Préparer le déploiement de Windows
Après avoir suivi les activités de la phase de planification, vous devez être en bonne position pour préparer votre environnement et le processus de déploiement du client Windows. La phase de planification vous a laissé les éléments utiles suivants :
- Une compréhension claire du personnel nécessaire, de ses rôles et critères pour évaluer la préparation des applications
- Un plan de test et de validation des applications
- Une évaluation de votre infrastructure de déploiement et des définitions pour la préparation opérationnelle
- Un plan de déploiement qui définit les anneaux que vous souhaitez utiliser
Vous êtes maintenant prêt à commencer à apporter des modifications dans votre environnement pour vous préparer au déploiement.
Préparer l’infrastructure et l’environnement
- Déployer les mises à jour du serveur de site pour Configuration Manager.
- Mettez à jour les outils de sécurité non-Microsoft tels que les agents de sécurité ou les serveurs.
- Mettez à jour les outils de gestion non-Microsoft tels que les agents de protection contre la perte de données.
Votre infrastructure comprend probablement de nombreux composants et outils différents. Vous devez vous assurer que votre environnement n’est pas affecté par des problèmes en raison des modifications que vous apportez aux différentes parties de l’infrastructure. Procédez comme suit :
Passez en revue toutes les modifications d’infrastructure que vous avez identifiées dans votre plan. Il est important de comprendre les modifications qui doivent être apportées et de détailler leur implémentation. Ce processus évite les problèmes par la suite.
Validez vos modifications. Vous validez les modifications apportées aux composants et outils de votre infrastructure pour vous aider à comprendre comment vos modifications peuvent affecter votre environnement de production.
Implémentez les modifications. Une fois les modifications validées, vous pouvez implémenter les modifications dans l’infrastructure plus large.
Vous devez également examiner la configuration de l’environnement de votre organisation et décrire la façon dont vous allez implémenter les modifications nécessaires précédemment identifiées dans la phase de plan pour prendre en charge la mise à jour. Réfléchissez à ce que vous devez faire pour les différents paramètres et stratégies qui sous-tendent actuellement l’environnement. Par exemple :
Implémentez un nouveau brouillon d’aide sur la sécurité. Les nouvelles versions de Windows peuvent inclure de nouvelles fonctionnalités qui améliorent la sécurité de votre environnement. Vos équipes de sécurité souhaitent apporter les modifications appropriées aux configurations liées à la sécurité.
Mettre à jour les bases de référence de sécurité. Les équipes de sécurité comprennent les bases de référence de sécurité pertinentes et devront s’assurer que toutes les bases de référence s’intègrent dans les instructions qu’elles doivent respecter.
Toutefois, votre configuration se compose de nombreux paramètres et stratégies différents. Il est important d’appliquer les modifications uniquement là où elles sont nécessaires et où vous obtenez une amélioration nette. Sinon, votre environnement risque de rencontrer des problèmes qui ralentissent le processus de mise à jour. Vous souhaitez vous assurer que votre environnement n’est pas affecté négativement en raison des modifications que vous apportez. Par exemple :
Passez en revue les nouveaux paramètres de sécurité. Votre équipe de sécurité passe en revue les nouveaux paramètres de sécurité pour comprendre comment ils peuvent être définis au mieux pour faciliter la mise à jour, et pour examiner également les effets potentiels qu’ils peuvent avoir sur votre environnement.
Passez en revue les bases de référence de sécurité pour connaître les modifications. Les équipes de sécurité passent également en revue toutes les bases de référence de sécurité nécessaires pour s’assurer que les modifications peuvent être implémentées et que votre environnement reste conforme.
Implémenter et valider les paramètres de sécurité et les modifications de la base de référence. Vos équipes de sécurité implémentent ensuite tous les paramètres de sécurité et les bases de référence, après avoir résolu les éventuels problèmes en suspens.
Préparer les applications et les appareils
Vous avez déjà choisi les méthodes de validation que vous souhaitez utiliser pour valider les applications dans la phase de déploiement pilote à venir. Le moment est venu de s’assurer que les appareils individuels sont prêts et en mesure d’installer la prochaine mise à jour sans difficulté.
Vérifier que les mises à jour sont disponibles
Activer les services de mise à jour sur les appareils. Vérifiez que chaque appareil exécute tous les services sur lesquels Windows Update s’appuie. Parfois, les utilisateurs ou même les programmes malveillants peuvent désactiver les services dont Windows Update a besoin pour fonctionner correctement. Vérifiez que les services suivants sont en cours d’exécution :
- Service de transfert intelligent en arrière-plan
- Service d’infrastructure des tâches en arrière-plan
- BranchCache (si vous utilisez cette fonctionnalité pour le déploiement de mises à jour)
- Agent de séquence de tâches ConfigMgr (si vous utilisez Configuration Manager pour déployer des mises à jour)
- Services de chiffrement
- Lanceur de processus du serveur DCOM
- Installation de l’appareil
- Optimisation de la distribution
- Gestionnaire d’installation de l’appareil
- Gestionnaire de licences
- Assistant Connexion de compte Microsoft
- Fournisseur de clichés instantanés logiciels Microsoft
- Appel de procédure distante (RPC)
- Localisateur d’appel de procédure distante (RPC)
- Mappeur de point de terminaison RPC
- Gestionnaire de contrôle des services
- Planificateur de tâches
- Courtier de jetons
- Mettre à jour le service Orchestrator
- Service de cliché instantané de volume
- Service de mise à jour automatique Windows
- Sauvegarde Windows
- Pare-feu Windows Defender
- Windows Management Instrumentation
- Service de gestion Windows
- Windows Module Installer
- Windows Push Notification
- Service de sécurité Windows
- Service de temps Windows
- Windows Update
- Windows Update Medic Service
Vous pouvez vérifier ces services manuellement à l’aide de Services.msc, de scripts PowerShell ou d’autres méthodes.
Configuration réseau
Assurez-vous que les appareils peuvent accéder aux points de terminaison Windows Update nécessaires via le pare-feu. Par exemple, dans Windows 10, version 2004, ces protocoles doivent pouvoir accéder ces points de terminaison :
Protocole | URL du point de terminaison |
---|---|
TLS 1.2 | *.prod.do.dsp.mp.microsoft.com |
HTTP | *.dl.delivery.mp.microsoft.com |
HTTP | *.windowsupdate.com |
HTTPS | *.delivery.mp.microsoft.com |
TLS 1.2 | *.update.microsoft.com |
TLS 1.2 | tsfe.trafficshaping.dsp.mp.microsoft.com |
Remarque
Veillez à ne pas utiliser HTTPs pour les points de terminaison qui spécifient HTTP, et vice-versa. La connexion échoue.
Les points de terminaison spécifiques peuvent varier d’une version de Windows à l’autre. Consultez, par exemple, Les points de terminaison de Windows 10 2004 Entreprise. Des articles similaires pour les versions du client Windows sont disponibles dans la table des matières à proximité.
Optimiser la bande passante de téléchargement
Configurez l’optimisation de la distribution pour le partage réseau d’homologue ou le cache connecté Microsoft.
Résoudre les appareils défectueux
Au cours de l’analyse de la population de vos appareils, vous pouvez trouver des appareils qui présentent des problèmes systémiques susceptibles d’interférer avec l’installation des mises à jour. Le moment est venu de résoudre ces problèmes.
Espace disque insuffisant : L’installation des mises à jour qualité nécessite un minimum de 2 Go. Les mises à jour des fonctionnalités nécessitent entre 8 Go et 15 Go en fonction de la configuration. Sur Windows 10, version 1903 et ultérieure (et Windows 11), vous pouvez utiliser de manière proactive la fonctionnalité de « stockage réservé » (pour la réinitialisation et les chargements, les reconstructions et les nouvelles builds) pour éviter de manquer d’espace disque. Si vous trouvez un groupe d’appareils qui n’ont pas suffisamment d’espace disque, vous pouvez souvent résoudre le problème en nettoyant les fichiers journaux et en demandant aux utilisateurs de nettoyer les données si nécessaire. Un bon point de départ consiste à supprimer les fichiers suivants :
- C :\Windows\temp
- C :\Windows\cbstemp (bien que ce fichier puisse être nécessaire pour examiner les échecs de mise à jour)
- C :\Windows\WindowsUpdate.log (bien que ce fichier puisse être nécessaire pour examiner les échecs de mise à jour)
- C :\Windows.Old (ces fichiers doivent être nettoyés automatiquement après 10 jours ou peuvent demander à l’utilisateur de l’appareil l’autorisation de nettoyer plus tôt en cas de contrainte d’espace disque)
Vous pouvez également créer et exécuter des scripts pour effectuer des actions de nettoyage supplémentaires sur les appareils, avec des droits d’administration, ou utiliser des paramètres de stratégie de groupe.
Nettoyez le cache du Windows Store en exécutant C:\Windows\sytem32\wsreset.exe.
Optimisez le dossier WinSxS sur l’ordinateur client en utilisantDism.exe /online /Cleanup-Image /StartComponentCleanup.
Compactez le système d’exploitation en exécutant Compact.exe /CompactOS :always.
Supprimez les fonctionnalités Windows à la demande dont l’utilisateur n’a pas besoin. Pour plus d’informations, consultez Fonctionnalités à la demande.
Déplacer les dossiers connus Windows vers OneDrive. Pour plus d’informations, consultez Utiliser une stratégie de groupe pour contrôler les paramètres de synchronisation OneDrive.
Nettoyez le dossier Distribution de logiciels. Essayez de déployer ces commandes en tant que fichier de commandes à exécuter sur les appareils pour réinitialiser l’état de téléchargement des mises à jour Windows :
net stop wuauserv net stop cryptSvc net stop bits net stop msiserver ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old net start wuauserv net start cryptSvc net start bits net start msiserver
Mises à jour de l’application et du pilote : Une application ou un logiciel pilote obsolète peut empêcher les appareils de se mettre à jour correctement. Déployez toutes les mises à jour du ou des fournisseurs pour toutes les versions d’application ou de pilote problématiques afin de résoudre les problèmes.
Corruption: Dans de rares cas, un appareil qui a des erreurs d’installation répétées peut être endommagé d’une manière qui empêche le système d’appliquer une nouvelle mise à jour. Vous devrez peut-être réparer le Component-Based Store à partir d’une autre source. Vous pouvez résoudre le problème avec le vérificateur de fichiers système.
Préparer la fonctionnalité
Dans la phase de plan, vous avez déterminé les modifications spécifiques à l’infrastructure et à la configuration qui devaient être implémentées pour ajouter de nouvelles fonctionnalités à l’environnement. Vous pouvez maintenant passer à l’implémentation de ces modifications définies dans la phase de plan. Vous devez effectuer ces tâches de niveau supérieur pour obtenir ces nouvelles fonctionnalités :
Activez les fonctionnalités dans l’environnement en implémentant les modifications. Par exemple, implémentez les mises à jour des modèles ADMX pertinents dans Active Directory. Les nouvelles versions de Windows sont fournies avec de nouvelles stratégies que vous utilisez pour mettre à jour les modèles ADMX.
Validez les nouvelles modifications pour comprendre comment elles affectent l’environnement plus large.
Corrigez tous les problèmes potentiels qui ont été identifiés par validation.
Préparer les utilisateurs
Les utilisateurs ont souvent l’impression d’être obligés de mettre à jour leurs appareils de manière aléatoire. Souvent, ils ne comprennent pas entièrement pourquoi une mise à jour est nécessaire et ne savent pas quand les mises à jour seront appliquées à leurs appareils à l’avance. Il est préférable de s’assurer que les mises à jour à venir sont communiquées clairement et avec un avertissement approprié.
Vous pouvez utiliser différentes mesures pour atteindre cet objectif, par exemple :
- Envoyez un e-mail de vue d’ensemble concernant la mise à jour et la façon dont elle sera déployée dans l’ensemble de l’organisation.
- Envoyer des e-mails personnalisés aux utilisateurs sur la mise à jour avec des détails spécifiques.
- Définissez une date limite de refus pour les employés qui doivent rester un peu plus longtemps sur la version actuelle, en raison d’un besoin professionnel.
- Fournir la possibilité de mettre à jour volontairement à la convenance des utilisateurs.
- Informez les utilisateurs d’une date d’installation obligatoire à laquelle la mise à jour sera installée sur tous les appareils.