et que l'un d'eux est en échec ou indisponible, les clients se connectent à un point de mise à jour logicielle différent pour continuer de rechercher les dernières mises à jour logicielles. Quand un client est affecté à un point de mise à jour logiciel, il le reste sauf s'il ne parvient pas à rechercher des mises à jour logicielles sur ce point de mise à jour logicielle.
Notes
Quand vous disposez d'un point de mise à jour logicielle actif (SUP01) sur un site Configuration Manager sans Service Pack, mettez le site à niveau vers Configuration Manager SP1, puis ajoutez un deuxième point de mise à jour logicielle (SUP02). Ainsi, les clients existants basculent uniquement vers SUP02 en cas d'échec d'analyse. Tous les nouveaux clients sont affectés de manière aléatoire à SUP01 ou SUP02 après la mise à niveau de votre site vers Configuration Manager SP1.
La recherche des mises à jour logicielles peut échouer avec plusieurs codes de nouvelle tentative et de non-nouvelle tentative différents. Lorsque l'analyse échoue avec un code d'erreur de nouvelle tentative, le client démarre un processus de nouvelle tentative pour rechercher les mises à jour logicielles sur le point de mise à jour logicielle. Les conditions précises qui génèrent un code d'erreur de nouvelle tentative sont généralement dues à l'indisponibilité ou à la surcharge temporaire du serveur WSUS. Le client utilise le processus suivant lorsqu'il ne parvient pas à rechercher les mises à jour logicielles :
Le client recherche les mises à jour logicielles soit à l'heure planifiée, soit lorsque la recherche est lancée via le Panneau de configuration sur le client, soit en utilisant le Kit de développement logiciel (SDK). Si l'analyse échoue, le client attend 30 minutes avant d'effectuer une nouvelle tentative d'analyse et il utilise le même point de mise à jour logicielle.
Le client effectue au moins quatre nouvelles tentatives à des intervalles de 30 minutes. Après le quatrième échec, il attend deux minutes supplémentaires, puis il passe au point de mise à jour logicielle suivant dans la liste des points de mise à jour logicielle.
Après une analyse réussie, le client continue à se connecter au point de mise à jour logicielle.
La liste suivante fournit des informations supplémentaires que vous pouvez consulter en cas de nouvelle tentative et de basculement des points de mise à jour logicielle :
Si un client est déconnecté de l'intranet d'entreprise et qu'il ne parvient pas à rechercher des mises à jour logicielles, il ne bascule pas vers un autre point de mise à jour logicielle. Il s'agit d'un échec attendu, étant donné que le client ne peut pas atteindre le réseau d'entreprise ou le point de mise à jour logicielle qui permet la connexion depuis l'intranet. Le client Configuration Manager détermine la disponibilité du point de mise à jour logicielle intranet.
Si la gestion des clients basés sur Internet est activée et qu'il existe plusieurs points de mise à jour logicielle configurés pour accepter les communications provenant des clients sur Internet, le processus de basculement suit le processus de nouvelle tentative standard décrit dans le scénario précédent.
Si le processus d'analyse a démarré, alors que le client a été mis hors tension avant la fin de l'analyse, cela n'est pas considéré comme un échec d'analyse et cela n'est pas comptabilisé dans les quatre nouvelles tentatives.
Points de mise à jour logicielle dans une forêt non approuvée
Vous pouvez créer un ou plusieurs points de mise à jour logicielle sur un site pour prendre en charge des clients dans une forêt non approuvée. Pour ajouter un point de mise à jour logicielle dans une autre forêt, vous devez d'abord installer et configurer un serveur WSUS dans la forêt. Ensuite, démarrez l'Assistant pour ajouter un serveur de site Configuration Manager doté du rôle de système de site du point de mise à jour logicielle. Dans l'Assistant, configurez les paramètres suivants pour vous connecter correctement au serveur WSUS dans la forêt non approuvée :
Spécifiez un compte d'installation du système de site capable d'accéder au serveur WSUS dans la forêt.
Spécifiez le compte de connexion du serveur WSUS à utiliser pour se connecter au serveur WSUS.
Par exemple, vous avez un site principal dans la forêt A doté de deux points de mise à jour logicielle (SUP01 et SUP02). En outre, pour ce même site principal, vous avez deux points de mise à jour logicielle (SUP03 et SUP04) dans la forêt B. Lorsque le basculement se produit dans cet exemple, les points de mise à jour logicielle de la même forêt que le client sont prioritaires.
Utiliser un serveur WSUS existant comme source de synchronisation sur le site de niveau supérieur
En règle générale, le site de niveau supérieur dans votre hiérarchie est configuré pour synchroniser les métadonnées des mises à jour logicielles avec Microsoft Update. Lorsque votre stratégie de sécurité d'entreprise n'autorise pas l'accès à Internet depuis le site de niveau supérieur, vous pouvez configurer la source de synchronisation pour le site de niveau supérieur de sorte à utiliser un serveur WSUS existant qui ne fait pas partie de votre hiérarchie Configuration Manager. Par exemple, vous pouvez disposer d'un serveur WSUS installé dans votre réseau de périmètre (DMZ) et doté d'un accès Internet, alors que votre site de niveau supérieur en est dépourvu. Vous pouvez configurer le serveur WSUS dans le réseau de périmètre (DMZ) en tant que source de synchronisation pour les métadonnées des mises à jour logicielles. Vous devez veiller à ce que le serveur WSUS situé dans le réseau de périmètre (DMZ) synchronise les mises à jour logicielles qui satisfont les critères requis dans votre hiérarchie Configuration Manager. Sinon, le site de niveau supérieur risque de ne pas synchroniser les mises à jour logicielles attendues. Lorsque vous installez le point de mise à jour logicielle, configurez un compte de connexion WSUS qui a accès au serveur WSUS dans la zone démilitarisée (DMZ) et vérifiez que le pare-feu autorise le trafic pour les ports appropriés. Pour plus d'informations sur les ports utilisés par le point de mise à jour logicielle vers la source de synchronisation, consultez la section Point de mise à jour logicielle -- > Serveur WSUS en amont dans la rubrique Référence technique pour les ports utilisés dans Configuration Manager.
Point de mise à jour logicielle configuré pour utiliser un équilibrage de la charge réseau (NLB)
À compter de Configuration Manager SP1, le basculement de point de mise à jour logicielle répond probablement à vos besoins de tolérance de panne. Toutefois, l'équilibrage de la charge réseau (NLB) est plus robuste que le basculement d'un point de mise à jour logicielle pour l'équilibrage de la charge pur et l'équilibrage de la charge réseau peut améliorer la fiabilité et les performances d'un réseau. Bien qu'il n'existe pas d'option dans la console Configuration Manager pour configurer le point de mise à jour logicielle de sorte à utiliser l'équilibrage de la charge réseau (NLB), vous avez la possibilité de configurer l'équilibrage de la charge réseau (NLB) à l'aide de l'applet de commande PowerShell Set-CMSoftwareUpdatePoint. Pour plus d'informations sur l'applet de commande PowerShell Set-CMSoftwareUpdatePoint, consultez la rubrique Set-CMSoftwareUpdatePoint dans les informations de référence des applets de commande de System Center 2012 Configuration Manager SP1.
Notes
Avant d'effectuer une mise à niveau de Configuration Manager sans Service Pack vers Configuration Manager SP1, vous devez supprimer l'équilibrage de la charge réseau de votre point de mise à jour logicielle actif. Une fois la mise à niveau terminée, vous avez la possibilité de reconfigurer l'équilibrage de la charge réseau à l'aide de Windows PowerShell.
Point de mise à jour logicielle sur un site secondaire
Le point de mise à jour logicielle est facultatif sur un site secondaire. Lorsque vous installez un point de mise à jour logicielle sur un site secondaire, la base de données WSUS est configurée en tant que réplica du point de mise à jour logicielle par défaut sur le site principal parent. Vous pouvez installer un seul point de mise à jour logicielle sur un site secondaire. Les périphériques affectés à un site secondaire sont configurés pour utiliser un point de mise à jour logicielle sur le site parent lorsqu'un point de mise à jour logicielle n'est pas installé sur le site secondaire. Généralement, vous installez un point de mise à jour logicielle sur un site secondaire lorsque la bande passante réseau est limitée entre les périphériques affectés au site secondaire et les points de mise à jour logicielle sur le site principal parent ou lorsque le point de mise à jour logicielle est proche de la limite de capacité. Une fois le point de mise à jour logicielle correctement installé et configuré sur le site secondaire, une stratégie à l'échelle du site est mise à jour pour les ordinateurs clients affectés au site et ces derniers commencent à utiliser le nouveau point de mise à jour logicielle.
Points de mise à jour logicielle dans Configuration Manager sans Service Pack
Important
Les informations contenues dans cette rubrique s'appliquent uniquement à Configuration Manager sans Service Pack.
Utilisez les sections suivantes pour déterminer l'infrastructure du point de mise à jour logicielle dans Configuration Manager sans Service Pack.
Notes
Pour plus d'informations sur la manière d'installer un point de mise à jour logicielle dans une forêt non approuvée, voir la section Planification des communications dans les forêts de Configuration Manager dans la rubrique Planification de communications dans Configuration Manager.
Point de mise à jour logicielle actif
Le site d'administration centrale et tous les sites principaux enfants de la hiérarchie Configuration Manager doivent disposer d'un point de mise à jour logicielle actif pour prendre en charge les déploiements de mises à jour logicielles sur les ordinateurs clients. Le point de mise à jour logicielle actif sur un site principal utilise le site d'administration centrale en tant que source de synchronisation. Le point de mise à jour logicielle communique avec WSUS pour configurer les paramètres et synchroniser les mises à jour logicielles. Vous pouvez configurer le point de mise à jour logicielle actif pour accepter les communications émanant uniquement de clients sur l'intranet ou accepter les communications des clients sur l'intranet et Internet. Lorsque le point de mise à jour logicielle actif n'est pas configuré pour accepter les communications de clients sur Internet, vous pouvez créer un point de mise à jour logicielle basé sur Internet sur un système de site distant. Vous pouvez ajouter le rôle de site de mise à jour logicielle sur un site secondaire, ou bien des ordinateurs clients sur le site secondaire peuvent se connecter directement au point de mise à jour logicielle actif sur le site principal parent.
Point de mise à jour logicielle Internet
Le point de mise à jour logicielle basé sur Internet accepte les communications de la part d'ordinateurs clients sur Internet. Vous ne pouvez créer le point de mise à jour logicielle basé sur Internet que lorsque le point de mise à jour logicielle actif n'est pas configuré pour accepter les communications de la part d'ordinateurs clients sur Internet. Vous devez installer le point de mise à jour logicielle basé sur Internet sur un système de site qui est distant du serveur de site, situé dans un réseau de périmètre et accessible aux ordinateurs clients basés sur Internet. Le point de mise à jour logicielle basé sur Internet est synchronisé avec le point de mise à jour logicielle actif sur le même site par défaut. Lorsque le point de mise à jour logicielle basé sur Internet est déconnecté du point de mise à jour logicielle actif, vous pouvez synchroniser manuellement les mises à jour logicielles à l'aide du processus d'exportation et d'importation. Pour plus d'informations, voir la section Source de synchronisation de cette rubrique.
Point de mise à jour logicielle actif configuré pour utiliser un équilibrage de la charge réseau (NLB)
L'équilibrage de la charge réseau (NLB) peut augmenter la fiabilité et les performances d'un réseau. Vous pouvez configurer plusieurs serveurs WSUS qui partagent un cluster unique de basculement SQL Server, puis configurez un point de mise à jour logicielle pour utiliser NLB. Si vous configurez le système de site du point de mise à jour logicielle actif dans un cluster NLB, cela n'augmente pas nécessairement la capacité d'un client, mais cela peut accroître la disponibilité du point de mise à jour logicielle. Avant de configurer le point de mise à jour logicielle pour utiliser un cluster NLB, vous devez effectuer plusieurs étapes de configuration. Pour plus d'informations, voir Comment configurer un point de mise à jour logicielle pour utiliser un cluster d'équilibrage de la charge réseau (NLB).
Point de mise à jour logicielle sur un site secondaire
Le point de mise à jour logicielle est facultatif sur un site secondaire. Lorsque vous installez un point de mise à jour logicielle sur un site secondaire, la base de données WSUS est configurée comme un réplica plutôt que comme une instance WSUS autonome qui est utilisée lorsque vous installez le point de mise à jour logicielle sur un site principal ou un site d'administration centrale.
Les périphériques affectés à un site secondaire sont configurés pour utiliser le point de mise à jour logicielle actif sur le site parent lorsqu'un point de mise à jour logicielle n'est pas configuré sur le site secondaire. Généralement, vous installez un point de mise à jour logicielle sur un site secondaire lorsque la bande passante réseau est limitée entre les périphériques affectés au site secondaire et les points de mise à jour logicielle sur le site principal parent ou lorsque le point de mise à jour logicielle est proche de la limite de capacité. Une fois le point de mise à jour logicielle correctement installé et configuré sur le site secondaire, une stratégie à l'échelle du site est mise à jour pour les ordinateurs clients affectés au site et ces derniers commencent à utiliser le nouveau point de mise à jour logicielle.
Mise à niveau depuis Configuration Manager sans Service Pack vers Configuration Manager SP1
Lorsque vous mettez à niveau un site Configuration Manager sans Service Pack existant vers Configuration Manager SP1, tenez compte des points suivants :
Avant d'effectuer une mise à niveau de Configuration Manager sans Service Pack vers Configuration Manager SP1, vous devez supprimer l'équilibrage de la charge réseau pour votre point de mise à jour logicielle actif. Une fois la mise à niveau terminée, vous avez la possibilité de reconfigurer l'équilibrage de la charge réseau à l'aide de Windows PowerShell. Pour plus d'informations sur le basculement d'un point de mise à jour logicielle, consultez la section Basculement de point de mise à jour logicielle dans cette rubrique.
Lorsque vous disposez d'un point de mise à jour logicielle basé sur Internet actif sur un site Configuration Manager sans Service Pack, et que vous mettez à niveau le site vers Configuration Manager SP1, le point de mise à jour logicielle basé sur Internet actif est mis à niveau vers un point de mise à jour logicielle, figurant dans la liste correspondante, qui autorise les connexions uniquement depuis les clients sur Internet.
Quand vous disposez d'un point de mise à jour logicielle actif (SUP01) sur un site Configuration Manager sans Service Pack, mettez le site à niveau vers Configuration Manager SP1, puis ajoutez un deuxième point de mise à jour logicielle (SUP02). Ainsi, les clients existants sont automatiquement affectés à SUP01. Les clients basculent vers SUP02 uniquement en cas d'échec d'analyse. Une fois que vous avez mis à niveau votre site, tous les nouveaux clients sont affectés de manière aléatoire à SUP01 ou SUP02. Pour plus d'informations sur la liste des points de mise à jour logicielle, consultez la section Liste des points de mise à jour logicielle dans cette rubrique.
Planification de l'installation du point de mise à jour logicielle
Avant de créer un rôle de système de site du point de mise à jour logicielle dans Configuration Manager, vous devez prendre en compte plusieurs conditions, en fonction de votre infrastructure Configuration Manager. Lorsque vous configurez le point de mise à jour logicielle pour communiquer à l'aide du protocole SSL, il est particulièrement important de consulter cette section car vous devez prendre des mesures supplémentaires pour que les points de mise à jour logicielle de votre hiérarchie fonctionnent correctement. Cette section contient des informations sur les actions que vous devez exécuter pour planifier et préparer correctement l'installation du point de mise à jour logicielle.
Configuration requise pour le point de mise à jour logicielle
Le rôle de système de site du point de mise à jour logicielle doit être installé sur un système de site qui satisfait la configuration minimale requise pour WSUS et les configurations prises en charge pour les systèmes de site Configuration Manager.
Pour plus d'informations sur la configuration minimale requise pour WSUS 3.0 SP2, voir Confirmer la configuration requise de l'installation de WSUS 3.0 SP2 dans la bibliothèque de documentation de Windows Server Update Services 3.0 SP2.
Pour plus d'informations sur la configuration minimale requise pour le rôle de serveur WSUS dans Windows Server 2012, consultez Étape 1 : préparer votre déploiement de WSUS dans la bibliothèque de documentation de Windows Server 2012.
Pour plus d'informations sur les configurations prises en charge pour les systèmes de site Configuration Manager, consultez la section Configuration requise pour le système de site dans la rubrique Configurations prises en charge pour Configuration Manager.
Planifier l'installation de WSUS
Les mises à jour logicielles exigent qu'une version prise en charge de WSUS soit installée sur tous les serveurs de système de site que vous configurez pour le rôle de système de site du point de mise à jour logicielle. De plus, lorsque vous n'installez pas le point de mise à jour logicielle sur le serveur de site, vous devez installer la console d'administration WSUS sur le serveur de site si elle n'est pas encore installée. Cela permet au serveur de site de communiquer avec le serveur WSUS qui est exécuté sur le point de mise à jour logicielle.
Lorsque vous utilisez WSUS sur Windows Server 2012, vous devez configurer des autorisations supplémentaires pour permettre au gestionnaire de configuration WSUS dans Configuration Manager de se connecter au serveur WSUS afin d'effectuer des contrôles d'intégrité réguliers. Choisissez l'une des options suivantes pour configurer ces autorisations :
Ajouter le compte SYSTEM au groupe Administrateurs WSUS
Ajouter le compte NT AUTHORITY\SYSTEM en tant qu'utilisateur de la base de données WSUS (SUSDB) et configurer un minimum de l'appartenance au rôle de base de données webService
Pour plus d'informations sur la manière d'installer WSUS 3.0 SP2, voir Installer la console serveur ou d'administration de WSUS dans la bibliothèque de documentation de Windows Server Update Services 3.0 SP2.
Pour plus d'informations sur la manière d'installer WSUS sur Windows Server 2012, voir Installer le rôle serveur WSUS dans la bibliothèque de documentation de Windows Server 2012.
Pour System Center 2012 Configuration Manager SP1 et ultérieur :
Lorsque vous installez plusieurs points de mise à jour logicielle sur un site principal, utilisez la même base de données WSUS pour chaque point de mise à jour logicielle d'une même forêt Active Directory. Si vous partagez la même base de données, cela permet d'atténuer considérablement, sans l'éliminer entièrement, l'impact sur les performances du client et du réseau, lequel impact peut se produire quand les clients basculent vers un nouveau point de mise à jour logicielle. Une analyse delta se produit quand même lorsqu'un client bascule vers un nouveau point de mise à jour logicielle qui partage une base de données avec l'ancien point de mise à jour logicielle, mais il s'agit d'une analyse beaucoup plus petite que celle qui se produirait si le serveur WSUS possédait sa propre base de données.
Configurer WSUS pour utiliser un site web personnalisé
Lorsque vous installez WSUS, vous avez la possibilité d'utiliser le site web par défaut IIS existant ou de créer un site web WSUS personnalisé. Créez un site web personnalisé pour WSUS de sorte qu'IIS héberge les services WSUS sur un site web virtuel dédié, au lieu de partager le même site web que celui utilisé par les autres systèmes de site Configuration Manager ou les autres applications. Ceci est particulièrement vrai lors de l'installation du rôle de système de site du point de mise à jour logicielle sur le serveur de site. Quand vous exécutez WSUS dans Windows Server 2012 ou que vous configurez un site web personnalisé pour WSUS 3.0 SP2, WSUS est configuré par défaut pour utiliser le port 8530 pour HTTP et le port 8531 pour HTTPS. Vous devez spécifier ces paramètres de port lorsque vous créez le point de mise à jour logicielle sur un site.
Utiliser une Infrastructure WSUS existante
Vous pouvez utiliser un serveur WSUS qui était actif dans votre environnement avant d'installer Configuration Manager. Quand le point de mise à jour logicielle est configuré, vous devez spécifier les paramètres de synchronisation.Configuration Manager se connecte à WSUS exécuté sur le point de mise à jour logicielle et configure le serveur WSUS avec les mêmes paramètres. Si le serveur WSUS a été précédemment synchronisé avec des produits ou classifications que vous n'avez pas configurés dans le cadre des paramètres de synchronisation du point de mise à jour logicielle, les métadonnées des mises à jour logicielles de ces produits et classifications sont synchronisées pour toutes les métadonnées des mises à jour logicielles incluses dans la base de données WSUS, quels que soient les paramètres de synchronisation du point de mise à jour logicielle. Cela risque d'inclure des métadonnées de mises à jour logicielles inattendues dans la base de données du site. Vous rencontrez le même comportement lorsque vous ajoutez des produits ou des classifications directement dans la console d'administration WSUS, puis lancez immédiatement la synchronisation. Par défaut, Configuration Manager se connecte toutes les heures au serveur WSUS exécuté sur le point de mise à jour logicielle et réinitialise tous les paramètres qui ont été modifiés en dehors de Configuration Manager.
À compter de Configuration Manager SP1, les mises à jour logicielles qui ne respectent pas les produits et classifications que vous spécifiez dans les paramètres de synchronisation expirent, puis elles sont supprimées de la base de données du site.
Configurer WSUS comme serveur réplica
Quand vous créez un rôle de système de site du point de mise à jour logicielle sur un serveur de site principal, vous ne pouvez pas utiliser un serveur WSUS qui est configuré comme un réplica. Lorsque le serveur WSUS est configuré comme un réplica, la configuration du serveur WSUS par Configuration Manager et la synchronisation WSUS échouent. Lorsqu'un point de mise à jour logicielle est créé sur un site secondaire, Configuration Manager configure WSUS pour qu'il devienne un serveur réplica du serveur WSUS qui s'exécute sur le point de mise à jour logicielle sur le site principal parent. À compter de Configuration Manager SP1, le premier point de mise à jour logicielle que vous installez sur un site principal est le point de mise à jour logicielle par défaut. Les points de mise à jour logicielle supplémentaires sur le site sont configurés en tant que réplicas du point de mise à jour logicielle par défaut.
Déterminer si WSUS doit être configuré pour utiliser SSL
Vous pouvez utiliser le protocole SSL pour contribuer à sécuriser le service WSUS qui s'exécute sur le point de mise à jour logicielle. WSUS utilise SSL pour authentifier les ordinateurs clients et les serveurs WSUS en aval vers le serveur WSUS. WSUS utilise également SSL pour chiffrer les métadonnées de mise à jour logicielle. Lorsque vous choisissez de sécuriser WSUS avec SSL, vous devez préparer le serveur WSUS avant d'installer le point de mise à jour logicielle. Pour plus d'informations sur la manière de configurer WSUS pour SSL, voir Sécuriser WSUS avec le protocole SSL (Secure Sockets Layer) dans la bibliothèque de documentation de WSUS 3.0 SP2.
Lorsque vous installez et configurez le point de mise à jour logicielle, vous devez sélectionner le paramètre Activer les communications SSL pour le serveur WSUS. Sinon, Configuration Manager configure WSUS pour ne pas utiliser le protocole SSL. Lorsque vous activez le protocole SSL pour le serveur WSUS qui s'exécute sur un point de mise à jour logicielle, le serveur WSUS qui s'exécute sur le point de mise à jour logicielle sur tous les sites enfants doit également être configuré pour utiliser le protocole SSL.
Configurer des pare-feu
Les mises à jour logicielles présentes sur un site d'administration centrale Configuration Manager communiquent avec le serveur WSUS qui s'exécute sur le point de mise à jour logicielle qui, à son tour, communique avec la source de synchronisation afin de synchroniser les métadonnées des mises à jour logicielles. Les points de mise à jour logicielle sur un site enfant communiquent avec le point de mise à jour logicielle sur le site parent. Lorsqu'un site Configuration Manager sans Service Pack comporte un point de mise à jour logicielle actif distant basé sur Internet, le serveur de site doit communiquer avec le point de mise à jour logicielle actif basé sur Internet, et le point de mise à jour logicielle basé sur Internet doit communiquer avec le point de mise à jour logicielle actif du site afin que la synchronisation se termine correctement. À compter de Configuration Manager SP1, lorsqu'il existe plusieurs points de mise à jour logicielle sur un site principal, les points supplémentaires doivent communiquer avec le premier point de mise à jour logicielle installé sur le site, lequel est le point de mise à jour logicielle par défaut.
Il peut être nécessaire de configurer le pare-feu pour qu'il accepte les ports HTTP ou HTTPS qui sont utilisés par WSUS dans les scénarios suivants : quand vous avez un pare-feu d'entreprise entre le point de mise à jour logicielle Configuration Manager et Internet, quand vous avez un point de mise à jour logicielle et sa source de synchronisation en amont, quand vous avez un point de mise à jour logiciel actif basé sur Internet et le point de mise à jour logicielle actif pour le site Configuration Manager sans site de Service Pack ou quand vous avez les points de mise à jour logicielle supplémentaires et le point de mise à jour logicielle par défaut sur un site Configuration Manager SP1. La connexion à Microsoft Update est toujours configurée pour utiliser le port 80 pour HTTP et le port 443 pour HTTPS. Vous pouvez utiliser un port personnalisé pour la connexion à partir de WSUS fonctionnant sur le point de mise à jour logicielle sur un site enfant vers WSUS fonctionnant sur le point de mise à jour logicielle sur le site parent. Lors de la synchronisation des mises à jour logicielles, WSUS fonctionnant sur le point de mise à jour logicielle basé sur Internet se connecte toujours à WSUS fonctionnant sur le point de mise à jour logicielle actif en utilisant le protocole HTTPS. Lorsque votre stratégie de sécurité ne permet pas une connexion HTTPS, vous devez utiliser la méthode de synchronisation d'exportation et d'importation. Pour plus d'informations, voir la section Source de synchronisation de cette rubrique. Pour plus d'informations sur les ports qui sont utilisés par WSUS, voir Comment déterminer les paramètres de port utilisés par WSUS.
Restreindre l'accès à des domaines spécifiques
Si votre organisation n'autorise pas l'ouverture des ports et des protocoles à toutes les adresses sur le pare-feu situé entre le point de mise à jour logicielle actif et Internet, vous pouvez restreindre l'accès aux domaines suivants de sorte que WSUS et les mises à jour automatiques puissent communiquer avec Microsoft Update :
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://*.download.windowsupdate.com
Il peut être nécessaire d'ajouter les adresses suivantes au pare-feu qui se trouve entre les deux systèmes de site dans les cas suivants : si les sites enfants ont un point de mise à jour logicielle ou s'il existe un point de mise à jour logicielle actif distant basé sur Internet sur un site :
Point de mise à jour logicielle sur le site enfant
http://<Nom de domaine complet pour le point de mise à jour logicielle sur le site enfant>
https://<Nom de domaine complet pour le point de mise à jour logicielle sur le site enfant>
http://<Nom de domaine complet pour le point de mise à jour logicielle sur le site parent>
https://<Nom de domaine complet pour le point de mise à jour logicielle sur le site parent>
point de mise à jour logicielle Internet
http://<Nom de domaine complet pour le point de mise à jour logicielle pour le site>
https://<Nom de domaine complet pour le point de mise à jour logicielle pour le site>
http://<Nom de domaine complet pour le point de mise à jour logicielle actif basé sur Internet>
https://<Nom de domaine complet pour le point de mise à jour logicielle actif basé sur Internet>
Planifier des paramètres de synchronisation
La synchronisation des mises à jour logicielles dans Configuration Manager consiste à récupérer les métadonnées des mises à jour logicielles selon les critères que vous configurez. Le site de niveau supérieur dans votre hiérarchie, le site d'administration centrale ou le site principal autonome synchronisent les mises à jour logicielles à partir de Microsoft Update. À compter de Configuration Manager SP1, vous avez la possibilité de configurer le point de mise à jour logicielle sur le site de niveau supérieur afin qu'il se synchronise avec un serveur WSUS existant, qui ne figure pas dans la hiérarchie Configuration Manager. Les sites principaux enfants synchronisent les métadonnées des mises à jour logicielles à partir du point de mise à jour logicielle sur le site d'administration centrale. Avant d'installer et de configurer un point de mise à jour logicielle, utilisez cette section pour planifier les paramètres de synchronisation.
Source de synchronisation
Les paramètres de la source de synchronisation du point de mise à jour logicielle spécifient l'emplacement auquel le point de mise à jour logicielle récupère les métadonnées des mises à jour logicielles et indiquent si les événements de rapports WSUS sont créés au cours du processus de synchronisation.
Source de synchronisation : Le point de mise à jour logicielle sur le site de plus haut niveau configure la source de synchronisation pour Microsoft Update par défaut. À compter de Configuration Manager SP1, vous avez la possibilité de synchroniser le site de niveau supérieur avec un serveur WSUS existant. Le point de mise à jour logicielle sur un site principal enfant configure la source de synchronisation en tant que point de mise à jour logicielle sur le site d'administration centrale par défaut.
Notes
Si vous disposez d'un point de mise à jour logicielle distant basé sur Internet, le serveur de mise à jour en amont est le point de mise à jour logicielle pour le même site.
Notes
À compter de Configuration Manager SP1, le premier point de mise à jour logicielle que vous installez sur un site principal, qui est le point de mise à jour logicielle par défaut, se synchronise avec le site d'administration centrale. Les points de mise à jour logicielle supplémentaires sur le site principal se synchronisent avec le point de mise à jour logicielle par défaut sur le site principal.
Lorsqu'un point de mise à jour logicielle est déconnecté de Microsoft Update ou du serveur de mise à jour en amont, vous pouvez configurer la source de synchronisation pour qu'elle ne soit pas synchronisée avec une source de synchronisation configurée mais qu'elle utilise la fonction d'exportation et d'importation de l'outil WSUSUtil pour synchroniser les mises à jour logicielles. Pour plus d'informations, voir la section Synchroniser les mises à jour logicielles à partir d'un point de mise à jour logicielle déconnecté dans la rubrique Configuration des mises à jour dans Configuration Manager.
Événements de rapports WSUS : L'agent Windows Update sur les ordinateurs clients crée des messages d'événement utilisés pour les rapports WSUS. Ces événements ne sont pas utilisés par la mise à jour logicielle dans Configuration Manager et, par conséquent, l'option Ne pas créer les événements de rapports WSUS est sélectionnée par défaut. Si ces événements ne sont pas créés, l'ordinateur client peut se connecter au serveur WSUS uniquement lors de l'évaluation des mises à jour logicielles et des analyses de conformité. Si ces événements sont nécessaires à la génération de rapports en dehors des mises à jour logicielles dans Configuration Manager, vous devez modifier ce paramètre pour créer des événements de génération de rapports WSUS.
Calendrier des synchronisations
Vous pouvez configurer le calendrier de synchronisation uniquement sur le point de mise à jour logicielle du site de niveau supérieur dans la hiérarchie Configuration Manager. Lorsque vous configurez le calendrier de synchronisation, le point de mise à jour logicielle se synchronise avec la source de synchronisation à la date et à l'heure que vous avez spécifiées. Le calendrier personnalisé vous permet de synchroniser les mises à jour logicielles à une date et une heure spécifiques si le nombre de demandes provenant du serveur WSUS, du serveur de site et du réseau est faible (par exemple, à 2 h 00 une fois par semaine). Sinon, vous pouvez lancer la synchronisation sur le site de niveau supérieur à l'aide de l'action Mises à jour logicielles de synchronisation à partir du nœud Toutes les mises à jour logicielles ou Groupes de mises à jour logicielles dans la console Configuration Manager.
Conseil |
---|
Planifiez la synchronisation des mises à jour logicielles pour qu'elle s'exécute selon une plage de temps adaptée à votre environnement. Un scénario courant consiste à définir le calendrier de synchronisation des mises à jour logicielles pour qu'elle soit exécutée peu après la publication d'une mise à jour de sécurité normale de Microsoft le deuxième mardi de chaque mois, généralement appelé Patch Tuesday (Mardi correctif). Un autre scénario courant consiste à définir le calendrier de synchronisation des mises à jour logicielles pour qu'elle soit exécutée tous les jours lorsque vous utilisez des mises à jour logicielles afin de fournir des mises à jour du moteur et des définitions Endpoint Protection. |
Une fois que le point de mise à jour logicielle a correctement terminé la synchronisation, une demande de synchronisation est envoyée aux sites enfants. À compter de Configuration Manager SP1, si vous avez des points de mise à jour logicielle supplémentaires sur un site principal, une demande de synchronisation est envoyée à chaque point de mise à jour logicielle. Dans Configuration Manager sans Service Pack, une demande de synchronisation est envoyée au point de mise à jour logicielle actif basé sur Internet, s'il est installé. Ce processus se répète sur chaque site de la hiérarchie.
Classifications des mises à jour
Chaque mise à jour logicielle fait partie d'une classification particulière qui permet d'organiser les différents types de mises à jour. Pendant le processus de synchronisation, les métadonnées des mises à jour logicielles pour les classifications spécifiées seront synchronisées.Configuration Manager vous permet de synchroniser les mises à jour logicielles avec les classifications de mise à jour suivantes :
Mises à jour critiques : spécifie des mises à jour distribuées en grand nombre, répondant à un problème spécifique qui concerne un bogue critique non lié à la sécurité.
Mises à jour de définitions : spécifie des mises à jour pour des virus ou d'autres fichiers de définition.
Packs de fonctionnalités : spécifie de nouvelles fonctionnalités du produit, distribuées en dehors d'une version et d'une fonctionnalité de produit qui sont généralement incluses dans la version suivante du produit.
Mises à jour de sécurité : spécifie des mises à jour distribuées en grand nombre, répondant à un problème de sécurité spécifique à un produit.
Service Packs : spécifie des ensembles cumulés de correctifs rattachés à une application. Ces correctifs peuvent comprendre des mises à jour de sécurité, des mises à jour critiques, des mises à jour logicielles, etc.
Outils : spécifie des utilitaires ou des fonctionnalités permettant d'effectuer une ou plusieurs tâches.
Correctifs cumulatifs : spécifie des ensembles cumulés de correctifs, assemblés pour faciliter leur déploiement. Ces correctifs peuvent comprendre des mises à jour de sécurité, des mises à jour critiques, des mises à jour, etc. Les correctifs cumulatifs concernent généralement un domaine particulier, tel que la sécurité ou un composant de produit.
Mises à jour : spécifie une mise à jour d'une application ou d'un fichier déjà installé.
Les paramètres de classification des mises à jour sont configurés uniquement sur le site de niveau supérieur. Ils ne sont pas configurés sur le point de mise à jour logicielle des sites enfants, car les métadonnées des mises à jour logicielles du site de niveau supérieur sont répliquées sur les sites principaux enfants. Lorsque vous sélectionnez des classifications de mises à jour, n'oubliez pas que plus vous en sélectionnez, plus la synchronisation des métadonnées des mises à jour logicielles prendra du temps.
Avertissement |
---|
Il est recommandé d'effacer toutes les classifications avant de synchroniser les mises à jour logicielles pour la première fois. Après la synchronisation initiale, sélectionnez les classifications à partir des Propriétés du composant du point de mise à jour logicielle, puis relancez la synchronisation. |
Produits
Les métadonnées de chaque mise à jour logicielle définissent un ou plusieurs produits auxquels elles s'appliquent. Un produit est une édition spécifique d'un système d'exploitation ou d'une application. Un exemple d'un produit est Microsoft Windows Server 2008. Une famille de produits est le système de d'exploitation ou l'application de base d'où sont issus les produits individuels. Par exemple, Microsoft Windows est une famille de produits dont Microsoft Windows Server 2008 fait partie. Vous pouvez spécifier une famille de produits ou des produits distincts au sein d'une famille de produits.
Lorsque des mises à jour logicielles s'appliquent à plusieurs produits et qu'au moins l'un de ces produits a été sélectionné en vue de la synchronisation, tous les autres produits apparaissent dans la console Configuration Manager, même s'ils n'ont pas été sélectionnés. Par exemple, si Windows Server 2008 est le seul système d'exploitation auquel vous êtes inscrit et si une mise à jour logicielle s'applique à Windows Server 2008 et Windows Server 2008 Datacenter Edition, ces deux produits apparaîtront dans la base de données du site.
Les paramètres de produit sont configurés uniquement sur le site de niveau supérieur. Ils ne sont pas configurés sur le point de mise à jour logicielle des sites enfants, car les métadonnées des mises à jour logicielles du site de niveau supérieur sont répliquées sur les sites principaux enfants. Lorsque vous sélectionnez des produits, n'oubliez pas que plus vous en sélectionnez, plus la synchronisation des métadonnées des mises à jour logicielles prendra du temps.
Important
Configuration Manager stocke une liste de produits et de familles de produits que vous pouvez choisir lorsque vous installez pour la première fois le point de mise à jour logicielle. Tant que vous ne synchronisez pas les mises à jour logicielles, les produits et familles de produits publiés après la publication de Configuration Manager risquent de ne pas pouvoir être sélectionnés. La synchronisation permet de mettre à jour la liste des produits et des familles de produits pouvant être sélectionnés. Il est recommandé d'effacer tous les produits avant de synchroniser les mises à jour logicielles pour la première fois. Après la synchronisation initiale, sélectionnez les produits dans les propriétés du composant du point de mise à jour logicielle, puis relancez la synchronisation.
Règles de remplacement
En règle générale, une mise à jour logicielle qui en remplace une autre effectue une ou plusieurs des opérations suivantes :
Elle optimise, améliore ou met à jour le correctif fourni par une ou plusieurs mises à jour précédemment publiées.
Elle améliore l'efficacité de son package de fichiers de mise à jour, qui est installé sur les ordinateurs clients si la mise à jour est approuvée pour l'installation. Par exemple, la mise à jour remplacée peut contenir des fichiers qui ne sont plus pertinents pour le correctif ou pour les systèmes d'exploitation pris en charge par la nouvelle mise à jour. Ainsi, ces fichiers ne sont pas inclus dans le package de fichiers de la mise à jour de remplacement.
Elle met à jour un produit vers les versions les plus récentes. En d'autres termes, elle met à jour les versions qui ne concernent plus d'anciennes versions ou configurations d'un produit. Les mises à jour peuvent également remplacer d'autres mises à jour si des modifications ont été apportées pour étendre la prise en charge des langues. Par exemple, une révision récente d'une mise à jour de produit pour Microsoft Office peut supprimer la prise en charge d'un ancien système d'exploitation, mais ajouter la prise en charge de langues supplémentaires dans la version de mise à jour initiale.
Dans les propriétés du point de mise à jour logicielle, vous pouvez indiquer si vous souhaitez faire expirer immédiatement les mises à jour logicielles remplacées. Dans ce cas, elles ne seront pas incluses dans les nouveaux déploiements et un indicateur sera ajouté aux déploiements existants pour indiquer qu'ils contiennent une ou plusieurs mises à jour logicielles expirées. Ou bien, vous pouvez spécifier une période avant l'expiration des mises à jour logicielles remplacées, ce qui vous permet de continuer à les déployer. Examinez les scénarios suivants, dans lesquels vous devrez peut-être déployer une mise à jour logicielle remplacée :
une mise à jour logicielle de remplacement prend en charge uniquement les versions les plus récentes du système d'exploitation, mais certains de vos ordinateurs clients exécutent des versions antérieures du système d'exploitation ;
une mise à jour logicielle de remplacement présente des conditions d'applications plus restreintes que la mise à jour qu'elle remplace, ce qui peut la rendre inadaptée à certains ordinateurs clients ;
une mise à jour logicielle de remplacement n'a pas été approuvée pour le déploiement dans votre environnement de production.
Langues
Les paramètres de langue du point de mise à jour logicielle permettent de configurer les langues pour lesquelles les détails du résumé (métadonnées des mises à jour logicielles) sont synchronisés pour les mises à jour logicielles, ainsi que les langues des fichiers de mise à jour logicielle qui seront téléchargés pour les mises à jour.
Fichier de mise à jour logicielle
Les langues configurées dans le paramètre Fichier de mise à jour logicielle dans les propriétés du point de mise à jour logicielle désignent l'ensemble de langues par défaut qui sera disponible lors du téléchargement des mises à jour logicielles sur un site. Vous pouvez modifier les langues qui sont sélectionnées par défaut à chaque fois que des mises à jour logicielles sont téléchargées ou déployées. Lors du téléchargement, les fichiers de mise à jour logicielle correspondant aux langues configurées sont téléchargés à l'emplacement source du package de déploiement, si les fichiers de mise à jour logicielle sont disponibles dans la langue sélectionnée. Ils sont ensuite copiés dans la bibliothèque de contenu du serveur de site, puis sur les points de distribution configurés pour le package.
Les paramètres de langue des fichiers de mise à jour logicielle doivent être configurés avec les langues les plus souvent utilisées dans votre environnement. Par exemple, si des ordinateurs clients attribués au site utilisent surtout l'anglais et le japonais dans le système d'exploitation ou les applications, et si très peu d'autres langues sont utilisées sur ce site, sélectionnez l'anglais et le japonais dans la colonne Fichier de mise à jour logicielle lors du téléchargement ou du déploiement de la mise à jour logicielle, et désactivez les cases correspondant aux autres langues. Vous pourrez ainsi utiliser les paramètres par défaut sur la page Sélection de la langue des Assistants de déploiement et de téléchargement. En outre, vous empêchez ainsi le téléchargement des fichiers de mise à jour inutiles. Ce paramètre est configuré sur chaque point de mise à jour logicielle de la hiérarchie de Configuration Manager.
Détails du résumé
Au cours du processus de synchronisation, les informations sur les détails du résumé (métadonnées des mises à jour logicielles) sont mises à jour pour les mises à jour logicielles dans les langues spécifiées. Les métadonnées proposent des informations sur la mise à jour logicielle, telles que le nom, la description, les produits pris en charge par la mise à jour, la classification de la mise à jour, l'ID de l'article, l'URL de téléchargement, les critères d'application, etc.
Les paramètres des détails du résumé sont configurés uniquement sur le site de niveau supérieur. Ils ne sont pas configurés sur le point de mise à jour logicielle des sites enfants, car les métadonnées des mises à jour logicielles du site d'administration centrale sont répliquées sur ces sites, via une réplication de fichiers. Lorsque vous sélectionnez les langues des détails du résumé, vous devez choisir uniquement les langues dont votre environnement a besoin. Plus vous choisissez de langues, plus la synchronisation des métadonnées des mises à jour logicielles prendra du temps.Configuration Manager affiche les métadonnées des mises à jour logicielles dans la langue du système d'exploitation dans lequel la console Configuration Manager s'exécute. Si les propriétés localisées pour les mises à jour logicielles ne sont pas disponibles dans la langue du système d'exploitation, les informations sur les mises à jour logicielles s'affichent en anglais.
Important
Il est important de sélectionner toutes les langues des détails du résumé dont vous aurez besoin dans votre hiérarchie Configuration Manager. Lorsque le point de mise à jour logicielle du site de niveau supérieur se synchronise avec la source de synchronisation, les langues des détails du résumé sélectionnées déterminent les métadonnées de mises à jour logicielles récupérées. Si les langues des détails du résumé sont modifiées après au moins une exécution de la synchronisation, seules les métadonnées de mise à jour logicielle des langues des détails du résumé modifiées se rapportant aux mises à jour logicielles nouvelles ou mises à jour sont récupérées. Les mises à jour logicielles qui ont déjà été synchronisées ne sont pas mises à jour à partir des nouvelles métadonnées des langues modifiées, sauf si une modification est apportée à la mise à jour logicielle au niveau de la source de synchronisation.
Planifier des paramètres associés aux mises à jour logicielles
Dans Configuration Manager, les paramètres client des mises à jour logicielles s'appliquent à l'échelle du site et sont configurés à l'aide de valeurs par défaut. Certains paramètres de mises à jour logicielles et de client de protection d'accès réseau ont une incidence sur le moment où la conformité des mises à jour logicielles est analysée et la manière et le moment où les mises à jour logicielles sont installées sur les ordinateurs clients. Certains paramètres Stratégie de groupe sur l'ordinateur client devront peut-être également être configurés en fonction de votre environnement. Pour plus d'informations sur la configuration des paramètres associés aux mises à jour logicielles, voir la section Étape 4 : Vérifier les paramètres client des mises à jour logicielles et les configurations de stratégie de groupe dans la rubrique Configuration des mises à jour dans Configuration Manager.
Paramètres client pour les mises à jour logicielles
Après l'installation du point de mise à jour logicielle, l'agent client des mises à jour logicielles est activé par défaut, et vous n'avez pas besoin de configurer des paramètres de client spécifiques ; toutefois, il est recommandé de passer en revue les paramètres pour vous assurer que les valeurs par défaut répondent à vos besoins. Vous configurez les mises à jour logicielles et les paramètres de client NAP dans Paramètres du client dans l'espace de travail Administration. Pour plus d'informations sur la configuration des paramètres associés aux mises à jour logicielles, consultez la section Paramètres client pour les mises à jour logicielles dans la rubrique Configuration des mises à jour dans Configuration Manager.
Important
Le paramètre Activer les mises à jour logicielles sur les clients est activé par défaut. Si vous désactivez ce paramètre, Configuration Manager supprime les stratégies de déploiement existantes du client. En outre, les stratégies de protection d'accès réseau (NAP) et les stratégies des paramètres de compatibilité qui s'appuient sur le paramètre de périphérique des mises à jour logicielles ne fonctionnent plus.
Paramètres de stratégie de groupe pour les mises à jour logicielles
Des paramètres de stratégie de groupe spécifiques sont utilisés par l'agent Windows Update (WUA) sur les ordinateurs clients pour se connecter au serveur WSUS exécuté sur le point de mise à jour logicielle actif, pour analyser correctement la compatibilité des mises à jour logicielles et pour mettre à jour automatiquement les mises à jour logicielles et WUA.
Avertissement |
---|
Si un objet de stratégie de groupe Active Directory est attribué aux clients et qu'il spécifie un serveur WSUS qui ne correspond pas à leur point de mise à jour logicielle Configuration Manager, il remplace le paramètre de stratégie de groupe local configuré par Configuration Manager. Pour accéder à la conformité des mises à jour logicielles et gérer les déploiements des mises à jour logicielles sur ces clients, vous devez reconfigurer le paramètre de stratégie de groupe Active Directory ou déplacer les ordinateurs clients vers une unité d'organisation à laquelle ce paramètre de stratégie de groupe n'est pas attribué. |
Pour plus d'informations sur la configuration des paramètres associés aux mises à jour logicielles, consultez la section Paramètres de stratégie de groupe pour les mises à jour logicielles dans la rubrique Configuration des mises à jour dans Configuration Manager.
Paramètre de cache du client
Le client Configuration Manager télécharge le contenu des mises à jour logicielles requises vers le cache du client local dès qu'il reçoit le déploiement. Toutefois, pour télécharger le contenu, le client attend pendant une durée définie par le paramètre Temps disponible du logiciel du déploiement. Le client ne télécharge pas de mises à jour logicielles dans les déploiements facultatifs (déploiements qui n'ont pas d'échéance d'installation planifiée) jusqu'à ce que l'utilisateur lance l'installation manuellement. Lorsque l'échéance configurée arrive, l'agent client des mises à jour logicielles initie une analyse pour vérifier que la mise à jour logicielle est toujours requise. Il vérifie ensuite le cache local de l'ordinateur client pour déterminer si le fichier source de la mise à jour logicielle est toujours disponible, avant d'installer la mise à jour logicielle. Si le contenu a été supprimé du cache client pour créer de la place pour un autre déploiement, le client télécharge les mises à jour logicielles dans le cache. Les mises à jour logicielles sont toujours téléchargées sur la mémoire cache du client indépendamment de la taille maximale de la mémoire cache configurée pour le client. Pour les autres déploiements, tels que des applications ou des packages, le client télécharge uniquement le contenu qui respecte la taille de cache maximale configurée pour le client. Le contenu mis en cache n'est pas automatiquement supprimé : il reste en cache pendant au moins un jour après son utilisation par le client.
Planification d'une fenêtre de maintenance pour les mises à jour logicielles
À partir de System Center 2012 R2 Configuration Manager, vous pouvez ajouter une fenêtre de maintenance dédiée à l'installation de mises à jour logicielles. Vous pouvez configurer une fenêtre de maintenance générale et une fenêtre de maintenance distincte pour les mises à jour logicielles. Lorsque vous disposez d'une fenêtre de maintenance générale et d'une fenêtre de maintenance des mises à jour logicielles, les clients installent des mises à jour logicielles uniquement dans le cadre de la fenêtre de maintenance des mises à jour logicielles. Pour plus d'informations sur les fenêtres de maintenance, voir Comment utiliser les fenêtres de Maintenance dans le Gestionnaire de Configuration.
Rubriques complémentaires relatives à la planification des mises à jour logicielles
Aidez-vous des informations figurant dans les rubriques suivantes pour planifier les mises à jour logicielles dans Configuration Manager.