Planifier le déploiement pour la mise à jour des machines virtuelles Windows dans Azure

Si vous avez verrouillé votre réseau virtuel Azure à l’Internet, vous pouvez toujours obtenir des mises à jour Windows sans globalement compromettre la sécurité ni ouvrir un accès à Internet. Cet article contient des recommandations sur la configuration d’un réseau de périmètre, également appelé DMZ, pour héberger une instance de WSUS (Windows Server Update Service) permettant de mettre à jour de manière sécurisée des réseaux virtuels sans connectivité Internet.

Si vous utilisez Pare-feu Azure, vous pouvez vous servir de l’étiquette FQDN Windows Update dans les règles d’application pour autoriser le trafic réseau sortant nécessaire par le biais de votre pare-feu. Pour plus d’informations, consultez Vue d’ensemble des étiquettes FQDN.

Pour mettre en œuvre les recommandations de cet article, vous devez avoir une certaine connaissance des services Azure. Les sections suivantes décrivent l’élaboration du déploiement recommandé, qui utilise une configuration hub-and-spoke dans un environnement à une ou plusieurs régions.

Topologie réseau hub-and-spoke du réseau virtuel Azure

Nous vous conseillons de configurer une topologie modèle de réseau hub-and-spoke en créant un réseau de périmètre. Hébergez le serveur WSUS sur une machine virtuelle Azure se trouvant dans le hub, entre Internet et les réseaux virtuels. Le hub doit avoir des ports ouverts. WSUS utilise le port 80 avec le protocole HTTP et le port 443 avec le protocole HTTPS pour obtenir les mises à jour de Microsoft. Les spokes représentent tous les autres réseaux virtuels qui communiquent avec le hub et non avec Internet. Pour ce faire, vous devez créer un sous-réseau, des groupes de sécurité réseau (NSG) et un appairage de réseaux virtuels Azure qui autorise le trafic WSUS tout en bloquant le trafic Internet. Cette image illustre un exemple de topologie hub-and-spoke :

Téléchargez un fichier Visio de cette architecture.

Dans cette image :

• WSUSSubnet est le « hub » de la topologie hub-and-spoke.
• NSG_DS est une règle de groupe de sécurité réseau qui autorise le trafic pour WSUS tout en bloquant le trafic Internet.
• WSUS VM est la machine virtuelle Azure configurée pour exécuter WSUS.
• MainSubnet est un réseau virtuel, un « spoke », contenant des machines virtuelles.
• NSG_MS est une stratégie de groupe de sécurité réseau qui autorise le trafic provenant de WSUS VM, mais refuse le trafic Internet.

Vous pouvez réutiliser un serveur existant ou déployer un nouveau serveur qui sera le serveur WSUS. Pour WSUS VM, nous vous recommandons au minimum la configuration suivante :

• Système d’exploitation : Windows Server 2016 ou version ultérieure.
• Processeur : Double cœur, 2 GHz ou plus rapide.
• Mémoire : 2 Go de RAM en plus de ce qui est demandé par le serveur et tous les autres services et logiciels en cours d’exécution.
• Stockage : 40 Go ou plus.
• Accès : Utiliser le juste-à-temps (JIT) pour accéder à cette machine virtuelle de manière plus sécurisée. Consultez Gérer l’accès juste-à-temps aux machines virtuelles.

Votre réseau aura plusieurs réseaux virtuels Azure, ceux-ci pouvant se trouver dans la même région ou dans des régions différentes. Vous devez évaluer toutes les machines virtuelles Windows Server pour voir si l’une d’elles peut être utilisée comme serveur WSUS. Si vous avez des milliers de machines virtuelles à mettre à jour, nous vous recommandons de dédier une machine virtuelle Windows Server au rôle WSUS.

Si tous vos réseaux virtuels se trouvent dans la même région, nous suggérons la mise en place d’un WSUS par tranche de 18 000 machines virtuelles. Cette suggestion s’appuie sur une combinaison des exigences de la machine virtuelle, du nombre de machines virtuelles clientes en cours de mise à jour et du coût des communications entre les réseaux virtuels. Pour plus d’informations sur les besoins en capacité de WSUS, consultez Planifier votre déploiement WSUS.

Vous pouvez déterminer le coût de ces configurations à l’aide de la calculatrice de prix Azure. Vous devez fournir les informations suivantes :

• Machine virtuelle :
  • Région : Région dans laquelle votre réseau virtuel Azure est déployé.
  • Système d’exploitation : Windows
  • Niveau : Standard
  • Instance : Configuration D4
  • Disques managés : HDD Standard, 64 Go
• Réseau virtuel :
  • Tapez .
    • Même région si le transfert se trouve dans la même région.
    • Région différente en cas de déplacement de données d’une région à une autre.
  • Transfert de données : 2 Go
  • Région
    • Si le transfert se trouve dans une région, choisissez la région dans laquelle se trouvent le serveur WSUS et les réseaux virtuels.
    • Si le transfert traverse des régions, la région du réseau virtuel source est l’emplacement du serveur WSUS. La région du réseau virtuel de destination correspond à celle où les données vont.
  • Si vous avez plusieurs régions, vous devez sélectionner plusieurs fois Réseau virtuel.

Notez que les prix varient en fonction de la région.

Déploiement manuel

Après avoir identifié le réseau virtuel Azure à utiliser comme hub ou décidé de la nécessité de créer une instance de Windows Server, vous devrez créer une règle NSG. La règle autorise le trafic Internet, ce qui permet de synchroniser métadonnées et contenu Windows Update avec le serveur WSUS que vous allez créer. Voici les règles que vous devez ajouter :

• Règle NSG de trafic entrant/sortant pour autoriser le trafic vers et à partir de l’Internet sur le port 80 (pour le contenu).
• Règle NSG de trafic entrant/sortant pour autoriser le trafic vers et à partir de l’Internet sur le port 443 (pour les métadonnées).
• Règle NSG de trafic entrant/sortant pour autoriser le trafic des machines virtuelles clientes sur le port 8530 (par défaut, sauf si configuration autre).

Configurer WSUS

Vous pouvez suivre deux approches pour configurer votre serveur WSUS :

• Si vous souhaitez paramétrer automatiquement un serveur configuré pour gérer une charge de travail classique avec une administration minimale exigée, vous pouvez utiliser le script d’automatisation PowerShell.
• Si vous devez gérer des milliers de clients exécutant différents systèmes d’exploitation et langues, ou si vous souhaitez configurer WSUS de telle sorte que le script PowerShell ne puisse pas gérer, vous pouvez configurer WSUS manuellement. Les deux approches sont décrites plus loin dans cet article.

Vous pouvez également combiner les deux approches. Pour cela, utilisez d’abord le script d’automatisation pour effectuer la majeure partie du travail, puis la console d’administration WSUS pour ajuster les paramètres du serveur.

Configurer WSUS avec le script d’automatisation

Le script Configure-WSUSServer vous permet de configurer rapidement un serveur WSUS qui synchronise et approuve automatiquement les mises à jour pour un ensemble choisi de produits et de langues.

La version la plus récente de ce script est disponible sur GitHub.

Vous configurez le script à l’aide d’un fichier JSON. Vous pouvez actuellement configurer ces options :

• Si les charges utiles de mise à jour doivent être conservées sur les serveurs Microsoft ou stockées localement (et, si tel est le cas, où elles doivent être stockées).
• Quels produits, classifications de mise à jour et langues doivent être disponibles sur le serveur.
• Si le serveur doit approuver automatiquement les mises à jour pour l’installation, ou laisser les mises à jour non approuvées à moins qu’un administrateur les approuve.
• Si le serveur doit récupérer automatiquement les nouvelles mises à jour de Microsoft et, le cas échéant, à quelle fréquence.
• Si les packages de mise à jour rapide doivent être utilisés. (Les packages de mise à jour rapide réduisent la bande passante de serveur à client aux dépens de l’utilisation du processeur/disque du client et de la bande passante de serveur à serveur.)
• Si le script doit remplacer ses paramètres précédents. (En règle générale, pour éviter la reconfiguration par inadvertance qui peut perturber le fonctionnement du serveur, le script ne s’exécute qu’une seule fois sur un serveur donné.)

Copiez le script et son fichier de configuration dans le stockage local, puis modifiez le fichier de configuration en fonction de vos besoins.

Vous pouvez exécuter ce script de deux manières :

• Vous pouvez exécuter le script manuellement, à partir de la machine virtuelle WSUS.

  La commande suivante, exécutée à partir d’une fenêtre d’invite de commandes avec élévation de privilèges, installe et configure WSUS. Elle utilise le script et le fichier de configuration dans le répertoire actif.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Vous pouvez utiliser l’extension de script personnalisé pour Windows.

  Copiez le script et le fichier de configuration JSON dans votre propre conteneur de stockage.

  Dans les configurations de machine virtuelle et de réseau virtuel Azure classiques, l’extension de script personnalisé n’a besoin que des deux paramètres suivants pour exécuter le script correctement. (Vous devez remplacer les valeurs indiquées ici par les URL de vos emplacements de stockage.)

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

Le script démarrera la synchronisation initiale qui permet de rendre les mises à jour disponibles pour les ordinateurs clients. Toutefois, il n’attendra pas que cette synchronisation se termine. Selon les produits, les classifications et les langues que vous avez sélectionnés, la synchronisation initiale peut prendre plusieurs heures. Toutes les synchronisations après celle-là doivent être plus rapides.

Configurer WSUS manuellement

1. À partir de votre machine virtuelle WSUS, ouvrez le Gestionnaire de serveur, puis sélectionnez Ajouter des rôles et des fonctionnalités.

2. Sélectionnez Suivant jusqu’à ce que vous arriviez à la section Sélectionner des rôles de serveurs. Sélectionnez Windows Server Update Services. Sélectionnez Ajouter des fonctionnalités à l’invite Ajouter les fonctionnalités requises pour Windows Server Update Services ? .

3. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Sélectionner les services de rôle.

   • Par défaut, vous pouvez utiliser Connectivité WID.
   • Utilisez Connectivité SQL Server si vous avez besoin de prendre en charge des clients utilisant de nombreuses versions différentes de Windows (par exemple, Windows 11 et Windows 10).

4. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Sélection de l’emplacement du contenu. Entrez l’emplacement où vous souhaitez stocker les mises à jour.

5. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Confirmer les sélections d’installation. Sélectionnez Installer.

6. Ouvrez l’instance de Windows Server Update Services installée, puis sélectionnez Exécuter.

7. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Se connecter au serveur en amont. Sélectionnez Démarrer la connexion.

8. Cliquez sur Suivant jusqu’à ce que vous arriviez à la page Choisir les langues. Choisissez les langues dont vous avez besoin.

9. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Choisir les produits. Choisissez les produits dont vous avez besoin.

10. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Choisir les classifications. Choisissez les mises à jour dont vous avez besoin.

11. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Définir la planification de la synchronisation. Choisissez vos préférences de synchronisation.

12. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Fin. Sélectionnez Commencer la synchronisation initiale, puis Suivant.

13. Sélectionnez Suivant jusqu’à ce que vous arriviez à la page Étape suivante, puis sélectionnez Terminer.

14. Si vous sélectionnez votre nom WSUS (par exemple, WsusVM) dans le volet de navigation, vous devez voir que l’État de la synchronisation est Inactif et que le Résultat de la dernière synchronisation est Réussi.

15. Dans le volet de navigation, sélectionnez Options>Ordinateurs>Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs. Sélectionnez OK.

Au cours de la synchronisation, WSUS détermine si de nouvelles mises à jour ont été mises à disposition depuis la dernière synchronisation. Si c’est la première fois que vous synchronisez WSUS, les métadonnées sont téléchargées immédiatement. La charge utile n’est téléchargée que si le stockage local est activé et la mise à jour approuvée pour au moins un groupe d’ordinateurs.

Configurer des réseaux virtuels pour communiquer avec WSUS

Ensuite, configurez l’appairage de réseaux virtuels Azure ou l’appairage de réseaux virtuels global pour communiquer avec le hub. Nous vous recommandons de configurer un serveur WSUS dans chaque région que vous avez déployée pour réduire la latence.

Sur chaque réseau virtuel Azure qui est un spoke, vous devez créer une stratégie NSG comportant les règles suivantes :

• Règle NSG de trafic entrant/sortant pour autoriser le trafic de la machine virtuelle WSUS sur le port 8530 (par défaut, sauf si configuration autre).
• Règle NSG de trafic entrant/sortant pour refuser le trafic provenant d’Internet.

Créez ensuite l’appairage de réseaux virtuels Azure du spoke vers le hub.

Machine virtuelle cliente

• Pour renforcer la sécurité, vous pouvez supprimer l’adresse IP publique associée à la machine virtuelle. Pour plus d’informations, consultez Afficher une adresse IP publique, modifier ses paramètres ou la supprimer.
• Pour plus d’informations sur l’accès à votre machine virtuelle de façon plus sécurisée à l’aide de JIT, consultez Gérer l’accès juste-à-temps aux machines virtuelles.

Configurer des machines virtuelles clientes

Vous pouvez utiliser WSUS pour mettre à jour n’importe quelle machine virtuelle Windows (à l’exception de la référence SKU Home). Effectuez les étapes suivantes sur chaque machine virtuelle cliente pour activer la communication entre WSUS et le client :

Depuis votre machine virtuelle cliente

1. Ouvrez l’Éditeur d’objets de stratégie de groupe (ou l’Éditeur de gestion des stratégies de groupe).
2. Accédez à Configuration ordinateur>Modèles d’administration>Composants Windows>Windows Update.
3. Activez Spécifier l’emplacement intranet du service de mise à jour Microsoft.
4. Entrez l’URL http://\<WSUS name>:8530. (Vous pouvez trouver votre nom WSUS, comme WsusVM, dans la page des services de mise à jour.) La prise en compte de ce paramètre peut demander un certain temps (jusqu’à quelques heures).
5. Accédez à Paramètres>Mise à jour et sécurité>Windows Update.
6. Sélectionnez Rechercher les mises à jour.

Depuis votre machine virtuelle WSUS

1. Ouvrez Windows Server Update Services. Vous devriez voir votre machine virtuelle cliente sous Ordinateurs>Tous les ordinateurs.
2. Sélectionnez Mises à jour>Toutes les mises à jour.
3. Pour Approbation, choisissez Toutes les exceptions, sauf celles refusées.
4. Pour État, choisissez Nécessaire. Vous pouvez maintenant voir toutes les mises à jour nécessaires pour votre machine virtuelle cliente.
5. Cliquez avec le bouton droit sur l’une des mises à jour, puis sélectionnez Approuver.

Vérification

1. Sur la machine virtuelle cliente, accédez à Paramètres>Mise à jour et sécurité>Windows Update.
2. Sélectionnez Rechercher les mises à jour. Vous devez voir une mise à jour portant le même numéro d’article de la Base de connaissances (par exemple, 4480056) que celui que vous avez approuvé à partir de la machine virtuelle WSUS.

Si vous êtes administrateur d’un grand réseau, consultez Configurer les mises à jour automatiques et l’emplacement du service de mise à jour pour obtenir des informations sur l’utilisation des paramètres de stratégie de groupe afin de configurer automatiquement les clients.

Déploiement de WSUS pour plusieurs clouds

Il n’est pas possible de configurer l’appairage de réseaux virtuels sur des clouds publics et privés. Les réseaux déployés sur des clouds publics et des clouds privés doivent disposer d’au moins un serveur WSUS configuré dans chaque cloud.

Notes de prise en charge

À l’heure actuelle, WSUS ne prend pas en charge la synchronisation avec la référence SKU Windows Home.

Azure Update Management

Vous pouvez utiliser la solution Update Management dans Azure pour gérer et planifier les mises à jour du système d’exploitation des machines virtuelles qui sont synchronisées avec WSUS. L’état des correctifs de la machine virtuelle (autrement dit, les correctifs manquants) est évalué en fonction de la source avec laquelle la machine virtuelle est configurée pour se synchroniser. Si la machine virtuelle Windows est configurée pour l’envoi de rapports à WSUS, les résultats peuvent être différents de ce que Microsoft Update indique en fonction de la date de dernière synchronisation de WSUS avec Microsoft Update. Après avoir configuré votre environnement WSUS, vous pouvez activer Update Management. Pour plus d’informations, consultez Présentation d’Update Management et étapes d’intégration.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Paul Reed | Responsable de programme de conformité Azure senior

Étapes suivantes

• Pour plus d’informations sur la planification d’un déploiement, consultez Planifier votre déploiement WSUS.
• Pour plus d’informations sur la gestion de WSUS, la configuration d’une planification de synchronisation WSUS et bien plus encore, consultez Administration de WSUS.

Ressources associées

• Exécuter une machine virtuelle Windows dans Azure
• Exécuter SAP NetWeaver dans Windows sur Azure
• CI/CD pour les machines virtuelles Azure