WSUS (Windows Server Update Service) est un rôle intégré à Windows Serveur, qui permet la mise en place d’un système de distribution des mises à jour Microsoft en interne.
Les avantages de WSUS :
- Contrôle du déploiement des mises à jour
- Réduction de la bande passante internet
- Rapport sur l’installation des mises à jour
- Possibilité de désinstaller une mise à jour en cas de problème.
Pas envie de lire !, le tutoriel est disponible en vidéo 😉
Sommaire
Prérequis
- Un machine physique ou virtuelle dédiée à WSUS.
- 2CPU
- 4Go de RAM minimum
- 2 disques dur OS et DATA. Le volume DATA va dépendre du nombre de produits et de classifications qui vont être activés. 200 à 300 GO d’espace est bon début.
- Une instance SQL Server (Express) – conseillé
Le serveur n’est pas obligé d’être dans un domaine.
Avant de vous lancer dans l’installation et la configuration de WSUS, je vous conseille de lister les produits Microsoft que vous souhaitez mettre à jour avec le service.
L’ensemble du catalogue des produits Microsoft est disponible, si dans votre organisation, vous avez par exemple un serveur SharePoint, est-il réellement intéressant de stocker sur votre serveur WSUS les updates pour ce produit, il est en de même si vous avez des « vieux » produits type Office 2007/Windows XP…
Je vous conseille également de faire attention si vous activez les mises à jour pour SQL Server, assurez-vous avant que vos applications sont compatibles avec les Services Packs
Installation du rôle WSUS
1. Depuis le Gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.
2. Au lancement de l’assistant, cliquer sur Suivant 1.
3. Sélectionner l’option Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.
4. Choisir le serveur où l’installation doit être effectuée 1 et cliquer sur Suivant 2.
5. Dans la liste des rôles, cocher la case 1 Services WSUS (Windows Server Update Services).
6. Valider l’ajout des dépendances en cliquant sur Ajouter des fonctionnalités 1.
Le rôle WSUS installe IIS et la Base de données interne Windows.
7.Cliquer sur Suivant 1.
8. Valider les fonctionnalités en cliquant sur Suivant 1.
9. Passer le résumé du rôle WSUS en cliquant sur Suivant 1.
10. Laisser les options d’installation par défaut, cliquer sur Suivant 1.
L’option SQL Server Connectivity est une option arrivée avec Windows Serveur 2016, qui permet la configuration dès l’installation de l’utilisation base d’une base SQL Server.
11. Spécifier l’emplacement de stockage des mises à jour sur le serveur 1 puis cliquer sur Suivant 2.
Dans le cas d’un coupable avec SCCM, il n’est pas nécessaire de stocker les mises à jour sur le serveur WSUS, elles seront stockées sur le serveur de distribution.
12. Passer le résumé du rôle IIS en cliquant sur le bouton Suivant 1.
13. Cliquer sur Suivant 1 pour valider les services IIS à installer.
14. Confirmer l’installation des rôles et fonctionnalités en cliquant sur Installer 1.
15. Patienter pendant l’installation des différents rôles…
16. Une fois l’installation terminée, quitter l’assistant en cliquant sur Fermer 1.
17. Depuis le gestionnaire serveur, cliquer sur le drapeau de notification 1 et cliquer sur Lancer les tâches de post-installation 2.
18. Patienter pendant l’exécution de la configuration Post-déploiement …
19. Le rôle est maintenant installé.
Maintenant que les rôles nécessaires au déploiement de WSUS, nous allons passer à la configuration.
Configuration de WSUS
L’assistant de configuration WSUS se lance automatiquement à la première ouverture de la console.
1. Lancer la console d’administration Service WSUS.
2. Au lancement de l’assistant, cliquer sur Suivant 1.
3. Cliquer sur Suivant 1.
4. Source de mises à jour, choisir Synchroniser à partir de Microsoft Update 1 puis cliquer sur Suivant 2.
5. Si le serveur WSUS à besoin d’un proxy pour sortir sur Internet, configurer le sinon cliquer sur Suivant 1.
6. Cliquer sur Démarrer la connexion 1.
7. Patienter pendant la récupération des informations chez Microsoft (5 à 15 minutes).
8. Les informations téléchargées, cliquer sur Suivant 1.
9. Sélectionner les langues pour les mises à jour 1 puis cliquer sur Suivant 2.
10. Choisir les produits dont les mises à jour doivent être téléchargées 1 et cliquer sur Suivant 2.
11. Choisir les types de mises à jour (classification) 1 pour les produits sélectionnés puis cliquer sur Suivant 2.
12. Configurer la planification de synchronisation 1 pour la récupération de la liste des mises à jour puis cliquer sur Suivant 2.
La synchronisation ne télécharge pas les fichiers de mises à jour.
13. Cocher Commencer la synchronisation initiale 1 et cliquer sur Suivant 2.
14. La configuration est terminée, cliquer sur Terminer 1 pour fermer l’assistant.
15. Ouvrir la console d’administration et patienter pendant la synchronisation.
La première synchronisation peut prendre plusieurs heures.
Premier pas avec le console d’administration WSUS
Tour d’horizon
1. Dans le menu à gauche, cliquer sur le serveur 1, un résumé de l’état des mises à jour et des postes s’affichent.
Vous ne devriez rien avoir pour le moment, vu que l’on vient d’installer WSUS.
2. Dans le menu de gauche, dérouler Mises à jour 1 et cliquer sur Toutes les mises à jour 2. Ici s’affiche la liste des mises à jour. Il est possible de filtrer les mises à jour en fonction de leur Approbation.
3. Déplier Ordinateurs 1, dans cette partie s’affiche les ordinateurs qui communiquent avec le serveur WSUS. Il est possible de créer des groupes et d’affecter les ordinateurs à ces groupes.
Par défaut, les ordinateurs qui contactent le serveur WSUS sont ajoutés au groupe Ordinateur non attribués
4. La partie Options 1 permet de gérer les réglages WSUS ainsi que son maintien.
Ici que vous pouvez modifier les réglages effectués lors de la configuration de WSUS.
Gestion des mises à jour dans WSUS
Afin de facilité l’administration des mises à jour, je vous conseille d’afficher l’état de remplacement de celle-ci, cela permet d’éviter de valider et donc de télécharger des mises à jour qui sont remplacées par une autre.
1. Depuis une vue de mises à jour, faire un clic droit sur un entête de colonne 1 et cliquer sur Remplacement 2
2. Cette colonne, affiche ou non un pictogramme qui permet d’avoir l’état de remplacement de la mise à jour.
Les mises à jour sans pictogramme ou avec celui-ci 
peuvent être approuvées.
Les mises à jour avec l’un ou l’autre des pictogrammes suivant 
peuvent être refusées car elles sont remplacées par une mise à jour plus récente.
Valider les mises à jour
1. Sélectionner les mises à jour 1, faire un clic droit et cliquer sur Approuver 2.
2. Cliquer en 1 puis sur Approuvée pour l’installation 2.
3. Appuyer sur Crtl+C pour appliquer l’héritage 1 sinon configurer chaque groupe et cliquer sur OK 2.
4. Patienter pendant l’approbation des mises à jour.
5. Une fois terminée, fermer la fenêtre en cliquant sur le bouton 1.
6. Depuis la liste des mises à jour, l’Approbation est passée à Installer 1.
Si on actualise la liste des mises à jour, on ne le verrait plus à cause du filtre Non approuvées sur approbation.
7. Sur la page de statut du serveur 1, on peut voir le nombre de mises à jour à télécharger 2 ainsi que le volume de données 3.
Refuser les mises à jour
1. Sélectionner les mises à jour 1, faire un clic droit et cliquer sur Refuser 2.
2. Confirmer le refus en cliquant sur Oui 1>.
3. Les mises à jour sont refusées 1.
Configurer les ordinateurs pour utiliser WSUS
Dans cette partie, nous allons voir comment configurer les postes (serveur et client) afin qu’ils viennent contacter le serveur WSUS.
Dans un domaine Active Directory par GPO
Les paramètres de la stratégie s’appliquent au niveau du poste.
Personnellement, je vous déconseille de faire une seule stratégie pour l’ensemble de votre parc, je vous conseille de faire deux stratégies, une pour les postes de travail et une pour les serveurs.
1. Ouvrir la console Gestion de stratégie de groupe, faire un clic droit sur l’OU 1 où l’on souhaite appliquer la stratégie et cliquer sur Créer un objet GPO dans ce domaine, et le lier ici 2.
2. Nommer la GPO 1 puis cliquer sur OK 2.
3. Faire un clic droit sur la stratégie créée 1 et cliquer sur Modifier 2.
4. Aller dans le dossier Configuration Ordinateur / Stratégies / Modèles d’administration / Composant Windows / Windows Update. Dans ce dossier se trouve l’ensemble des paramètres configurable pour le comportement de Windows Update.
5. Modifier le paramètre Spécifier l’emplacement intranet du service de mise à jour Microsoft, Activer le 1, indiquer l’url du serveur 2 puis cliquer sur Appliquer 3 et OK 4.
6. Modifier le paramètre : Configuration du service Mises à jour automatique, Activer le 1, configurer le comportement de Windows Update 2 puis cliquer sur Appliquer 3 et OK 4.
Dans la partie Aide, vous trouverez des explications sur les différents comportements disponibles.
7. (Optionnel) Activer le paramètre : Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées, ceci évite d’avoir une machine qui redémarre automatiquement quand on est connecté dessus.
8. La stratégie est prête, il faut attendre qu’elle s’applique.
Configuration manuelle avec WSUS WORKGROUP
Si vous avez des postes hors domaine dans votre réseau, il est quand même possible de configurer les postes pour utiliser le serveur WSUS.
1. Télécharger WSUS WORKGROUP et exécuter le.
2. Sur l’onglet Main 1, configurer l’url du serveur WSUS 2 et le comportement de Windows Update 3.
3. (Optionnel) Aller sur l’onglet Advanced 1 et adapter les paramètres en fonction du comportement souhaité.
4. Cliquer sur bouton Activate WSUS 1.
5. Confirmer l’application en cliquant sur Oui 1.
6. (Optionnel) L’application propose de sauvegarde le registre avant d’appliquer les paramètres, cliquer sur Enregistrer 1.
Si vous ne souhaitez pas faire de sauvegarder cliquer Annuler
7. Cliquer sur OK 1 pour fermer la fenêtre d’information.
Vérifier l’application de la configuration
1. Sur la console d’administration WSUS, aller sur Ordinateurs / Tous les ordinateurs / Ordinateurs non attribués 1, les postes qui contactent le serveur devraient s’afficher.
Si vous avez Approuver les mises à jour pour Tous les ordinateurs, les postes commenceront à télécharger les mises à jour après l’envoi d’un premier rapport qui va permettre au service WSUS de proposer les mises à jour disponibles.
Aller plus loin avec WSUS
Désinstaller une mise à jour
Si une mise à jour pose problème, il est possible de la désinstaller via WSUS.
1. Une fois la mise à jour identifiée, faire un clic droit dessus et cliquer sur Approuver 1.
2. Cliquer l’icône 1 puis sur Approuvée pour la suppression 2.
3. Cliquer sur OK 1 pour appliquer.
Migrer la base WID sur SQL Server (express)
Si votre service WSUS s’arrête régulièrement, je vous conseille de migrer la base vers une instance SQL Server, cette solution va améliorer les performances de votre WSUS. Un tutoriel est disponible ici.
Décliner automatiquement les mises à jour Itanium et / ou ARM64
Si vous recevez les mises à jour pour Windows XP, Windows 2003 Server ou Windows 2008 Server et que vous n’avez pas de système Itanium, vous pouvez utiliser le script ici pour les refuser automatiquement.
Si vous recevez les mises à jour pour Windows 10 et que vous n’avez pas de système ARM64, vous pouvez utiliser le script ici pour les refuser automatiquement.
