Après l’installation du serveur WSUS, place à sa configuration. Les étapes sont nombreuses et chacune d’entre elle est importante pour bien paramétrer le serveur WSUS.

 

Configuration réseau pour WSUS

1. Vérifier que le serveur WSUS ait un accès internet à Microsoft Update.

2. Si un proxy internet est en place, celui-ci doit autoriser les domaines suivants pour le serveur WSUS (ports 80 et 443) :

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • http://download.microsoft.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com
  • http://go.microsoft.com

3. Vérifier que le pare-feu (Windows ou logiciel dédié) du serveur WSUS autorise les postes clients à s’y connecter (ports 8530 et 8531 pour Windows Update Agent des postes clients).

 

Configurer le serveur Windows Server Update Services

1. Ouvrir les Outils d’administration de Windows pour trouver « Services WSUS (Windows Server Update Services) » .

tutoriel WSUS Windows Server Update Services

2. A l’étape « Choisir le serveur en amont » , laisser par défaut « Synchroniser à partir de Microsoft Update » sauf si ce serveur WSUS dépend d’un autre WSUS.

tutoriel WSUS Windows Server Update Services

3. Si nécessaire, indiquer les informations de connexion au proxy de l’entreprise.

tutoriel WSUS Windows Server Update Services

4. A l’écran suivant, cliquer sur « Démarrer la connexion » pour mettre à jour la base de mises à jour de WSUS et prendre en compte les derniers paquets disponibles sur les serveurs Microsoft Update. Cette recherche peut durer un moment.

tutoriel WSUS Windows Server Update Services

5. Laisser terminer la recherche de connexion et cliquer sur Suivant seulement une fois que le bouton « Arrêter la connexion » soit grisé et que la barre verte soit complète.

tutoriel WSUS Windows Server Update Services

6. Sélectionner les langues concernées par les mises à jour, par défaut Anglais et Français.

tutoriel WSUS Windows Server Update Services

7. Sélectionner les produits pour lesquels WSUS va gérer les mises à jour (cette liste pourra être modifiée ultérieurement).

tutoriel WSUS Windows Server Update Services

8. Sélectionner le type de mises à jour : Service Pack, pilotes (drivers), mises à jour critiques, etc.

tutoriel WSUS Windows Server Update Services

9. Il est plus logique d’automatiser la recherche de nouvelles mises à jour sur Microsoft Update. Demander de Synchroniser automatiquement, par exemple ici chaque jour à 3h00 du matin.

tutoriel WSUS Windows Server Update Services

10. Cocher « Commencer la synchronisation initiale » pour récupérer tous les paquets de Microsoft Update.

 

Créer un groupe de clients « test » des mises à jour

Microsoft recommande de définir quelques postes qui seront les premiers à recevoir les mises à jour de WSUS, pour les valider avant de les déployer sur tout le parc. Il est conseillé d’avoir au moins un exemple de chaque OS (Windows 7, Windows 10, Windows Server 2012 R2, etc).

1. Ouvrir l’interface de gestion de WSUS « Services WSUS (Windows Server Update Services) » (wsus.msc).

2. Dérouler le menu de gauche : Update Services, ServeurWSUS, Ordinateurs, Tous les ordinateurs.

tutoriel WSUS Windows Server Update Services

3. A droite, dans Actions, cliquer sur Ajouter un groupe d’ordinateurs.

4. Donner un nom à ce groupe, par exemple Laptops, Workstations, Servers.

5. La recherche des ordinateurs du parc peut prendre du temps (peut-être une nuit). Déplacer les ordinateurs de « Ordinateurs non attribués » vers les groupes créés.

 

Valider les mises à jour WSUS à déployer

Les mises à jour ont été synchronisées avec Microsoft Update dans la première partie de ce tutoriel mais elles n’ont pas encore été approbées par le serveur WSUS pour les déployer sur le parc.

1. Depuis la console de gestion WSUS, dérouler Update Services, ServeurWSUS, Mises à jour. On y voit plusieurs groupes : Toutes les mises à jour, Mises à jour critiques, Mises à jour de sécurité et Mises à jour WSUS.

2. L’écran principal affiche une vue sur les mises à jour :

tutoriel WSUS Windows Server Update Services

3. Entrer dans une des quatre vues, sélectionner les mises à jour à valider et faire un clic droit, Approuver.

tutoriel WSUS Windows Server Update Services

Si l’écran reste vide, il faut changer le filtre « Etat : Toutes » pour tout afficher.

tutoriel WSUS Windows Server Update Services

 

Organiser les mises à jour

Pour mieux organiser les mises à jour, on peut créer des vues par système d’exploitation.

1. Faire un clic droit sur Mises à jour, Nouvelle vue de mises à jour.

tutoriel WSUS Windows Server Update Services

 

2. Première étape, cocher « Les mises à jour concernent un produit précis » ; indiquer ensuite quel OS ou logiciel cela concerne ; donner un nom à cette vue, par exemple « MAJ W10 » pour ces mises à jour qui concernent Windows 10.

tutoriel WSUS Windows Server Update Services

3. Cette nouvelle vue va lister les mises à jour qui concernent les systèmes d’exploitation et/ou les logiciels concernés.

 

Approbation automatique des mises à jour

Pour laisser le serveur WSUS tourner seul et proposer automatiquement les nouvelles mises à jour au parc informatique, on peut configurer une approbation automatique des mises à jour.

1. Depuis la console de gestion WSUS, aller dans le menu Options.

2. Ouvrir Approbations automatiques.

3. Cocher la règle par défaut « Règle d’approbation automatique par défaut » et Appliquer.

4. Cliquer sur « Exécuter la règle » avant de fermer la fenêtre.

On peut aussi définir des paramètres particuliers, comme l’application automatique à un groupe « test » ou laisser un délai de quelques jours avant l’approbation automatique.

tutoriel WSUS Windows Server Update Services