Windows Server Update Services – WSUS

21 mars 2020 Non Par Rached CHADER

Introduction aux services de mise à jour de Windows Server

 

Windows Server Update Services (WSUS) permet aux administrateurs de déployer les dernières mises à jour des produits Microsoft. WSUS est un rôle serveur Windows Server et lorsque vous l’installez, vous pouvez gérer et déployer efficacement les mises à jour.

L’une des tâches les plus importantes des administrateurs système consiste à maintenir les ordinateurs clients et serveurs à jour avec les derniers correctifs logiciels et mises à jour de sécurité. Sans WSUS, il serait vraiment difficile de gérer le déploiement des mises à jour.

Les mises à jour Microsoft peuvent être classées dans les catégories suivantes :

  • Mises à jour critiques
  • Mises à jour de sécurité
  • Mises à jour des définitions
  • Conducteurs
  • Mettre à jour les correctifs
  • Service Packs
  • Outils
  • Packs de fonctionnalités
  • Mises à jour

Configuration requise

 

Avant d’activer le rôle de serveur WSUS, vérifiez que le serveur répond à la configuration système requise et vérifiez que vous disposez des autorisations nécessaires pour terminer l’installation en respectant les instructions suivantes :

  • Les exigences matérielles du serveur pour activer le rôle WSUS sont liées aux exigences matérielles. La configuration matérielle minimale requise pour WSUS est la suivante :
    • Processeur : x64 1,4 GHz (2 GHz ou plus rapide est recommandé)
    • Mémoire : 2 Go de RAM supplémentaires de plus que ce qui est requis par le serveur et tous les autres services ou logiciels.
    • Espace disque disponible : 10 Go (40 Go ou plus est recommandé)
    • Adaptateur réseau : 100 Mbps ou plus
  • Logiciels requis :
  • Pour afficher les rapports, WSUS nécessite leMicrosoft Report Viewer Redistributable 2008.
  • Sur Windows Server 2016, WSUS nécessiteMicrosoft Report Viewer Runtime 2012
  • Microsoft .NET Framework 4.0 doit être installé sur le serveur sur lequel le rôle serveur WSUS sera installé.

Pare-feu WSUS

 

Lorsque vous configurez le serveur WSUS, il est important que le serveur se connecte à Microsoft update pour télécharger les mises à jour. S’il existe un pare-feu d’entreprise entre WSUS et Internet, vous devrez peut-être configurer ce pare-feu pour garantir que WSUS peut obtenir des mises à jour.

Pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise le port 443 pour le protocole HTTPS. Vous devez autoriser l’accès Internet de WSUS à la liste d’URL suivante :

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • https://download.microsoft.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com
  • http://go.microsoft.com
  • http://dl.delivery.mp.microsoft.com
  • https://dl.delivery.mp.microsoft.com

 

Installer le rôle WSUS

 

Les étapes pour installer le rôle WSUS (Windows Server Update Services) sur Windows Server incluent :

  • Connectez-vous au serveur Windows sur lequel vous prévoyez d’installer le rôle serveur WSUS à l’aide d’un compte membre du groupe Administrateurs locaux.
  • Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des fonctionnalités.
  • Dans la page Avant de commencer, cliquez sur Suivant.
  • Dans la page de sélection du type d’installation, sélectionnez l’option d’installation basée sur les rôles ou les fonctionnalités. Cliquez sur Suivant.
  • Sur la page Sélection du serveur, vérifiez le nom du serveur et cliquez sur Suivant.
  • Sur la page Rôles du serveur, sélectionnez le rôle « Windows Server Update Services ».
  • Vous devriez voir la boîte de dialogue Ajouter les fonctionnalités requises pour Windows Server Update Services.
  • Cliquez sur Ajouter des fonctionnalités, puis sur Suivant.
  • Sur la page Sélectionner les fonctionnalités, laissez les options par défaut et cliquez sur Suivant.
  • Sur la page Windows Server Update Services, cliquez sur Suivant.

Base de données WSUS

 

  • WSUS sur Windows Server prend en charge les bases de données suivantes :
  • Base de données interne Windows (WID)
  • Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 dans les éditions Enterprise / Standard / Express.

Par conséquent, vous pouvez utiliser le WID de la base de données interne Windows (base de données interne Windows), qui est gratuit et ne nécessite pas de licence supplémentaire. Ou vous pouvez utiliser une base de données SQL Server locale ou distante dédiée (sur un autre serveur) pour stocker les données WSUS.

La base WID par défaut s’appelle SUSDB.mdf et est stockée dans le dossier « % windir% \ wid \ data ». Cette base de données prend uniquement en charge l’authentification Windows (pas SQL). L’instance de base de données interne (WID) pour WSUS est appelée « nom_serveur \ Microsoft ## WID ».
La base de données WSUS stocke les paramètres du serveur de mise à jour, les métadonnées de mise à jour et les informations du client WSUS.

La base de données interne (Windows Internal Database) est recommandée si :

  • Votre organisation n’a pas et ne prévoit pas d’acheter de licences pour SQL Server.
  • Il n’est pas prévu d’utiliser un équilibrage de charge WSUS (NLB WSUS).
  • Si vous prévoyez de déployer un serveur WSUS enfant (par exemple, dans les succursales). Dans ce cas, il est recommandé d’utiliser la base de données WSUS intégrée sur les serveurs secondaires.

La base de données WSUS WID peut être administrée via SQL Server Management Studio (SSMS), si vous spécifiez dans la chaîne de connexion suivante : « \\. \ Pipe \ MICROSOFT ## WID \ tsql \ query ».

Notez que dans les éditions gratuites de SQL Server 2008/2012 Express, la taille maximale de la base de données est limitée à 10 Go. Très probablement, cette limite ne sera pas atteinte (par exemple, la taille de la base de données WSUS pour 3000 clients est d’environ 3 Go). La base de données interne de Windows est limitée à 524 Go.

Si vous installez le rôle WSUS et la base de données MS SQL sur différents serveurs, il existe certaines limitations :

  • SQL Server avec une base de données WSUS ne peut pas être un contrôleur de domaine.
  • Un serveur WSUS ne peut pas être l’hôte des services Bureau à distance en même temps.

Si vous prévoyez d’utiliser la base de données intégrée WID (c’est une option tout à fait recommandée et réalisable même pour les grandes infrastructures),

  • Vous devez sélectionner les services de rôle / type de base de données à installer pour les services Windows Server Update. Sélectionnez Connectivité WID et Services WSUS.Cliquez sur Suivant.

Emplacement de mise à jour WSUS

 

Spécifiez un emplacement de contenu pour stocker les mises à jour. Je recommanderais de stocker les mises à jour sur un autre lecteur et non sur votre lecteur C :.

La taille de ce dossier peut éventuellement augmenter et vous ne souhaitez pas que ce dossier réside sur le lecteur C :.

Choisissez donc un lecteur distinct ou stockez les mises à jour sur un serveur distant.

Cliquez sur Suivant.

  • Dans la page Rôle du serveur Web (IIS), cliquez sur Suivant.
  • Les services de rôle pour installer le serveur Web (IIS) sont sélectionnés automatiquement.
  • Ne modifiez rien ici et cliquez sur Suivant.
  • Une confirmation finale avant d’installer WSUS.Vérifiez les paramètres et cliquez sur Installer.

Configurer les services de mise à jour de Windows Server (WSUS)

 

Après avoir installé WSUS, vous pouvez configurer le serveur WSUS à l’aide de l’assistant de configuration du serveur WSUS. Il s’agit d’une configuration unique dans laquelle vous allez configurer certaines options WSUS importantes.

Si vous ne voyez pas d’assistant de configuration de WSUS Server ou si vous l’avez ignoré par erreur, ne vous inquiétez pas. Vous pouvez le lancer en ouvrant la console WSUS> Options> Assistant de configuration du serveur WSUS.

Avant de commencer à configurer WSUS, quelques points importants :

  • Assurez-vous que le pare-feu du serveur permet aux clients d’accéder au serveur WSUS.Si les clients ont des problèmes de connexion au serveur WSUS, les mises à jour ne seront pas téléchargées à partir du serveur.
  • Le WSUS télécharge les mises à jour depuis le serveur en amont qui est la mise à jour Microsoft dans notre cas.Assurez-vous donc que le pare-feu permet au serveur WSUS de se connecter à Microsoft Update.
  • Dans le cas où il y a un serveur proxy dans votre configuration, vous devez entrer les informations d’identification du serveur proxy lors de la configuration de WSUS.Ayez-les à portée de main car ils sont nécessaires.

Dans la page Avant de commencer, cliquez sur Suivant.

Serveur en amont WSUS

 

Il s’agit d’une section importante où vous sélectionnez le serveur en amont. Vous avez deux options :

  • Synchroniser à partir de Microsoft Update – Sélectionnez cette option pour télécharger les mises à jour à partir de Microsoft update.
  • Synchroniser à partir d’un autre serveur Windows Server Update Services – Sélectionnez cette option si vous souhaitez que ce serveur WSUS télécharge les mises à jour à partir du serveur WSUS déjà existant.Vous devez spécifier le nom du serveur et le numéro de port (8530) par défaut.Si vous sélectionnez l’option pour utiliser SSL pendant la synchronisation des mises à jour, assurez-vous que le serveur WSUS en amont est également configuré pour prendre en charge SSL.

Étant donné que ce sera mon seul serveur WSUS, je sélectionnerai Synchroniser à partir de Microsoft Update.

Cliquez sur Suivant.

Serveur proxy

 

Spécifiez les informations du serveur proxy si vous en avez un.

Si cette option est sélectionnée, assurez-vous de spécifier le nom du serveur proxy et le numéro de port. En plus de cela, spécifiez les informations d’identification pour se connecter au serveur proxy. Si vous souhaitez activer l’authentification de base pour l’utilisateur se connectant au serveur proxy, cliquez sur Autoriser l’authentification de base (mot de passe en texte clair).
Cliquez sur Suivant.

Sur la page Se connecter au serveur en amont, cliquez sur le bouton Démarrer la connexion.

Une fois terminé, cliquez sur Suivant.

Langues des mises à jour

 

Sur la page Choisir les langues, vous avez la possibilité de sélectionner les langues dans les mises à jour.

Si vous choisissez de télécharger des mises à jour dans toutes les langues, vous trouverez des mises à jour avec toutes les langues dans la console WSUS.

 

Cependant, si vous choisissez d’obtenir des mises à jour uniquement pour des langues spécifiques, sélectionnez Télécharger les mises à jour uniquement dans ces langues. Sélectionnez les langues pour lesquelles vous souhaitez des mises à jour.

Cliquez sur Suivant.

Produits

 

Il s’agit de la page où vous sélectionnez les produits pour lesquels vous souhaitez les mises à jour.

Un produit est une édition spécifique d’un système d’exploitation ou d’une application.
Dans la liste des produits, vous pouvez sélectionner des produits individuels ou des familles de produits pour lesquels vous souhaitez que votre serveur synchronise les mises à jour. Dans ce cas, je vais sélectionner Windows 7, Windows 8 & Windows 10 comme produits.

Cliquez sur Suivant.

Mettre à jour les classifications

 

Au début de l’article, j’ai énuméré les types de mises à jour.

Sur la page Choisir les classifications, sélectionnez les classifications requises.

J’ai sélectionné Mises à jour critiques, mises à jour de sécurité et correctifs cumulatifs.

Cliquez sur Suivant.

Planification de la synchronisation WSUS

 

Vous devez décider de la manière dont vous souhaitez effectuer la synchronisation WSUS. La page Définir le calendrier de synchronisation vous permet de choisir d’effectuer la synchronisation manuellement ou automatiquement.

 

Si vous choisissez Synchroniser manuellement, vous devez démarrer manuellement le processus de synchronisation à partir de la console d’administration WSUS. Lorsque cette option est sélectionnée, vous devez effectuer manuellement la synchronisation à chaque fois. Par conséquent, ne sélectionnez pas cette option si vous configurez le WSUS en production.

 

Si vous choisissez Synchroniser automatiquement, le serveur WSUS se synchronisera à intervalles définis. Vous pouvez définir l’heure de la première synchronisation. Définissez ensuite le nombre de synchronisations par jour. Dans le menu déroulant, vous pouvez choisir la valeur entre 1-24.

Cliquez sur Suivant.

Cliquez sur Commencer la synchronisation initiale. Cliquez sur Suivant.

Enfin sur la dernière page, cliquez sur Terminer. Ceci termine les étapes de configuration de WSUS.

 

Paramètres de stratégie de groupe pour WSUS

 

Après avoir installé et configuré WSUS, la prochaine tâche importante consiste à configurer les paramètres de stratégie de groupe pour les mises à jour automatiques. Les nouveaux clients ne connaissent toujours pas le nouveau serveur WSUS que vous venez de configurer. À l’aide de la stratégie de groupe, vous pouvez pointer vos ordinateurs clients vers un nouveau serveur WSUS.

 

Dans un environnement Active Directory, vous pouvez utiliser la stratégie de groupe pour spécifier le serveur WSUS. Les paramètres de stratégie de groupe seront utilisés pour obtenir des mises à jour automatiques à partir de Windows Server Update Services (WSUS).

 

Vous pouvez créer la stratégie de groupe et l’appliquer au niveau du domaine. Ou vous pouvez créer et appliquer l’objet de stratégie de groupe à une unité d’organisation spécifique (contenant vos ordinateurs).

 

Configurer les mises à jour automatiques WSUS

 

Pour configurer les paramètres de stratégie de groupe des mises à jour automatiques pour WSUS

  • Ouvrez la console de gestion des stratégies de groupe et ouvrez un objet de stratégie de groupe existant ou créez-en un nouveau.
  • Accédez à Configuration ordinateur> Stratégies> Modèles d’administration> Composants Windows> Windows Update.
  • Double-cliquez sur Configurer les mises à jour automatiques et définissez-le sur Activé.

 

Sous Configurer la mise à jour automatique, sélectionnez l’option souhaitée. Sous Planifier le jour d’installation, sélectionnez le jour où vous souhaitez que les mises à jour soient installées. Définissez l’heure d’installation planifiée.

Si vous sélectionnez Téléchargement automatique et planifiez l’installation des mises à jour, vous disposez de quelques options pour limiter la fréquence des mises à jour. Si vous avez configuré les paramètres, cliquez sur Appliquer et OK.

 

Emplacement du service de mise à jour intranet Microsoft

 

Le paramètre suivant que vous devez configurer est de spécifier un emplacement de service de mise à jour intranet Microsoft. L’idée derrière cela est de s’assurer que les ordinateurs clients contactent le serveur intranet spécifié au lieu de télécharger les mises à jour depuis Internet. Si vous ne configurez pas ce paramètre de stratégie, les ordinateurs clients ne connaissent pas le serveur intranet.

 

Pour activer la stratégie, cliquez sur Activé. Spécifiez le service de mise à jour intranet et le serveur de statistiques intranet. Cliquez sur Appliquer et OK.

Groupes d’ordinateurs WSUS

 

En créant des groupes d’ordinateurs, vous pouvez d’abord tester et cibler les mises à jour sur des ordinateurs spécifiques. Lorsque vous ouvrez la console WSUS, vous trouverez deux groupes d’ordinateurs par défaut : tous les ordinateurs et les ordinateurs non attribués.

 

ous pouvez créer des groupes d’ordinateurs personnalisés pour gérer les mises à jour dans votre organisation. Selon Microsoft, vous devez créer au moins un groupe d’ordinateurs dans la console WSUS. Testez les mises à jour avant de les déployer sur d’autres ordinateurs de votre organisation.

 

Pour créer un nouveau groupe d’ordinateurs dans la console WSUS :

Dans la console d’administration WSUS, sous Update Services, développez le serveur WSUS. Développez les ordinateurs, cliquez avec le bouton droit sur Tous les ordinateurs, puis cliquez sur Ajouter un groupe d’ordinateurs.

 

Dans la boîte de dialogue Ajouter un groupe d’ordinateurs, spécifiez le nom du nouveau groupe, puis cliquez sur Ajouter.

Cliquez sur Tous les ordinateurs et vous devriez voir la liste des ordinateurs. Sélectionnez les ordinateurs, faites un clic droit et cliquez sur Modifier l’appartenance.

Dans la zone Définir l’appartenance au groupe d’ordinateurs, sélectionnez le nouveau groupe que vous venez de créer. Cliquez sur OK.

Cliquez sur le nouveau groupe et vous devriez trouver ces ordinateurs.

Approuver et déployer les mises à jour dans WSUS

 

Une fois que vous avez créé un groupe d’ordinateurs de test, votre prochaine tâche consiste à déployer les mises à jour dans le groupe de tests. Pour ce faire, vous devez d’abord approuver et déployer les mises à jour WSUS.

Pour approuver les mises à jour dans WSUS :

  • Lancez la console d’administration WSUS, cliquez sur Mises à jour> Toutes les mises à jour.
  • Dans la section Toutes les mises à jour, sélectionnez les mises à jour que vous souhaitez approuver pour l’installation dans votre groupe d’ordinateurs de test.
  • Cliquez avec le bouton droit sur les mises à jour et cliquez sur Approuver.

Surtout dans la boîte de dialogue Approuver les mises à jour, sélectionnez votre groupe de test, puis cliquez sur la flèche vers le bas. Cliquez sur Approuvé pour l’installation. Vous pouvez également définir une date limite pour installer les mises à jour. Cliquez sur OK.

La fenêtre Progression de l’approbation apparaît, qui montre la progression des tâches qui affectent l’approbation de la mise à jour. Une fois le processus d’approbation terminé, cliquez sur Fermer.

 

Configurer les règles d’approbation automatique dans WSUS

 

Si vous ne souhaitez pas approuver manuellement les mises à jour, vous pouvez configurer la règle d’approbation automatique dans Windows Server Update Services.

Pour configurer les approbations automatiques dans WSUS :

  • Lancez la console d’administration WSUS, développez le serveur WSUS, puis cliquez sur Options.
  • Dans Options, cliquez sur Approbations automatiques.
  • Vous devriez trouver la règle d’approbation automatique par défaut et si vous le souhaitez, vous pouvez la modifier et l’utiliser.
  • Pour créer une nouvelle règle d’approbation, cliquez sur Nouvelle règle.

Cochez la case Lorsqu’une mise à jour se trouve dans une classification spécifique. Sélectionnez les classifications. Vous pouvez également approuver la mise à jour pour les groupes d’ordinateurs. Je vais sélectionner Windows 10 car c’est mon groupe d’ordinateurs de test. Enfin, vous pouvez définir une date limite pour l’approbation de la mise à jour et spécifier le nom de la règle d’approbation automatique.

Après avoir configuré la règle, cliquez sur OK.

Dans la fenêtre Approbations automatiques, vous pouvez trouver la règle que vous venez de créer. Si vous souhaitez exécuter cette règle, cliquez sur Exécuter la règle.

Ceci termine les étapes pour installer et configurer WSUS.

Views: 35031