TechNet
Exporter (0) Imprimer
Développer tout

Processus de gestion des correctifs

Phase 4 - Déploiement

Dernière mise à jour le 01 juin 2007

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation
Préparation au déploiement
Déploiement de la mise à jour de logiciel sur les ordinateurs cibles
Analyse après implémentation
Synthèse
Étapes suivantes

Dans ce module

Ce module décrit la dernière des quatre phases du processus de gestion des mises à jour : le déploiement. Cette phase consiste à déployer avec succès des mises à jour de logiciels approuvées dans votre environnement de production afin que vous satisfassiez toutes les exigences des contrats de niveau de service (SLA) du déploiement en place.

Ce module a pour objectif de décrire les principes de la phase de déploiement du processus de gestion des mises à jour et de vous présenter les types de tâches qui vous permettront d’effectuer le déploiement avec Microsoft Windows Server Update Service (WSUS) et Microsoft Systems Management Server (SMS).

Remarque : Vous pouvez télécharger la version bêta 2 de la prochaine version de SMS, appelée System Center Configuration Manager 2007, à l'adresse http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx. Grâce à des améliorations au niveau de la simplicité, de la configuration, du déploiement et de la sécurité, Configuration Manager 2007 simplifie considérablement le déploiement des systèmes, l'automatisation des tâches, la gestion des conformités et la gestion de la sécurité basée sur les stratégies, améliorant ainsi la souplesse de l'entreprise.

Une fois que vous aurez lu ce module, vous serez en mesure de planifier les tâches nécessaires pour :

  • déployer la mise à jour de logiciel approuvée ;

  • déployer toutes les contre-mesures nécessaires.

Sans processus de déploiement, vous ne disposez pas d’un ensemble éprouvé et testé des tâches et des activités requises pour déployer une mise à jour de logiciel dans votre environnement de production ou pour déployer les contre-mesures ou les facteurs d’atténuation nécessaires.

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • vous préparer au déploiement ;

  • déployer une mise à jour de logiciel sur les ordinateurs cibles ;

  • analyser le déploiement après son implémentation.


S'applique à

Ce module s’applique à l’ensemble des produits et technologies Microsoft.

Comment utiliser ce module

Les étapes de base nécessaires à l’analyse à l’aide de WSUS et SMS sont décrites dans ce module. Toutefois, des instructions plus détaillées sont disponibles dans les bibliothèques techniques dont vous trouverez la liste ci-dessous.

Afin de tirer le meilleur parti possible de ce module :

  • Lisez la section Introduction du module « Processus de gestion des mises à jour ». Elle présente les quatre phases du processus de gestion des mises à jour et propose une introduction aux outils permettant la prise en charge de la gestion des mises à jour dans les environnements basés sur un système d’exploitation Microsoft Windows.

  • Vous trouverez des supports de référence détaillés dans les bibliothèques techniques WSUS et SMS. Ces bibliothèques sont disponibles aux adresses suivantes :


Présentation

La phase de déploiement est la quatrième phase du processus de gestion des mises à jour illustré à la figure 1.

Figure 1. Processus de gestion des mises à jour

Figure 1. Processus de gestion des mises à jour

La phase de déploiement met l’accent sur les tâches et les activités requises pour déployer une mise à jour de logiciel dans l’environnement de production. Des tâches supplémentaires peuvent être requises pour déployer des contre-mesures ou des facteurs d’atténuation.

Le début de cette phase correspond au moment où la mise à jour de logiciel est prête pour le déploiement en production et où l’accord pour ce dernier a été obtenu.

L’objectif de la phase de déploiement est de déployer avec succès la mise à jour de logiciel et/ou les contre-mesures approuvées dans votre environnement de production.

Le déploiement d’une mise à jour de logiciel se compose des activités suivantes :

  • préparation au déploiement ;

  • déploiement de la mise à jour de logiciel sur les ordinateurs cibles ;

  • analyse après implémentation.


Préparation au déploiement

L’environnement de production doit être préparé pour chaque nouvelle version. La procédure de préparation de la mise à jour de logiciel en vue du déploiement est la suivante :

  • Communication du planning de déploiement à l’entreprise.

  • Si WSUS est déployé :

    • échelonner les mises à jour sur les serveurs WSUS.

  • Si SMS est déployé :

    • importer des programmes et des publications à partir de l’environnement de test ;

    • affecter des points de distribution ;

    • échelonner les mises à jour sur les points de distribution ;

    • sélectionner des groupes de déploiement.

Pour plus d’informations sur la préparation au déploiement dans les environnements WSUS ou SMS, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services) ou à la bibliothèque technique pour Systems Management Server 2003.

Communication du planning de déploiement à l’entreprise

Il est important d’informer les utilisateurs finaux et les administrateurs de la diffusion imminente d’une mise à jour. Vous devez dès lors envoyer un message électronique clair et facilement identifiable aux utilisateurs et aux administrateurs les avertissant de la mise à jour et leur fournissant des informations sur l’installation. Ajoutez au message un indicateur de suivi afin de rappeler aux utilisateurs et aux administrateurs les actions qu’ils doivent entreprendre.

Dans le cas où vous déploieriez une mise à jour sur des ordinateurs de bureau en dehors des heures de travail habituelles, le message électronique doit indiquer aux utilisateurs de laisser leur ordinateur allumé pendant la nuit à une date spécifique. Si le message comporte un indicateur de suivi comme le montre la figure 2, les utilisateurs recevront un message à 16 h 30, le 30 mai 2003 leur rappelant de laisser leur ordinateur allumé pendant la nuit.

Cc700833.gr36(fr-fr,TechNet.10).gif

Figure 2 Cette capture d’écran montre comment un message comportant un indicateur de suivi peut être utilisé comme rappel.

Si vous utilisez WSUS, le processus de communication inclut des remarques supplémentaires en fonction des paramètres de téléchargement et d’installation définis pour le client WSUS :

  • Notification de téléchargement et notification d’installation. Un utilisateur connecté avec des droits d’administrateur local doit sélectionner l’option de téléchargement de la mise à jour chaque fois que le message Nouvelle mise à jour prête à être téléchargée apparaît dans la barre des tâches. Ensuite, ils devront installer la mise à jour de logiciel lorsque le message Nouvelle mise à jour prête à être installée s’affichera.

  • Téléchargement et notification d’installation automatiques. Les mises à jour nouvellement approuvées et concernant l’ordinateur client sont automatiquement téléchargées par la fonctionnalité Mises à jour automatiques. Pour installer les mises à jour, un utilisateur connecté avec des droits d’administrateur local doit sélectionner l’option d’installation de la mise à jour de logiciel lorsque le message Nouvelle mise à jour logicielle prête à être installée s’affiche.

  • Téléchargement automatique et planification de l’installation. Un utilisateur connecté avec des droits d’administrateur local peut installer une mise à jour avant l’heure d’installation planifiée ou remettre à plus tard l'éventuel redémarrage de son ordinateur une fois l’installation terminée. Pour les utilisateurs ne disposant pas de droits d’administrateur local, la mise à jour s’installera en arrière-plan à l’heure prévue. Ces utilisateurs ne peuvent différer le redémarrage de leur ordinateur que si le paramètre Pas de redémarrage planifié des installations planifiées des mises à jour automatiques a été activé.

Pour plus d’informations sur l’utilisation de WSUS durant la phase de déploiement, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Préparation au déploiement à l’aide de SMS

Si vous utilisez SMS 2003, la préparation au déploiement nécessite des étapes supplémentaires :

  • Importation des programmes et des publications à partir de l’environnement de test. Tout d’abord, les packages générés et testés dans l’environnement de test doivent être importés dans l’environnement SMS 2003 de production.

  • Affectation des points de distribution. Vous devez alors affecter des points de distribution. Dans ce cas, les fichiers binaires de mise à jour de logiciel doivent être placés sur des points de distribution sur tous les sites dans lesquels résident des clients cibles. Si l'Assistant Distribution de mises à jour logicielles peut être utilisé, des points de distribution peuvent être affectés à l’aide de l’Assistant (puis modifiés manuellement une fois le package créé).

  • Échelonnement des mises à jour sur les points de distribution. L’étape suivante consiste à s’assurer que des copies de tous les fichiers sont placées sur les serveurs de points de distribution. Le processus d’envoi de fichiers binaires pour les mises à jour de logiciels vers des points de distribution implique l’envoi des fichiers entre des sites SMS et de sites SMS vers des points de distribution locaux.

  • Sélection de groupes de déploiement. Si vous utilisez l’Assistant Distribution de mises à jour logicielles pour distribuer une nouvelle mise à jour de logiciel, il n’est pas nécessaire de cibler précisément les ordinateurs. En effet, l’Assistant déploie un agent intelligent, appelé lorsqu’une nouvelle mise à jour doit être installée. L’agent détermine automatiquement si une mise à jour est applicable à l’ordinateur (et si elle a déjà été installée). Si des mises à jour sont en cours de distribution via un package ou un groupe personnalisé, il se peut que vous deviez créer une ou plusieurs requêtes SMS afin de déployer la mise à jour sur les ordinateurs appropriés.

Pour plus d’informations sur l’utilisation de SMS durant la phase de déploiement, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Déploiement de la mise à jour de logiciel sur les ordinateurs cibles

Le processus utilisé pour déployer la mise à jour de logiciel dans l’environnement de production dépend du type et de la nature de la version, ainsi que du mécanisme de diffusion sélectionné.

Il dépend également en grande partie du caractère urgent ou non de la mise à jour de logiciel. En raison de l’urgence associée aux modifications de ce type, leur déploiement présente quelques différences. Ces différences seront mises en évidence tout au long de cette section.

Dans l’idéal, vous devez diffuser des mises à jour de logiciels via un déploiement progressif, réduisant ainsi l’impact d’éventuels incidents ou des effets néfastes pouvant résulter de la distribution initiale d’une mise à jour de logiciel.

Les étapes requises pour déployer une mise à jour de logiciel en production sont les suivantes :

  • Annonce de la mise à jour de logiciel aux ordinateurs clients.

  • Surveillance de la progression du déploiement et établissement de rapports.

  • Gestion des déploiements défectueux.

Publication de la mise à jour de logiciel aux ordinateurs clients

Si vous utilisez WSUS et qu’un déploiement progressif est inutile, il vous suffit d’approuver la mise à jour sur le serveur parent WSUS pour qu’elle soit mise à la disposition des clients. Les clients WSUS commencent à télécharger la mise à jour nouvellement approuvée soit lors du prochain cycle de détection soit lorsqu’ils y sont invités par l’administrateur local (si la fonctionnalité Mises à jour automatiques a été configurée pour avertir l’administrateur local lorsque de nouvelles mises à jour sont disponibles).

Cependant, si le déploiement doit être progressif, commencez par approuver la mise à jour sur le serveur WSUS parent uniquement. Par la suite, une fois la mise à jour correctement déployée sur les clients pris en charge par le serveur, activez la synchronisation de la liste d’approbations sur le serveur WSUS enfant prenant en charge les clients de la phase suivante du déploiement.

Pour plus d’informations sur l’utilisation de WSUS durant la phase de déploiement, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Si vous utilisez SMS et l’Assistant Distribution de mises à jour logicielles, une publication répétée est automatiquement créée, exécutant l’agent d’installation de la mise à jour de logiciel sur les ordinateurs de l’ensemble cible. Si nécessaire, vous pouvez modifier l’intervalle de répétition dont la valeur par défaut est sept jours. Par exemple, un ensemble comprenant des serveurs peut exécuter l’agent une fois par jour. À l’aide des mêmes package et programme, vous pouvez créer des publications pour plusieurs ensembles, si vous devez générer plusieurs plannings pour différents types d’ordinateurs. Si le déploiement est échelonné, vous devez modifier la requête après chaque phase, de façon à ce que les clients de la phase suivante soient inclus.

Si vous n’utilisez pas l’Assistant Distribution de mises à jour logicielles, lorsqu’une publication est créée pour installer une mise à jour, son planning doit être configuré de façon à se répéter. Ainsi, une installation ayant échoué fait automatiquement l'objet d'une nouvelle tentative. L’intervalle de répétition de la publication doit être choisi avec précaution car les clients ayant réussi l’installation de la mise à jour demeurent dans l’ensemble cible jusqu’à ce qu’un nouvel inventaire soit collecté, pouvant être déclenché par le programme d’installation lui-même, ou jusqu’à ce que l’inventaire soit mis à jour dans la base de données SMS et que l’ensemble soit réévalué. De ce fait, le programme pourrait être exécuté à nouveau sur un client l’ayant déjà exécuté avec succès. C’est pour cette raison qu’il est essentiel que le programme vérifie d’abord si les mises à jour de logiciels sont installées et qu’il se ferme immédiatement si elles le sont.

Pour plus d’informations sur l’utilisation de SMS durant la phase de déploiement, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Demande de modification urgente

Pour plus d’informations sur la gestion des demandes de modification urgentes à l’aide de WSUS, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services) ; pour apprendre à gérer les demandes de modification urgentes à l’aide de SMS, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Surveillance de la progression du déploiement et établissement de rapports

Il se peut que les ordinateurs ne parviennent pas à installer une mise à jour pour de multiples raisons, parmi lesquelles :

  • L’ordinateur est déconnecté.

  • L’ordinateur est en cours de reconstruction ou une nouvelle image est créée.

  • L’espace disque disponible sur l’ordinateur est insuffisant.

  • Dans les environnements WSUS :

    • l’ordinateur ne communique pas avec le serveur WSUS (pour les ordinateurs disposant de la fonctionnalité Mises à jour automatiques) ;

    • le service Mises à jour automatiques a été arrêté.

  • Dans les environnements SMS :

    • les clients SMS de l’ordinateur ne communiquent pas avec les serveurs de site SMS ;

    • le service de l’agent a été arrêté sur l’ordinateur, soit par un utilisateur, soit par le processus de maintenance.

  • Dans les environnements SMS 2003 :

    • MSXML 3 est installé sur l’ordinateur jusqu’au Service Pack 1 uniquement (SMS 2003 requiert MSXML 3.0 SP4).

Pour plus d’informations sur l’utilisation de WSUS durant la phase de déploiement, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Pour contrôler le succès de la diffusion de mises à jour dans SMS, vous pouvez utiliser l'outil de visualisation du statut des publications afin d’afficher le statut du déploiement des publications, en fonction de leurs messages d’état. Ces messages indiquent uniquement si la publication répétitive a été exécutée ; ils n'indiquent pas si la mise la mise à jour a été installée. Pour obtenir cette information, analysez les messages d’état afin de déterminer si le programme d’installation du correctif a été exécuté avec succès sur chaque client. Si la durée écoulée depuis son exécution est supérieure à l’intervalle de répétition sur certains clients, recherchez-en la raison.

Pour les mises à jour de logiciels identifiées par l’outil d'inventaire des mises à jour de sécurité, l'outil d'inventaire pour les mises à jour Microsoft ou l'outil d'inventaire des mises à jour Microsoft Office, vous pouvez utiliser les rapports intégrés pour vérifier qu’elles ont été correctement déployées. Le rapport Conformité par identificateur de logiciel peut être utilisé pour fournir un récapitulatif du nombre total de systèmes sur lesquels la mise à jour a été installée ou non, ainsi que l’état de la distribution de la mise à jour de logiciel.

Pour plus d’informations sur l’utilisation de SMS durant la phase de déploiement, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Gestion des déploiements défectueux

Si vous rencontrez des exceptions lors d’un déploiement normal, vous devez disposer de suffisamment de temps pour l’arrêter, déterminer la cause principale et redéployer. Cependant, en cas de déploiement d’urgence, le temps disponible pour les tests et l’estimation de la cause principale sera beaucoup plus court.

Votre entreprise peut également décider qu’un déploiement a échoué et qu’il doit être arrêté et redéployé. Vous devez disposer d’un plan pour arrêter le déploiement, désinstaller les mises à jour défectueuses et les redéployer.

Dans les environnements WSUS

Lorsqu’il s’agit de déploiements défectueux dans un environnement WSUS, vous devez annuler l’approbation de la mise à jour sur le serveur WSUS afin d’empêcher d’autres installations. Sur les clients ayant déjà téléchargé la mise à jour mais ne l’ayant pas encore installée, les administrateurs locaux peuvent la supprimer manuellement de la liste des mises à jour à installer. Si un ordinateur a installé une mise à jour approuvée, celle-ci ne peut être supprimée qu’à l’aide de la fonction Ajout/Suppression de programmes dans le Panneau de configuration (en présumant que la mise à jour peut être désinstallée). Pour plus d’informations sur l’utilisation de WSUS durant la phase de déploiement, reportez-vous à la bibliothèque technique WSUS (Windows Server Update Services).

Dans les environnements SMS

Si vous utilisez SMS, la gestion des déploiements défectueux implique les quatre tâches suivantes :

  • Arrêt du déploiement du package actif, jusqu’à ce que le problème soit résolu.

  • Identification et résolution du problème, en d’autres termes recherche de la cause de l’échec du déploiement.

  • Lancement d’une nouvelle publication du package.

  • Désinstallation de la mise à jour de logiciel, en créant un package de désinstallation (si la mise à jour peut être désinstallée).

Pour plus d’informations sur l’utilisation de SMS durant la phase de déploiement, reportez-vous à la bibliothèque technique pour Systems Management Server 2003.

Analyse après implémentation

Il convient en règle générale d'effectuer l'analyse après implémentation une à quatre semaines après le déploiement d’une version afin d’identifier les améliorations qui doivent être apportées par le processus de gestion des mises à jour.

L'analyse comprend généralement les tâches suivantes :

  • S’assurer que les vulnérabilités sont ajoutées à vos rapports d’analyse de vulnérabilité et aux normes de sécurité, de façon à ce que l’attaque ne puisse pas se reproduire.

  • S’assurer que les images de la version ont été mises à jour avec les toutes dernières mises à jour de logiciels à la suite du déploiement.

  • Comparer les résultats planifiés avec les résultats obtenus.

  • Étudier les risques associés à la version.

  • Analyser les performances de votre entreprise tout au long de l’incident. Profiter de cette opportunité pour améliorer votre plan de réponse afin de tenir compte des leçons apprises.

  • Étudier les modifications dans vos plages de service.

  • Évaluer les coûts et les dommages de l’incident, y compris les coûts d’inactivité et de reprise.

  • Créer une autre base ou mettre à jour la base existante pour votre environnement.


Synthèse

Au cours de la phase de déploiement, vous avez accompli les principales tâches suivantes :

  • établissement de l’ordre dans lequel les mises à jour de logiciels seront déployées en production ;

  • contrôle de l’environnement de production afin de vous assurer qu’il pourra gérer la mise à jour de logiciel ;

  • placement des fichiers de mises à jour de logiciels sur des points de distribution SMS et des serveurs WSUS ;

  • déploiement de la mise à jour de logiciel en production ;

  • nouvelle analyse de l’environnement pour estimer la réussite de l’opération et mise à jour des ordinateurs sur lesquels l’installation de la mise à jour de logiciel a échoué ;

  • révision du processus de gestion des mises à jour une fois le déploiement terminé.


Étapes suivantes

Une fois la mise à jour de logiciel déployée, retournez à la phase d’analyse, dans laquelle vous pouvez :

  • inventorier/détecter les ressources informatiques existantes ;

  • analyser les menaces et les failles de sécurité ;

  • identifier la meilleure source d’informations sur les mises à jour de logiciels ;

  • analyser l’infrastructure de distribution de logiciels existante ;

  • analyser l’efficacité de vos opérations.


Télécharger la solution complète

Gestion des correctifs avec SMS 2003 (en anglais)



Afficher:
© 2016 Microsoft