• Article

System Center

Nouveaux outils de gestion des mises à jour logicielles

Steve Rachui

 

Vue d'ensemble:

  • Anciennes méthodes de gestion des mises à jour
  • Nouveau processus de SCCM 2007
  • Configuration personnalisée et flexibilité
  • Planification avancée des mises à jour

La gestion des mises à jour logicielles a été introduite pour la première fois dans Systems Management Server (SMS) 2.0 avec les outils d’analyse des mises à jour de sécurité et d'Office. Ces outils ont subi plusieurs révisions : l'outil d'inventaire

des mises à jour de sécurité étendu prend désormais en charge l'analyse d'autres produits, l'outil d'inventaire pour les mises à jour Microsoft® combine les outils de sécurité et Office en un produit unique et l'outil d'inventaire pour les mises à jour Dell. L'outil de publication des mises à jour personnalisées a été également introduit pour prendre en charge la réparation de produits tiers. L'outil d'Inventaire pour les mises à jour Microsoft (ITMU) a à lui seul subi trois révisions. Chacun de ces outils présente ses propres catalogues, infrastructure d'analyse et exigences et difficultés. Les catalogues de ces systèmes se sont agrandis progressivement et sont devenus si grands, en fait, que les anciennes mises à jour ont été supprimées afin de libérer de la place pour les nouvelles.

Avec le tableau d'options, le déploiement des mises à jour à l'aide de ces outils pouvait être complexe. Une simplification du processus s'imposait donc. La prochaine version de SMS—System Center Configuration Manager 2007 (SCCM) représente un pas important dans cette direction. Avec SCCM, le mécanisme des mises à jour logicielles permet d'assurer de meilleurs résultats. Grâce à cette méthode de gestion des mises à jour entièrement différente, les anciens catalogues et moteurs d'analyse ne sont plus qu'un souvenir. L'état de mise à jour, habituellement signalé via l'inventaire matériel, utilise un nouveau mécanisme, le message d'état, pour assurer une meilleure détermination de la conformité et une meilleure mise en œuvre sur chaque client. Je pense que vous constaterez vous-même que la nouvelle approche de la gestion des mises à jour dans SCCM 2007 représente une amélioration considérable.

SCCM 2007 introduit deux nouveaux composants que je souhaite aborder avant d'examiner les fonctionnalités de gestion des mises à jour.

Point de mise à jour logicielle Comme nous l'avons vu, les catalogues n'existent plus dans SCCM. SCCM fonctionne désormais directement avec un serveur Windows Server® Update Services (WSUS) dédié qui joue le rôle de point de mise à jour logicielle (SUP) pour fournir les téléchargements de métadonnées et l'analyse des clients. Dans SCCM, les fonctionnalités de livraison binaire des mises à jour de WSUS sont désactivées pour permettre au système de se concentrer sur le processus d'analyse. Cet ajustement permet à WSUS d'analyser jusqu'à 25 000 clients par SUP sur un serveur dédié. SCCM permet également de configurer le SUP derrière un cluster NLB (Network Load Balancing) pour une meilleure disponibilité et meilleure évolutivité, activant jusqu'à quatre SUP pour un total de 100 000 clients par site principal.

Eléments de configuration (CI) Un élément de configuration est une nouvelle approche utilisée dans SCCM pour définir les configurations spécifiques qui doivent exister sur les systèmes cibles. La gestion des mises à jour SCCM utilise désormais cette infrastructure. Les mises à jour ne devraient plus être envisagées en termes de distribution logicielle normale, bien qu'il existe des similarités. Au lieu de cela, les mises à jour résident sur leur propre nœud dans la console d'administration et utilisent ce mécanisme d'élément de configuration tout à fait unique. Côté client, les mises à jour sont téléchargées de façon sélective et sont enregistrées localement.

Configuration de la gestion des mises à jour

La configuration de la gestion des mises à jour consiste en trois opérations : l'activation de l'agent client, la configuration du SUP et la configuration des mises à jour pour la distribution.

L'agent client SCCM (illustré à la figure 1) est identique aux autres agents client et est configuré sur le même nœud de la console d'administration. La page des propriétés du nœud des agents client des mises à jour logicielles est l'endroit où les administrateurs activent cet agent et configurent l'installation des mises à jour et les paramètres de réévaluation du déploiement. Le paramètre servant à activer l'agent client des mises à jour logicielles concerne le site tout entier, ce qui signifie que chaque client SCCM affecté au site dans lequel cette fonction est activée verra ce rôle activé. Si cette fonction ne doit pas être activée sur certains systèmes d'un environnement, vous pouvez remplacer le paramètre à l'échelle du site pour chaque système en utilisant les paramètres de remplacement de la stratégie locale.

Figure 1 Propriétés des agents client

Figure 1** Propriétés des agents client **

Ces paramètres permettent également à l'administrateur de spécifier la façon de traiter les échéances des mises à jour. Supposons, par exemple, que vous avez quatre mises à jour qui attendent d'être installées, dont une (mise à jour A) doit être installée avant les trois autres. Mais supposons qu'il soit préférable d'installer les quatre mises à jour en même temps, y compris celles qui peuvent attendre. L'option imposant l'application des déploiements obligatoires de cet onglet vous permet de configurer ce choix. En outre, ces paramètres permettent aux administrateurs de spécifier que toutes les notifications et indications visibles du processus de mise à jour doivent être éliminées. Ces options sont indiquées à la figure 1.

Les paramètres de l'onglet de réévaluation des déploiements permettent aux administrateurs de préparer un calendrier de réévaluation des déploiements. Les clients SCCM seront évalués selon ce calendrier pour voir si les mises à jour précédemment installées sont toujours nécessaires et pour les réinstaller si elles ont disparu.

Configuration du SUP

Comme je l'ai mentionné précédemment, le SUP est le composant permettant de télécharger toutes les informations disponibles sur les mises à jour en fonction du calendrier et d'interagir directement avec les clients SCCM pour exécuter des analyses de conformité en fonction de sa base de données de mises à jour. Avant la configuration d'un SUP, un serveur WSUS 3.0 ou version ultérieure doit être installé, étant donné que cette opération n'est pas exécutée par le processus SUP, lequel ne fait que configurer le WSUS pour une utilisation par SCCM. De plus, la console d'administrateur WSUS doit être installée sur le serveur de site pour activer la connectivité avec le serveur WSUS. Une fois que SCCM prend le rôle SUP du serveur WSUS, ce dernier lui est dédié et ne peut être utilisé que par les clients SCCM.

Le SUP est un nouveau rôle de système de site dans SCCM. Pour commencer la configuration, naviguez jusqu'au nœud des systèmes de sites de la console d'administrateur et ajoutez un nouveau système de site. L'étape suivante consiste à sélectionner le point de mise à jour logicielle et à exécuter l'Assistant qui recueillera les informations suivantes :

  • Configuration de proxy
  • Informations sur le port et SSL
  • Mode de synchronisation des mises à jour par ce SUP : depuis Microsoft Update, via un SUP en amont ou manuellement
  • Planification de la synchronisation
  • Classifications des mises à jour présentant un intérêt, telles que les mises à jour critiques, les pilotes, les mises à jour de sécurité, les correctifs cumulatifs, etc.
  • Produits de mises à jour disponibles : Windows®, Exchange, SQL Server™, etc. (voir figure 2)
  • Langue

Figure 2 Paramètres de produit dans l'Assistant Rôle de site

Figure 2** Paramètres de produit dans l'Assistant Rôle de site **(Cliquer sur l'image pour l'agrandir)

Une fois l'Assistant terminé, le SUP sera installé et les configurations internes seront ajustées pour prendre en charge les exigences de SCCM. Il est une judicieux de confirmer que l'installation a réussi en consultant le fichier SUPSetup.log situé dans le dossier des journaux à l'emplacement où SCCM a été installé.

Une fois le SUP installé, la synchronisation doit être exécutée pour forcer le SUP à récupérer les mises à jour et à les stocker dans la base de données SUP et SCCM. La synchronisation peut être exécutée manuellement ou programmée pour une exécution durant le lancement de l'Assistant de configuration SUP. La synchronisation manuelle des mises à jour peut être initialisée à tout moment et il est recommandé de vérifier que la synchronisation a bien lieu après la première installation du SUP. La figure 3 montre comment effectuer cette opération.

Figure 3 Exécution manuelle de la synchronisation

Figure 3** Exécution manuelle de la synchronisation **(Cliquer sur l'image pour l'agrandir)

Le processus de synchronisation comporte deux étapes. Tout d'abord, le serveur (WSUS) SUP est configuré sur les paramètres SCCM et les mises à jour configurées sont synchronisées avec le serveur SUP (WSUS) lui-même. À la fin de cette opération, les informations sur les mises à jour provenant du SUP (WSUS) sont synchronisées dans la base de données SCCM et mises à disposition pour le déploiement des mises à jour. Cette deuxième étape crée les CI requis (un pour chaque mise à jour logicielle) dans la base de données SCCM et peut prendre un certain temps. La synchronisation initiale peut parfois durer plusieurs heures. Le processus de synchronisation peut être consulté dans le journal WSyncMgr, dont un extrait est reproduit aux figures 4 et 5. La figure 4 illustre, en particulier, le processus de synchronisation demandant que le serveur (WSUS) SUP mette à jour sa liste de mises à jour depuis Microsoft Update. La figure 5 illustre le début du processus de synchronisation de l'inventaire SUP avec la base de données SCCM.

Figure 4 Synchronisation de la liste de mises à jour

Figure 4** Synchronisation de la liste de mises à jour **(Cliquer sur l'image pour l'agrandir)

Figure 5 Synchronisation des mises à jour en tant que CI dans la base de données SCCM

Figure 5** Synchronisation des mises à jour en tant que CI dans la base de données SCCM **(Cliquer sur l'image pour l'agrandir)

Une fois un serveur WSUS configuré en tant que SUP, toute tâche administrative requise peut être accomplie à l'aide de la console d'administration de SCCM. Si les modifications de configuration sont faites directement sur le serveur WSUS, elles risquent d'avoir un impact négatif sur SCCM. En outre, ces configurations sont réinitialisées toutes les heures lorsque SCCM vérifie son SUP pour s'assurer que les configurations sont correctes.

Dans une hiérarchie à plusieurs niveaux, vous devez avoir au moins un SUP sur chaque site principal où seront déployées les mises à jour logicielles. Ces SUP fonctionneront ensemble dans une hiérarchie dans laquelle un seul SUP, généralement celui qui se trouve au sommet de la hiérarchie, effectue la synchronisation avec Microsoft Update. Les autres SUP effectuent la synchronisation depuis un partenaire de réplication SUP en amont configuré.

Configuration du déploiement de mises à jour

Une fois l'agent client configuré et le SUP configuré et synchronisé, vous êtes prêt à préparer un véritable déploiement. Tout d'abord, examinons les divers nœuds de l'interface utilisateur administrative de SCCM. En général, il existe cinq nœuds principaux présentant un intérêt : Référentiel des mises à jour, Listes de mises à jour, Modèles de déploiement, Gestion des déploiements et Packages de déploiement.

Le référentiel des mises à jour est l'emplacement dans lequel toutes les mises à jour synchronisées sont stockées et attendent d'être déployées. Vous pouvez déployer une ou plusieurs mises à jour en les sélectionnant et en lançant l'Assistant de déploiement des mises à jour logicielles qui effectue deux tâches : la configuration du modèle de déploiement (ou la sélection d'un modèle qui existe déjà) et la configuration du déploiement proprement dit. J'aborderai ce processus sous peu. La liste des mises à jour peut devenir très volumineuse, et la fonctionnalité Dossiers de recherche, nouvelle fonctionnalité de SCCM 2007, peut vous aider à trouver les mises à jour qui vous intéressent en fonction de 28 critères liés aux mises à jour, notamment Gravité, Classification, Produit, Date de publication et Remplacement.

Les listes de mises à jour permettent aux administrateurs de créer une série de mises à jour bien définies à gérer. Elles peuvent être utilisées dans les rapports sur la conformité, la création de déploiements et la délégation de l'administration. Une fois créées, ces liste de mises à jour sont répliquées dans la hiérarchie afin d'être réutilisées dans les sites enfants, tout comme les packages ou les publications. Les listes de mises à jour ne sont pas liées à un déploiement particulier lorsqu'elles sont répliquées ; il s'agit simplement de listes de mises à jour. Une fois la liste terminée et répliquée, vous pouvez déployer les mises à jour qu'elle contient d'un seul coup en sélectionnant la liste et en choisissant de déployer les mises à jour.

Modèles de déploiement

Les modèles de déploiement contiennent des paramètres courants (tels que des informations sur la planification et la collection cible) utilisés pendant le déploiement des mises à jour logicielles, et ont été créés pour réduire le temps de déploiement des mises à jour. Les modèles peuvent être créés pour gérer plusieurs déploiements dans un même environnement et peuvent être utilisés dans l'Assistant de déploiement par simple sélection. Les paramètres pré-remplis par le modèle de déploiement incluent la collection cible, les paramètres de l'échéance de la mise à jour (comme illustré à la figure 6), les paramètres de redémarrage et les fenêtres de maintenance. Lorsqu'un grand nombre de mises à jour figurent dans un déploiement, les performances du système cible peuvent être affectées à mesure que chaque échéance de mise à jour arrive simultanément. En outre, notez que les paramètres au sein du modèle sont appliqués au déploiement lors de la création de celui-ci. Ces paramètres restent en vigueur sur le déploiement à moins qu'ils ne soient modifiés manuellement dans le déploiement. Il est important de se rappeler que la simple modification des paramètres du modèle ultérieurement n'entraînera pas la modification des paramètres des déploiements existants qui utilisent le modèle modifié.

Figure 6 Configuration des échéances de déploiement dans l'Assistant

Figure 6** Configuration des échéances de déploiement dans l'Assistant **(Cliquer sur l'image pour l'agrandir)

Les options de la figure 6 peuvent être configurées durant l'exécution de l'Assistant de modèle de déploiement ou de l'Assistant de déploiement de mises à jour logicielles (si un nouveau modèle est en cours de création). Notez que le paramètre de durée dans cet écran est réglé sur 0. La valeur par défaut de ce paramètre est deux semaines. Si ce paramètre est configuré sur une valeur autre que 0, le client connaîtra un retard qui équivaut, au maximum, à la durée de cette valeur avant le déploiement des mises à jour. Entre le moment où le déploiement est mis à disposition et l'application de l'échéance configurée, la mise à jour pourra être installée manuellement par les utilisateurs finaux dans le cas d'installations programmées avant l'échéance. À l'échéance, la mise à jour sera appliquée et installée. Si vous rencontrez des retards dans le déploiement des mises à jour, assurez-vous que ce paramètre est correctement configuré pour vos besoins.

Gestion des déploiements

Une fois un déploiement de mises à jour logicielles configuré, vous pouvez y accéder par le biais du nœud de gestion des déploiements. Notez qu'un déploiement de logiciel configuré est différent d'un package de déploiement. Les paramètres liés au déploiement, de même que les mises à jour incluses dans le déploiement, peuvent être affichés et manipulés sur ce nœud, mais pas le package lui-même. Ces paramètres de déploiement reflètent les paramètres qui proviennent de l'Assistant de mises à jour logicielles ainsi que ceux qui sont hérités du modèle choisi.

Packages de déploiement

Les packages de déploiement sont identiques aux packages SMS standard, en ce sens qu'ils définissent les détails de la mise à jour : répertoire source, point de distribution, etc. Les packages de déploiement sont indépendants du déploiement proprement dit utilisé pour distribuer les mises à jour et sont essentiellement un emplacement servant à stocker les mises à jour. Si plusieurs packages de déploiement contiennent les mises à jour nécessaires pour un déploiement, les agents SCCM déterminent le meilleur emplacement à partir duquel la mise à jour sera récupérée et peuvent utiliser n'importe quel package de déploiement contenant la mise à jour.

L'Assistant de déploiement de mises à jour logicielles est utilisé pour déployer des mises à jour dans SCCM. Cet Assistant peut être utilisé avec des mises à jour individuelles ou les listes de mises à jour. La figure 7 montre comment démarrer l'Assistant.

Figure 7 Démarrage de l'Assistant de déploiement de mises à jour logicielles

Figure 7** Démarrage de l'Assistant de déploiement de mises à jour logicielles **(Cliquer sur l'image pour l'agrandir)

Cet Assistant vous demande toutes sortes d'informations : un nom pour le déploiement, s'il faut utiliser les paramètres du modèle existant ou d'un nouveau modèle (si un nouveau modèle est choisi, l'Assistant demandera les paramètres du modèle décrit précédemment), les paramètres du package de déploiement (existant ou nouveau), les paramètres du point de distribution, les options d'emplacement pour le téléchargement, les langues des mises à jour à télécharger et des informations sur le calendrier de déploiement.

Une fois la configuration terminée, la stratégie est mise à jour afin d'informer les clients des mises à jour ciblées et les mises à jour sont installées sur les systèmes clients. Les processus client sont différents des versions précédentes et n'entrent pas dans le cadre de cet article. Une différence essentielle, toutefois, réside dans le fait que les analyses des mises à jour ne sont non plus exécutées localement (le SUP se charge de toutes les analyses) mais les informations sur la conformité des mises à jour sont stockées dans le référentiel WMI (Windows Management Instrumentation) local, comme dans les versions précédentes.

Contrairement aux versions précédentes, cependant, l'inventaire matériel n'est plus utilisé pour envoyer l'état des mises à jour au serveur de site. Au lieu de cela, les messages d'état (nouveaux types de messages d'état simplifiés) sont envoyés au serveur de site via le point de gestion. Les messages d'état fournissent des données sur chaque client géré pour les analyses de conformité et pour surveiller la progression des déploiements. Il existe un certain nombre de nouveaux rapports dans SCCM for Software Updates Management, notamment la conformité globale des ordinateurs individuels pour toutes les mises à jour déployées vers chaque client, l'état d'application des déploiements par client, et des rapports sur les erreurs client après analyse et déploiement qui proposent une liste des plus gros problèmes à résoudre.

Outre l'application planifiée/obligatoire habituelle des déploiements des mises à jour, SCCM vous permet d'installer les mises à jour approuvées avant la date d'échéance de l'installation en suivant un calendrier très semblable à celui des mises à jour automatiques. Cet ajout très utile contribuera à augmenter le nombre de systèmes conformes avant la date d'échéance des déploiements.

SCCM vous permet également de déployer des mises à jour personnalisées. L'outil de publication de mises à jour personnalisées de SMS 2003 R2 a été modifié de sorte à pouvoir être utilisé avec SCCM 2007 en tant que System Center Updates Publisher, permettant ainsi de déployer des mises à jour personnalisées comme indiqué précédemment.

Les changements apportés à la gestion des mises à jour sont considérables dans SCCM, mais d'un point de vue administratif, ils devraient faciliter l'utilisation de SCCM et représentent une amélioration appréciable par rapport aux versions précédentes. Bien que certaines modifications conceptuelles risquent au début de s'avérer difficiles à saisir pour les utilisateurs habitués à SMS 2003, la nouvelle approche vaut qu'ils se donnent la peine de s'y intéresser. Amusez-vous bien !

Steve Rachui est technicien de support de gestion au sein du groupe Product Support Services chez Microsoft. Il assure le support de SMS depuis la version 1.2. Vous pouvez contacter Steve à l'adresse suivante : steverac@microsoft.com.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.