4.7 / 5 ( 7 votes )

Le service Windows Server Update Services (WSUS) est une fonctionnalié gratuite disponible sur les serveurs Windows.

Il permet de centraliser le déploiement des mises à jours Windows.

Généralement mis en place dans des structures importantes, il permet de maîtriser et de réduire considérablement la bande passante utilisée pour mettre à jour vos postes et serveurs.

Pour rappel c'est le serveur WSUS qui télécharge les mises à jour puis les poussent sur les PC.

Avec les mises à jours conséquente de Windows 10 il est quasi indispensable de mettre en place ce système et ce même dans des petits parcs.

Avant Propos sur le serveur WSUS

Ce tutoriel se base sur une version Windows Serveur 2016, la procédure est la même pour un serveur en version 2012R2. Pour les versions antérieures comme 2008R2 c'est un peu différent. Mais bon cette version n'est plus maintenu en Janvier 2020.

Je vous conseille de dédié un serveur (machine virtuelle dans l'idéale) pour ce rôle. Si jamais vous installer votre serveur WSUS sur un serveur contrôleur de domaines vous risquez d'avoir quelques soucis lors de l'installation.

De mon côté je n'ai pas l'habitude de sauvegarder ce type de serveur parce qu'il prend beaucoup de place en terme de volumétrie et que c'est relativement simple à mettre en place.

Etape 1 - Quelques pré-requis

Il faut prévoir un espace disque conséquent en fonction du nombre de produit que vous souhaitez gérer.

En effet si vous voulez mettre à jour un parc en Windows 7 , 10 , 8.1 ça va prendre pas mal de place !

L'idéal étant de créer une partition disque dédié au stockage des mises à jour.

Votre serveur est à jour, fraîchement installé ET intégré dans le domaine ? C'est parfait on peut lancer l'installation du rôle.

Etape 2 - Installation du rôle WSUS

Pour installer le rôle il faut utiliser le "Gestionnaire de Serveur" > Gérer > Ajouter Rôles et Fonctionnalités

Ensuite on va valider notre choix d'installation de fonctionnalités

Des nouvelles fonctionnalités vont être installées, on valide

On vous proposera un choix par défaut pour la base de donnée et le service

Enfin on va choisir le répertoire pour stocker les données.

Vous valider par défaut les dernière étape et après un redémarrage votre serveur Wsus est installé mais pas configuré !

Etape 3 - Configuration du serveur WSUS

Suivi du Wizard

Une fois installé, vous accéder au service WSUS depuis la console de gestion de serveur.

En haut cliquez sur Outils puis "Services WSUS".

Une assistant va démarrer et vous devez effectuer quelques choix. Pour une configuration basique voici ce que je fais :

Ensuite on vous demande de choisir le serveur en amont. Dans les infrastructures multi-sites importantes on peut utiliser un serveur WSUS principal.

Pour notre cas on ira directement se synchroniser sur les serveurs de Microsoft Update.

Si votre infrastructure dispose d'un proxy il faut le définir sinon on passe à la prochaine étape.

Nous pouvons ensuite démarrer la connexion sur le serveur en amont

Maintenant nous allons choisir les langues à télécharger pour les mises à jour. Dans notre cas on prend que le Français.

Maintenant une partie importante c'est le choix des produits. Cette étape permet de définir quels produits vont être mis à jour.

Quand on parle de produit ça peut être Windows 10 , Windows Serveur, Office, Bing bref vous en avez énormément !

A savoir Dans mon cas je choisi uniquement des versions de Windows et Office installées dans le parc ! Il est impensable de tout cocher sinon votre serveur va saturé !

La 8ème étape permet de définir les spécifications à télécharger. Une petite remarque à ce sujet :

A savoir Il est fortement déconseillé de choisir les Pilotes c’est trop sensible sur un parc en production ! Voici ce que je choisi lors de mes déploiements

Selon vos préférences vous pouvez choisir les "Upgrades", ce sont les mises à niveau de Windows 10. A voir si vous souhaitez les gérer via le serveur WSUS.

Nous allons maintenant définir un horaire de synchronisation avec les serveurs Windows Update. Cette synchronisation vérifie si de nouvelles mises à jour sont à disposition.

On vous propose alors de "Commencer la synchronisation initiale" , on ne vas pas démarrer cette synchronisation pour continuer notre configuration.

Configuration spécifique au parc

Maintenant nous allons créer des groupes d'ordinateurs. Par exemple "Poste en Windows 10" ou "Postes" ou encore "Serveurs"

Ces groupes vont servir à classer les ordinateurs. On va ainsi définir une stratégie de mise à jour pour les postes Et pour les serveurs.

Pour que les postes soient classés automatiquement on va s'appuyer sur des GPO. La première étape est d'activée ce paramètres dans les options du WSUS

Nous passons à la configuration des GPO.

Etape 4 - Mise en place des GPO nécéssaire

Afin de pouvoir gérer l'ensemble des mises à jour du parc nous allons définir une GPO qui s'appliquera

Sur les postes

Sur les serveurs

Les deux GPO seront différentes, pour les serveurs je vous propose une configuration qui pourra sans doute évoluée et ne pas correspondre à votre parc.

Il faut donc avoir dispatché les postes et serveurs dans des unités d'organisation défini. Une unité d'organisation nommée "Postes" et une "Serveurs" par exemple.

Création de la GPO

On se rend sur le contrôleur de domaine principal et on tape la commande "gpmc.msc" , on arrive sur le panneau de configuration des stratégies

La Gpo sera donc créer sur l'unité d'organisation "poste" et une autre pour les "serveurs"

"Configuration du service Mises à jour Automatiques" : Avec ce paramètre on peut définir comment sont installées les mises à jour. Généralement pour les postes on les télécharge puis on planifie une installation à une heure précise (à 12h ou la nuit si vos postes sont constamment allumés).

A savoir Pour les serveurs je le met à « non configuré » afin de recherche manuellement les mises à jour et ainsi éviter une mise à jour en pleine journée.

"Spécifier l'emplacement intranet du service de mise à jour Microsoft" : Ce paramètre permet de définir lien du serveur vers lequel les postes vont télécharger les mises à jours.

"Fréquence de détection des mises à jour automatiques" : Ce paramètre permet de définir à quelle fréquence les postes font une recherche de mise à jour vers le serveur WSUS. 1 fois par jour me semble suffisant

3 paramètres sont en activés :

"Autoriser l'installation immédiate des mises à jour automatiques"

Activer les mises àjour automatique recommandées ... (ça permet de télécharger automatiquement les mises à jour recommandés)

"Pas de redémarrage automatique avec des utilisateurs connectés (on évite un redémarrage forcé pendant les heures de boulot)

Nous allons ensuite changer le paramétrage de :

"Redemander un redémarrage avec les installations planifiées" On va définir un délais de 24h après que les mises à jours soient installées. En général je met ça pour éviter un redémarrage en journée pendant une absence.

"Replanifier les installations planifiées": Permet de définir un délais pour laquelle les installations vont reprendre si elles échouent :

"Autoriser le ciblage côté client" : Ce paramètre permet de déplacer les postes dans le bon groupes sur la console WSUS. Il y aura donc 1 GPO pour placer les postes dans "Postes" et 1 GPO pour placer les serveurs dans "Serveur"

Maintenant sur les postes vous pouvez exécuter ces commandes pour accélérer la détection :

gpupdate /force (on applique la GPO)

wuauclt /detectnow (on force la détection dans Wsus)

wuauclt /reportnow (on indique à WSUS les mises à jour manquantes)

Cette partie est terminée. On va passé maintenant à la configuration des mises à jour. Comment peut t'on lancer le téléchargement automatiquement ? Savoir quels sont les mises à jour à installer ?

Etape 6 - Gestion des mises à jour

Par défaut les mises à jour WSUS ne sont pas téléchargées automatiquement. Elles apparaissent bien dans la console mais c'est à l'administrateur système de choisir.

Il est possible de programmer le téléchargement grâce au menu "Approbations Automatiques".

Nous allons définir une nouvelle règle.

Cette règle va donc télécharger les mises à jour pour Windows 10, Windows7 et Windows 8.1 pour le groupe "Postes".

Pour les serveurs je trouve que c'est plus intéressant de gérer ça manuellement.

D'ailleurs si vous souhaitez connaître les mises à jour nécessaire vous pouvez modifier les filtres dans le listing des mises à jour :

Il suffit de faire un clic-droit puis de faire approuver et de sélectionner le groupe d'ordinateurs.

A savoir La règle d’approbation automatique permet de déclencher le téléchargement des mises à jour depuis Microsoft Update en même temps que la synchronisation de la nuit ! Ainsi vous ne polluer pas votre bande passante pendant les heures de travail.

Etape 5 - Optimisation du serveur WSUS

L'erreur de connexion : Réinitialiser le Noeud du serveur

De base votre serveur WSUS va utiliser au maximum 1,8 GO de mémoire. Sauf qu'en cas d'utilisation bien supérieure vous vous retrouvez avec ce genre de message :

Nous allons donc modifier un paramètre dans le serveur IIS (il est installé au moment où vous installez votre serveur WSUS)

Modification de la configuration IIS

Ouvrez le menu "Outils D'administration" puis cherchez le raccourci "Gestionnaire des services Internet (IIS)"

Ensuite il faut déplier le menu à gauche où se trouve le nom de votre serveur puis allez dans "Pools d'applications" et enfin "WsusPool"

A tout à droite dans les menus cliquez sur "Recyclage" :

Il faut maintenant modifier le paramétrage "Utilisation de la mémoire privée (en Ko)"

De base vous avez 1843200 Ko , soit vous mettez une valeur plus importante. Soit vous mettez illimité, valeur 0

Personnellement j'ai mis 0 en valeur et je n'ai plus de problèmes.

Ensuite dans le menu de droite cliquez sur "recycler"

Normalement avec ça votre serveur WSUS devrait être plus performant et éviter les pertes de connexion.

La console devrait également moins "buguer".

Etape 6 - Maintenance du serveur WSUS

Mettre en place un serveur WSUS c'est bien, mais le maintenir c'est encore mieux ! En effet au fil du temps le stockage des mises à jour va exploser.

Heureusement WSUS permet de faire un peu de nettoyage et donc de supprimer les mises à jour dépassées et inutiles (car remplacées par des nouvelles).

D'autre part vous remarquerez que Microsoft publie des mises à jour "Cumulative" ce qui évite de télécharger plein de petite mises à jour.

Je vous conseille de faire le ménage au moins une fois par mois sur votre serveur WSUS. Voici comment procédé :

Dans les barres "Titres" faire un clic-droit et cocher "Remplacement" pour afficher les mises à jours qui sont remplacées

Le filtre apporte une nouvelle icône

Il y a 3 icônes :

Cet icône signifie que la mise à jour remplace d'autres mises à jour. Il est donc nécessaire de l'approuver

L'icône avec un carré bleu au milieu signifie que la mise à jour est remplacée par une autre. Vous pouvez donc la refuser pour qu'elle puisse être supprimée.

Même signification qu'au dessus, elle est remplacée donc on peut la refuser également

Sélectionner "Toutes les mises à jour" puis régler le filtre sur "Toutes les exceptions" et état sur "Toutes" dans la barre de filtrage vous allez avoir la liste de toutes les mises à jour que votre WSUS a synchronisé.

Grâce au tri vous pouvez sélectionner toutes les mises à jour remplacées, faire un clic-droit puis les refuser.

La dernière étape consiste à aller dans le menu "Options" puis de choisir "Assistant de Nettoyage serveur"

C'est terminé pour la maintenance WSUS.

*Nouveau* Voici ma procédure pour automatiser la maintenance de votre serveur WSUS !

Grâce à ce tutoriel vous savez Installer, Configurer , et maintenir un serveur WSUS au sein de votre entreprise. C'est pas beau ça ?

Pour les tout petits parcs j'ai réalisé un tutoriel sur WSUS OFFLINE qui est beaucoup plus simple.

Besoin d'aide ? de suggestions ? n'hésitez pas à utiliser le fil de commentaires.