Catégories
Expert

Désinstaller un serveur WSUS

Erreur de configuration ou changement de stratégie de gestion des mises à jour, il est possible de supprimer un serveur WSUS de son parc informatique mais il faut le faire proprement, sous peine de voir ses postes clients orphelins en terme de mises à jour Windows Update.

 

Supprimer un serveur WSUS

1. Sur le serveur WSUS, ouvrir la console Gestionnaire de serveur.

2. Aller sur le menu Gérer et Supprimer des rôles et fonctionnalités.

3. Sélectionner le serveur WSUS local.

4. Descendre la liste de rôles et décocher « Services WSUS (Windows Server Update Services) » en validant la suppression des fonctionnalités annexes.

5. On peut aussi supprimer la fonctionnalité « Base de données interne Windows » qui a été utilisée par WSUS.

6. Confirmer la suppression.

7. Redémarrer complètement le serveur pour prendre en compte la désinstallation du rôle WSUS.

Les fichiers de téléchargement Windows Update ont été supprimés du disque dur.

 

Pour les postes clients

Si le serveur WSUS était le seul serveur de mises à jour du domaine et qu’il ne sera pas remplacé, il faut modifier la GPO Active Directory pour que le parc Windows cherche ses updates sur les serveurs Microsoft Update. Voir ce tutoriel pour la configuration de la GPO pour WSUS.

Si le serveur WSUS va être remplacé par une autre machine, modifier la GPO AD pour changer le nom du serveur WSUS.

Catégories
Expert Windows Server 2012 / R2

Lier les postes clients au serveur WSUS

Après l’installation et la configuration du serveur WSUS, il faut maintenant connecter le parc de postes clients. L’opération peut se faire soit depuis le serveur WSUS lui-même, soit avec la stratégie de groupe Active Directory : les GPO.

 

Configurer le mode GPO sur le serveur WSUS

1. Dans la console de gestion de WSUS, aller dans Options et ouvrir Ordinateurs.

2. Cocher la ligne « Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs » pour basculer en mode GPO.

 

Créer une GPO pour lier les PC clients à WSUS

1. Sur un contrôleur de domaine, ouvrir la console Gestion de stratégie de groupe (gpmc.msc).

2. Dérouler la forêt, le domaine et Objets de stratégie de groupe. Clic droit Nouveau et donner un nom à cette GPO, par exemple WSUS.

3. Dérouler Configuration ordinateur, Stratégies, Modèles d’administration, Composants Windows, Windows Update.

4. Ouvrir « Configuration du service Mises à jour automatiques » pour Activer la fonction et paramétrer la Configuration de la mise à jour automatique ainsi que le Jour et l’Heure de l’installation planifiée.

5. Ouvrir « Spécifier l’emplacement intranet du service de mise à jour Microsoft » pour Activer et indiquer l’URL du serveur WSUS, sur le port 8530 configuré lors de l’installation. Par exemple : http://serveurwsus:8530/

Pour une utilisation en HTTPS, le port configuré à l’installation est le 8531.

Les (nombreuses) autres options de la stratégie de groupe (GPO) pour Windows Update sont à retrouver sur TechNet.

 

Vérifier que les postes clients soient connectés à WSUS

Ouvrir Windows Update sur un poste client. A la ligne « Vous recevez les mises à jour » , la mention « Géré par votre administrateur système » doit apparaitre :

Auparavant, sur un PC non lié à WSUS, figurait « Pour Windows et d’autres produits à partir de Microsoft Update » .

Catégories
Expert Windows Server 2012 / R2

Configurer WSUS sur Windows Server 2012 / R2

Après l’installation du serveur WSUS, place à sa configuration. Les étapes sont nombreuses et chacune d’entre elle est importante pour bien paramétrer le serveur WSUS.

 

Configuration réseau pour WSUS

1. Vérifier que le serveur WSUS ait un accès internet à Microsoft Update.

2. Si un proxy internet est en place, celui-ci doit autoriser les domaines suivants pour le serveur WSUS (ports 80 et 443) :

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • http://download.microsoft.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com
  • http://go.microsoft.com

3. Vérifier que le pare-feu (Windows ou logiciel dédié) du serveur WSUS autorise les postes clients à s’y connecter (ports 8530 et 8531 pour Windows Update Agent des postes clients).

 

Configurer le serveur Windows Server Update Services

1. Ouvrir les Outils d’administration de Windows pour trouver « Services WSUS (Windows Server Update Services) » .

2. A l’étape « Choisir le serveur en amont » , laisser par défaut « Synchroniser à partir de Microsoft Update » sauf si ce serveur WSUS dépend d’un autre WSUS.

3. Si nécessaire, indiquer les informations de connexion au proxy de l’entreprise.

4. A l’écran suivant, cliquer sur « Démarrer la connexion » pour mettre à jour la base de mises à jour de WSUS et prendre en compte les derniers paquets disponibles sur les serveurs Microsoft Update. Cette recherche peut durer un moment.

5. Laisser terminer la recherche de connexion et cliquer sur Suivant seulement une fois que le bouton « Arrêter la connexion » soit grisé et que la barre verte soit complète.

6. Sélectionner les langues concernées par les mises à jour, par défaut Anglais et Français.

7. Sélectionner les produits pour lesquels WSUS va gérer les mises à jour (cette liste pourra être modifiée ultérieurement).

8. Sélectionner le type de mises à jour : Service Pack, pilotes (drivers), mises à jour critiques, etc.

9. Il est plus logique d’automatiser la recherche de nouvelles mises à jour sur Microsoft Update. Demander de Synchroniser automatiquement, par exemple ici chaque jour à 3h00 du matin.

10. Cocher « Commencer la synchronisation initiale » pour récupérer tous les paquets de Microsoft Update.

 

Créer un groupe de clients « test » des mises à jour

Microsoft recommande de définir quelques postes qui seront les premiers à recevoir les mises à jour de WSUS, pour les valider avant de les déployer sur tout le parc. Il est conseillé d’avoir au moins un exemple de chaque OS (Windows 7, Windows 10, Windows Server 2012 R2, etc).

1. Ouvrir l’interface de gestion de WSUS « Services WSUS (Windows Server Update Services) » (wsus.msc).

2. Dérouler le menu de gauche : Update Services, ServeurWSUS, Ordinateurs, Tous les ordinateurs.

3. A droite, dans Actions, cliquer sur Ajouter un groupe d’ordinateurs.

4. Donner un nom à ce groupe, par exemple Laptops, Workstations, Servers.

5. La recherche des ordinateurs du parc peut prendre du temps (peut-être une nuit). Déplacer les ordinateurs de « Ordinateurs non attribués » vers les groupes créés.

 

Valider les mises à jour WSUS à déployer

Les mises à jour ont été synchronisées avec Microsoft Update dans la première partie de ce tutoriel mais elles n’ont pas encore été approbées par le serveur WSUS pour les déployer sur le parc.

1. Depuis la console de gestion WSUS, dérouler Update Services, ServeurWSUS, Mises à jour. On y voit plusieurs groupes : Toutes les mises à jour, Mises à jour critiques, Mises à jour de sécurité et Mises à jour WSUS.

2. L’écran principal affiche une vue sur les mises à jour :

3. Entrer dans une des quatre vues, sélectionner les mises à jour à valider et faire un clic droit, Approuver.

Si l’écran reste vide, il faut changer le filtre « Etat : Toutes » pour tout afficher.

 

Organiser les mises à jour

Pour mieux organiser les mises à jour, on peut créer des vues par système d’exploitation.

1. Faire un clic droit sur Mises à jour, Nouvelle vue de mises à jour.

 

2. Première étape, cocher « Les mises à jour concernent un produit précis » ; indiquer ensuite quel OS ou logiciel cela concerne ; donner un nom à cette vue, par exemple « MAJ W10 » pour ces mises à jour qui concernent Windows 10.

3. Cette nouvelle vue va lister les mises à jour qui concernent les systèmes d’exploitation et/ou les logiciels concernés.

 

Approbation automatique des mises à jour

Pour laisser le serveur WSUS tourner seul et proposer automatiquement les nouvelles mises à jour au parc informatique, on peut configurer une approbation automatique des mises à jour.

1. Depuis la console de gestion WSUS, aller dans le menu Options.

2. Ouvrir Approbations automatiques.

3. Cocher la règle par défaut « Règle d’approbation automatique par défaut » et Appliquer.

4. Cliquer sur « Exécuter la règle » avant de fermer la fenêtre.

On peut aussi définir des paramètres particuliers, comme l’application automatique à un groupe « test » ou laisser un délai de quelques jours avant l’approbation automatique.

Catégories
Expert Windows Server 2012 / R2

Installer WSUS sur Windows Server 2012 / R2

Dans une entreprise, lorsque l’on gère un parc conséquent d’ordinateurs Windows, on peut redouter que toutes les machines téléchargent des mises à jour sur Windows Udpate et donc utilisent chacun la bande passante internet pour récupérer les mêmes fichiers. Pour éviter cela, il existe une solution de mise à jour centralisée de parc Windows, appelée WSUS pour Windows Server Update Services. Ce serveur va récupérer les mises à jour de sécurité, critiques et de fonctionnalités pour Windows XP, Vista, 7, 8, 8.1, RT, 10 et les versions Server 2003 / R2, 2008 / R2, 2012 / R2. Idem pour les mises à jour des packs Office 2002, 2003, 2007, 2010, 2013 et 2016 ainsi que les logiciels annexes comme Skype et Windows Defender.

Ce tutoriel explique comment installer un serveur WSUS sur une machine Windows Server. Pour une utilisation classique dans un réseau d’entreprise, le serveur dédié à WSUS doit déjà être membre du domaine Active Directory.

 

Installer le rôle WSUS en mode graphique

1. Ouvrir une session RDP sur le futur serveur WSUS.

2. Vérifier que Windows Update soit à jour.

3. Ouvrir le Gestionnaire de serveur, l’outil pour administrer le Windows Server.

4. En haut à droite, cliquer sur Gérer et ouvrir Ajouter des rôles et fonctionnalités.

5. Sélectionner Installation basée sur un rôle ou une fonctionnalité.

6. A l’écran suivant, Sélectionner un serveur du pool de serveurs et vérifier que le serveur soit détecté.

7. A la page Sélectionner des rôles de serveurs, descendre pour cocher « Services WSUS (Windows Server Update Services) » et valider les ajouts de fonctionnalités complémentaires, puis cliquer sur Suivant.

8. A l’écran d’ajout des fonctionnalités, ne rien cocher et faire Suivant. Les fonctions Base de données interne Windows, certaines Fonctionnalités de .NET Framework 4.5 et les Outils d’administration des services WSUS seront installés, comme demandé dans l’écran précédent par le rôle WSUS.

9. A l’écran Services de rôle, la ligne « WSUS Services » est obligatoire. Laisser « WID Database » pour que WSUS utilise la base de données Windows ou cocher « Base de données » pour utiliser SQL Server. Sauf cas particulier, Microsoft conseille d’utiliser la base par défaut WID (source Technet).

10. A la Sélection de l’emplacement du contenu, indiquer un dossier de stockage des mises à jour, par exemple D:\WSUS.

11. Le rôle serveur IIS doit être installé. Dans Sélectionner les services de rôle à installer pour le serveur Web (IIS), laisser les options par défaut.

12. Démarrer l’installation du rôle WSUS et ses fonctionnalités associées.

13. Une fois l’installation réussie, cliquer sur « Lancer les tâches de post-installation » dans l’encart sous ce message :

14. Quelques minutes plus tard, le message « Configuration post-déploiement terminée » apparait dans l’Assistant ajout de rôles et dans les notifications du Gestionnaire de serveur.

15. Le bloc WSUS apparait maintenant dans le Tableau de bord du Gestionnaire de serveur.

La prochaine étape est la configuration du serveur WSUS.