Windows Server Update Services, appelé WSUS permet de déployer les mises à jour de produits Microsoft de manière contrôlée et centralisée. La mise en place de cette fonctionnalité permet d’économiser de la bande passante sur le réseau car le serveur WSUS télécharge une seule fois les mises à jour à partir des serveurs Microsoft, celles-ci seront ensuite déployées sur le réseau à partir du serveur. WSUS est un rôle de serveur, lors de ce tutoriel nous allons le déployer sur Windows Server 2016.
WSUS
WSUS va nous permettre de déployer les mises à jour de manière contrôlée et centralisée. Vous pouvez choisir quelle mise à jour déployer, ou non sur votre réseau. De plus, WSUS va nous permettre d’économiser de la bande passante sur le réseau car le serveur va télécharger une seule fois les mises à jour sur les serveurs Microsoft pour l’ensemble du réseau. Voici à quoi ressemble une architecture réseau sans serveur WSUS:
Sans WSUS chacun des PC va aller chercher ses mises à jour sur le serveur de mise à jour Microsoft. Il y aura autant de téléchargement que de PC présents sur notre réseau, ce qui occupe de la bande passante.
Dans une infrastructure avec un serveur WSUS, la mise à jour va être téléchargée une seule fois sur le serveur puis envoyée aux PC du réseau.
Installation du rôle
Voici l’infrastructure que nous allons mettre en place lors de ce tutoriel:
Pour mettre en place un serveur WSUS, vous devez déjà disposer d’un Active Directory. Vous pouvez consulter mon article qui vous expliquera comment en installer un. Allez dans le gestionnaire de serveur.
Cliquez sur « Gérer » en haut et sélectionnez « Ajouter des rôles et fonctionnalités ».
Pour le type d’installation, laissez par défaut et cliquez sur « Suivant ».
Sur la fenêtre suivante, laissez aussi par défaut et cliquez sur « Suivant ». Vous arriverez sur la fenêtre ci-dessous, cochez le rôle « Services WSUS« .
Cliquez sur « Ajouter des fonctionnalités » puis sur « Suivant ».
Sur la fenêtre « Sélectionner des fonctionnalités », laissez par défaut et cliquez sur « Suivant ». Faites de même pour toutes les fenêtres jusqu’à la sélection du répertoire pour le stockage des mises à jour. Renseignez le champ avec l’emplacement dans lequel vous souhaitez stocker les mises à jour. Cliquez sur « Suivant » puis sur « Installer ».
Patientez quelques minutes et votre rôle sera installé.
Ajout d’un PC dans le domaine
Avant de commencer la configuration nous allons ajouter une machine dans notre domaine Active Directory. Je vais ajouter dans le domaine un PC sous Windows 7. Avant de réaliser les manipulations suivantes. N’oubliez pas d’ajouter l’IP de votre serveur Active Directory en DNS dans la configuration IP du PC sinon le PC ne pourra pas joindre l’Active Directory.
Allez dans le menu démarrer, faites un clic droit sur « Ordinateur » et sélectionnez « Propriétés ».
Cliquez sur « Modifier les paramètres ».
La fenêtre suivante va apparaître, cliquez sur « Modifier ».
Cochez « Domaine » et entrez le nom de votre domaine Active Directory.
Saisissez les logins administrateur du domaine et cliquez sur « OK ».
Cliquez sur « OK » l’ordinateur va ensuite redémarrer, une fois fait celui-ci aura intégré le domaine.
Configuration Wsus
Maintenant que le rôle est installé, nous allons configurer celui-ci. Dans le gestionnaire de serveur cliquez sur « Lancer les tâches de post-installation ».
Allez ensuite dans l’onglet WSUS, faites un clic droit sur votre serveur et sélectionnez « Services WSUS« .
L’assistant de configuration se lance. Sur la première fenêtre « Avant de commencer », cliquez sur « Suivant » pour arriver sur celle-ci dessous. Je vous conseille de décocher la case, cliquez à nouveau sur « Suivant ».
Sur la fenêtre suivante, laissez par défaut et continuez.
Ensuite entrez vos informations de proxy si votre réseau en possède un, sinon laissez par défaut et cliquez sur « Suivant ». Vous devez maintenant tester la communication avec les serveurs Microsoft. Si vous obtenez une erreur HTTP, vérifiez les paramètres DNS et IP de votre serveur. Une fois le chargement terminé, cela peut prendre quelques minutes, cliquez sur « Suivant ».
En ce qui concerne le choix des langues, sélectionnez celles souhaitées et cliquez sur « Suivant ». Sur la prochaine fenêtre, sélectionnez les systèmes pour lequel vous souhaitez télécharger les mises à jour. Si votre parc ne contient que des Windows 10, inutile de cocher les autres. Sur les fenêtres suivantes, laissez tout par défaut jusqu’à celle ci-dessous. Cochez la case « Commencer la synchronisation initiale » et cliquez sur « Terminer ».
Déploiement mise à jour
Nous allons déployer une mise à jour sur notre parc. Pour cela dans l’arborescence de WSUS, cliquez sur « Mises à jour WSUS« .
Vous allez avoir l’ensemble des mises à jour qui ont été téléchargées sur votre serveur. Sélectionnez la ou les mise(s) à jour que vous souhaitez déployer. Faites un clic droit sur votre sélection et cliquez sur « Approuver ».
La fenêtre suivante va apparaître, cliquez sur la petite flèche et sélectionnez « Approuvée pour l’installation », puis cliquez sur « OK ». Un chargement va se lancer une fois terminé cliquez sur « Fermer ».
Configuration GPO
Nous allons passer à la dernière étape qui est la configuration de GPO (stratégies de groupe). Les GPO permettrent de gérer de manière centralisée certains paramètres des équipements appartenant au domaine, comme par exemple définir un fond d’écran spécifique. Les GPO vont nous servir à indiquer à l’ensemble des équipements de notre domaine, que désormais pour les mises à jour il ne faudra plus aller les télécharger sur le site de Microsoft mais sur notre serveur. Pour cela rendez-vous sur votre serveur Active Directory, faites une recherche de « mmc » sur le serveur dans le menu démarrer.
Vous arriverez sur l’interface ci-dessous. MMC va nous permettre de créer notre propre console d’administration avec les modules dont on se sert. Cliquez sur « Fichier » puis « Ajouter/Supprimer un composant logiciel enfichable… ».
Sélectionnez « Gestion des stratégies de groupe » et cliquez sur « Ajouter » puis cliquez sur « OK ». Enregistrez ensuite votre console en cliquant sur: Fichier > Enregistrer-sous…
Dépliez l’élément « Gestion des stratégies de groupe », faites un clic droit sur votre domaine et sélectionnez « Créer un objet GPO dans ce domaine et le lier ici… ». Nous créons une nouvelle stratégie car il est déconseillé de modifier celle par défaut, bien que cela soit possible.
Nommez l’objet et cliquez sur « OK ».
Faites un clic droit sur l’objet créé et sélectionnez « Modifier… ».
Vous arriverez sur la fenêtre ci-dessous
Allez au chemin suivant:
Configuration de l’ordinateur > Stratégies > Modèle d’administration > Composants Windows > Windows Update.
Faites un double-clic sur « Spécifier l’emplacement intranet du service de mise à jour Microsoft ».
Cochez « Activé » et dans les deux champs ci-dessous entrez : http://IPserveurWSUS:8530. Où 8530 est le port utilisé pour WSUS.
Cliquez sur « OK ». Les PC du domaine vont maintenant télécharger leurs mises à jour à partir de notre serveur WSUS. Nous allons également modifier la stratégie pour que ces mises à jour soit déployées automatiquement. Faites un double-clic sur le paramètre « Configuration du service Mises à jour automatiques » (situé au même endroit que le paramètre précédent), sélectionnez « Activé » et laissez le choix 3 par défaut.
Allez sur votre client, ouvrez à nouveau une session pour prendre en compte les nouveaux paramètres de la GPO. Ouvrez Windows Update, vous remarquerez que votre PC va désormais chercher ses mises à jour sur le serveur WSUS grâce à l’indication « Géré par votre administrateur système ».
Si vous n’avez pas cette indication, ouvrez une invite de commande CMD et entrez la commande suivante pour synchroniser les GPO avec le client:
gpupdate
Vous savez désormais comment mettre en place un serveur de mise à jour WSUS et déployer des mises à jour sur votre parc.
Mon chers ami, je consulte tes articles et je ressens ton énergie ! Tu es super !