Accueil - Guides & Astuces - Serveurs & Infrastructure - Comment Installer et Configurer un Serveur Wsus sur Windows Serveur

Comment Installer et Configurer un Serveur Wsus sur Windows Serveur

Le service Windows Server Update Services (WSUS) est une fonctionnalié gratuite disponible sur les serveurs Windows.

Il permet de centraliser le déploiement des mises à jours Windows.

Généralement mis en place dans des structures importantes, il permet de maîtriser et de réduire considérablement la bande passante utilisée pour mettre à jour vos postes et serveurs.

Pour rappel c'est le serveur WSUS qui télécharge les mises à jour puis les poussent sur les PC.

Avec les mises à jours conséquente de Windows 10 il est quasi indispensable de mettre en place ce système et ce même dans des petits parcs.

Avant Propos sur le serveur WSUS

Ce tutoriel se base sur une version Windows Serveur 2016, la procédure est la même pour un serveur en version 2012R2. Pour les versions antérieures comme 2008R2 c'est un peu différent. Mais bon cette version n'est plus maintenu en Janvier 2020.

Je vous conseille de dédié un serveur (machine virtuelle dans l'idéale) pour ce rôle. Si jamais vous installer votre serveur WSUS sur un serveur contrôleur de domaines vous risquez d'avoir quelques soucis lors de l'installation.

De mon côté je n'ai pas l'habitude de sauvegarder ce type de serveur parce qu'il prend beaucoup de place en terme de volumétrie et que c'est relativement simple à mettre en place.

Etape 1 - Quelques pré-requis

Il faut prévoir un espace disque conséquent en fonction du nombre de produit que vous souhaitez gérer.

En effet si vous voulez mettre à jour un parc en Windows 7 , 10 , 8.1 ça va prendre pas mal de place !

L'idéal étant de créer une partition disque dédié au stockage des mises à jour.

Votre serveur est à jour, fraîchement installé ET intégré dans le domaine ? C'est parfait on peut lancer l'installation du rôle.

Etape 2 - Installation du rôle WSUS

Pour installer le rôle il faut utiliser le "Gestionnaire de Serveur" > Gérer > Ajouter Rôles et Fonctionnalités

gérer et ajouter des rôles et fonctionnalités

Ensuite on va valider notre choix d'installation de fonctionnalités

ajout fonctionnalité

installation fonctionnalité

selection rôle wsus

Des nouvelles fonctionnalités vont être installées, on valide

ajout des fonctionnalité

On vous proposera un choix par défaut pour la base de donnée et le service

choix wid database et wsus service
Les options par défaut sont très bien. SI vous gérez un nombre important de postes (+de 1000) il sera plutôt nécessaire d'utiliser une base SQL.

Wsus Base de donnée interne

Enfin on va choisir le répertoire pour stocker les données.

stockage mise à jour Wsus
Choisissez l'espace de stockage de vos mises à jour. Ici c'est C:\WSUS

Vous valider par défaut les dernière étape et après un redémarrage votre serveur Wsus est installé mais pas configuré !

Etape 3 - Configuration du serveur WSUS

Suivi du Wizard

Une fois installé, vous accéder au service WSUS depuis la console de gestion de serveur.

En haut cliquez sur Outils puis "Services WSUS".

Gestionnaire de serveur Wsus

Une assistant va démarrer et vous devez effectuer quelques choix. Pour une configuration basique voici ce que je fais :

etape 1 assistant wsus
Rien de spécial on clique sur suivant
etape 2 assistant wsus
A vous de voir si vous voulez aider Microsoft.

Ensuite on vous demande de choisir le serveur en amont. Dans les infrastructures multi-sites importantes on peut utiliser un serveur WSUS principal.

Pour notre cas on ira directement se synchroniser sur les serveurs de Microsoft Update.

Etape 3 Assistant Wsus
Dans mon cas et pour ce tutoriel je choisis de synchroniser le serveur à partir de Microsoft Update.

Si votre infrastructure dispose d'un proxy il faut le définir sinon on passe à la prochaine étape.

Etape 4 Assistant Windows
si vous avez un proxy vous devez le renseigner à cette étape.

Nous pouvons ensuite démarrer la connexion sur le serveur en amont

Etape 5 assistant Wsus
Le démarrage de la connexion prend plus ou moins de temps selon la vitesse de votre connexion internet.

Maintenant nous allons choisir les langues à télécharger pour les mises à jour. Dans notre cas on prend que le Français.

Etape 6 assistant Wsus

Maintenant une partie importante c'est le choix des produits. Cette étape permet de définir quels produits vont être mis à jour.

Quand on parle de produit ça peut être Windows 10 , Windows Serveur, Office, Bing bref vous en avez énormément !

Dans mon cas je choisi uniquement des versions de Windows et Office installées dans le parc ! Il est impensable de tout cocher sinon votre serveur va saturé !
Etape 7 assistant Wsus
J'ai choisi dans mon exemple Windows 10 , Windows 7, Windows 8.1 prenez le temps de cocher tous les produits nécessaire à votre parc.

La 8ème étape permet de définir les spécifications à télécharger. Une petite remarque à ce sujet :

Il est fortement déconseillé de choisir les Pilotes c'est trop sensible sur un parc en production ! Voici ce que je choisi lors de mes déploiements 

Etape 8 assistant Wsus

Selon vos préférences vous pouvez choisir les "Upgrades", ce sont les mises à niveau de Windows 10. A voir si vous souhaitez les gérer via le serveur WSUS.

Nous allons maintenant définir un horaire de synchronisation avec les serveurs Windows Update. Cette synchronisation vérifie si de nouvelles mises à jour sont à disposition.

etape 9 assistant wsus
Une synchronisation la nuit est préférable pour ne pas polluer la bande passante.

On vous propose alors de "Commencer la synchronisation initiale" , on ne vas pas démarrer cette synchronisation pour continuer notre configuration.

étape 10 assistant Wsus

Configuration spécifique au parc

Maintenant nous allons créer des groupes d'ordinateurs. Par exemple "Poste en Windows 10" ou "Postes" ou encore "Serveurs"

création ordinateurs wsus
Un simple clic-droit sur "tous les ordinateurs" permet de créer son groupe

ajout ordinateur wsus

Ces groupes vont servir à classer les ordinateurs. On va ainsi définir une stratégie de mise à jour pour les postes Et pour les serveurs.

Pour que les postes soient classés automatiquement on va s'appuyer sur des GPO. La première étape est d'activée ce paramètres dans les options du WSUS

Activation stratégie Wsus

Nous passons à la configuration des GPO.

Etape 4 - Mise en place des GPO nécéssaire

Afin de pouvoir gérer l'ensemble des mises à jour du parc nous allons définir une GPO qui s'appliquera

  • Sur les postes
  • Sur les serveurs

Les deux GPO seront différentes, pour les serveurs je vous propose une configuration qui pourra sans doute évoluée et ne pas correspondre à votre parc.

Il faut donc avoir dispatché les postes et serveurs dans des unités d'organisation défini. Une unité d'organisation nommée "Postes" et une "Serveurs" par exemple.

Création de la GPO

On se rend sur le contrôleur de domaine principal et on tape la commande "gpmc.msc" , on arrive sur le panneau de configuration des stratégies

gpmc.msc

La Gpo sera donc créer sur l'unité d'organisation "poste" et une autre pour les "serveurs"

gpo pour wsus
Nous allons détailler chaque paramètres qui sont "Activés"

"Configuration du service Mises à jour Automatiques" : Avec ce paramètre on peut définir comment sont installées les mises à jour. Généralement pour les postes on les télécharge puis on planifie une installation à une heure précise (à 12h ou la nuit si vos postes sont constamment allumés).

Configuration du service de mises à jour automatiques

Pour les serveurs je le met à "non configuré" afin de recherche manuellement les mises à jour et ainsi éviter une mise à jour en pleine journée. 

 

"Spécifier l'emplacement intranet du service de mise à jour Microsoft" : Ce paramètre permet de définir lien du serveur vers lequel les postes vont télécharger les mises à jours.

emplacement intranet wsus
Ici nous avons mis le lien de notre serveur Wsus et le port 8530

"Fréquence de détection des mises à jour automatiques" : Ce paramètre permet de définir à quelle fréquence les postes font une recherche de mise à jour vers le serveur WSUS. 1 fois par jour me semble suffisant

wsus detection des maj

3 paramètres sont en activés  :

  • "Autoriser l'installation immédiate des mises à jour automatiques"
  • Activer les mises àjour automatique recommandées ... (ça permet de télécharger automatiquement les mises à jour recommandés)
  • "Pas de redémarrage automatique avec des utilisateurs connectés (on évite un redémarrage forcé pendant les heures de boulot)

Nous allons ensuite changer le paramétrage de :

"Redemander un redémarrage avec les installations planifiées"  On va définir un délais de 24h après que les mises à jours soient installées. En général je met ça pour éviter un redémarrage en journée pendant une absence.

attente redémarrage wsus

"Replanifier les installations planifiées":  Permet de définir un délais pour laquelle les installations vont reprendre si elles échouent :

replanificaiton des mises à jour

"Autoriser le ciblage côté client" : Ce paramètre permet de déplacer les postes dans le bon groupes sur la console WSUS. Il y aura donc 1 GPO pour placer les postes dans "Postes" et 1 GPO pour placer les serveurs dans "Serveur"

ciblage coté client wsus
Le nom doit être identique au nom du groupe créé dans WSUS.

Maintenant sur les postes vous pouvez exécuter ces commandes pour accélérer la détection :

  • gpupdate /force (on applique la GPO)
  • wuauclt /detectnow (on force la détection dans Wsus)
  • wuauclt /reportnow (on indique à WSUS les mises à jour manquantes)

Cette partie est terminée. On va passé maintenant à la configuration des mises à jour. Comment peut t'on lancer le téléchargement automatiquement ? Savoir quels sont les mises à jour à installer ?

Etape 6 - Gestion des mises à jour

Par défaut les mises à jour WSUS ne sont pas téléchargées automatiquement. Elles apparaissent bien dans la console mais c'est à l'administrateur système de choisir.

Il est possible de programmer le téléchargement grâce au menu "Approbations Automatiques".

options approbations automatique

Nous allons définir une nouvelle règle.

Vous remarquerez que j'ai bien choisi la classification "Windows 10" (tout court)

Cette règle va donc télécharger les mises à jour pour Windows 10, Windows7 et Windows 8.1 pour le groupe "Postes".

Pour les serveurs je trouve que c'est plus intéressant de gérer ça manuellement.

D'ailleurs si vous souhaitez connaître les mises à jour nécessaire vous pouvez modifier les filtres dans le listing des mises à jour :

wsus mise à jour nécéssaire
ici on filtre uniquement les mises à jour nécéssaires aux postes du parc informatique.

Il suffit de faire un clic-droit puis de faire approuver et de sélectionner le groupe d'ordinateurs.

approuver mise à jour wsus
En approuvant la mise à jour vous déclencher le téléchargement depuis Microsoft Update ! Attention donc à votre bande passante !
La règle d'approbation automatique permet de déclencher le téléchargement des mises à jour depuis Microsoft Update en même temps que la synchronisation de la nuit ! Ainsi vous ne polluer pas votre bande passante pendant les heures de travail.

Etape 5 - Optimisation du serveur WSUS

L'erreur de connexion : Réinitialiser le Noeud du serveur

De base votre serveur WSUS va utiliser au maximum 1,8 GO de mémoire. Sauf qu'en cas d'utilisation bien supérieure vous vous retrouvez avec ce genre de message :

wsus erreur de noeud

Nous allons donc modifier un paramètre dans le serveur IIS (il est installé au moment où vous installez votre serveur WSUS)

Modification de la configuration IIS

Ouvrez le menu "Outils D'administration" puis cherchez le raccourci "Gestionnaire des services Internet (IIS)"

gestionnaire des services internet iis

Ensuite il faut déplier le menu à gauche où se trouve le nom de votre serveur puis allez dans "Pools d'applications" et enfin "WsusPool"

wsuspool accès au menu

 

A tout à droite dans les menus cliquez sur "Recyclage" :

menus recyclage iis

Il faut maintenant modifier le paramétrage "Utilisation de la mémoire privée (en Ko)"

De base vous avez 1843200 Ko , soit vous mettez une valeur plus importante. Soit vous mettez illimité, valeur 0

Personnellement j'ai mis 0 en valeur et je n'ai plus de problèmes.

modification des paramétrages du recyclage pour le pool d'applications

Ensuite dans le menu de droite cliquez sur "recycler"

recycler pool applications

Normalement avec ça votre serveur WSUS devrait être plus performant et éviter les pertes de connexion.

La console devrait également moins "buguer".

Etape 6 - Maintenance du serveur WSUS

Mettre en place un serveur WSUS c'est bien, mais le maintenir c'est encore mieux ! En effet au fil du temps le stockage des mises à jour va exploser.

Heureusement WSUS permet de faire un peu de nettoyage et donc de supprimer les mises à jour dépassées et inutiles (car remplacées par des nouvelles).

D'autre part vous remarquerez que Microsoft publie des mises à jour "Cumulative" ce qui évite de télécharger plein de petite mises à jour.

Je vous conseille de faire le ménage au moins une fois par mois sur votre serveur WSUS. Voici comment procédé :

Dans les barres "Titres" faire un clic-droit et cocher "Remplacement" pour afficher les mises à jours qui sont remplacées 

configuration filtre de Wsus
Grâce à ce filtre on va pouvoir classer les mises à jour qui sont remplacées.

Le filtre apporte une nouvelle icône

icone remplacement wsus

Il y a 3 icônes :

icône mise à jour nouvelle Cet icône signifie que la mise à jour remplace d'autres mises à jour. Il est donc nécessaire de l'approuver

mise à jour remplacée dans wsusL'icône avec un carré bleu au milieu signifie que la mise à jour est remplacée par une autre. Vous pouvez donc la refuser pour qu'elle puisse être supprimée.

mise à jour remplacée 2 Même signification qu'au dessus,  elle est remplacée donc on peut la refuser également

Sélectionner  "Toutes les mises à jour" puis régler le filtre sur "Toutes les exceptions" et état sur "Toutes" dans la barre de filtrage vous allez avoir la liste de toutes les mises à jour que votre WSUS a synchronisé.

Grâce au tri vous pouvez sélectionner toutes les mises à jour remplacées, faire un clic-droit puis les refuser.

La dernière étape consiste à aller dans le menu "Options" puis de choisir "Assistant de Nettoyage serveur"

Assistant Nettoyage Wsus
Faire Suivant, Suivant et la suppression des mises à jour refuser démarre.

C'est terminé pour la maintenance WSUS.

Grâce à ce tutoriel vous savez Installer, Configurer , et maintenir un serveur WSUS au sein de votre entreprise. C'est pas beau ça ?

Pour les tout petits parcs j'ai réalisé un tutoriel sur WSUS OFFLINE qui est beaucoup plus simple.

Besoin d'aide ? de suggestions ? n'hésitez pas à utiliser le fil de commentaires.

 

 

3 commentaires

  1. Quelles ressources avez vous attribuées à votre serveur ? (qté de ram)
    de mon côté depuis cette manipulation je n’ai plus de problèmes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *