Nouveau dans la version 1.7: Enterprise
Utiliser l’agent de mise à jour Windows (WAPTWUA)¶
Note
Depuis la version 1.7, WAPT est capable de gérer les mises à jour Windows sur vos terminaux.
the internals of WAPTWUA is based on the WUA API,
pour plus d’informations : https://docs.microsoft.com/en-us/windows/win32/wua_sdk/using-the-windows-update-agent-api ;
Principe de fonctionnement¶
Régulièrement, le serveur WAPT télécharge un fichier wsusscn2.cab
mis à jour à partir des serveurs Microsoft. Par défaut, les téléchargements ont lieu une fois par jour et aucun téléchargement n’est déclenché si le fichier wsusscn2.cab
n’a pas été modifié depuis le dernier téléchargement.
Note
Dans certains cas, vous souhaiterez peut-être diffuser de nouveaux KB avant la prochaine sortie du Patch Tuesday.
Pour cela, vous pouvez suivre cette documentation pour packager des fichiers .msu pour ces mise à jour ponctuelles.
Le fichier wsusscn2.cab
est ensuite téléchargé par l’agent WAPT à partir de son dépôt le plus proche et ensuite transmis à l’utilitaire standard Windows Update Agent Windows qui traitera l’arbre des mises à jour.
Régulièrement, la machine analysera les mises à jour disponibles en utilisant le fichier wsusscn2.cab
. La liste des mises à jour nécessaires déterminée par l’agent WUA est ensuite envoyée par l’hôte au serveur WAPT.
Si une mise à jour est en attente sur la machine et si cette dernière n’est pas présente sur le serveur WAPT, le serveur téléchargera la mise à jour nécessaire depuis les serveurs Microsoft.
Indication
This mode of operation allows WAPT to download only the necessary updates on the computers, thus saving bandwidth, download time and disk space.
Note
Les mises à jour téléchargées sont stockées :
sur des serveurs Linux dans
/var/www/waptwua
;sur des machines Windows dans
C:waptwaptserverrepositorywaptwua
;
L’URL de téléchargement des mise à jour Windows depuis le dépôt WAPT est basée sur le paramètre repo_url
du fichier wapt-get.ini
:
la réplication des WAPT Windows Update fonctionne pour réduire l’usage de la bande passante ;
n’oubliez pas de synchroniser le dossier
waptwua
si vous répliquez vos paquets avec des dépôts distants ;
Note
Si dans votre organisation, un proxy est nécessaire pour sortir sur Internet, alors assurez-vous de définir le serveur proxy dans le fichier waptserver.ini.
Différence de fonctionnement des mises à jour Windows entre WAPT et WSUS¶
WSUS downloads by default the updates for selected categories. This can lead to a very large update database and lots of storage used.
WAPT Windows Update ne télécharge que les mises à jour qui ont été demandées par au moins une machine. Cela permet de conserver une petite base de données (quelques dizaines de gigaoctets) et elle peut être facilement nettoyée si vous voulez récupérer de l’espace.
Mises à jour majeures du système d’exploitation¶
Major OS upgrades are upgrades from one OS version to another. That includes, for example, upgrades from Windows 7 to Windows 10, or from Windows 10 1803 to Windows 10 1903.
Major version upgrades are not handled in the same way as minor OS upgrades. Major upgrades are handled via the download of the new install ISO content (same content as for a fresh install) and running the setup.exe with the correct parameters. This process is the same for WSUS, SCCM and WAPT Windows Updates.
Dans le cas des mises à jour Windows WAPT, vous devez créer un paquet de mise à jour du système d’exploitation en utilisant un paquet modèle fourni sur https://store.wapt.fr.
Mises à niveau des pilotes¶
Les mises à niveau des conducteurs via le WSUS ne sont pas recommandées car il est difficile de gérer correctement les effets secondaires. Dans le cas des mises à jour dans WAPT, les PILOTES NE SONT PAS TÉLÉCHARGÉS car ils ne sont pas référencés dans les fichiers wsusscn2.cab
fournis par Microsoft.
Il est recommandé de pousser les mises à jour des pilotes via un paquet WAPT personnalisé. Si le correctif pour un pilote est packagé sous la forme d’un msu, vous pouvez le conditionner sous la forme d’un paquet WAPT standard.
Just select the msu
file and click :menuselection: »create package »
in the WAPT console to launch the wizard for simplified package creation.
Si la mise à jour du pilote est présentée sous la forme d’un paquet zip contenant le fichier exe
, vous pouvez créer un paquet WAPT contenant les fichiers nécessaires et le binaire setup.exe avec les paramètres silencieux corrects.
KB hors bande¶
Microsoft sometimes provides OOB updates
that are not contained in the wsusscn2.cab
index.
Those updates are not included in the main update because
they may fix a very specific problem or may have drawbacks in some situations.
Si vous souhaitez déployer une mise à jour OOB KB, vous pouvez la télécharger à partir du catalogue microsoft https://www.catalog.update.microsoft.com/Home.aspx.
Just select the msu
file and click
in the WAPT console to launch the wizard for simplified package creation.
Vous devez faire attention au fait que les mises à jour OOB peuvent casser votre système, assurez-vous de lire les conditions préalables sur le bulletin Microsoft correspondant à la mise à jour et de tester la mise à jour de manière approfondie.
Configurer WAPTWUA sur l’agent WAPT¶
WAPTWUA est configuré dans wapt-get.ini
.
Ajouter une section [waptwua]
.
Vous avez alors plusieurs options :
Options |
Valeur par défaut |
Description |
---|---|---|
|
False |
Activez ou désactivez WAPTWUA sur cette machine. |
|
False |
Autoriser le téléchargement direct des mises à jour à partir des serveurs Microsoft si le serveur WAPT n’est pas disponible |
|
False |
Définir si la mise à jour manquante est autorisée ou non par défaut |
|
Type=”Software” ou Type=”Driver” |
Définir le filtre à appliquer pour l’analyse des mises à jour Windows |
|
None |
Définir la fréquence d’analyse des mises à jour Windows (Ne fera rien si la règle du paquet waptwua ou le fichier |
|
None |
Définir la fréquence d’installation des mises à jour Windows (Ne fera rien si aucune mise à jour n’est en attente) (ex : 2h) |
|
False |
Installe les mises à jour à l’extinction de la machine |
|
None |
Définir un délai d’installation différé avant la publication dans le dépôt (ex : 7d) |
|
None |
Définit une liste de niveaux de gravité qui sera automatiquement acceptée lors d’un scan de mise à jour Windows avec WAPT Windows Update. ex : Important, Critical, Moderate |
Indication
Ces options peuvent être définies lors de la génération de l’agent.
Exemple de section [waptwua]
dans le fichier wapt-get.ini
:
[waptwua]
enabled =true
offline =true
default_allow =false
allow_direct_download=false
download_scheduling=12h
install_at_shutdown=true
install_scheduling=12h
install_delay=7d
The install_scheduling option will try every 12 hours to install updates on the client. It is not in graphical options due to a potential danger. Indeed, trying to install updates on your IT infrastructure while working hours can impact your production.
Lorsque vous créer waptagent.exe depuis la console, ces options sont équivalentes à celles-ci :
Indication
si l’option default_allow est à True
et que Wapt WUA est activé aussi,le client va contacter le serveur WAPT et va demander à télécharger les mises à jour manquantes. Le client installera ses mises à jour tout seul.
Exemple de code source d’un paquet pour modifier les paramètres [waptwua]
:
def install():
inifile_writestring(WAPT.config_filename,'waptwua','enabled','true')
inifile_writestring(WAPT.config_filename,'waptwua','offline','true')
inifile_writestring(WAPT.config_filename,'waptwua','filter',"Type='Software' or Type='Driver'")
inifile_writestring(WAPT.config_filename,'waptwua','install_at_shutdown','true')
inifile_writestring(WAPT.config_filename,'waptwua','download_scheduling','7d')
inifile_writestring(WAPT.config_filename,'waptwua','allowed_severities','Critical,Important')
Utiliser de WAPTWUA depuis la console¶
L’onglet WAPT Windows Update Agent de la console WAPT est fourni avec deux sous-menus pour gérer WAPTWUA.
Paquet WAPTWUA¶
L’onglet WAPTWUA Package vous permet de créer des paquets de règles waptwua.
lorsque ce type de paquet est installé sur une machine, il indique à l’agent WAPTWUA les KBs autorisés ou interdits ;
lorsque plusieurs paquets waptwua sont installés sur une machine, les différentes règles seront fusionnées ;
lorsqu’un
cab
n’est ni mentionné comme autorisé, ni mentionné comme interdit, les agents WAPT prendront alors la valeurdefault_allow
dans le fichierwapt-get.ini
;
Si une mise à jour Windows n’a pas encore été téléchargée sur le serveur WAPT, l’agent WAPT marquera la mise à jour comme MISSING.
Note
si la configuration de l’agent WAPTWUA est définie avec
default_allow = True
, alors il sera nécessaire de spécifier la cabine interdite ;si la configuration de l’agent WAPTWUA est définie avec
default_allow = False
, alors il sera nécessaire de spécifier lecab
autorisé ;
Indication
pour tester les mises à jour sur un petit nombre d’ordinateurs, vous pouvez définir la valeur par défaut de WAPTWUA avec
default_allow = False
;vous pouvez tester les mises à jour sur un petit échantillon de machines et si tout va bien, vous pouvez diffuser les mises à jour sur l’ensemble de la base des ordinateurs ;
Onglet Liste des mises à jour de Windows¶
L’onglet Windows Update List liste toutes les mises à jour Windows nécessaires.
Important
Le serveur ne scanne pas le fichier wsussc2.cab
lui-même, il laisse les agents WAPT le faire. Si une mise à jour vous semble manquer dans la liste, vous devez lancer un scan sur l’une des machines présentes dans la console. Si vous lancez un scan WUA sur un agent Windows 7, les fichiers CAB et Windows 7 seront affichés sur l’onglet Liste des mises à jour de Windows.
Le volet de gauche affiche les catégories de mises à jour, vous permettant de filtrer par :
la criticité ;
le produit ;
la classification ;
Dans la grille de droite, si la colonne Downloaded on est vide, cela signifie que la mise à jour n’a pas encore été téléchargée par le serveur WAPT et n’est pas présente sur le serveur WAPT (Cette mise à jour ne manque sur aucun hôte).
you can force the download of an update by
;vous pouvez également forcer le téléchargement du fichier
wsusscn2.cab
avec le bouton Download WSUSScan cab from Microsoft Web Site ;vous pouvez voir le téléchargement des mises à jour Windows sur le serveur avec le bouton Montrer les téléchargements ;
Indication
Pour nettoyer votre dossier WAPTWUA
, vous pouvez supprimer les mises à jour Windows qui ne sont plus nécessaires. Le serveur WAPT ne re-téléchargera les mises à jour supprimées que si l’un des hôtes équipés de WAPT le demande ;
Lancer WAPT WUA sur le client¶
Vous avez alors trois options.
Le bouton Rechercher des mises ç jour Windows lance l’analyse sur le client WAPT et liste toutes les mises à jour signalées pour le système d’exploitation. Vous pouvez scanner le client depuis la console comme cela ou en utilisant la commande wapt-get waptwua-scan depuis la ligne de commande.
Indication
Toutes les 30 minutes, le serveur WAPT recherche les mises à jour qui ont été demandées au moins une fois par les clients WAPT et qui n’ont pas encore été téléchargées et mises en cache. Si une mise à jour est en attente, le serveur WAPT la téléchargera à partir des serveurs officiels de Microsoft.
Toutes les 30 minutes, le serveur va scanner tous les clients afin devérifier si une mise à jour en attente. Si elle n’est pas présente dans ses dépôts,le serveur wapt va la télécharger depuis les serveurs de Microsoft. Vous pouvezforcer ce scan avec le bouton Télécharger l’index et les cabs manquant depuis le site de MS dans l’onglet
Si vous voulez télécharger depuis la console, cliquez sur le bouton Lancer le téléchargement des Mises à jour Windows en attente.
The command-line for downloading kb’s from the client is wapt-get waptwua-download, it will scan the current status of Windows against current rules, download missing kb’s and send the result to the server.
Si vous voulez installer la ou les mise(s) à jour en attente, utilisez wapt-get waptwua-install à partir de l’invite de ligne de commande.
Si vous voulez télécharger depuis la console, cliquez sur le bouton Lancer le téléchargement des Mises à jour Windows en attente.
Indication
Lorsque vous souhaitez installer les mises à jour en attente stockées dans le cache, le service WAPT déclenche le service WUA.
Le service WAPT activera et démarrera temporairement le service WUA pour installer les mises à jour. Lorsque les mises à jour seront installées, le service WAPT arrêtera et désactivera le service WUA jusqu’au prochain cycle.