Vous êtes sur la page 1sur 35

Windows Server 2016 – Installer WSUS

Windows Server Update Services (WSUS) est la seconde génération de logiciel serveur
pour déployer des mises à jour, en remplacement de SUS (Software Update Services).
La liste des options a été étoffée et le déploiement des serveurs a été simplifié, bien que
WSUS a pour but de limiter l’utilisation de la bande passante vers Internet et d’assurer
que les OS Windows client et serveur soient à jour.

Le fonctionnement de WSUS est simple. Il télécharge les mises à jour depuis les serveurs
Windows Update et déploie les mises à jour téléchargées sur les machines du réseau. Mais
pour que le réseau fonctionne bien, il faut pousser un peu plus loin le fonctionnement de
WSUS.

La version 4 de WSUS a été introduit avec Windows Server 2012, et avec Windows Server
2016, nous sommes déjà à la 10e version de WSUS. L’outil est directement intégré à l’OS en
tant que rôle de serveur à ajouter depuis le Gestionnaire de serveur. Nous allons donc voir
comment installer et configurer WSUS.
1
Pour commencer, il faut disposer d’énormément d’espaces disques. Il faut savoir qu’en
fonction de ce que vous choisissez de prendre comme MAJ, WSUS va beaucoup remplir le
disque dur.

Depuis le Gestionnaire de serveur, on clique sur Gérer et Ajouter des rôles et


fonctionnalités.

On sélectionne le type d’installation Installation basée sur un rôle ou une fonctionnalité

2
Dans l’exemple, nous n’avons qu’un seul serveur, nous n’avons donc qu’à le sélectionner et à
cliquer sur Suivant.

3
Nous sommes maintenant sur la fenêtre de sélection des rôles. Nous allons donc installer le
rôle WSUS. Pour cela, on coche simplement WSUS dans la fenêtre de sélection des rôles. On
clique sur Suivant.

Des fonctionnalités supplémentaires sont automatiquement sélectionnées pour nous. On les


ajoute.

4
Au besoin, on peut ajouter de nouvelles fonctionnalités, même si par défaut, nous n’en avons
pas besoin.

5
On va avoir plus d’informations sur le rôle WSUS.

6
En fonction du type de base de données, on sélectionne les services de rôle WID Database ou
Bas de données et WSUS Services.

Ici, on peut choisir l’emplacement des MAJ ou autre package à télécharger par WSUS. Par
défaut, on peut éviter de laisser cela sur la partition système, et on pensera à tailler le disque
en fonction du nombre de MAJ que l’on souhaite.

7
Nous avons un récapitulatif des infos sélectionnées plus haut. On clique sur Installer pour
lancer l’installation du rôle WSUS.

8
L’installation se lance.

Une fois l’installation terminée, on lance les tâches post-installation proposé depuis le
Gestionnaire de serveur.

9
Maintenant que l’on a installé WSUS, on va passer à la partie un peu plus difficile qui
consiste à le configurer en fonction de nos besoins.

Dans la première fenêtre de l’assistant de configuration de WSUS, on prend connaissance des


informations et on clique sur Suivant pour continuer.

Si on souhaite, on peut participer au programme d’amélioration de Microsoft Update.


Personnellement, je ne connais personne si coche cette case mais bon… A vous de voir.

10
Si on a déjà un serveur WSUS, on peut synchroniser les MAJ à partir de ce serveur. Comme
c’est notre premier serveur, on fera alors la synchronisation avec Microsoft Update. On clique
sur Suivant.

11
On peut utiliser un proxy sur notre réseau, où on prendra soin de renseigner correctement les
paramètres de connexion. On clique sur Suivant.

12
On va se connecter aux serveurs de Microsoft pour commencer à télécharger quelques
informations relatives à la configuration du serveur WSUS. On clique sur Démarrer la
connexion.

13
Après quelques secondes, en fonction de la vitesse de notre serveur et de la connexion, on
clique sur Suivant.

14
On peut maintenant choisir le type de MAJ que l’on souhaite télécharger. Ici, ce sont les
langues pour lesquelles le serveur va télécharger les MAJ.

15
Ensuite, nous aurons les produits. Attention, on ne va pas tous sélectionner car ici ce sont les
produits de Microsoft qui sont affichés. Cela va faire énormément de MAJ à télécharger par la
suite. Après avoir sélectionné les produits qui nous intéressent et qui correspondent à ceux de
notre parc informatique, on clique sur Suivant.

16
On indique le type de mises à jour que l’on souhaite télécharger. On clique sur Suivant.

17
Nous avons terminé la configuration de base d’un WSUS. On peut maintenant commencer la
synchronisation initiale. Pour un WSUS en entreprise, il est préférable de faire cette
manipulation la nuit.

Enfin, on prend connaissance des informations et des liens suivants, et on clique sur Terminer.

18
On lance la console WSUS.

19
Dans WSUS, dans le volet de navigation, on clique sur le nom de notre serveur. On remarque
qu’un certain nombre de mises à jour vont se synchroniser. Cela peut prendre un certain
temps en fonction de la puissance de notre serveur et de la connexion Internet.

20
Maintenant que la synchronisation est effectuée, nous allons configurer la méthode que l’on
souhaite pour mettre à jour les ordinateurs. On clique sur Options dans WSUS.

21
On utilise des GPO pour ne pas mettre à jour n’importe quelle PC ou serveur. Sur certains PC,
il est intéressant de mettre à jour manuellement ou d’installer plus tard les mises à jour. Avec
cette méthode, on peut définir notre cible plus précisément.

22
On va ajouter un groupe d’ordinateurs sur WSUS. Pour cela, on clique sur Ajouter un
groupe d’ordinateurs.

23
Dans la boîte de dialogue, dans la zone de texte, on tape le nom de notre groupe et on clique
sur Ajouter.

Une fois que l’on a ajouté un groupe sur WSUS, il va falloir créer une GPO et la configurer
de façon à ce que tous les clients soit affectés par cette GPO et qu’ils reçoivent les MAJ via
WSUS.

Sur notre Active Directory, on lance Group Policy Management, on clique droit sur l’OU où
on souhaite exécuter la GPO, et on clique sur Créer un objet GPO dans ce domaine et le
lier ici…

24
On nomme notre GPO.

On fait un clic droit sur notre GPO et on clique sur Modifier

25
Dans l’éditeur de gestion de stratégie de groupe, sous Configuration ordinateur, on
double-clique sur Stratégies, on double-clique sur Modèles d’administration, on double-
clique sur Composants Windows et on clique sur Windows Update.

On va pouvoir tout configurer sur le Windows Update des clients, et notamment la connexion
à WSUS.

26
On va pouvoir configurer les paramètres qui permettront le bon fonctionnement des requêtes
Windows Update vers WSUS.

On clique sur Configuration du service Mises à jour automatique et on clique sur


l’option Activé, sous Options. On sélectionne 3 – Téléchargement automatique et
notification pour installer, on peut ensuite sélectionner le jour d’installation, ainsi que
l’heure. On termine en cliquant sur OK.

Toujours dans les GPO, on clique sur Spécifier l’emplacement intranet du service de mise
à jour Microsoft et on clique sur l’option Activé. Puis dans les options de la GPO, on tape
l’adresse web du serveur. On clique sur OK.

27
Toujours dans la GPO, on clique sur Autoriser le ciblage côté client, dans la boîte de
dialogue, on clique sur l’option Activé. Dans les options, on tape le nom du groupe crée dans
WSUS et on clique sur OK.

28
Notre GPO est maintenant créer. On peut vérifier qu’elle s’applique sur les ordinateurs du
domaine. Il faut alors redémarrer un ordinateur de l’OU sur laquelle la GPO s’applique, ou
utiliser la commande gpupdate /force pour forcer la mise à jour des GPO.

Pour vérifier que l’ordinateur a bien reçu la GPO, on peut utiliser la commande gpresult
/r sur le client. Sous la ligne Objets Stratégie de groupe appliqués, on peut voir que notre
GPO est là.

29
On peut initialiser Windows Update avec la commande wuauclt.exe /reportnow /detectnow.

30
Maintenant, il faut approuver les mises à jour que l’on souhaite déployer. On retourne sur
WSUS, sous Mise à jour, on clique sur Mises à jour critiques, on fait un clic droit sur les
mises à jour que l’on souhaite pousser, et on clique sur Approuver.

On peut sélectionner notre groupe et cliquer sur Approuvée pour l’installation.

31
32
Avant de vérifier que la MAJ est disponible pour le client, on peut vérifier sur la console
WSUS l’état du téléchargement des MAJ approuvées.

La console permet également de suivre l’installation des MAJ sur les ordinateurs ciblés.

33
On peut maintenant aller sur un poste client du groupe pour lancer les MAJ. Comme on peut
le voir sur l’écran, les MAJ sont gérées par l’administrateur, du fait d’avoir appliqué une GPO
WSUS. On peut maintenant lancer nos mises à jour sans surcharger le réseau d’entreprise.

34
35