Windows Server 2016 : Installation et configuration d’un serveur WSUS
Installer un serveur WSUS sous Windows 2016
Windows Server Update Services (WSUS) est la seconde génération de logiciel serveur pour le déploiement des mises à jour, proposée par Microsoft pour remplacer Software Update Services (SUS). La liste des options a été étoffée et le déploiement des serveurs a été grandement simplifié, mais WSUS a toujours pour but de limiter l’utilisation de la bande passante vers Internet et de s’assurer que vos systèmes Windows (Windows XP, 7, 8, 10… et 2003, 2008, 2012, 2016…) possèdent les dernières mises à jour installées sur votre parc informatique.
Le fonctionnement de base de WSUS est simple. Il télécharge les mises à jour depuis les serveurs Windows Update et il déploie les mises à jour téléchargées sur les machines de votre réseau. Mais pour le bon fonctionnement de celui-ci, il est nécessaire de connaître toutes les fonctionnalités de WSUS.
WSUS 4.0 a été introduit avec Windows 2012 Server et on est maintenant à la version 10 de WSUS sur Windows Server 2016. Cet outil est intégré au système d’exploitation en tant que rôle de serveur à ajouter depuis le Gestionnaire de Serveur.
Ici nous verrons comment installer puis comment configurer votre serveur WSUS.
Guide vidéo d’installation et de configuration WSUS
Prérequis :
Pour l’installation du rôle WSUS, les prérequis sont les mêmes que pour l’installation de Windows Serveur 2012. Cependant, attention à prendre en compte le nombre de mises à jour système que vous mettrez dans le scope de téléchargement des mises à jour. Bien entendu, plus vous en mettez, plus la taille du disque dur devra être importante.
- CPU : Minimum: 1.4 GHz 64-bit
- Mémoire vive : 512Mo
- 32Go d’espace disque
- Une connexion réseau
Encore une fois, ce sont les prérequis minimums. Il est bien entendu préférable d’avoir beaucoup plus que ces prérequis. Mais si vous souhaitez installer un serveur WSUS en test, vous pouvez utiliser ces prérequis. En production, il est bien entendu préférable d’avoir beaucoup plus de mémoire vive, d’espace disque (être en raid 1 est un minimum).
Avant de commencer :
Il est nécessaire de configurer son serveur en IP Fixe et de l’avoir renommé. Nommer votre serveur en fonction de la convention de nommage de votre entreprise. Ici, nous installerons le rôle WSUS sur un serveur dédié nous l’appellerons ZBWSUS01 (ZB pour ZeroBug, mon domaine et WSUS pour Windows Server Update Services).
Installation du Rôle WSUS
Depuis le Gestionnaire de serveur, cliquer sur l’étape Gérer puis Ajouter des rôles et fonctionnalités.
Sélectionner le type d’installation « Installation basée sur un rôle ou une fonctionnalité ».
Pour le moment, j’ai qu’un seul serveur dans le pool, j’ai donc juste à le sélectionner et cliquez sur Suivant
Vous êtes maintenant sur la fenêtre de sélection des rôles. Nous allons donc installer le rôle WSUS (Windows Server Update Services). Pour cela, cocher simplement WSUS dans la fenêtre de sélection des rôles. Enfin, cliquer sur Suivant.
Des fonctionnalités supplémentaires sont automatiquement sélectionnées pour vous, ajoutez
Si besoin, vous pouvez ajouter de nouvelles fonctionnalités, par défaut, il n’y en a pas besoin d’autres que celle ajoutée juste avant (les dépendances).
Vous aurez alors un petit peu d’infos sur le rôle que vous allez installer : WSUS
En fonction du type de base de données, sélectionner les services de rôle WID Database ou Base de données et WSUS Services.
Ici vous pourrez choisir l’emplacement des mise à jour ou autre package télécharger par WSUS. Par défaut, éviter tout de même de laisser ça sur la partition système, et penser à tailler votre disque en fonction du nombre de mises à jour que vous sélectionnerez.
Vous avez maintenant un récapitulatif des infos sélectionnées plus haut. Cliquez sur Installer pour lancer l’installation du rôle WSUS.
Installation en cours…
Une fois l’installation terminée, lancer les tâches de post-installation (proposé depuis le Gestionnaire de serveur).
Configuration du rôle WSUS sur Windows Server 2016
Maintenant que nous avons installé WSUS, passons aux choses sérieuses, configurons le rôle WSUS en fonction de notre besoin.
Dans la première fenêtre de l’Assistant de configuration de Windows Server Update Services, prenez connaissance des informations puis cliquez sur Suivant pour continuer ..
Vous pouvez si le souhaitez, participer au programme d’amélioration de Microsoft Update, personnellement, c’est le genre de case que je décoche d’office. À vous de voir, puis cliquer sur Suivant.
Ici, si vous avez déjà un serveur WSUS, vous pouvez synchroniser les Updates à partir de ce serveur, ici, c’est mon premier serveur, je vais donc effectuer la synchro à partir de Microsoft Update. Cliquez ensuite sur Suivant.
Vous utilisez un proxy sur votre réseau, alors prenez soin de renseigner les paramètres de connexion ici. Cliquez ensuite sur Suivant.
Ici, nous allons nous connecter aux serveurs de Microsoft pour commencer à télécharger quelques informations relatives à la configuration du serveur WSUS. Cliquez sur Démarrer la connexion.
Après quelques secondes ou minutes, en fonction de la vitesse de votre serveur ainsi que de votre connexion, cliquez sur Suivant.
Nous y voilà, vous pouvez maintenant choisir le type de mise à jour que vous souhaitez télécharger, ici, ce sont les langues pour lesquelles le serveur téléchargera les mises à jour.
Puis les produits. Attention, ne sélectionnez pas forcément tous car ici ce sont tous les produits de chez Microsoft qui sont affichés. Cela fait donc énormément de mises à jour à télécharger par la suite. Après avoir sélectionné les produits qui vous intéressent et qui sont dans votre parc informatique, cliquez sur Suivant.
Indiquez ici le type de mises à jour que vous souhaitez télécharger (en fonction de sa classification). Cliquez ensuite sur Suivant.
Sélectionner si vous souhaitez faire une synchronisation manuelle, ou si vous souhaitez planifier cette synchronisation. Cliquez ensuite sur Suivant.
Nous y voilà, nous avons terminé la configuration de base de notre serveur WSUS. Nous pouvons maintenant effectuer la synchronisation initiale.
Cliquez sur Suivant.
Enfin, prenez connaissance des informations et liens suivants, puis cliquez sur Terminer.
Vous pouvez maintenant lancer la console WSUS
Dans la console Windows Server Update Services, dans le volet de navigation, cliquez sur le nom de votre serveur, vous remarquerez qu’un certain nombre de mises à jour vont alors se synchroniser, cela peut prendre un certain temps ou un temps certains… En fonction de la puissance de votre serveur et de votre connexion internet. Dans tous les cas. Soyez patient. 😉
Maintenant que la synchronisation est effectuée, nous allons configurer la méthode que nous souhaitez utiliser pour pouvoir mettre à jour les ordinateurs. Cliquez sur Options dans la console WSUS.
J’utilise ici les stratégies de groupe, cela permet de ne pas mettre à jour n’importe qu’elle PC ou serveur. Sur certains PC de productions, il peut être intéressant de mettre à jour manuellement ou bien d’installer beaucoup plus tard les mises à jour. Avec cette méthode nous définirons notre cible beaucoup plus précisément.
Ensuite, nous allons ajouter un groupe d’ordinateur sur la console WSUS. Pour cela, dans la console, cliquez sur Ajouter un groupe d’ordinateurs.
Dans la boîte de dialogue Ajouter un groupe d’ordinateurs, dans la zone de texte Nom, tapez le nom de votre groupe, puis cliquez sur Ajouter …
Une fois que vous ajoutez avec succès un nouveau groupe sur WSUS, il va falloir créer une GPO et la configurer de a ce que tous nos clients affectés par cette GPO, reçoivent les mises à jour à travers notre serveur WSUS.
Création de la GPO WSUS
Sur votre contrôleur de domaine (ou sur un serveur avec les outils RSAT installé), lancer Group Policy Management, cliquez droit sur l’OU ou vous souhaitez exécuter cette GPO, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici
Donnez-lui un nom qui vous permettra de l’identifier rapidement.
Ensuite, faites un clic droit votre GPO, puis cliquez sur Modifier
Ensuite, dans l’éditeur de gestion de stratégie de groupe, sous Configuration ordinateur, double-cliquez sur Stratégies, double-cliquez sur Modèles d’administration, double-cliquez sur Composants Windows, puis cliquez sur Windows Update …
Vous êtes maintenant tout prêt du but, vous allez ici pouvoir tout configurer sur le Windows Update de vos clients. Notamment la connexion au serveur WSUS.
Nous allons maintenant configurer les paramètres qui permettront le bon fonctionnement des requêtes Windows Update vers le serveur WSUS.
Double-cliquez sur Configuration du service Mises à jour automatique, puis cliquez sur l’option Activé, sous Options, sélectionnez 3 – Téléchargement automatique et notification pour installer, vous pouvez ensuite sélectionner le jour de l’installation ainsi que l’heure. Terminez en cliquant sur OK
Toujours dans le volet des GPO, double-cliquez sur Spécifier l’emplacement intranet du service de mise à jour Microsoft, puis cliquez sur l’option Activé, puis dans les Options de la GPO, tapez l’adresse web de votre serveur. Dans mon cas : http: //zbwds.zerobug.lab:8530, puis cliquez sur OK.
Toujours dans les GPO, double-cliquez sur Autoriser le ciblage côté client, dans la boîte de dialogue, cliquez sur l’option Activé. Dans les options, tapez le nom du groupe créer dans WSUS, puis cliquez sur OK.
Nous voilà avec la GPO créer, vous pouvez maintenant vérifier qu’elle s’applique sur vos ordinateurs du domaine. Pour cela vous pouvez redémarrer un des ordinateurs de l’OU sur laquelle vous avez appliqué la GPO, ou encore utiliser la commande « GPUPDATE /FORCE » pour forcer la mise à jour des GPO.
Pour vérifier si votre client à bien reçut ladite GPO, vous pouvez utiliser la commande « gpresult /r » depuis le client. Sous la ligne Objets Stratégie de groupe appliqué, vous devriez trouver votre GPO précédemment créer.
Vous pouvez maintenant initialiser Windows Update avec la commande suivante :
wuauclt.exe /reportnow /detectnow
Non, ce n’est pas encore fini, il faut maintenant approuver les mises à jour que vous souhaitez déployer. Retour sur la console WSUS, sous Mises à jour, cliquez sur Mises à jour critiques, faites un clic droit sur les mises à jour que vous souhaitez pousser sur vos clients. Cliquez ensuite sur Approuver .
Vous pouvez maintenant sélectionner votre groupe et cliquez sur Approuvée pour l’installation
Avant de vérifier que la mise à jour est bien disponible sur les clients, vous pouvez vérifier sur la console WSUS l’état du téléchargement des mises à jour approuvées.
La console vous permet également de suivre l’installation des mises à jour sur les ordinateurs ciblés
Vous pouvez maintenant aller sur l’un des ordinateurs du groupe pour lancer vos mises à jour. Comme vous pouvez le voir sur l’écran ci-dessous, les mises à jour sont gérées par l’administrateur Système (du fait d’avoir appliqué une GPO WSUS). Vous pouvez maintenant lancer vos mises à jour, sans que cela ne surcharge le réseau de l’entreprise.
Dans ce guide, je n’ai fait que survoler l’installation et la configuration du rôle WSUS, si vous souhaitez aller plus loin, vous pouvez venir en discuter sur le forum des professionnels de l’informatique.