WSUS - Windows Server Update Services

Durée : 1 h 30

Pré-Requis : avoir des connaissances dans l'environnement Windows Server

Environnement de travail : Windows Server, Windows 10

Contexte

Lors de la mise à jour de vos postes clients et de vos serveurs dans une entreprise, il n'est pas concevable que la mise à jour impacte votre infrastructure, et encore moins les utilisateurs. Le serveur de récupération de mise à jour (WSUS) est utilisé dans ce but : il vous permet de centraliser l'ensemble des mises à jour sur un serveur dédié et de pouvoir, par la suite, les déployer sur votre infrastructure. Cette mise en œuvre n'est pas anodine et demande un temps de paramétrage.

L'outil de gestion des mises à jour WSUS permet de gérer, de déployer et, surtout, d'avoir un parc informatique à jour.

Le but de ce rôle, qui s'installe sur Windows Server (dans notre cas un Windows Server 2016), est d'aller chercher l'ensemble des mises à jour, que vous aurez ciblées au préalable, afin que les postes clients de votre parc informatique en bénéficient.

Dans le cas où vous prenez une infrastructure composée de 500 machines (clients et serveurs confondus), si tout le monde va au même moment chercher les mises à jour, vous allez rapidement vous rendre compte que cela devient un calvaire. Effectivement, votre bande passante va s'effondrer, le réseau deviendra très lent et tout le monde se plaindra de cette lenteur.

C'est pour cela que le serveur WSUS est là : au lieu d'avoir toutes les machines en connexion pour rechercher les mises à jour, ici, c'est uniquement le serveur WSUS qui va s'en charger et qui, par la suite, déploiera ces mises à jour, selon les paramétrages que vous allez définir.

Outre le fait d'avoir un réseau très lent, si tous les postes clients téléchargent les mises à jour au même moment, il y a aussi un autre facteur d'instabilité : le redémarrage de ces machines et, par conséquent, une perte de productivité de vos services qui devront attendre que leurs postes soient de nouveau disponibles (et une mise à jour à l'installation peut, parfois, être extrêmement longue).

Le serveur WSUS vous permettra de réaliser différentes tâches :

Un schéma permet de mieux comprendre comment cela fonctionne :

Attention

Avant tout déploiement de nouvelles mises à jour sur le réseau, il est important de passer par une phase de tests en labo. Effectivement, vous n'êtes pas à l'abri de tomber sur une mise à jour qui amène d'autres « bugs ». Pour cela, prenez le temps de tester cette mise à jour en labo, renseignez-vous auprès de différents forums, sources Microsoft et, après un temps que vous définirez (de 1 à 3 semaines par exemple), vous pourrez la diffuser sur votre parc informatique.

Installation du rôle WSUS

Nous allons, ici, mettre en place un serveur WSUS et le configurer.

Dans le cas de cette mise en œuvre, nous aurons un Serveur AD / DNS / DHCP installé en VM et un autre serveur qui sera destiné à recevoir le rôle WSUS.

Bien entendu, pour être plus proche du réel, ces deux serveurs seront dans un domaine. Une machine cliente sera ajoutée à celui-ci, afin de voir si le serveur WSUS fonctionne.

Il est important d'ajouter un disque dur à votre VM, ou bien de réserver un emplacement pour le stockage des mises à jour.

Rappel

Il est inutile d'acheter une licence Windows Server pour procéder à cette mise en œuvre, vous avez la possibilité de faire l'ensemble de ces manipulations durant les 180 jours d'utilisation que vous offre Microsoft.

N'oubliez pas que, pour tout serveur, une adresse IP doit être fixe.

Méthode

Étape 1 : ajout du rôle WSUS.

Étape 2 : sélectionnez votre serveur.

Faites « Suivant ».

Étape 3 : choisissez le rôle WSUS dans la liste qui vous est proposée et acceptez les ajouts de services qui vous seront proposés.

Étape 4 : faites « Suivant » pour l'ajout des fonctionnalités

Étape 5 : vérifiez les fonctionnalités Web Server (IIS)

Laissez la sélection de base et faites « Suivant ».

Étape 6 : vérifiez les choix par défaut pour la partie WSUS, puis faites « Suivant ».

Étape 7 : ajoutez l'emplacement destiné au stockage des mises à jour.

Étape 8 : finalisez l'installation (vous pouvez choisir de faire redémarrer le serveur par lui-même, si cela est nécessaire).

Étape 9 : fermez la fenêtre « Assistant d'Ajout des rôles et fonctionnalités ».

Configuration du WSUS

Nous allons, ici, configurer le rôle WSUS afin de le rendre actif et nous verrons, par la suite, comment le faire fonctionner convenablement.

Méthode

Étape 1 : en haut à droite, vous verrez un fanion avec un panneau jaune : cliquez dessus pour lancer les tâches de post-installation.

Attention

Il se peut que vous rencontriez une erreur, après avoir lancé l'installation. Ceci provient tout simplement d'une notion de droit sur l'emplacement de stockage. Pensez à vérifier que vous autorisez bien la modification et la création, à l'intérieur de ce dossier.

Méthode

Étape 2 : nous allons ouvrir l'outil de configuration WSUS, dans la partie « Outils » de Windows Server.

Étape 3 : lisez bien les recommandations, avant de faire « Suivant ».

Étape 4 : vous pouvez décocher la participation au programme d'amélioration pour cette mise en œuvre.

Faites « Suivant ».

Étape 5 : ici, vous allez choisir la synchronisation via le « Serveur Microsoft Update ».

Faites « Suivant ».

Étape 6 : proxy : si vous en avez un, vous renseignerez ici les informations, sinon faites « Suivant ».

Étape 7 : téléchargement des fichiers de configuration.

Cliquez sur « Démarrer la connexion » et patientez pendant le chargement (ceci peut prendre un certain temps).

Étape 8 : le démarrage effectué, faites « Suivant ».

Étape 9 : sélection du téléchargement des mises à jour, selon les langues dont vous avez besoin. Ici, nous laisserons par défaut « Anglais et Français ».

Faites « Suivant ».

Étape 10 : choix des produits qui seront à télécharger.

En fonction de votre infrastructure, vous aurez plusieurs choix possibles.

Faites « Suivant » une fois vos besoins sélectionnés.

Étape 11 : choisissez le type de mises à jour que vous souhaitez.

Faites « Suivant ».

Étape 12 : vous pouvez choisir ici le paramétrage manuel ou automatique, pour la synchronisation avec le serveur update.

Dans le cadre du test, nous prendrons une synchronisation automatique avec une heure « test ».

Une fois ceci effectué, faites « Suivant ».

Étape 13 : cliquez sur « Commencer la synchronisation initiale » et faites « Suivant ».

Étape 14 : cliquez sur « Terminer ».

Votre fenêtre se fermera et une autre s'ouvrira ensuite, comme ci-dessous.

Étape 15 : récapitulatif des mises à jour en temps réel.

Vous allez apercevoir, pendant le chargement des mises à jour, des alertes concernant le retour du serveur Windows Update.

Attention

Lors de la première synchronisation du serveur WSUS et du serveur Windows Update, il se peut que plusieurs heures s'écoulent. Ceci dépend de votre configuration et de votre connexion internet. Soyez patient.

Déploiement des mises à jour sur des postes clients

Une fois l'ensemble des mises à jour synchronisées, le serveur WSUS va pouvoir déployer ces mises à jour sur des postes clients ou des serveurs.

Pour cela, nous allons mettre en place une GPO, qui sera déployée sur les postes concernés, indiquant que le poste client ne doit plus aller chercher les mises à jour directement sur internet, mais sur le serveur WSUS.

Ici, nous allons mettre en place une GPO et paramétrer le déploiement sur le serveur WSUS.

Méthode

Étape 1 : création du groupe d'ordinateurs dans le serveur WSUS.

Étape 2 : attribuez un nom à votre groupe d'ordinateurs.

Faites « Ajouter ».

Étape 3 : ouvrez ensuite la section « Options » puis « Ordinateurs ».

Étape 4 : sélectionnez « Utiliser les paramètres de stratégie de groupe... » puis « Appliquer », et enfin « OK ».

Étape 5 : nous allons maintenant nous rendre sur le serveur AD et mettre en place la GPO. Ouvrez le « Gestionnaire de stratégie de groupe ».

Étape 6 : création de la GPO dans l'UO « Test_WSUS ».

Étape 7 : nommez votre GPO avec un nom caractéristique, de manière que l'on se rappelle à quoi cette GPO correspond.

Étape 8 : modification de la GPO nouvellement créée.

Étape 9 : nous allons choisir la GPO « Configuration du service de Mises à jour automatiques » afin de spécifier le serveur WSUS.

Vous trouvez cette GPO dans :

« Configuration Ordinateur » → « Stratégie »> « Modèle Administration » → « Composant Windows » → « Windows Update »→ « Configuration du service de Mises à jour automatiques »

Étape 10 : double-cliquez dessus pour apporter la modification.

Vous allez pouvoir modifier le type de téléchargement, et l'horaire des mises à jour.

Faites « Appliquer » et « Ok ».

Étape 11 : passez ensuite à la GPO « Spécifier l'emplacement intranet du service de mise à jour Microsoft », qui correspond à l'emplacement de votre serveur WSUS.

Étape 12 : nous allons maintenant spécifier le groupe d'ordinateurs concerné. Il s'agit du nom du groupe d'ordinateurs que vous avez spécifié sur le serveur WSUS.

Cliquez sur « Autoriser le ciblage côté client ».

Étape 13 : une fois ces GPO activées, fermez le tout et démarrez le poste client.

Ouvrez un terminal et tapez « gpudate /force » pour forcer l'implémentation des GPO sur ce poste.

Si vous souhaitez voir le résultat : gpresult /r

Vous verrez votre GPO nommée « WSUS »

Étape 14 : nous allons retourner sur le serveur WSUS et voir les mises à jour que nous allons approuver pour le déploiement.

Ouvrez le « Panneau de gestion des mises à jour » WSUS.

Étape 15 : la liste des mises à jour en attente d'approbation se charge et vous allez pouvoir sélectionner vous-même celles que vous approuvez, pour ensuite pouvoir les déployer sur les postes clients ou les serveurs.

Étape 16 : pour approuver une mise à jour, il vous suffira de faire un clic-droit, puis « Approuver ».

Étape 17 : vous allez pouvoir sélectionner le groupe d'ordinateurs que vous avez créé. Dès l'approbation d'une mise à jour, celle-ci se téléchargera.

Étape 18 : rapport de l'approbation

Il est possible de faire une approbation automatique de l'ensemble des mises à jour qui vous sont proposées.

Rendez-vous dans « Options » → « Approbations automatiques ».

Attention

Une mise à jour peut-être approuvée ou bien refusée. Si vous installez votre serveur WSUS et que vous avez un bon nombre de mises à jour, il se peut que celles-ci soient obsolètes. Faites le tri et renseignez-vous avant de déployer n'importe quoi.

Après avoir terminé l'ensemble de ces étapes, il ne vous reste plus qu'à faire le test sur votre poste client. En fonction des heures que vous avez planifiées, le poste client déclenche la mise à jour.

Vu le nombre de mises à jour qui vont être cataloguées dès le départ, il est important pour vous d'être en mesure de choisir celles qui seront d'actualité.

Console WSUS

Depuis les « Services WSUS », vous allez pouvoir obtenir un rapport détaillé de l'ensemble des actions qui seront réalisées, mais aussi celles que vous allez devoir faire.

Sur le panneau principal, vous avez deux grandes catégories :

Ces deux sections vont déjà vous apporter une batterie d'informations sur les ordinateurs qui sont à jour ou non, mais aussi sur ceux que vous allez devoir mettre à jour en urgence. N'oubliez pas qu'une infrastructure à jour améliore son niveau de sécurité et, par conséquent, réduit les risques.

La partie dite « Rapport », vous fera part de l'ensemble des interactions qu'il y a eu avec le serveur, que ce soit du serveur WSUS vers le serveur de Windows Update ou de ses clients vers le serveur WSUS. Ce sont les logs de votre serveur. D'ici, vous allez avoir des informations précieuses, surtout en cas de problème de connectivité ou même de déploiement sur l'infrastructure.

Attention

Il se peut que vous rencontriez des problèmes de connectivité au nœud. Une erreur apparaît vous demandant de reconnecter le nœud pour poursuivre la synchronisation.

Ce problème est bien connu, et une solution existe. Néanmoins, n'oubliez pas que vous êtes sur des machines ne disposant pas des capacités que peut offrir un serveur physique. Du coup, le problème peut persister, à cause des soucis de ressources et de latences. Soyez patient.

Vous pouvez consulter les solutions proposées, vers ce lien :

IT-CONNECT