Procédure Windows Server Update (WSUS)

Procédure D’installation :

Ouvrez le Gestionnaire de serveur, cliquez sur “Gérer” puis “Ajouter des rôles et fonctionnalités“.

L’assistant s’exécute, cliquez sur “Suivant“. A l’écran suivant, laissez sélectionner “Installation basée
sur un rôle ou une fonctionnalité” et continuez.

Vous devez ensuite indiquer sur quel serveur vous souhaitez installer la fonctionnalité, ceci est dû au
fait que depuis Windows Server 2012 il est possible d’administrer un serveur à distance. Sélectionnez
votre serveur et cliquez sur “Suivant“.

JACQUIER Alexis 1
 Procédure Windows Server Update (WSUS)

Dans la liste des rôles, sélectionnez “Services WSUS” puis cliquez sur “Ajouter des fonctionnalités“,
pour que les dépendances nécessaires au bon fonctionnement de WSUS soient installées. Cliquez sur
“Suivant“.

Cliquez sur “Suivant“, l’assistant a sélectionné automatiquement les fonctionnalités nécessaires.

JACQUIER Alexis 2
 Procédure Windows Server Update (WSUS)

La partie de l’installation concernant spécifiquement WSUS commence, cliquez sur “Suivant“.

Laissez cocher “WSUS Services” puis ensuite sélectionnez soit la solution “WID Database” pour
utiliser la base de données interne à Windows pour stocker les informations, ou alors, “Base de
données” pour installer un véritable serveur de base de données SQL Server.

JACQUIER Alexis 3
 Procédure Windows Server Update (WSUS)

Indiquez un chemin vers un répertoire à utiliser pour stocker les mises à jour, (pensez à le créer
avant). Cliquez sur “Suivant“.

WSUS requiert un serveur web IIS, il faut donc procéder à son installation. Cliquez sur “Suivant” à

JACQUIER Alexis 4
 Procédure Windows Server Update (WSUS)

nouveau

Validez en cliquant sur “Suivant“.

Un résumé des composants qui vont être installés est présenté. Une fois que vous avez refait le tour
de tout, cliquez sur “Installer“.

JACQUIER Alexis 5
 Procédure Windows Server Update (WSUS)

Patientez quelques minutes…

Cliquez sur “Lancer les tâches de post-installation” pour initialiser la base de données de WSUS,
l’architecture de répertoire, son site dans IIS, etc..

JACQUIER Alexis 6
 Procédure Windows Server Update (WSUS)

Lorsque ce sera terminé vous le message suivant apparaitra : “Configuration terminée pour Services
WSUS (Windows Server Update Services) “. L’installation est désormais terminée, la prochaine étape
consiste à paramétrer WSUS.

Paramétrage :

Pour débuter le paramétrage du serveur il faut donc lancer la console d’administration du serveur
WSUS dans les Outils d’administration du service ou directement depuis écran d’accueil via une
tuile.

Lors du premier lancement de cette console, un assistant de configuration s’exécute. Comme

l’assistant l’indique, assurez-vous que vos clients puissent accéder à ce serveur sans être bloqué par
le pare-feu Windows, que ce serveur WSUS soit en mesure de télécharger les mises à jour sur
Microsoft Update ou un autre serveur WSUS source, et que, dans le cas de l’utilisation d’un proxy
que vous disposiez des informations nécessaires permettant l’accès à internet. Cliquez sur “Suivant“.

JACQUIER Alexis 7
 Procédure Windows Server Update (WSUS)

Choisissez de participer ou non au programme d’amélioration Microsoft Update. A préciser que si

vous acceptez, des informations sur votre parc informatique seront envoyées automatiquement.

Sélectionnez “Synchroniser à partir de Microsoft Update“, la seconde option est utile si vous
disposez déjà d’un serveur WSUS et que vous souhaitez que ce nouveau serveur télécharge les mises
à jour sur le serveur WSUS principal. Dans le cas d’un premier serveur, la première option doit être
forcément choisie.

JACQUIER Alexis 8
 Procédure Windows Server Update (WSUS)

Si votre serveur doit passer par un proxy pour accéder à internet, cochez la case et remplissez les
informations nécessaires à l’utilisation de votre proxy.(Ici le serveur IPCOP fournit un proxy, les
informations doivent donc être remplies) Cliquez sur “Suivant“.

Cliquez sur “Démarrer la connexion” si vous êtes sûr que votre serveur peut accéder à Microsoft
Update. Cela lui permettra de mettre à jour sa liste de produits pour lesquels il peut obtenir les mises
à jour, les types de mises à jour qu’il peut proposer et les langues disponibles.

JACQUIER Alexis 9
 Procédure Windows Server Update (WSUS)

Pour ne pas télécharger trop de mises à jour et ne pas encombrer votre serveur inutilement, il est
préférable de ne pas télécharger les mises à jour dans toutes les langues. Cliquez sur “Suivant“.

Ensuite, sélectionnez tous les produits pour lesquels vous souhaitez télécharger les mises à jour.
Vous trouverez de nombreux produits allant de Windows 2000 à Windows 8.1, en passant par Office
2013, SQL Server voir même Silverlight. Une fois que votre choix est fait, cliquez sur “Suivant” pour

JACQUIER Alexis 10
 Procédure Windows Server Update (WSUS)

continuer.

Vous pouvez choisir également les types de mises à jour à télécharger. Pour chaque cas, vous pouvez
cliquer sur la valeur pour savoir à quoi elle correspond vraiment. Les mises à jour critiques, de
sécurité et les Service Pack sont les plus importantes.

Le mieux étant de synchroniser régulièrement et automatiquement les mises à jour, choisissez

l’option “Synchroniser automatiquement“. Ensuite, effectuez cela quand bon vous semble sachant
que la bande passante sera mise à contribution s’il y a une synchronisation conséquente à effectuer
(notamment si vous ne la faites pas régulièrement). Cliquez sur “Suivant“.

JACQUIER Alexis 11
 Procédure Windows Server Update (WSUS)

Cochez la case “Commencer la synchronisation initiale” pour que WSUS effectue une première
synchronisation auprès des serveurs Microsoft Update. Cliquez sur “Terminer“.

La configuration du rôle est maintenant terminée, il faut donc passer à la gestion des mises a jour et
des ordinateurs.

Gestion des mises à jour :

Il faut savoir que WSUS synchronise les mises à jour pour donner la liste des mises à jour disponibles
selon les produits et les types de mises à jour que vous avez choisies. Cependant, ces mises à jour ne

JACQUIER Alexis 12
 Procédure Windows Server Update (WSUS)

sont pas téléchargées automatiquement dans la base du serveur, elles doivent être au préalable
approuvées. Une fois qu’elles sont approuvées, elles sont téléchargées automatiquement dans la
base de votre serveur WSUS et rendues disponibles pour les postes clients.

Organisation des mises à jour :

Exécutez la console WSUS afin d’accéder à la gestion du service. Dans le menu de gauche, cliquez sur
la flèche à gauche du nom de votre serveur (exemple : Serveur01) puis sur “Mises à jour“.
L’ensemble des mises à jour et du suivi des mises à jour se fait dans cette section. Vous pouvez voir
que par défaut plusieurs vues sont déjà présentes : Toutes les mises à jour, Mises à jour critiques,
Mises à jour de sécurité et Mises à jour WSUS.

Lorsque vous visualisez une vue si aucune mise à jour s’affiche, modifiez les filtres “Approbations” et
“État” présents dans la partie centrale, s’il y a toujours rien vérifiez que la synchronisation s’effectue
correctement.

Il est possible de créer des vues personnalisées, par exemple une vue qui afficherait toutes les mises
à jour concernant Windows 7 pour ça faites clic droit sur “Mises à jour” dans l’arborescence puis
“Nouvelle vue de mise à jour“.

Ensuite, cochez la case à côté de “Les mises à jour concernant un produit précis” puis,
dans l’étape 2 qui concerne la modification des propriétés sélectionnez uniquement le produit

JACQUIER Alexis 13
 Procédure Windows Server Update (WSUS)

“Windows Server 7” dans la liste. Ainsi, vous aurez une vue spéciale pour ce système
d’exploitation. Pour finir, donnez un nom à la vue. A vous de créer vos vues selon vos besoins
en mixant les différentes possibilités offertes par l’assistant.

Une fois la vue créée, elle apparaîtra dans la liste à la suite des vues déjà existantes.

Approbation des mises à jour :

Par défaut, WSUS n’approuve pas et ne télécharge pas les mises à jour automatiquement.
L’approbation manuelle de mise à jour s’effectue via l’utilisation des vues. Par exemple, si on se
positionne dans la vue “Toutes les mises à jour” et qu’on souhaite approuver une sélection de mises
à jour il faut : Sélectionnez les mises à jour, faire un clic droit sur la sélection puis cliquez sur
“Approuver…”

JACQUIER Alexis 14
 Procédure Windows Server Update (WSUS)

Ensuite, il faut indiquer pour quels ordinateurs vous souhaitez approuver ces mises à jour selon les
groupes que vous avez définis. Cliquez sur la flèche à gauche de “Tous les ordinateurs” et cliquez sur
“Approuvée pour l’installation” pour déclarer chacune des mises à jour sélectionnée comme
approuvée pour l’installation. Concernant le groupe “Ordinateurs non attribués” vous pouvez choisir
d’approuver ou non les mises à jour (voir même d’hériter des paramètres définis sur “Tous les
ordinateurs“), sachant que ce groupe ne devrait pas être utilisé puisqu’il est mieux de ranger les
clients par groupes. Cliquez sur “OK” pour valider une fois votre politique d’approbation définie pour
ces mises à jour.

Suite à la validation, WSUS modifie les paramètres d’approbations des mises à jour selon ce que vous
souhaitez. Cliquez sur “Fermer“.

JACQUIER Alexis 15
 Procédure Windows Server Update (WSUS)

Dans la console, un icône apparaît de chacune des mises à jour que vous venez d’approuver. Il
signifie que les mises à jour sont approuvées et en cours de téléchargement sur votre serveur WSUS.

Visualisation de l’état de la mise à jour :

En effectuant une légère modification au niveau de l’interface, il possible d’afficher l’état de chaque
mise à jour. Ceci dans le but de savoir si la mise à jour est en cours de téléchargement, téléchargée,
non approuvée, etc.. Affichez une des vues, faites clic droit dans la barre d’en-tête des colonnes et
cochez le champ “État du fichier“. Une colonne supplémentaire apparaît et vous permet désormais
de savoir facilement où vous en êtes avec chacune de vos mises à jour grâce aux différentes icônes.

Règles d’approbations automatiques :

Les approbations manuelles demandent beaucoup de temps de gestion, c’est pour cela qu’il
est possible de définir des règles d’approbations automatiques, c’est à dire que par exemple :
“Toutes les mises à jour de sécurité pour Windows Server 7 sont automatiquement
approuvées“. Ainsi, WSUS sera capable de s’autogérer selon ce que vous lui avez demandé.

Pour paramétrer les approbations automatiques, ouvrez votre console WSUS, cliquez sur
“Options” puis dans la partie centrale cliquez sur “Approbations automatiques“.

JACQUIER Alexis 16
 Procédure Windows Server Update (WSUS)

Une règle créée par défaut existe déjà mais n’est pas active. Si vous l’activez en cochant la case,
toutes les mises à jour critiques et toutes les mises à jour de sécurité seront automatiquement
approuvées et appliquées sur tous les ordinateurs.

Si cette règle ne vous convient pas, cliquez sur “Nouvelle règle” puis définissez en une qui
correspond à vos besoins, vos envies. Une fois la règle créée sélectionnez-la puis cliquez sur
“Exécuter la règle” pour que les mises à jour déjà synchronisées se voient appliquer vos paramètres.
Ainsi, si certaines ne sont pas encore approuvées mais qu’elles correspondent aux critères de votre
règle alors elles le deviendront.

La gestion des mises à jour est terminée passons à la gestion et configuration des ordinateurs.

JACQUIER Alexis 17
 Procédure Windows Server Update (WSUS)

Configuration des clients WSUS du domaine :

Afin de pouvoir gérer les mises à jours des postes via le serveur il convient de mettre en place une
gpo qui s’appliquera aux ordinateurs du domaine pour qu’ils utilisent le serveur WSUS local plutôt
que les serveurs Microsoft Windows Update.

Sur le contrôleur de domaine, accédez à la Console de gestion des stratégies de groupe disponible
dans les Outils d’administration. Créez une nouvelle stratégie ou insérez vos paramètres Windows
Update directement dans la GPO du domaine par défaut : “Default Domain Policy“. Une fois qu’elle
est créée, faites clic droit dessus puis “Modifier“.

Vous êtes désormais face aux dizaines de paramètres disponibles, suivez donc ce chemin :

Configuration Ordinateur > Stratégies > Modèles d’administration > Composants

Windows > Windows Update

Les paramètres concernant Windows Update sont accessibles ici, celui qui nous intéresse tout
particulièrement se nomme : “Spécifier l’emplacement intranet du service de mise à jour
Microsoft“. Double cliquez dessus pour le configurer.

JACQUIER Alexis 18
 Procédure Windows Server Update (WSUS)

Activez ce paramètre en cochant la case “Activé“. Au niveau des valeurs, indiquez l’URL de votre
serveur WSUS, par exemple : http://serveur01.ecoris.local:8530. Pourquoi une URL avec “http” ?
Tout simplement parce qu’on utilise le site IIS dédié à WSUS et on précise le port 8530 parce que ce
site écoute sur ce port.

JACQUIER Alexis 19
 Procédure Windows Server Update (WSUS)

Pour vous assurer que le port utilisé est le 8530, ouvrez la console de gestion IIS sur votre serveur
WSUS. Déroulez l’arborescence des sites jusqu’à trouver votre site WSUS et affichez les paramètres
avancés. Vous obtiendrez la fenêtre suivante qui vous donne les informations nécessaires

Note : ON peut également utiliser le HTTPS avec le port correspondant (8531)

Il ne restera plus qu’à appliquer la mise à jour sur les postes clients et à mettre à jour les stratégies
de groupe avec un gpupdate.

JACQUIER Alexis 20
 Procédure Windows Server Update (WSUS)

Gestion des ordinateurs :

WSUS offre la possibilité d’organiser les ordinateurs correspondant à des clients WSUS en
différents groupes, cela permet de gérer plus finement le service de mise à jour Microsoft.

Par exemple, on peut approuver une série de mises à jour uniquement pour un groupe
d’ordinateurs et non pour un autre. S’il n’y a pas énormément de machines sur le réseau, cela
peut être suffisant de créer deux groupes uniquement, un premier groupe pour les serveurs et
un second groupe pour les clients. Cela permettra entre autres de bien différencier les mises à
jour concernant les OS serveurs (Windows Server 2008 r2, Windows Server 2012, Windows
Server 2012 R2) et celles concernant les OS clients (Windows 7, Windows 8, Windows 8.1,
etc..).

Il est à noter qu’un utilisateur peut appartenir à un groupe ou même à plusieurs groupes en
même temps.

Chaque nouveau client WSUS détecté se positionnera dans le groupe par défaut nommé
“Ordinateurs non attribués“

Les ordinateurs qui apparaîtront dans ce groupe sont tous les ordinateurs sur laquelle la GPO
qui spécifie l’adresse du serveur WSUS à contacter est appliquée. A partir du moment où l’on
indique sur une machine qu’elle doit utiliser le serveur WSUS pour se mettre à jour, elle
devient officiellement client WSUS et doit être gérée côté serveur.

On peut donc créer des groupes afin de rendre la gestion plus facile, pour créer un nouveau
groupe, faites clic droit sur “Tous les ordinateurs” puis “Ajouter un groupe
d’ordinateurs“.

JACQUIER Alexis 21
 Procédure Windows Server Update (WSUS)

Donnez-lui un nom puis validez.

Une fois le groupe crée il faut attribuer les différents postes dans leur groupes.

JACQUIER Alexis 22
 Procédure Windows Server Update (WSUS)

Phase de test :

Afin de vérifier que l’installation fonctionne il convient de tester depuis un poste client bénéficiant
des services du serveur WSUS.

Rendez-vous donc sur un des postes client du serveur, puis clic sur “démarrer», «Panneau de
configuration», «Windows Update ».

Si aucune mises à jour est détectée, il faut cliquer sur « Rechercher des mises à jours ».

Une fois détectées les mises a jours sélectionné pour le type du poste seront téléchargé.

Pour vérifier simplement que le poste reçoit ses mise à jour depuis le serveur il suffit de vérifier que
la mention « Géré par votre administrateur système » est bien présente en face de la mention
« Vous recevez les mises à jour : »

JACQUIER Alexis 23