Installation et configuration serveur Windows Server Update Service

PREREQUIS

Télécharger WSUS

Télécharger Microsoft Report Viewer

INSTALLATION

Lancez l’installation de WSUS

Cliquez sur Suivant.

Choisissez l’Installation serveur complète avec la Console d’administration,

Cliquez sur Suivant,

Cochez la case J’accepte les termes du contrat de licence et cliquez sur Suivant.

Cliquez sur Suivant.

Choisir un répertoire dans lequel seront téléchargées les mises à jour que vous choisirez d’autoriser.


Cliquez sur Suivant.

Vous devez à présent décider si vous souhaitez utiliser un serveur SQL existant pour stocker la base de données de WSUS ou si vous souhaitez que le programme d’installation crée une base de données interne Windows sur le serveur sur lequel vous installez WSUS.

Cliquez sur Suivant pour que le programme d’installation teste la connexion au serveur SQL.

Une fois le test réussi, cliquez de nouveau sur Suivant.

Cette étape permet de configurer le site web IIS qui sera utilisé par WSUS. Dans mon cas le site web par défaut est déjà utilisé et le process d’installation propose de créer un nouveau site sur le port 8530 (port par défaut de WSUS, 8531 en SSL).


Cliquez deux fois sur Suivant puis sur Terminer.

CONFIGURATION

Dans la fenêtre qui s’ouvre, cliquez sur Suivant.

Décochez Oui, je souhaite participer au Programme d’amélioration de Microsoft Update, cliquez sur Suivant et vérifiez que Synchroniser à partir de Windows Update est coché.

Cliquez sur Suivant. Cliquez ensuite sur Suivant pour que l’interface de configuration tente de se connecter à Microsoft Update.

Une fois la connexion établie, cliquez sur Suivant et choisissez quelles langues de mises à jour vous souhaitez télécharger

Cliquez ensuite sur Suivant et choisissez les différents produits que vous souhaitez mettre à jour.


Cliquez sur Suivant et choisissez quels types de mises à jour vous souhaitez télécharger.


Cliquez sur Suivant, sélectionnez Synchroniser automatiquement et définissez une heure de synchronisation à laquelle WSUS téléchargera les nouvelles mises à jour.

Cliquez sur Suivant et décochez la case Commencer la synchronisation initiale pour éviter que WSUS ne commence immédiatement le téléchargement des mises à jour.

Cliquez enfin sur Suivant puis sur Terminer.

Allez ensuite dans Démarrer > Outils d’administration > Windows Server Update Services pour lancer la console d’administration WSUS.

Dans la colonne de gauche, faites un clic droit sur Ordinateurs > Tous les ordinateurs, cliquez sur Ajouter un groupe d’ordinateurs et créez les groupes dont vous avez besoin

Ces groupes pourront être utilisés pour différencier les machines et leur autoriser différentes mises à jour, soit manuellement dans l’interface (clic droit sur une machine, puis Modifier l’appartenance), soit grâce à une police de groupe.

Dans mon cas j’utilise justement une police de groupe pour différencier serveurs, clients et machines en cours de déploiement. Pour utilise une police de groupe de ce style il faut aller dans Options > Ordinateurs > Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs.

Dernière chose, pour que des mises à jour soient téléchargées et donc disponibles à l’installation sur les machines, il faut les approuver manuellement et définir pour quels groupes elles sont autorisées. Dans certaines structures il peut être important de conserver cette approbation manuelle de manière à pouvoir tester les mises à jour avant de les déployer. Dans de plus petites structures il est souvent possible de se poser moins de questions… Il existe donc une option permettant d’approuver automatiquement certaines des mises à jour proposées par Microsoft. Pour cela, allez dans Options > Approbations automatiques, cochez la règle par défaut et cliquez sur la liste de types de mises à jour soulignées en bleu. Vous pouvez ensuite sélectionner quelles mises à jour seront approuvées automatiquement. En cliquant sur le groupe d’ordinateurs souligné en bleu vous pouvez décider pour quels groupes l’approbation automatique fonctionnera. De manière générale il est prudent de ne pas cocher la case Service Pack avant d’avoir pu faire quelques tests !

Configuration de la police de groupe WSUS

Sur un contrôleur de domaine disposant de la Console de gestion des stratégies de groupe, cliquez sur  > Outils d’administration > Group Policy Management, puis déployez l’arborescence jusqu’à Forest > Domain > NOM_DE_VOTRE_DOMAINE > Group Policy Objects, faites un clic droit puis cliquez sur New. Donnez le nom WSUS à ce GPO, puis faites un clic droit dessus et cliquez sur Edit. La section permettant de gérer WSUS se situe dans Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update.

En particulier l’option Spécifier l’emplacement intranet du service de Mise à jour Microsoft est indispensable pour que les clients puisse savoir sur quel serveur WSUS se connecter !

Voici la configuration que j’utilise :

  • Ne pas afficher l’option « Installer les mises à jour et éteindre » dans la boîte de dialogue Arrêt de Windows : Activé
  • Configuration du service Mises à jour automatiques : Activé
    • Configuration des mises à jours automatiques : 4 – Télécharger et planifier l’installation
    • Jour de l’installation planifiée : 5 – Tous les jeudis
    • Heure de l’installation planifiée : 13:00
  • Spécifier l’emplacement intranet du service de Mise à jour Microsoft : Activé
    • Configurer le service de Mise à jour pour la détection des mises à jour : http://WSUSSRV:8530
    • Configurer le serveur intranet de statistiques : http://WSUSSRV:8530
  • Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques : Activé
  • Fréquence de détection des mises à jour automatiques : Activé
    • Vérifier la disponibilité de mises à jour à l’intervalle suivant (heures) : 22
  • Autoriser l’installation immédiate des mises à jours automatiques : Activé
  • Redemander un redémarrage avec les installations planifiées : Activé
    • Attendre pendant la durée suivante avant de redemander un redémarrage planifié (minutes) : 1440
  • Autoriser les non-administrateurs à recevoir les notifications de mise à jour : Activé
  • Activer les mises à jour recommandées par l’intermédiaire des Mises à jour automatiques : Activé

Dans la console de gestion des polices de groupe, faites un clic droit sur votre domaine et sélectionnez Link an existing GPO. Choisissez la GPO WSUS que vous venez de créer et cliquez sur OK.

La prochaine fois que les polices de groupe seront rafraîchies sur les machines, elles ne passeront plus par Microsoft Update mais par votre serveur WSUS.

Ce contenu a été publié dans Procédures, serveur, serveur 2003, serveur 2008, seven, Windows, XP, avec comme mot(s)-clé(s) , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *