Affichage des articles dont le libellé est WSUS. Afficher tous les articles
Affichage des articles dont le libellé est WSUS. Afficher tous les articles

lundi 6 avril 2015

Configuration WSUS via powershell, approbation automatique et nettoyage

Bien le bonjour,

Voici comment créer des règles d'approbation automatique et exécuter un nettoyage de WSUS via powershell

##Créer une règle d'approbation automatique
$Wsus = Get-WsusServer
$Rule = $Wsus.CreateInstallApprovalRule("Mise à jour critique")
#Définir une échéance
$Deadline = New-Object Microsoft.UpdateServices.Administration.AutomaticUpdateApprovalDeadline
$Deadline.DayOffset = 3
$Deadline.MinutesAfterMidnight = 180
$Rule.Deadline = $Deadline
#Ajouter une classification à la règle
$Class = $Rule.GetUpdateClassifications()
$Class.Add(($Wsus.GetUpdateClassifications() | Where-Object Title -eq "Mise à jour critique"))
$Rule.SetUpdateClassifications($Class)
#Assigner la règle au groupe d'ordinateurs
$Groups = New-Object Microsoft.UpdateServices.Administration.ComputerTargetGroupCollection
$Groups.Add(($Wsus.GetComputerTargetGroups() | Where-Object Name -eq "Controleurs de domaine"))
$Rule.SetComputerTargetGroups($Groups)
#Activer et sauvegarder la règle
$Rule.Enabled = $true
$Rule.Save()

##Nettoyage de wsus
Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupObsoleteComputers `
-CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates
#CleanupObsoleteComputers : Supprimer les ordinateurs clients obsolètes de la base de données (+ de 30 jours)
#CleanupObsoleteUpdates : Supprimer les mises à jour obsolètes de la base de données
#CleanupUnneededContentFiles : Supprimer les fichiers de mise à jour inutilisés
#CompressUpdates : Supprimer de la base de données les fichiers de mise à jour inutilisés (allègement de la base)
#DeclineExpiredUpdates : Décliner les mises à jour expirées

Prochain article sur la création des partages via powershell.

Salutation,
Guillaume

vendredi 3 avril 2015

Configuration WSUS via powershell

Bien le bonjour,

Article sur la configuration de WSUS, faisant suite à celui sur son installation.

#Configurer la synchronisation automatique :
$subs = $Wsus.GetSubscription()
$subs.SynchronizeAutomatically = $true
$subs.NumberOfSynchronizationsPerDay = 1
$subs.Save()

#Création de la GPO de configuration des postes
New-GPO -Name "WSUS Client"
#Lier la GPO aux objets ordinateurs concernés
New-GPLink -Name "WSUS Client" -Target "OU=Ordinateurs,DC=domaine,DC=tld"
#Configurer la GPO, update.domaine.tld correspond au nom de mon serveur WSUS, 8530 port par défaut.
$wuServer = "http://update.domaine.tld:8530"
Set-GPRegistryValue -Name "WSUS Client" `
-Key "HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" `
-ValueName "UseWUServer" -Type DWORD -Value 1
Set-GPRegistryValue -Name "WSUS Client" `
-Key "HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" `
-ValueName "AUOptions" -Type DWORD -Value 2
Set-GPRegistryValue -Name "WSUS Client" `
-Key "HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate" `
-ValueName "WUServer" -Type String -Value $wuServer
Set-GPRegistryValue -Name "WSUS Client" `
-Key "HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate" `
-ValueName "WUStatusServer" -Type String -Value $wuServer

##Côté client
#Mettre à jour les GPO
Gpupdate /force
#Forcer le client à contacter le serveur WSUS
Wuauclt /detectnow

#Création d'un groupe d'ordinateur (exemple)
$Wsus = Get-WsusServer
$Wsus.CreateComputerTargetGroup("Controleurs de domaine")
#Ajouter les ordinateurs dans le groupe
Get-WsusComputer -NameIncludes dc | Add-WsusComputer -TargetGroupName "Controleurs de domaine"

#Lister tous les ordinateurs
Get-WsusComputer -All

#Lister les ordinateurs d'un groupe
Get-WsusComputer -ComputerTargetGroups "Controleurs de domaine"

#Lister les ordinateurs en fonction de leur système d'exploitation et les ajouter dans un groupe
Get-WsusComputer | Where { $_.OSDescription -eq "Windows 8.1" } |
Add-WsusComputer -TargetGroupName "Clients Windows 8.1" -Verbose

#Appouver des mises à jour (au choix : critical, security, wsus, all) pour un groupe
Get-WsusUpdate -Classification Security -Approval Unapproved |
Approve-WsusUpdate -Action Install -TargetGroupName "Clients Windows 8.1"

#Définir la synchronisation via Microsoft update
Set-WsusServerSynchronization -SyncFromMU
#Définir la synchronization via un WSUS en amont

#Set-WsusServerSynchronization -UssServerName <nom-serveur>

Prochain article sur la configuration de règles d'approbation automatique et sur le nettoyage

Salutation,
Guillaume

mercredi 1 avril 2015

Installation WSUS via powershell sur un serveur 2012

Bien le bonjour,

Un petit article sur l'installation de WSUS via powershell.

#Installation WSUS
Install-WindowsFeature UpdateServices -IncludeManagementTools 

#Effectuer la configuration initiale
New-Item E:\WSUS -ItemType Directory
cd 'C:\Program Files\Update Services\Tools\'
.\WsusUtil.exe postinstall content_dir=e:\wsus 

#Afficher la configuration courante
$wsus = Get-WsusServer
$wsus.GetSubscription()

#En cas de Proxy
#$wuConfig = $Wsus.GetConfiguration()
#$wuConfig.ProxyName = "proxy.domaine.tld"
#$wuConfig.ProxyServerPort = 8080
#$wuConfig.UseProxy = $true
#$wuConfig.Save()

#Effectuer la synchronisation initiale
$Subs = $Wsus.GetSubscription()
$Subs.StartSynchronizationForCategoryOnly()

#Effectuer un rapport du status de synchronisation
$Subs.GetSynchronizationProgress() 
$Subs.GetSynchronizationStatus() 
$Subs.GetLastSynchronizationInfo()

#Lister les produits
Get-wsusproduct

#Désactiver toutes les produits
Get-Wsusproduct | Set-WsusProduct -Disable

#Définir les catégories de produit à inclure :
Get-WsusProduct | Where-Object {$_.Product.Title -in ('Windows Server 2012 R2')} | Set-WsusProduct

#Lister les classifications
Get-wsusclassification

#Désactiver toutes les classifications
Get-WsusClassification | Set-WsusClassification -Disable

#Définir les classifications d'update :
Get-WsusClassification | Where-Object { $_.Classification.Title -in ('Mise à jour critique','Mise à jour de la sécurité')} | Set-WsusClassification

#Initier la synchronisation :
$Subs = $Wsus.GetSubscription()
$Subs.StartSynchronization()

Prochain article sur la configuration du service WSUS.

Salutation,
Guillaume

mardi 21 décembre 2010

Utilitaire : Windows Server Update Services client diagnostics tool

Présentation d'un outil indispensable pour tout administrateur qui souhaite ou met en place Windows Server Update Services, le WSUS client diagnostics tool.
Ce programme lance des vérifications préliminaires et teste la communication entre le serveur WSUS et le client. Une fois la série de tests terminée, l'outil affiche les résultats dans la fenêtre de console. Le programme doit être lancé avec les droits administrateurs à partir du poste client WSUS.

L'utilitaire exécute quatre séries de tests :
1. Vérification de l'état de la machine :
  • Vérifie s'il a les droits d'accéder aux informations nécessaires
  • Vérifie l'état des services Windows Update et BITS.
  • Vérifie la version du client Windows Update installée.

2. Vérification des paramètres Windows Update
  • Vérifie les paramètres de Windows Update (normalement appliqués par GPO).

3. Vérification des paramètres du Proxy
  • Vérifie à partir de Internet Explorer et du système local s'il est nécessaire de traverser un Proxy pour atteindre le serveur WSUS.


4. Vérification des URL du serveur WSUS
  • Vérifie les valeurs WUServer et WUStatus.
  • Vérifie si la valeur UseWuServer est présente et activée.
  • Vérifie si "l'arbre selfupdate", situé sur le serveur WSUS est disponible.

Il est possible d'exporter le résultat dans un fichier grâce au commutateur /t :
ClientDiag.exe /t

Téléchargement de WSUS client diagnostics tool