Projet Personnalis

Encadr
Contexte GSB

Mise en place d'une solution

de mise jour logicielle
Pierre-Alexis Cherchillez
30/11/2015

SOMMAIRE

Prsentation du contexte GSB

Liste des besoins
Cahier des charges incluant une estimation financire des investissements
Diagramme de Gantt du projet avec rpartition des tches entre les membres de l'quipe
faisant apparatre les dures prvisionnels et les dures effectives
Description de la ralisation tape par tape
Solution de mise jour logicielle WAPT
Manuel technique
Manuel utilisateur
Rfrences bibliographiques (liste des sources documentaires)
Conclusion sur le travail ralis ou restant faire

PPE Projet

Page 2

Prsentation du contexte

Lindustrie pharmaceutique est un secteur trs lucratif dans lequel le mouvement de fusion
acquisition est trs fort. Les regroupements de laboratoires ces dernires annes ont donn
naissance des entits gigantesques au sein desquelles le travail est longtemps rest organis
selon les anciennes structures.
Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le gant amricain
Galaxy et le conglomrat europen Swiss Bourdin, lui mme dj union de trois petits
laboratoires .
En 2009, les deux gants pharmaceutiques ont uni leurs forces pour crer un leader de ce
secteur industriel. L'entit Galaxy Swiss Bourdin Europe a tabli son sige administratif
Paris.
Une consquence de cette fusion, est la recherche d'une optimisation de lactivit du groupe
ainsi constitu en ralisant des conomies dchelle dans la production et la distribution des
mdicaments, tout en prenant le meilleur des deux laboratoires sur les produits concurrents.
Sur le site parisien, toutes les fonctions administratives sont prsentes. On trouve en outre un
service labo-recherche, le service juridique et le service communication.
Dun point de vue de linfrastructure rseau, les serveurs assurent les fonctions de base du
rseau et les fonctions de communication.
On trouve aussi de nombreuses applications mtier et les fonctions plus gnriques de toute
entreprise. Un nombre croissant de serveurs est virtualis.
Constitu autour de VLAN, le rseau segmente les services de manire fluidifier le trafic.
Les donnes de l'entreprises sont considres comme stratgiques et ne peuvent tolrer ni
fuite, ni destruction. L'ensemble des informations est rpliqu quotidiennement aux EtatsUnis par un lien ddi. Toutes les fonctions de redondances (RAID, Spanning-tree, clustering)
sont mises en uvre pour assurer une tolrance aux pannes maximale.

PPE Projet

Page 3

Liste des besoins

Solution de dploiement des mises jour Windows
Mettre en place une solution de dploiement centralis des mise jour Windows et des
logiciels Microsoft pour allger le rseau.

Cahier des charges incluant une estimation financire des

investissements
Aucun investissement financier, tous les logiciels utiliss et tests sont gratuits.

Diagramme de Gantt du projet

Le projet a t divis en 2 parties : une consacre au dploiement systme (Florian Moing) et
lautre au dploiement logiciel (Pierre-Alexis Cherchillez).

PPE Projet

Page 4

Ralisation
- Installation de deux machines virtuelles Windows 7 Edition Intgrale et Windows Server
2008 sur l'outil de virtualisation VMWare.
- Installation dans le gestionnaire de serveur, dans les rles du serveur DNS, DHCP et des
services de domaine Active Directory.
- Cration d'une tendue sur le serveur DHCP nomme "etendue 1" et ayant pour adresse IP
de dbut 192.168.117.4 et adresse IP de fin 192.168.117.130.
- Configuration de la carte rseau de la machine Windows 7 : obtenir une adresse
automatiquement et utilisation de l'adresse IP 192.168.151.254 du serveur DNS.

- Installation des mises jour Windows Update afin d'avoir la machine client et le serveur
jour et que tous les logiciels de mises jour puissent tre tests sans problmes majeurs et
fonctionner correctement.
- Recherches sur Internet de documentations et fichiers concernant les logiciels de
dploiement de mises jour systme et logicielle.

- Nouvelles installations de mises jour sur les deux machines virtuelles.

- Continuation des recherches sur Internet.

- Tlchargement et installation sur le site web Lenovo du programme ThinkVantage System

Update version 5.07.
- Installation de Microsoft .NET Framework version 4.0 ou une version ultrieure ncessaire
pour le bon fonctionnement de System Update.
- Problme lors de la recherche de mises jour du logiciel, recherche d'une solution sur
Internet.

- Tentative de rsolution du problme, dans "Excuter", dans le menu dmarrer de Windows,

entrer Secpol.msc.
- Dans "Stratgie de Scurit locale, clic sur "Options de Scurit" puis ouvrir "System
cryptography: Use FIPS compliant algorithms for encryption, hashing and signing" et
dsactivation de ce paramtre.
- Dans C:\Program Files\Lenovo\System Update\session\system\SSClientCommon, ouvrir
MappingInterface.xml avec l'outil Notepad.
- Ajout de lignes supplmentaires dans le document.

- Installation de Windows Server Update Services, installation du rle de serveur WDS, choix
de serveur de dploiement et de transport.
- Installation de Microsoft Report Viewer Redistributable 2008.
- Choix de produits afin d'en obtenir les mises jour.
- Dsignation d'un ordinateur cible client afin de pouvoir y paramtrer des mises jour.

PPE Projet

Page 5

- Problme concernant le logiciel, recherche d'une solution sur Internet.

- Dans l'diteur de stratgie e groupe local, suppression du fichier wuau.

- Tlchargement et installation du programme WAPT sur le serveur Windows 2008.

- Test du nom DNS du serveur win-q3neu6srcdr.pac.com, Adresse IP en 192.168.117.128.
- Configuration du mot de passe de la console WAPT.
- Cration d'un couple cl prive - cl publique et ajout d'un prfixe pour les nouveaux
paquets.
- Dmarrage du serveur avec ces paramtres.
- Cration d'un installeur personnalis.
- Recherche de mises jour logicielles depuis un dpt priv li au site WAPT.

PPE Projet

Page 6

Solution de mise jour logicielle WAPT

Raisons de choisir une solution de dploiement de mise jour logicielle :

La gestion de postes Windows peut parfois prendre trop de temps.
L'univers Windows n'est pas le plus simple apprhender :
- entre les diffrentes versions (XP / Vista / 7)
- 32 bit / 64 bit
- UAC (User Acces Controler), UAC++
- Version familiale ou professionelle
- Comportements alatoires des installeurs
- Diffrents types de configuration rseau (DNS, proxy, ...)
Chaque poste Windows a sa particularit.

PPE Projet

Page 7

Qu'est-ce que WAPT ?

WAPT est inspir de apt-get (debian/ubuntu) (gestionnaire de paquets sous Linux).
Adapt spcialement au monde Windows.
Un produit rendant les actions avances plus faciles d'utilisation.
wapt-get, c'est :
Python pour la simplicit
Lazarus (Delphi) pour encapsuler
Centr sur la signature des paquets.

Schma prsentant de manire simplifie le rle de WAPT au sein de lentreprise :

Utile pour :
partir d'un poste
pour des petits rseaux
pour des grands rseaux en VPN

PPE Projet

Page 8

Quest-ce que Lazarus ?

Lazarus est un logiciel de type RAD (dveloppeur rapide d'applications), similaire l'EDI
Delphi d'Embarcadero. Sous Microsoft Windows, Delphi a la vitesse la plus rapide sous
Windows et a la meilleure documentation, mais il n'a pas l'ensemble des possibilits multiplates-formes de Lazarus. Sous Linux, Lazarus est l'un des meilleurs EDI disponibles.
Lazarus sous GNU Linux est beaucoup plus rapide, simple et stable que Delphi et Lazarus
sous Windows.
Lazarus est sur la bonne voie pour devenir un puissant EDI RAD. Le projet Lazarus a une
communaut importante de dveloppeurs et de testeurs. La communaut rsout les problmes
au travers de groupes de discussion, et les programmeurs envoient les correctifs. Les versions
sont gnres automatiquement pour tre testes, ce qui rend le dveloppement de Lazarus
trs dynamique.

PPE Projet

Page 9

Manuel Technique

Pour la solution WAPT :

Installation du programme WAPT

L'environnement waptserver est constitu d'un serveur web qui fait office de dpt (sur le
modle des dpts apt-get) et d'un serveur d'inventaire pour faire le suivi des dploiements et
la configuration des machines.
La base de donnes utilise pour le serveur d'inventaire est mongodb.
Excuter l'installeur waptsetup.exe en cliquant sur le bouton Excuter.
Une srie de fentres avec des options pr-remplies se succde (conserver les options par
dfaut).
L'assistant graphique d'installation s'ouvre, cliquer sur next
La GNU Public Licence s'affiche, il faut l'accepter en cochant la case "I accept the
agreement" et cliquant sur "Next".
L'assistant propose un dossier d'installation de WAPT, vous pouvez le modifier si vous
le souhaitez ; cliquer sur Next.
L'assistant propose alors un nom pour le raccourci dans le menu dmarrer, il peut
aussi tre modifi ; cliquez sur Next.
L'assistant propose les tches supplmentaires effectuer :
o Installer le service WAPT : il sert installer un logiciel sur un poste qui a des
droits restreints
o Lancer l'icne de notification lors de l'ouverture de session : correspond au tray
o Forcer la rinstallation des redistribuables VC++ 2008 (pour openssl)
o Proposer la mise jour des paquets l'extinction du poste
o Lancer WAPT session setup l'ouverture de session : configuration des
logiciels adapts la session
L'assistant donne le choix entre :
o l'auto-dtection des dpts et du serveur grce au DNS
o information ancre dans WAPT
Repos URL : adresse du dpt WAPT interne permettant de rcuprer
les logiciels
Server URL : adresse permettant WAPT de remonter les informations
au serveur
L'assistant rcapitule alors les informations pour l'installation, cliquez sur Install
L'assistant montre alors la progression de l'installation, patientez jusqu' ce que
l'assistant signale que l'installation est termine;
Deux actions peuvent finalement tre slectionnes :
o lancement de l'icne de notification : lancement du tray
o enregistrer l'ordinateur sur le serveur WAPT

PPE Projet

Page 10

PPE Projet

Page 11

Ouvrir la console WAPT

La console WAPT est accessible via le waptray Lancer la console WAPT.

Mise en place de certificats

Lancer la console de gestion de wapt via le wapttray
Aller dans Outils > Cration de certificat autosign
Remplir les champs du formulaire, la seconde partie apparaissant dans les proprits de la
cl.
La cl publique et la cl prive sont automatiquement cres et places dans les rpertoires
adquats :
Le fichier xxxxxx.pem qui est la clef prive, est copie dans le dossier C:\private. Elle
servira signer les paquets avant de les dployer sur vos repository. Ce fichier est
d'une importance fondamentale ; il doit tre conserv et correctement protg.
Le fichier xxxxxx.crt qui est la cl publique, est copie dans les dossiers C:\private et
C:\wapt\ssl

PPE Projet

Page 12

Mise en place manuelle

Sur la machine Windows de dveloppement de paquet wapt, ouvrir une ligne de commande,
et taper les commandes suivantes (modifier les nom xxxxxx.pem et xxxxxx.crt avec le nom de
votre organisation).
mkdir c:\private
cd c:\private
set OPENSSL_CONF=c:\WAPT\lib\site-packages\M2Crypto\openssl.cfg
C:\WAPT\lib\site-packages\M2Crypto\openssl.exe req -x509 -nodes -days 365 -newkey
rsa:2048 -keyout xxxxxx.pem -out xxxxxx.crt
Le certificat aura une dure de validit de 365 jours (attention aux renouvlements), sinon
modifier la dure dans la commande ci-dessus.
La commande openssl.exe demande des informations sur le pays, la rgion, le nom de la
socit. On peut mettre ce que l'on veut comme valeurs, elles apparatront dans les
proprits du certificat.
Dans le rpertoire C:\private nous allons trouver 2 fichiers importants:
Le fichier xxxxxx.crt est la cl publique qui peut tre librement diffuse. Elle se
retrouvera sur tous les postes waptiss. Cette cl permettra aux agent WAPT de
certifier que le paquet bien t packag par vos soins.
Le fichier xxxxxx.pem est la clef prive. Elle servira signer les paquets avant de les
dployer sur vos repository. Ce fichier est d'une importance fondamentale et doit
tre conserv et correctement protg.
Sur la machine sur laquelle vous dveloppez vos paquets, il faudra que modifier le fichier de
configuration wapt-get.ini.
[global]
repo_url=
private_key=c:\private\xxxxxx.pem
Ensuite,
Il faudra enfin dployer le fichier c:\wapt\ssl\xxxxxx.crt sur tous les postes autorisant
l'installation de paquets signs avec votre cl.
Ce dploiement peut se faire en recompilant un installeur waptsetup.exe. propre
l'organisation.

Configuration du prfixe des paquets

Pour ne pas confondre entre les paquets proposs et ceux que vous dupliquez, nous
recommandons d'ajouter un prfixe devant les noms des logiciels. Pour se faire, allez dans la
console > Outils > Configuration locale WAPT.
PPE Projet

Page 13

Ajouter la ligne "Prfixe pour la cration de paquets WAPT" un acronyme de votre structure
(exemple: Tranquil It Systems prfixe: tis)

Duplication de paquets
Dans l'onglet "Dpt Externe", vous avez disposition une multitude de logiciel que vous
pouvez rapatrier sur votre serveur WAPT. Choisissez le ou les logiciel(s) et cliquez sur
dupliquer. La console WAPT se chargera automatiquement de signer les logiciels choisis et de
les charger sur le serveur WAPT.
Installation des logiciels via la console
Tout est prt maintenant pour installer vos logiciels distance via la console WAPT.

Dpt local de WAPT

Ajout de logiciel
WAPT est un logiciel de dploiement, vous devez donc disposer de logiciel dployer. Le
site web Tranquil IT System propose une [bibliothque de logiciel] que sa communaut a
construite et qu'elle met librement disposition.
Allez dans l'onglet "Dpt Priv".
Cliquez sur "Importer depuis un dpt".
Slectionnez un ou plusieurs logiciels et "Importer".
Lors de l'importation, l'agent WAPT va automatiquement rapatrier les logiciels slectionns et
les signer avec votre certificat cr prcdemment. Aprs cette action, ils seront
immdiatement dployables sur les postes.

PPE Projet

Page 14

diter un paquet
Les logiciels rcuprs via un autre dpt, peuvent tre modifis et personnaliss pour la
structure (ex: ajout d'une adresse de proxy dans Mozilla Firefox). Pour personnaliser les
logiciels, il est conseill d'installer le paquet WAPT "waptdev" qui incorpore une suite de
logiciel de dveloppement.
clic-droit sur le logiciel > Editer le paquet.
Supprimer un paquet
Slectionnez le logiciel : clic-droit > Supprimer.
Installer un logiciel
Pour installer un logiciel sur un poste, double cliquez sur le poste.
La fentre qui s'affiche correspond la configuration du poste. Elle rcapitule l'ensemble des
logiciels que vous souhaitez installer dessus. Effectuez un cliquer glisser des logiciels prsents
dans la partie de droite vers la partie de gauche. Pour permettre l'installation du logiciel deux
solutions sont propos :
Sauver : cela permet de mettre en attente l'envoie logiciels. Ils seront installs soit par
une action effectue sur l'agent WAPT ou l'extinction du poste.
Sauver et appliquer sur le poste : applique instantanment l'envoie et l'installation des
logiciels.
Dsinstallation d'un logiciel
Pour chaque logiciel install via WAPT, il est possible de faire une dsinstallation du paquet
via la console dans le rsum du poste par un "clic-droit sur le logiciel > Dsinstaller le
paquet".

Groupe de logiciel
Pour faciliter l'installation de plusieurs logiciels, il est possible de crer des groupes.
Cliquer sur "Nouveau groupe", choisissez un nom et dplacer les logiciels vers le tableau de
gauche. Les groupes de logiciels crs se trouveront dans la liste des logiciels. Pour ajouter un
groupe un poste, il suffit de suivre la procdure "Installer un logiciel" et de slectionner le
groupe.

PPE Projet

Page 15

A chaque installation du client WAPT une remonte d'information est faite au serveur et vous
pouvez les consultes partir de la console dans l'onglet inventaire.
Pour effectuer l'installation d'un logiciel, slectionnez le poste avec un clique droit et
choisissez "Modifier la configuration du poste".
Dplacer le(s) logiciel(s) dans le tableau "Paquets devant tre prsents sur la machine" et
cliquez sur le bouton "Sauver et appliquer sur le poste"
Suite cette action, le client WAPT procde aux installations demandes.

Dbogage
Un mode avanc avanc est propos dans le menu Outils > Mode avanc : cela ajoute d'une
zone o les logs sont affichs.

PPE Projet

Page 16

Dploiement par GPO avec WaptDeploy par un partage http

Waptdeploy est un petit excutable qui :
teste la version installe de wapt*.
tlcharge par http l'installateur waptagent.exe.
lance l'installeur en silencieux avec des paramtres /VERYSILENT
/MERGETASKS=""useWaptServer"" (Les options coches par dfaut la cration de
waptagent seront prises en compte.).
met jour le serveur avec le statut de la machine (version wapt, situation des
packages).
Il doit tre lanc en tant qu'administrateur, d'o l'utilisation d'une GPO.
S'il n'y a pas de systme de GPO disponible, on peut aussi utiliser un script de logon avec
Procdure de mise en place :
Copier waptagent.exe sur https://wapt/wapt/.
Copier http://wapt/wapt/waptdeploy.exe dans le rpertoire netlogon de votre AD ou
rpertoire C:\WINDOWS\SYSVOL\domain\scripts\.
Crer une GPO pour le domaine ou un groupe (OU) de machines.
Le numro de version inscrit dans le champ "Paramtres de scripts" correspond au
numro de version de WAPT dploy.
Avec WAPT 1.3.4, il est ncessaire de placer un checksum dans les paramtres de
scripts. Ceci permet de s'assurer que le waptdeploy ne lancera pas un installeur falsifi
/ corrompu.
Rcupration du checksum :
$ sha256sum /var/www/wapt/waptagent.exe
0e592e9113ebe2e040ad945d7b887fc69843addb5950bf0dade20458be529a1d

Modifier les paramtres de scripts, placez au dbut des paramtres l'option --hash
avec le checksum calcul auparavant :
--hash=0e592e9113ebe2e040ad945d7b887fc69843addb5950bf0dade20458be529a1d -wait=15 --minversion=1.3.3.

Facultatif
Crer un fichier waptdeploy.version dans http://wapt/wapt/waptdeploy.version contenant la
version et l'URL du waptsetup.exe 1.2.3.
Si waptdeploy.exe est lanc sans paramtre, il cherche un fichier
http://wapt/wapt/waptdeploy.version pour trouver la version minimale installer et
l'emplacement de l'installeur.
Une machine peut tre simplement mise dans un groupe de machine si un paquet
correspondant la configuration dsire du groupe a t cr, puis que ce paquet soit mis en
dpendance dans chacun des paquets avec le nom FQDN des machines concernes.
On cre un "profil de poste" avec les paquets logiciels ncessaires ce profil, et on affecte ce
profil/paquet une liste de machines (multi-slection de machine / clic-droit / Ajouter un
PPE Projet

Page 17

paquet oun groupe de paquets) La colonne "Groups" ne fait qu'afficher la liste des paquets
dont dpend directement la machine. Ensuite, pour grer les logiciels du groupe de machines,
on gre en fait le paquet "profil de poste" dans l'onglet groupes de paquets, auquel on rajoute
ou enlve des dpendances.

Utilisation avance en ligne de commande

Le WAPT en ligne de commande est particulirement efficace pour construire, tester et
valider des paquets. Il est principalement destin aux administrateurs du parc logiciel et aux
dveloppeurs de paquets WAPT.

Aide

Obtenir une liste des commandes possibles (aprs l'install, il faut ouvrir un nouvelle
fentre CMD pour que le %PATH% soit pris en compte) : wapt-get

Commandes avances :
Pour l'initialisation de session utilisateur
wapt-get session-setup [packages,all] : setup local user environment for
specific or all installed packages

Pour le dveloppement de paquets

wapt-get list-registry [keywords] : list installed software from Windows
Registry
wapt-get sources <package>
: get sources of a package (if
attribute Sources was supplied in controle file>
wapt-get make-template <installer-path> [<packagename> [<source
directoryname>]] : initializes a package with an installer <exe or msi>
wapt-get build-package <directory> : creates a WAPT package from supplied
directory
wapt-get sign-package <directory or package> : add a signature of the
manifest using a private SSL key

Pour la gestion de dpt

wapt-get upload-package <filenames> : upload package to repository (using
winscp for example.)
wapt-get update-packages <directory> : rebuild a "Packages" file for http
package repository

PPE Projet

Page 18

Manuel Utilisateur
Lutilisateur na besoin que dinstaller le client WAPT pour recevoir les mises jour et
installation logicielles directement sur son poste de travail. Il naura pas besoin de faire quoi
que ce soit, cest ladministrateur au sein de lentreprise qui gre le dploiement des logiciels
sur les diffrents postes de lentreprise selon leur besoins (ex : obtenir un logiciel de
bureautique spcifique ou obtenir les dernires mises jour dun logiciel qui propose de
nouvelles fonctionnalits.
Installation du client WAPT
Tlcharger la dernire version de wapt sur votre poste Windows et lancer l'installation
http://wapt.tranquil.it/wapt/waptsetup.exe
Pendant l'installation, cliquez sur "next" jusqu la page "Select Additionnal Tasks" et cochez
la case "Start WAPT Tray icon at logon":

La page suivante "Installation options" renseigne les informations du serveur WAPT sur
lequel le client WAPT doit se connecter :

PPE Projet

Page 19

Cliquez sur "Next" jusqu' la fin de l'installation.

Vous avez install le client WAPT.

PPE Projet

Page 20

Rfrences bibliographiques

Recherches Internet :
https://support.lenovo.com/fr/fr/documents/ht080136
https://support.lenovo.com/fr/fr/documents/pd022501
https://support.lenovo.com/fr/fr/documents/migr-75236
http://www.decalog.net/article/epm-outil-de-centralisation-des-mises-jour-logicielles
http://linuxfr.org/users/fvolpi/journaux/wapt-apt-get-pour-windows-8588b6dc-aaa04d83-a154-03940e5df810
http://philippe.scoffoni.net/automatiser-installation-mise-a-jour-logiciels-windowswapt/
http://raisin.u-bordeaux.fr/IMG/pdf/WDS-JRaisin-juin2010.pdf
http://software.dell.com/fr-fr/products/kace-k2000-systems-deployment-appliance/
http://www.sonicwall.com/fr/fr/products/GMS-Application.html
http://www.decitre.fr/media/pdf/feuilletage/9/7/8/2/7/4/6/0/9782746075092.pdf
https://technet.microsoft.com/fr-fr/library/cc700840
http://microsoft.also.ch/fr/cloud/solutions-cloud/windows-intune/
https://technet.microsoft.com/fr-fr/library/Bb693791.aspx
https://technet.microsoft.com/fr-fr/library/dd896954.aspx
https://technet.microsoft.com/fr-fr/windows/hh147630.aspx
https://technet.microsoft.com/fr-fr/library/cc700845.aspx
http://www.microsoft.com/wsus
http://www.microsoft.com/sccm
http://www.tranquil-it-systems.fr/topic/tiswapt/
http://dev.tranquil.it/scenari/guide_admin/co/wapt_server_installation_windows.html
http://www.it-connect.fr/hyper-v-et-les-captures-instantanees-snapshots/
http://bowlova.blogspot.fr/2011/11/resolved-error-occurred-while-gathering.html
http://www.tech2tech.fr/pdq-deploy-deploiement-de-logiciels-et-mises-a-jour-sur-unreseau-windows/

PPE Projet

Page 21

Conclusion du Projet
Cration d'un dploiement mise jour logicielle partir de la console WAPT. Dbut
de la mise en place par GPO.
Cration partielle dun dploiement mise jour logicielle avec PDQDeploy, solution
de mise jour terminer.
Problmes lis aux autres tests cause du mauvais matriel (Lenovo) ou bien du
systme d'exploitation qui ne correspond pas la demande (UpdatEngine pour Linux).
Problmes concernant la machine virtuelle VMWare et le fonctionnement avec la
console WAPT.

PPE Projet

Page 22