Windows Server Update Services (WSUS) est un service permettant de centraliser et télécharger les mises a jours de provenant de Microsoft afin de les distribuer à l’ensemble des postes informatiques du parc géré.
I- Les Prérequis
a) Matériels
- Processeur : processeur 1,4 gigahertz (GHz) x64 (2 Ghz ou supérieur recommandé)
- Mémoire : WSUS exige 2 Go de RAM de plus que ce qui est requis par le serveur
- Espace disque disponible : 10 Go (une valeur minimale de 40 Go est recommandée)
- Carte réseau : 100 mégabits par seconde (Mbits/s) au minimum
b) Logiciels
- Microsoft .NET Framework 4.0
- Le service (IIS)
II- Installation
Mon installation sera sur un Windows 2012 Serveur R2 dans un Domaine Active Directory gabinhocity.eu avec déjà le rôle IIS d’installé.
Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des fonctionnalités.
Suivant
Sélectionnez le type d’installation, confirmez que l’option Installation basée sur un rôle ou une fonctionnalité est sélectionnée, puis cliquez sur Suivant.
Sélectionner le serveur de destination, choisissez l’emplacement du serveur (à partir d’un pool de serveurs ou d’un disque dur virtuel). Après avoir sélectionné l’emplacement, choisissez le serveur sur lequel vous voulez installer le rôle de serveur WSUS, puis cliquez sur Suivant. Dans mon cas il s’agit du serveur local
Vous êtes maintenant sur la fenêtre de sélection des rôles. Nous allons donc installer le rôle WSUS (Windows Server Update Services). Pour cela, cocher simplement WSUS dans la fenêtre de sélection des rôles. Enfin, cliquer sur Suivant.
Des fonctionnalités supplémentaires sont automatiquement sélectionnées pour vous, vous pouvez cliquer sur ajouter
laissez les sélections par défaut et cliquez sur Suivant
Maintenant vous devez sélectionner le dossier dans lequel les mises a jours seront sauvegardées. J’ai créé un dossier nommé WSUS dans ma deuxième partition de disque. Par défaut, il faut éviter de tout mettre dans la partition système
Cliquez sur Installer pour lancer l’installation du rôle WSUS.
Le processus peut durer plusieurs minutes. Dans mon cas j’ai eu besoin de redémarrer pour me lancer dans la configuration du service wsus.
- Configuration
Dans le Gestionnaire de serveur nous allons nous rendre sur le service WSUS pour démarrer l’assistant de configuration
Suivant
Nous n’allons pas envoyer nos données à Microsoft donc suivant. Si vous souhaitez participer au programme cochez la case avant de cliquer sur suivant
Nous allons faire notre synchronisation sur les serveurs de Microsoft directement donc suivant
Dans mon infra il n’y a pas de Proxy donc suivant. Si vous passez par un proxy c’est à ce niveau que vous devez le déclarer
Ici, nous allons nous connecter aux serveurs de Microsoft pour commencer à télécharger quelques informations relatives à la configuration du serveur WSUS. Cliquez sur Démarrer la connexion
Attendre la fin de la synchronisation en fonction de votre débit ça se termine rapidement ou non… Dans mon cas 15 Min en fibre 100 M
A cette étape nous devons choisir les langues des mises à jours que nous souhaitons avoir dans notre organisation. C’est a vous de choisir en fonction de votre parc mais moi ça sera Français et Anglais
Puis les produits. Attention, ne sélectionnez pas forcément tous car ici ce sont tous les produits de chez Microsoft qui sont affichés. Cela fait donc énormément de mises à jour à télécharger par la suite. Après avoir sélectionné les produits qui vous intéressent et qui sont dans votre parc informatique, cliquez sur Suivant.
Nous pouvons choisir quel type de mises à jour vous souhaitez télécharger, je conseil de sélectionner les mises à jour de sécurité et les mises à jour critiques ainsi que les upgrades et les mises à jour des définitions.
Le serveur se synchronisera automatique tous les soirs à partir de 20h00 avec les serveurs Windows Update (cette heure est approximative car il se peut que votre synchronisation peut démarrer en retard d’une demi-heure par exemple)
A présent que notre serveur est configuré, nous allons passer à son utilisation.
III – Utilisation
Nous allons commencer par mettre des GPO pour obliger tous les postes du domaine a passer par le WSUS local pour les mises à jour. Nous allons créer la GPO à la racine du domaine et la nommée « WSUS »
On modifie la GPO pour activer des paramètres
Il faut se rendre dans le dossier suivant Configuration Ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Update
On va commencer par modifier le paramètre « Spécifier l’emplacement intranet du service de mise à jour Microsoft »
On va activer le paramètre et mettre notre serveur configuré précédemment en tant que serveur local WSUS. Sans oublier le numéro de port (8530 par défaut WSUS)
Le deuxième paramètre à modifier est « configuration du services mises à jour automatiques »
Cette partie concerne l’heure à laquelle les mises à jour seront téléchargées et installées sur les clients. L’option 3 – Téléchargement automatique et notifications des installations téléchargera les mises à jour sur le poste et notifiera à l’utilisateur que les mises à jour peuvent être installées.
Le dernier paramètre va permettre que les mises à jour ne redémarrent pas l’ordinateur si un utilisateur est actif
Il y’a plusieurs paramètres que vous pouvez configurer en fonction de vos besoins, tout est dans le même dossier de stratégie. De mon coté je vais m’arrêter à ces 3 configurations pour le moment.
Nous allons maintenant ouvrir la console de gestion WSUS
Développer la rubrique Ordinateurs afin de créer deux groupes d’ordinateurs « SERVEUR » et « Ordinateur »
Il faut faire un clique droit sur « tous les ordinateurs » et « ajouter un groupe d’ordinateurs… »
Nommer votre groupe et cliquer sur ajouter
Au final nous avons nos deux groupes
Il faut maintenant déplacer vos périphériques dans « tous les ordinateurs » dans le bon groupe. Il faut faire un clique droit et sélectionner modifier l’appartenance
Sélectionner le nouveau groupe d’appartenance
Cette méthode va vous permettre de faire des groupes pour filtres les mises à jour que vous vous déployer en fonction de vos postes. Dans mon exemple j’ai fait une distinction en Ordinateur et Serveur mais vous pouvez faire une distinction sur l’OS Win7/10 ou ce que vous voulez…
Nous allons passer à une partie toute aussi importante car si nous n’approuvons pas les mises à jours, aucune ne sera déployée dans notre parc
On va aller dans la rubrique « Mises à jour de sécurité » et séléctionner toutes les mises à jour téléchargées avec le raccourci clavier ctrl+a et faire un clic droit « approuver »
Sélectionner le groupe de poste qui doit recevoir ces mises à jour. Etant donné que c’est une mise à jour importante je vais sélectionner les deux groupes
Vous pouvez automatiser cette option par la suite en allant dans Options >> Approbations automatiques et utiliser la règle par défaut ou alors créer vos propres règles d’approbations.
Sur un poste client n’oubliez pas d’actualiser la stratégie de groupe grâce à la commande « GPUPDATE /FORCE » dans l’invite de commande
Vous pouvez aussi initialiser Windows Update avec la commande suivante « wuauclt.exe /reportnow /detectnow »
Pour réinitialiser les cookies du poste client « wuauclt.exe /resetauthorization /detectnow «
Voilà c’est terminé ! vous pouvez profiter de votre serveur WSUS 🙂
Autodidacte dans la majeure partie de mes compétences et créateur du site gabinhocity.eu, je surf tant bien sur la vague Windows que Linux. Profondément passionné par la découverte, mes loisirs sont partagés entre la photographie et les voyages.
