Nouveau dans la version 1.7: Enterprise

Utiliser l’agent de mise à jour Windows (WAPTWUA)

WAPT Enterprise feature only

Note

Depuis la version 1.7, WAPT est capable de gérer les mises à jour Windows sur vos terminaux.

Principe de fonctionnement

Régulièrement, le serveur WAPT télécharge un fichier wsusscn2.cab mis à jour à partir des serveurs Microsoft. Par défaut, les téléchargements ont lieu une fois par jour et aucun téléchargement n’est déclenché si le fichier wsusscn2.cab n’a pas été modifié depuis le dernier téléchargement.

WAPT Windows Update flow process

Processus de mise à jour de Windows WAPT

Note

Dans certains cas, vous souhaiterez peut-être diffuser de nouveaux KB avant la prochaine sortie du Patch Tuesday.

Pour cela, vous pouvez suivre cette documentation pour packager des fichiers .msu pour ces mise à jour ponctuelles.

Le fichier wsusscn2.cab est ensuite téléchargé par l’agent WAPT à partir de son dépôt le plus proche et ensuite transmis à l’utilitaire standard Windows Update Agent Windows qui traitera l’arbre des mises à jour.

Régulièrement, la machine analysera les mises à jour disponibles en utilisant le fichier wsusscn2.cab. La liste des mises à jour nécessaires déterminée par l’agent WUA est ensuite envoyée par l’hôte au serveur WAPT.

Si une mise à jour est en attente sur la machine et si cette dernière n’est pas présente sur le serveur WAPT, le serveur téléchargera la mise à jour nécessaire depuis les serveurs Microsoft.

Indice

Ce mode de fonctionnement permet de ne télécharger que les mises à jour nécessaires sur les ordinateurs qui en ont besoin, économisant ainsi de la bande passante, du temps de téléchargement et de l’espace disque.

Note

Les mises à jour téléchargées sont stockées :

  • sur des serveurs Linux dans /var/www/waptwua ;

  • sur des machines Windows dans C:waptwaptserverrepositorywaptwua ;

L’URL de téléchargement des mise à jour Windows depuis le dépôt WAPT est basée sur le paramètre repo_url du fichier wapt-get.ini :

  • la réplication des WAPT Windows Update fonctionne pour réduire l’usage de la bande passante ;

  • n’oubliez pas de synchroniser le dossier waptwua si vous répliquez vos paquets avec des dépôts distants ;

Note

Si dans votre organisation, un proxy est nécessaire pour sortir sur Internet, alors assurez-vous de définir le serveur proxy dans le fichier waptserver.ini.

Différence de fonctionnement des mises à jour Windows entre WAPT et WSUS

Le WSUS télécharge par défaut toutes les mises à jour pour les catégories sélectionnées. Cela peut conduire à une base de données de mises à jour géante et à l’utilisation de beaucoup de stockage.

WAPT Windows Update ne télécharge que les mises à jour qui ont été demandées par au moins une machine. Cela permet de conserver une petite base de données (quelques dizaines de gigaoctets) et elle peut être facilement nettoyée si vous voulez récupérer de l’espace.

Mises à jour majeures du système d’exploitation

Les mises à niveau majeures du système d’exploitation sont des mises à niveau d’une version du système d’exploitation à une autre. Cela comprend, par exemple, les mises à niveau de Windows 7 à Windows 10, ou de Windows 10 1803 à Windows 10 1903.

Les mises à jour majeures ne sont pas traitées de la même manière que les mises à jour mineures du système d’exploitation. Les mises à jour majeures sont traitées par le téléchargement du nouveau contenu ISO d’installation (le même contenu que pour une nouvelle installation) et l’exécution de la commande setup.exe avec les paramètres corrects. Ce processus est le même pour les mises à jour Windows WSUS, SCCM et WAPT.

Dans le cas des mises à jour Windows WAPT, vous devez créer un paquet de mise à jour du système d’exploitation en utilisant un paquet modèle fourni sur https://store.wapt.fr.

Mises à niveau des pilotes

Les mises à niveau des conducteurs via le WSUS ne sont pas recommandées car il est difficile de gérer correctement les effets secondaires. Dans le cas des mises à jour dans WAPT, les PILOTES NE SONT PAS TÉLÉCHARGÉS car ils ne sont pas référencés dans les fichiers wsusscn2.cab fournis par Microsoft.

Il est recommandé de pousser les mises à jour des pilotes via un paquet WAPT personnalisé. Si le correctif pour un pilote est packagé sous la forme d’un msu, vous pouvez le conditionner sous la forme d’un paquet WAPT standard.

Il suffit de sélectionner le fichier msu et de cliquer sur Créer un paquet dans la console WAPT pour lancer l’assistant permettant de créer simplement de nouveaux paquets WAPT.

Si la mise à jour du pilote est présentée sous la forme d’un paquet zip contenant le fichier exe, vous pouvez créer un paquet WAPT contenant les fichiers nécessaires et le binaire setup.exe avec les paramètres silencieux corrects.

KB hors bande

Microsoft fournit parfois des mises à jour de type OOB qui ne sont pas contenues dans l’index wsusscn2.cab. Ces mises à jour ne sont pas incluses dans la mise à jour principale car elles peuvent corriger un problème très spécifique ou présenter des inconvénients dans certaines situations.

Si vous souhaitez déployer une mise à jour OOB KB, vous pouvez la télécharger à partir du catalogue microsoft https://www.catalog.update.microsoft.com/Home.aspx.

Il suffit de sélectionner le fichier msu et de cliquer sur Créer un paquet dans la console WAPT pour lancer l’assistant permettant de créer simplement de nouveaux paquets WAPT.

Vous devez faire attention au fait que les mises à jour OOB peuvent casser votre système, assurez-vous de lire les conditions préalables sur le bulletin Microsoft correspondant à la mise à jour et de tester la mise à jour de manière approfondie.

Configurer WAPTWUA sur l’agent WAPT

WAPTWUA est configuré dans wapt-get.ini.

Ajouter une section [waptwua].

Vous avez alors plusieurs options :

Options de configuration dans la section [waptwua] du wapt-get.ini

Options

Valeur par défaut

Description

enabled

False

Activez ou désactivez WAPTWUA sur cette machine.

allow_direct_download

False

Autoriser le téléchargement direct des mises à jour à partir des serveurs Microsoft si le serveur WAPT n’est pas disponible

default_allow

False

Définir si la mise à jour manquante est autorisée ou non par défaut

filter

Type=”Software” ou Type=”Driver”

Définir le filtre à appliquer pour l’analyse des mises à jour Windows

download_scheduling

None

Définir la fréquence d’analyse des mises à jour Windows (Ne fera rien si la règle du paquet waptwua ou le fichier wsusscn2.cab n’ont pas changé) (ex : 2h)

install_scheduling

None

Définir la fréquence d’installation des mises à jour Windows (Ne fera rien si aucune mise à jour n’est en attente) (ex : 2h)

install_at_shutdown

False

Installe les mises à jour à l’extinction de la machine

install_delay

None

Définir un délai d’installation différé avant la publication dans le dépôt (ex : 7d)

allowed_severities

None

Définit une liste de niveaux de gravité qui sera automatiquement acceptée lors d’un scan de mise à jour Windows avec WAPT Windows Update. ex : Important, Critical, Moderate

Indice

Ces options peuvent être définies lors de la génération de l’agent.

Exemple de section [waptwua] dans le fichier wapt-get.ini :

[waptwua]
enabled =true
offline =true
default_allow =false
allow_direct_download=false
download_scheduling=12h
install_at_shutdown=true
install_scheduling=12h
install_delay=7d

L’option install_scheduling essaiera d’installer les misesà jours pour le client toutes les 12 heures. Cette option n’est pas graphique car elle représente un danger potentiel. En effet, tenter d’installer les misesà jour sur votre parc informatique pendant les heures de travail peut impacter votre production.

Lorsque vous créer waptagent.exe depuis la console, ces options sont équivalentes à celles-ci :

WAPT Windows Update agent options

Indice

si l’option default_allow est à True et que Wapt WUA est activé aussi,le client va contacter le serveur WAPT et va demander à télécharger les mises à jour manquantes. Le client installera ses mises à jour tout seul.

Exemple de code source d’un paquet pour modifier les paramètres [waptwua] :

def install():
 inifile_writestring(WAPT.config_filename,'waptwua','enabled','true')
 inifile_writestring(WAPT.config_filename,'waptwua','offline','true')
 inifile_writestring(WAPT.config_filename,'waptwua','filter',"Type='Software' or Type='Driver'")
 inifile_writestring(WAPT.config_filename,'waptwua','install_at_shutdown','true')
 inifile_writestring(WAPT.config_filename,'waptwua','download_scheduling','7d')
 inifile_writestring(WAPT.config_filename,'waptwua','allowed_severities','Critical,Important')

Utiliser de WAPTWUA depuis la console

L’onglet WAPT Windows Update Agent de la console WAPT est fourni avec deux sous-menus pour gérer WAPTWUA.

Paquet WAPTWUA

L’onglet WAPTWUA Package vous permet de créer des paquets de règles waptwua.

  • lorsque ce type de paquet est installé sur une machine, il indique à l’agent WAPTWUA les KBs autorisés ou interdits ;

  • lorsque plusieurs paquets waptwua sont installés sur une machine, les différentes règles seront fusionnées ;

  • lorsqu’un cab n’est ni mentionné comme autorisé, ni mentionné comme interdit, les agents WAPT prendront alors la valeur default_allow dans le fichier wapt-get.ini ;

Si une mise à jour Windows n’a pas encore été téléchargée sur le serveur WAPT, l’agent WAPT marquera la mise à jour comme MISSING.

Note

  • si la configuration de l’agent WAPTWUA est définie avec default_allow = True, alors il sera nécessaire de spécifier la cabine interdite ;

  • si la configuration de l’agent WAPTWUA est définie avec default_allow = False, alors il sera nécessaire de spécifier le cab autorisé ;

Indice

  • pour tester les mises à jour sur un petit nombre d’ordinateurs, vous pouvez définir la valeur par défaut de WAPTWUA avec default_allow = False ;

  • vous pouvez tester les mises à jour sur un petit échantillon de machines et si tout va bien, vous pouvez diffuser les mises à jour sur l’ensemble de la base des ordinateurs ;

Creating a *waptwua* Package

Créer un paquet waptwua

Onglet Liste des mises à jour de Windows

L’onglet Windows Update List liste toutes les mises à jour Windows nécessaires.

Important

Le serveur ne scanne pas le fichier wsussc2.cab lui-même, il laisse les agents WAPT le faire. Si une mise à jour vous semble manquer dans la liste, vous devez lancer un scan sur l’une des machines présentes dans la console. Si vous lancez un scan WUA sur un agent Windows 7, les fichiers CAB et Windows 7 seront affichés sur l’onglet Liste des mises à jour de Windows.

Le volet de gauche affiche les catégories de mises à jour, vous permettant de filtrer par :

  • la criticité ;

  • le produit ;

  • la classification ;

Dans la grille de droite, si la colonne Downloaded on est vide, cela signifie que la mise à jour n’a pas encore été téléchargée par le serveur WAPT et n’est pas présente sur le serveur WAPT (Cette mise à jour ne manque sur aucun hôte).

  • vous pouvez forcer le téléchargement d’une mise à jour par Clic droit ‣ Télécharger ;

  • vous pouvez également forcer le téléchargement du fichier wsusscn2.cab avec le bouton Download WSUSScan cab from Microsoft Web Site ;

  • vous pouvez voir le téléchargement des mises à jour Windows sur le serveur avec le bouton Montrer les téléchargements ;

Indice

Pour nettoyer votre dossier WAPTWUA, vous pouvez supprimer les mises à jour Windows qui ne sont plus nécessaires. Le serveur WAPT ne re-téléchargera les mises à jour supprimées que si l’un des hôtes équipés de WAPT le demande ;

List Windows Update

Lancer WAPT WUA sur le client

Vous avez alors trois options.

List of wua button on console

Le bouton Rechercher des mises ç jour Windows lance l’analyse sur le client WAPT et liste toutes les mises à jour signalées pour le système d’exploitation. Vous pouvez scanner le client depuis la console comme cela ou en utilisant la commande wapt-get waptwua-scan depuis la ligne de commande.

Indice

Toutes les 30 minutes, le serveur WAPT recherche les mises à jour qui ont été demandées au moins une fois par les clients WAPT et qui n’ont pas encore été téléchargées et mises en cache. Si une mise à jour est en attente, le serveur WAPT la téléchargera à partir des serveurs officiels de Microsoft.

Toutes les 30 minutes, le serveur va scanner tous les clients afin devérifier si une mise à jour en attente. Si elle n’est pas présente dans ses dépôts,le serveur wapt va la télécharger depuis les serveurs de Microsoft. Vous pouvezforcer ce scan avec le bouton Télécharger l’index et les cabs manquant depuis le site de MS dans l’onglet Windows Updates ‣ Liste des mises à jour Windows

WUA pending example

Si vous voulez télécharger depuis la console, cliquez sur le bouton Lancer le téléchargement des Mises à jour Windows en attente.

La ligne de commande pour le téléchargement de kb depuis le client est wapt-get waptwua-download, elle va analyser l’état actuel de Windows par rapport aux règles en vigueur, télécharger les kb manquants et envoyer le résultat au serveur.

Si vous voulez installer la ou les mise(s) à jour en attente, utilisez wapt-get waptwua-install à partir de l’invite de ligne de commande.

Si vous voulez télécharger depuis la console, cliquez sur le bouton Lancer le téléchargement des Mises à jour Windows en attente.

Indice

Lorsque vous souhaitez installer les mises à jour en attente stockées dans le cache, le service WAPT déclenche le service WUA.

Le service WAPT activera et démarrera temporairement le service WUA pour installer les mises à jour. Lorsque les mises à jour seront installées, le service WAPT arrêtera et désactivera le service WUA jusqu’au prochain cycle.

Vidéo de démonstration