WSUS : Installation, paramétrage et utilisation


Serveur 2012 R2, Windows, WSUS / mardi, novembre 14th, 2017

Windows Server Update Services (WSUS) est un service permettant de distribuer les mises à jour pour Windows et d’autres applications Microsoft sur les différents ordinateurs fonctionnant sous Windows au sein d’un parc informatique.

I- Les Prérequis

    a) Matériels

  •  Processeur : processeur 1,4 gigahertz (GHz) x64 (2 Ghz ou supérieur recommandé)
  • Mémoire : WSUS exige 2 Go de RAM de plus que ce qui est requis par le serveur
  • Espace disque disponible : 10 Go (une valeur minimale de 40 Go est recommandée)
  • Carte réseau : 100 mégabits par seconde (Mbits/s) au minimum

    b) Logiciels

  • Microsoft .NET Framework 4.0
  •  Le service (IIS)

II- Installation

Mon installation sera sur un Windows 2012 Serveur R2 dans un Domaine Active Directory  gabinhocity.eu avec déjà le rôle IIS d’installé.

Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des fonctionnalités.

Suivant

Sélectionnez le type d’installation, confirmez que l’option Installation basée sur un rôle ou une fonctionnalité est sélectionnée, puis cliquez sur Suivant.

Sélectionner le serveur de destination, choisissez l’emplacement du serveur (à partir d’un pool de serveurs ou d’un disque dur virtuel). Après avoir sélectionné l’emplacement, choisissez le serveur sur lequel vous voulez installer le rôle de serveur WSUS, puis cliquez sur Suivant. Dans mon cas il s’agit du serveur local

Vous êtes maintenant sur la fenêtre de sélection des rôles. Nous allons donc installer le rôle WSUS (Windows Server Update Services). Pour cela, cocher simplement WSUS dans la fenêtre de sélection des rôles. Enfin, cliquer sur Suivant.

Des fonctionnalités supplémentaires sont automatiquement sélectionnées pour vous, vous pouvez cliquer sur ajouter

laissez les sélections par défaut et cliquez sur Suivant

Maintenant vous devez sélectionner le dossier dans lequel les mises a jours seront sauvegardées. J’ai créé un dossier nommé WSUS dans ma deuxième partition de disque.  Par défaut, il faut éviter de tout mettre dans la partition système

Cliquez sur Installer pour lancer l’installation du rôle WSUS.

Le processus peut durer plusieurs minutes. Dans mon cas j’ai eu besoin de redémarrer pour me lancer dans la configuration du service wsus.

 

  1. Configuration

Dans le Gestionnaire de serveur nous allons nous rendre sur le service WSUS pour démarrer l’assistant de configuration

Suivant

Nous n’allons pas envoyer nos données à Microsoft donc suivant. Si vous souhaitez participer au programme cochez la case avant de cliquer sur suivant

Nous allons faire notre synchronisation sur les serveurs de Microsoft directement donc suivant

Dans mon infra il n’y a pas de Proxy donc suivant. Si vous passez par un proxy c’est à ce niveau que vous devez le déclarer

 

 

Ici, nous allons nous connecter aux serveurs de Microsoft pour commencer à télécharger quelques informations relatives à la configuration du serveur WSUS. Cliquez sur Démarrer la connexion

Attendre la fin de la synchronisation en fonction de votre débit ça se termine rapidement ou non… Dans mon cas 15 Min en fibre 100 M

A cette étape nous devons choisir les langues des mises à jours que nous souhaitons avoir dans notre organisation. C’est a vous de choisir en fonction de votre parc mais moi ça sera Français et Anglais

Puis les produits. Attention, ne sélectionnez pas forcément tous car ici ce sont tous les produits de chez Microsoft qui sont affichés. Cela fait donc énormément de mises à jour à télécharger par la suite. Après avoir sélectionné les produits qui vous intéressent et qui sont dans votre parc informatique, cliquez sur Suivant.

Nous pouvons choisir quel type de mises à jour vous souhaitez télécharger, je conseil de sélectionner les mises à jour de sécurité et les mises à jour critiques ainsi que les upgrades et les mises à jour des définitions.

Le serveur se synchronisera automatique tous les soirs à partir de 20h00 avec les serveurs Windows Update (cette heure est approximative car il se peut que votre synchronisation peut démarrer en retard d’une demi-heure par exemple)

A présent que notre serveur est configuré, nous allons passer à son utilisation.

 III – Utilisation

Nous allons commencer par mettre des GPO pour obliger tous les postes du domaine a passer par le WSUS local pour les mises à jour. Nous allons créer la GPO à la racine du domaine et la nommée “WSUS”

On modifie la GPO pour activer des paramètres

Il faut se rendre dans le dossier suivant Configuration Ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Update

On va commencer par modifier le paramètre  “Spécifier l’emplacement intranet du service de mise à jour Microsoft

On va activer le paramètre et mettre notre serveur configuré précédemment en tant que serveur local WSUS. Sans oublier le numéro de port (8530 par défaut WSUS)

Le deuxième paramètre à modifier est “configuration du services mises à jour automatiques

Cette partie concerne l’heure à laquelle les mises à jour seront téléchargées et installées sur les clients. L’option 3 – Téléchargement automatique et notifications des installations téléchargera les mises à jour sur le poste et notifiera à l’utilisateur que les mises à jour peuvent être installées.

 

Le dernier paramètre va permettre que les mises à jour ne redémarrent pas l’ordinateur si un utilisateur est actif

Il y’a plusieurs paramètres que vous pouvez configurer en fonction de vos besoins, tout est dans le même dossier de stratégie. De mon coté je vais m’arrêter à ces 3 configurations pour le moment.

Nous allons maintenant ouvrir la console de gestion WSUS

Développer la rubrique Ordinateurs afin de créer deux groupes d’ordinateurs “SERVEUR” et “Ordinateur”

Il faut faire un clique droit sur “tous les ordinateurs” et “ajouter un groupe d’ordinateurs…”

Nommer votre groupe et cliquer sur ajouter

Au final nous avons nos deux groupes

Il faut maintenant déplacer vos périphériques dans  “tous les ordinateurs” dans le bon groupe. Il faut faire un clique droit et sélectionner modifier l’appartenance

Sélectionner le nouveau groupe d’appartenance

Cette méthode va vous permettre de faire des groupes pour filtres les mises à jour que vous vous déployer en fonction de vos postes. Dans mon exemple j’ai fait une distinction en Ordinateur et Serveur mais vous pouvez faire une distinction sur l’OS Win7/10 ou ce que vous voulez…

Nous allons passer à une partie toute aussi importante car si nous n’approuvons pas les mises à jours, aucune ne sera déployée dans notre parc

On va aller dans la rubrique “Mises à jour de sécurité” et séléctionner toutes les mises à jour téléchargées avec le raccourci clavier ctrl+a et faire un clic droit “approuver”

Sélectionner le groupe de poste qui doit recevoir ces mises à jour. Etant donné que c’est une mise à jour importante je vais sélectionner les deux groupes

Vous pouvez automatiser cette option par la suite en allant dans Options >> Approbations automatiques et utiliser la règle par défaut ou alors créer vos propres règles d’approbations.

Sur un poste client n’oubliez pas d’actualiser la stratégie de groupe grâce à la commande « GPUPDATE /FORCE » dans l’invite de commande

Vous pouvez aussi initialiser Windows Update avec la commande suivante “wuauclt.exe /reportnow /detectnow”

Pour réinitialiser les cookies du poste client “wuauclt.exe /resetauthorization /detectnow “

Voilà c’est terminé ! vous pouvez profiter de votre serveur WSUS 🙂