Mise en service de Local Update Publisher

Local Update Publisher (LUP)  permet aux administrateurs de publier leurs propres mises à jours à travers Windows Server Update Services en utilisant la publication local. Il permet de ne pas investir dans une licence System Center Configuration Manager (SCCM) pour couvrir le besoin de télédistribution d’applications.

Vous trouverez sur le site de LUP au niveau du Support une bonne documentation sur son installation. Je vais essayer de la résumer/complèter.

Pré-requis

  • Etre admin de la machine locale
  • Avoir au minimum WSUS 3.0 SP2
  • Disposer d’un « magasin » de stockage pour les applications
  • Installer LUP sur une machine disposant du composant « console d’administration WSUS » (je vias l’installer directement sur le serveur WSUS donc pas de soucis sur ce point)

Installer LUP après l’avoir téléchargé depuis sourceforge.

ATTENTION, si l’UAC est actif sur le serveur sur lequel est installé LUP, il faut toujours l’exécuter en tant qu’Administrateur.

Premier lancement et création d’un certificat

Lors de ce lancement, un assistant s’ouvre afin de vous permettre de vous connecter au serveur:

lup_add_server

Si comme moi vous êtes directement sur le serveur WSUS vous n’avez qu’à valider les valeurs par défaut en cliquant sur « Connecter ».

Vous devez avoir le serveur LOCALHOST ajouté automatiquement à votre liste. Si en cliquant dessus vous obtenez comme moi le message:

certificate_unable_to_find

Il va nous falloir créer et importer ce dernier. Je dispose sur mon domaine de ma propre autorité de certification (ADCS) dans laquelle j’ai créé un nouveau modèle de Certificat dupliqué de « Signature du code ».

certificate_template

J’ai personnalisé le modèle en modifiant la durée de validité et cocher l’option d’exportation de la clé privée afin de pouvoir l’importer dans LUP.

Je l’ai ensuite publié, puis j’ai lancer une console MMC avec le composant Certificat – Utilisateur actuel (disposant des droits d’inscription sur le précédent modèle de certificat créé).

J’ai procédé à l’enregistrement puis exporté le Certificat afin de l’importer lors du premier lancement de LUP.

Vous pouvez vérifier que l’inscription du Certificat c’est bien passée en lançant la console MMC avec le composant Certificat – Ordinateur local:

certificate_wsus

Après la procédure d’import votre interface LUP devrait avoir cette tête:

lup_home

ATTENTION, il faut aussi distribué la clé publique du Certificat afin de pouvoir recevoir les mises à jour sur les machines et sur le serveur WSUS dans les Éditeurs approuvés.

Pour ceci nous allons exporter cette dernière au format *.cer (procédure identique à celle précédente mais sans cocher l’option de clé privée) et créer une GPO pour le pusher.

Cette dernière sera ensuite importer dans Configuration Ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégie de clé publique / Éditeurs approuvés.

On obtient sur les postes clients:

certificates_trusted_publishers

Créer une Mise à Jour

Dans l’exemple suivant nous allons essayer de déployer Cisco WebEX Meetings pour Internet Explorer.

Au sein de LUP, cliquer sur Outils / Créer une Mise à Jour, puis dans le champs Mise à jour du Fichier, via Parcourir ajouter le fichier MSI:

lup_wizard_update_01

Via le bouton « Ajouter des fichiers » nous pouvons personnaliser le déploiement avec des MST etc…

Cliquer sur suivant afin de saisir les détails nécessaires sans oublier l’option Comportement pour le Redémarrage et éventuellement des paramètres de ligne de commande:

lup_wizard_update_02

Exemple pour les paramètres: OI=1 OFFICE=1 IE=1 FIREFOX=1 (spécidie au productivity tools de WebEx de s’intégré avec Outlook, la suite Office, IE et Firefox).

Ensuite nous avons 2 règles qui permettent de tester si le logiciel est déjà installé et si le logiciel peut être installé. Par défaut il vérifie juste si la même version du paquet n’est pas présente:

lup_already_install_rules

lup_installable_rules

Plus qu’à tout valider afin de finir la création.

Déployer une mise à jour

Maintenant que nous avons un beau paquet, il faut paramétrer le déploiement de ce dernier. Au même titre que dans WSUS, le critère de filtrage se fait sur les groupes d’ordinateurs créés.

Dans un premier temps il faut sélectionner la mise jour puis via le menu « Mise à jour », cliquer sur « Approuver »:

lup_update_approval

Sélectionner les groupes pour lesquels vous souhaiter déployer le paquet, et cliquer sur la case associée dans la colonne « Approbation »:

lup_update_approval_field

Valider et voila, les mises à jour seront envoyées!!!

Mots-clés : , , ,

kiolul