Dans ce tutoriel, nous allons voir comment installer le rôle WSUS (Windows Server Update Services) sur Windows Serveur 2025, qui va permettre d’avoir dans son environnement un serveur pour contrôler la distribution des mises à jour des produits Microsoft (Windows, Office, SQL Server …). Le rôle WSUS est également un « composant » de MECM, car celui-ci s’appuie sur le service WSUS pour gérer les packages de mises à jour.
On retrouve WSUS en entreprise principalement pour 2 raisons :
- Gérer le déploiement des mises à jour et avoir des rapports d’installations afin de savoir si le parc informatique est à jour. Cette gestion permet également de contrôler le moment d’installation des mises à jour de Microsoft et donc d’éviter une installation non contrôler depuis Windows Update sur les ordinateurs et d’essuyer des bugs liés aux mises à jour.
- Economie de bande passante, le stockage sur un serveur centralisé évite le téléchargement des mises à jour sur Internet pour chaque ordinateur (Aujourd’hui il est possible de ne plus stocker les mises à jour localement tout en faisait des économies de BP).
Pour fonctionner, WSUS a besoin d’une base de données et il existe trois solutions :
- WID : Windows Internal Datatabse qui est une base embarqué Microsoft sans limite de taille mais avec des performances médiocre, c’est l’option par défaut.
- SQL Express : qui est la solution que l’on va voir dans ce tutoriel, qui est le meilleur compromis entre le coût et les performances, ce type de base peut être utiliser dans un environnement de 1500 à 2500 ordinateurs avant d’atteindre les limites de taille de 10Gb imposé par SQL Express
- SQL Server qui est le type de base de données à utiliser pour les parcs informatiques de grand taille.
Avant d’installer le rôle WSUS, nous allons installer SQL Server 2022 Express sur notre serveur WSUS. Concernant les prérequis matériel, prévoir à minima 2CPU avec 8Gb de mémoire et deux disques dur, le premier pour le système et le second pour le stockage des mises à jour et la base de données, la taille de se second disque va principalement dépendre si vous stockez sur le serveur les mises à jour et aussi du nombre de produits et types de mises à jour que vous allez gérer.
En septembre 2024, Microsoft a annoncé la fin du développement du rôle WSUS, celui-ci sera encore présent sur Windows Serveur 2025, mais dès à présent, il faut penser à rechercher une solution de patch management pour anticiper la fin de WSUS.
Installer SQL Server Express pour WSUS
Commencer par télécharger SQL Express sur le site de Microsoft, au moment de la rédaction de ce tutoriel, j’ai utilisé la version SQL Server 2022 Express.
Une fois télécharger, exécuter le fichier.
Sélectionner le type d’installation : De base 1.
Cliquer sur le bouton Accepter 1 pour accepter les termes du contrat de licence.
Si nécessaire, changer l’emplacement d’installation puis cliquer sur Installer 1.
Patienter pendant le téléchargement et l’installation du serveur SQL Server Express …
SQL Server Express est installé, cliquer sur le bouton Fermer 1.
Redémarrer le serveur.
On va maintenant passer à l’installation du rôle WSUS.
Installation du rôle WSUS sur Windows Serveur 2025
Depuis le Gestionnaire de serveur, lance l’assistant en cliquant sur Ajouter des rôles et des fonctionnalités 1.
Au lancement de l’assistant, cliquer sur le bouton Suivant 1.
Choisir : Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur le bouton Suivant 2.
Sélectionner le serveur 1 où le rôle WSUS va être déployé et puis cliquer sur Suivant 2.
Dans la liste des rôles, cocher la case Service WSUS (Windows Server Update Services) 1.
Le rôle WSUS nécessite l’ajout de plusieurs fonctionnalités à Windows Serveur, notamment le rôle IIS pour le serveur Web, cliquer sur le bouton Ajouter des fonctionnalités 1.
Les rôles (WSUS et IIS) de sélectionnés, cliquer sur le bouton Suivant 1 de l’assistant.
Passer la liste des fonctionnalités en cliquant sur Suivant 1.
Un résumé du rôle WSUS s’affiche, cliquer sur sur Suivant 1.
Comme vous pouvez le voir, par défaut WSUS est configuré pour utiliser la base de données interne WID.
Décocher WID Connectivity 1 puis cocher SQL Server Connectivity 2 puis cliquer sur le bouton Suivant 3.
Indiquer l’emplacement 1 de stockage des mises à jour sur le serveur puis cliquer sur Suivant 2.
Ici pour le lab, j’ai utilisé le disque C: (System), dans un environnement production utiliser un autre disque.
Indiquer le nom de l’instance SQL 1 puis cliquer sur le bouton Suivant 2.
Vous pouvez tester le nom de l’instance et sa connexion en cliquant sur le bouton Vérifier la connexion avec de passer à l’étape suivante.
Passer les deux étapes suivante en cliquant sur Suivant 1, elle traite du rôle IIS qui est le serveur Web utiliser par WSUS.
Pour finir, cliquer sur le bouton Installer 1.
Patienter pendant l’installation qui est assez rapide entre 2 et 5 minutes en fonction de la configuration du serveur.
L’installation terminé, quitter l’assistant d’installation en cliquant sur le bouton Fermer 1.
Nous avons fini l’installation des composants nécessaire pour l’installation du rôle WSUS.
Configuration post-installation de WSUS
Maintenant, nous allons passer à la configuration « général » de WSUS, où nous allons choisir quels types de mises à jour seront déployés par WSUS et aussi pour quels produits Microsoft.
Sur le Gestionnaire de serveur, il y a une notification, cliquer sur le drapeau 1 puis cliquer sur Lancer les tâches de post-installation 2.
Cette étape devrait lancer un assistant de configuration, s’il ne s’ouvre pas, lancer la console WSUS qui est disponible par le Gestionnaire de serveurs dans la liste des Outils.
On arrive un nouvel assistant qui va nous permettre de configurer WSUS, cliquer sur le bouton Suivant 1.
A cette étape, à vous de voir si vous souhaitez participer au programme d’amélioration, le choix effectué, cliquer sur Suivant 1.
A cette étape Microsoft, nous demande à partir de quel emplacement on souhaite télécharger les mises à jour, il existe 2 choix :
- Depuis Internet à partir de Microsoft Update
- Depuis un autre serveur WSUS qui serait présent dans votre réseau
Ici, nous allons choisir l’option Synchroniser à partir de Microsoft update 1 puis cliquer sur le bouton Suivant 2.
Si un proxy est utilisé pour aller sur Internet, configurer le et cliquer sur Suivant 1.
Cliquer sur le bouton Démarrer le connexion 1.
Cette étape est assez longue, pour ma part 30 à 45 minutes …
Une fois l’opération terminée, cliquer sur le bouton Suivant 1.
Commencer par sélectionner les langues 1 pour les mises à jour puis cliquer sur Suivant 2.
Ensuite sélectionner les produits 1 que vous utilisez afin d’avoir la distribution des mises à jour effectuées par WSUS 1 puis cliquer sur Suivant 2.
Ensuite sélectionner le type (classification) 1 de mises à jour que vous souhaitez distribuer à l’aide de WSUS et cliquer sur Suivant 2.
Plus vous aurez sélectionner de produits et de classification, plus la base de données WSUS sera « grosse » et plus vous aurez besoin d’espace disque sur le serveur pour le stockage des mises à jour en local.
Configurer la synchronisation du serveur WSUS, ici j’ai choisi une synchronisation automatique à 22:00:00 tous les jours 1, cliquer ensuite sur Suivant 2.
Cocher la case : Commencer la synchronisation initiale 1 et cliquer sur Suivant 2.
La configuration de WSUS est terminée, cliquer sur Terminer 1 pour fermer l’assistant.
Nous en avons fini avec la configuration de WSUS.
Utiliser WSUS
Lancer la console WSUS et aller sur Synchronisation 1, vous devriez pouvoir suivre l’étape d’avancement de la premier synchronisation.
Cette première synchronisation peut prendre plusieurs heures, le temps que WSUS récupère la liste des mises à jour correspondant aux produits sélectionnés et aux classifications.
Allant sur Toutes les mises à jour, vous devriez commencer à voir les mises à jour disponibles.
Votre serveur WSUS sur Windows Serveur 2025 est opérationnel.
Pour continuer dans la configuration et l’utilisation du rôle WSUS sur Windows Serveur 2025, je vous invite à lire ce tutoriel : WSUS – Installation et configuration – Windows Server Update Service, en seconde partie, j’explique comment fonctionne la validation des mises à jour ainsi que comment connecter les ordinateurs présents sur votre environnement à WSUS afin qu’il puissent l’utiliser.
Si vous ne souhaitez pas que les mises à jour soient télécharger localement sur le serveur WSUS, cela est possible et optimiser avec les ordinateurs à partir de Windows 10 et Windows Serveur 2016 qui permettent le téléchargement des mises à jour en P2P dans le réseau local.
- Configurer WSUS pour que les ordinateurs téléchargent les mises à jour depuis Microsoft
- Windows Update : Optimisation de la distribution des mises à jour
Vous avez maintenant toutes les informations nécessaire pour mettre en place WSUS avec Windows Serveur 2025.
Petit rappel sécurité, maintenir un parc d’ordinateur à jour ainsi que l’ensemble des ces logiciels est important pour avoir le plus hait niveau de sécurité possible en corrigeant les différents failles dans les logiciels.
Bonjour Romain,
Un excellent tuto – comme toujours – sur lequel je n’ajouterais qu’une chose.
Comme tu le sais très certainement, l’assistant de configuration de WUS ne procède pas à certaines optimisations qui au départ ne posent pas de problème mais qui peuvent s’avérer problématique au cours du temps.
– La recherche de nettoyage en profondeur et suppression des mises à jour et des lecteurs inutiles par titre de produit et titre de mise à jour. En clair : la supression des KB obsolètes et/ou remplacées.
– La validation et optimisation de la configuration IIS. IIS qui est un rouage essentiel de WSUS peut s’écrouler si pas optimisé.
-La désactivation de la synchronisation et de la mise en cache des pilotes de périphériques. L’obtention des pilotes de périphériques via WSUS est une des sources principales de soucis avec WSUS. Besoin de mise à jour de pilotes qui posent problèmes ? Go vers le site du constructeur.
– L’optimisation et réindexation de la base de données WSUS selon les meilleures pratiques Microsoft. La DB de WSUS (WIS, Sql Express ou SQL) n’est pas indexée par défaut (OK celle de SQL peut l’être par un DBA), et cela nuit aux performances et notamment au cours du temps.
C’est navrant que cela ne soit pas fait par défaut et on ne remercie pas MS pour cela. Heureusement, il y a une solution simple à mettre en œuvre pour cela ; Exécuter le script powershell Optimize-WSUSServer.ps1, disponible ici (https://github.com/awarre/Optimize-WsusServer). Il fait tout cela
Mon conseil : l’exécuter juste après l’installation et la configuration de WSUS, comme tu l’as décrit, avec son paramètre -FirstRun. En effet, c’est là qu’il s’exécutera le plus rapidement pour la première fois. Sur un WSUS en service depuis de nombreuses années, le -FirstRun mettra plus de temps (tout comme quand on effectue un nettoyage via le GUI de WSUS). Après le 1er passage, ce sont les tâches planifiées qui feront le boulot en background régulièrement (hebdomadairement et mensuellement) et c’est très rapide et invisible.
Le script est intégralement et fortement documenté et sourcé.
C’est un « Must-Have » à mettre en œuvre et cette solution est éprouvée depuis plusieurs années.
Cordialement