Configurer WSUS sur Windows Server 2012 / R2
Après l’installation du serveur WSUS, place à sa configuration. Les étapes sont nombreuses et chacune d’entre elle est importante pour bien paramétrer le serveur WSUS.
Configuration réseau pour WSUS
1. Vérifier que le serveur WSUS ait un accès internet à Microsoft Update.
2. Si un proxy internet est en place, celui-ci doit autoriser les domaines suivants pour le serveur WSUS (ports 80 et 443) :
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- http://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
3. Vérifier que le pare-feu (Windows ou logiciel dédié) du serveur WSUS autorise les postes clients à s’y connecter (ports 8530 et 8531 pour Windows Update Agent des postes clients).
Configurer le serveur Windows Server Update Services
1. Ouvrir les Outils d’administration de Windows pour trouver « Services WSUS (Windows Server Update Services) » .
2. A l’étape « Choisir le serveur en amont » , laisser par défaut « Synchroniser à partir de Microsoft Update » sauf si ce serveur WSUS dépend d’un autre WSUS.
3. Si nécessaire, indiquer les informations de connexion au proxy de l’entreprise.
4. A l’écran suivant, cliquer sur « Démarrer la connexion » pour mettre à jour la base de mises à jour de WSUS et prendre en compte les derniers paquets disponibles sur les serveurs Microsoft Update. Cette recherche peut durer un moment.
5. Laisser terminer la recherche de connexion et cliquer sur Suivant seulement une fois que le bouton « Arrêter la connexion » soit grisé et que la barre verte soit complète.
6. Sélectionner les langues concernées par les mises à jour, par défaut Anglais et Français.
7. Sélectionner les produits pour lesquels WSUS va gérer les mises à jour (cette liste pourra être modifiée ultérieurement).
8. Sélectionner le type de mises à jour : Service Pack, pilotes (drivers), mises à jour critiques, etc.
9. Il est plus logique d’automatiser la recherche de nouvelles mises à jour sur Microsoft Update. Demander de Synchroniser automatiquement, par exemple ici chaque jour à 3h00 du matin.
10. Cocher « Commencer la synchronisation initiale » pour récupérer tous les paquets de Microsoft Update.
Créer un groupe de clients « test » des mises à jour
Microsoft recommande de définir quelques postes qui seront les premiers à recevoir les mises à jour de WSUS, pour les valider avant de les déployer sur tout le parc. Il est conseillé d’avoir au moins un exemple de chaque OS (Windows 7, Windows 10, Windows Server 2012 R2, etc).
1. Ouvrir l’interface de gestion de WSUS « Services WSUS (Windows Server Update Services) » (wsus.msc).
2. Dérouler le menu de gauche : Update Services, ServeurWSUS, Ordinateurs, Tous les ordinateurs.
3. A droite, dans Actions, cliquer sur Ajouter un groupe d’ordinateurs.
4. Donner un nom à ce groupe, par exemple Laptops, Workstations, Servers.
5. La recherche des ordinateurs du parc peut prendre du temps (peut-être une nuit). Déplacer les ordinateurs de « Ordinateurs non attribués » vers les groupes créés.
Valider les mises à jour WSUS à déployer
Les mises à jour ont été synchronisées avec Microsoft Update dans la première partie de ce tutoriel mais elles n’ont pas encore été approbées par le serveur WSUS pour les déployer sur le parc.
1. Depuis la console de gestion WSUS, dérouler Update Services, ServeurWSUS, Mises à jour. On y voit plusieurs groupes : Toutes les mises à jour, Mises à jour critiques, Mises à jour de sécurité et Mises à jour WSUS.
2. L’écran principal affiche une vue sur les mises à jour :
3. Entrer dans une des quatre vues, sélectionner les mises à jour à valider et faire un clic droit, Approuver.
Si l’écran reste vide, il faut changer le filtre « Etat : Toutes » pour tout afficher.
Organiser les mises à jour
Pour mieux organiser les mises à jour, on peut créer des vues par système d’exploitation.
1. Faire un clic droit sur Mises à jour, Nouvelle vue de mises à jour.
2. Première étape, cocher « Les mises à jour concernent un produit précis » ; indiquer ensuite quel OS ou logiciel cela concerne ; donner un nom à cette vue, par exemple « MAJ W10 » pour ces mises à jour qui concernent Windows 10.
3. Cette nouvelle vue va lister les mises à jour qui concernent les systèmes d’exploitation et/ou les logiciels concernés.
Approbation automatique des mises à jour
Pour laisser le serveur WSUS tourner seul et proposer automatiquement les nouvelles mises à jour au parc informatique, on peut configurer une approbation automatique des mises à jour.
1. Depuis la console de gestion WSUS, aller dans le menu Options.
2. Ouvrir Approbations automatiques.
3. Cocher la règle par défaut « Règle d’approbation automatique par défaut » et Appliquer.
4. Cliquer sur « Exécuter la règle » avant de fermer la fenêtre.
On peut aussi définir des paramètres particuliers, comme l’application automatique à un groupe « test » ou laisser un délai de quelques jours avant l’approbation automatique.
Une aide comme on les aime. Merci
Bonjour,
J’aimerais savoir si on crée un seul groupe et qu’on y met tous les ordinateurs du domaine, chaque ordi pourra-t-il sélectionner uniquement les mises à jour qui lui conviennent?
Merci.
Bonjour,
Le plus simple est de faire un groupe par OS pour envoyer les MAJ concernées.
Tuto simple et très clair.
Merci.
a quoi ca va me servir ?