jeu. Août 21st, 2025

WSUS

By Yanis 3 mois ago

Pourquoi mettre en place un serveur de mise à jour dans un domaine ?

Mettre en place un serveur de mise à jour dans un domaine permet de simplifier la gestion des mises à jour, d’optimiser l’utilisation des ressources réseau, de renforcer la sécurité, et de garantir une meilleure stabilité pour l’ensemble des systèmes du domaine.

Quel est le serveur de mise à jour de Microsoft et quels sont les prérequis ?

Serveur concerné : WSUS (Windows Server Update Services)

Prérequis matériels :

  • Processeur : 1,4 GHz ou plus recommandé.
  • Mémoire : Minimum 2 Go de RAM (4 Go ou plus recommandés).
  • Espace disque : 30 Go d’espace libre (varie selon le volume de mises à jour et le nombre de clients).
  • Connexion réseau : Stable, pour télécharger les mises à jour depuis Microsoft et les distribuer aux clients internes.

Prérequis logiciels :

WSUS est disponible sur les systèmes suivants :

  • Windows Server 2012 / 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Gestion des mises à jour via WSUS

WSUS permet de centraliser la gestion des mises à jour des systèmes d’exploitation et des applications Microsoft. Grâce à l’approbation manuelle des mises à jour, la création de groupes d’ordinateurs, et des rapports détaillés, WSUS offre un contrôle précis du déploiement, limitant ainsi les risques d’interruption pour les utilisateurs.

Gestion de WSUS dans une architecture multisite

Dans un environnement multisite, WSUS peut être déployé avec des serveurs relais sur chaque site distant, réduisant la bande passante utilisée et garantissant une distribution plus rapide et fiable. La gestion reste centralisée depuis le site principal.

Utilitaires : WSUSutil, Wuauclt, USOClient

WSUSutil

Utilitaire en ligne de commande pour l’administration de WSUS.

Fonctions principales :

  • Forcer la synchronisation avec Microsoft Update.
  • Nettoyer la base de données WSUS.
  • Réinitialiser la base de données en cas de corruption.
  • Exporter / importer la configuration WSUS.

Wuauclt

Ancien outil ligne de commande pour les clients Windows (jusqu’à Windows 7/8/10).

Fonctions principales :

  • Rechercher immédiatement des mises à jour.
  • Forcer l’installation.
  • Envoyer un rapport d’état au serveur WSUS.

USOClient

Remplaçant moderne de wuauclt pour Windows 10 et plus.

Fonctions principales :

  • Lancer la recherche ou l’installation de mises à jour.
  • Vérifier l’état ou réinitialiser le processus de mise à jour.
  • Orchestration automatique via le service de mise à jour de Windows.

Gestion WSUS avec PowerShell

PowerShell permet une gestion automatisée et plus fine de WSUS. Voici quelques cmdlets utiles :

  • Get-WsusServer : Connexion au serveur WSUS.
  • Get-WsusUpdate : Liste des mises à jour disponibles.
  • Approve-WsusUpdate : Approuver/désapprouver une mise à jour.
  • Get-WsusComputerTargetGroup : Voir les groupes d’ordinateurs.
  • New-WsusComputerTargetGroup : Créer un groupe d’ordinateurs.
  • Get-WsusComputer : Lister les ordinateurs WSUS.
  • Invoke-WsusServerSynchronization : Forcer la synchronisation.
  • Invoke-WsusServerCleanup : Nettoyer les fichiers/mises à jour obsolètes.

Alternatives Microsoft à WSUS

Microsoft Endpoint Configuration Manager (MECM / anciennement SCCM)

Avantages :

  • Gestion centralisée des mises à jour, applications et configurations.
  • Déploiement de logiciels.
  • Rapports avancés.
  • Inventaire matériel/logiciel.

Windows Update for Business (WUfB)

Avantages :

  • Contrôle des périodes de mise à jour.
  • Groupes de test avant déploiement global.
  • Intégration avec Intune.
  • Délais de déploiement personnalisables.

Microsoft Intune

Avantages :

  • Gestion des appareils et mises à jour dans le cloud.
  • Application de stratégies de sécurité et de configuration.
  • Rapports centralisés.
  • Support multiplateforme (Windows, iOS, Android).

Alternatives Non-Microsoft

ManageEngine Patch Manager Plus

Avantages :

  • Prise en charge Windows, macOS, Linux et logiciels tiers.
  • Interface intuitive.
  • Rapports avancés.

SolarWinds Patch Manager

Avantages :

  • Mises à jour automatiques.
  • Support des logiciels tiers (Adobe, Java…).
  • Rapports et alertes détaillés.

PDQ Deploy

Avantages :

  • Facilité d’utilisation.
  • Déploiement de mises à jour et logiciels tiers.
  • Rapports complets.

Chef / Puppet

Avantages :

  • Outils d’automatisation multi-plateformes (Linux, Windows, macOS).
  • Gestion centralisée de l’infrastructure.
  • Automatisation des configurations et des mises à jour.

Environnement :

  • Serveur contrôleur de domaine
  • Serveur WSUS
  • Poste client, le tout virtualisé sous Hyper-V

Installation et configuration du serveur WSUS dans le domaine

  • Aller dans Outils > Ajouter des rôles et fonctionnalités

Cocher le rôle « Services WSUS (Windows Server Update Services) » puis Suivant

Cocher « WID Connectivity et WSUS Services »

Choisissez un chemin d’accès pour Stocker vos MAJ, dans mon cas j’ai choisi C:\WSUS

De retour sur le tableau de bord, à gauche dans le menu, on peut voir « WSUS » avec un panneau d’avertissement jaune « ! ».

Cliquez sur le petit drapeau, puis lancez les tâches de post-installation.

Maintenant, on va démarrer le service WSUS.

Cliquez gauche sur le bouton Windows en bas à gauche de votre écran, recherchez le menu « Outils d’administration Windows », puis lancez le service WSUS.

Configuration du serveur WSUS

  • Nous arrivons sur l’assistant de configuration WSUS (WSUS Configuration Wizard).
  • Sur la première page, cliquez sur Next.

Décochez la petite case pour ne pas participer au programme Windows Update, puis cliquez sur Next.

Sur cette page, vous avez le choix entre synchroniser avec Windows Update ou avec un autre serveur. Nous allons rester sur le premier choix, puis cliquez sur Next.

Ici, on ne touche à rien, il suffit de cliquer sur Next. Nous n’avons pas de proxy actuellement.

Faites Start Connecting pour que notre serveur WSUS se connecte à Microsoft.

Puis, patientez pendant le chargement (cela peut prendre plus de 20 minutes).

Sélectionnez le ou les langages que vous souhaitez. J’ai choisi uniquement français (FR).

Sélectionnez les produits pour lesquels votre serveur WSUS va gérer les mises à jour. Pour l’instant, nous allons laisser uniquement « Windows 10, version 1903 and later ».

Nous voilà dans la section Classification. Maintenant, nous allons choisir les types de mises à jour à synchroniser. Pour ma part, je vais sélectionner uniquement les quatre principales catégories.

Maintenant, nous sommes à la page des synchronisations, qui va permettre la recherche des mises à jour.

Nous ne resterons pas en mode manuel.

Nous allons passer en synchronisation automatique.

On peut choisir la fréquence de recherche des mises à jour par jour, on la laisse à 1 fois par jour, ce qui est suffisant.

Voila c’est fini pour la configuration maintenant place à la console WSUS.

Prise en main de la console WSUS

  • Nous voici dans la console WSUS. Dans le menu de gauche, déroulez votre serveur SERV_WSUS et patientez pendant la synchronisation du serveur (compter environ 1 heure).
  • Profitez-en pour continuer la procédure.
  • All Updates : Toutes les mises à jour
  • Critical Updates : Les mises à jour critiques
  • Security Updates : Les mises à jour de sécurité
  • WSUS Updates : Les mises à jour WSUS
  • Ouvrez la console WSUS
  • Cliquez sur « Options » à gauche
  • Cliquez sur « Computers » / « Ordinateurs » à droite
  • Cochez l’option « Use Group Policy or registry settings on computers » / « Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs »
  • Validez

Créer des groupes d’ordinateurs dans WSUS

  • Sur votre console WSUS, dans Computers > Tous les ordinateurs faits un clic droit et Add Computer Group, et rajouter un groupe PC (pour vos Clients) et une autre groupe Serveurs (Pour vos Serveurs).

Voilà vos groupes dans le serveur WSUS sont prêt.

Lier les PC et les serveurs à WSUS via une GPO

  • Retournez sur votre serveur Active Directory, puis ouvrez Outils et sélectionnez Gestion de stratégie de groupe.

Créez une nouvelle GPO dans votre domaine : dans Objets de stratégie de groupe, faites un clic droit à droite puis cliquez sur Nouveau.

Pour ma part, j’ai nommé cette GPO WSUS – Paramètres communs.

Pour gagner du temps, créez deux nouvelles GPO au même endroit : une nommée WSUS – Serveur et une autre WSUS – PC. Vous devriez ainsi avoir les mêmes GPO que moi. (Ne faites pas attention à mes autres GPO).

Maintenant, faites un clic droit sur WSUS – Paramètres communs > Modifier.

Allez dans Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Update.

Vous devriez voir un écran similaire à celui présenté dans la capture d’écran ci-dessous.

Maintenant, nous allons modifier 3 paramètres ici.

Modifiez le paramètre Spécifier l’emplacement intranet du service de mise à jour Microsoft.

Cochez Activé.

Dans les options Configurer le service de mise à jour pour la détection des mises à jour, indiquez l’adresse de votre serveur WSUS, par exemple :
http://le_nom_de_votre_serveur_Wsus.Votre_domaine:8530
Pour ma part, cela donne : http://SERV_WSUS.TP.local:8530

Renseignez la même adresse dans la case en dessous.

Pour la section Select the proxy, choisissez la dernière option : Utiliser uniquement le proxy système.

  • Maintenant on passe au deuxième fichier à modifier « Configuration du service Mises à jour automatique »
  • On coche Activé
  • Dans les options « Configuration de la mise à jour automatique : « 4 – téléchargement automatique.. »

Voici le dernier paramètre à modifier : Ne pas se connecter à des emplacements Internet Windows Update.

Cochez simplement la case Activé.

GPO WSUS-PC

  • Notre GPO est prête, maintenant nous allons modifier la GPO WSUS – PC.
  • Retournez dans la Gestion des stratégies de groupe > Objet de stratégie de groupe.
  • Retrouvez les 3 GPO que nous avons créés, puis modifiez la GPO WSUS – PC.
  • On retourne dans Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Update
  • On va modifier Autoriser le ciblage côté client
  • On coche la case Activé
  • Dans les Options : « Nom du groupe cible » on va mettre PC vu que ça sera pour nos clients.
  • Maintenant on va modifier le fichier « Désactiver le redémarrage automatique pour les mises à jour pendant les heures d’activité »
  • On coche la case Activé
  • Dans les Options, définir une plage horaire de 07h00 à 19h00 sur les postes de travail :

WSUS – SERVEUR

  • Nous allons modifier la GPO WSUS – SERVEUR.
  • Retournez dans la Gestion des stratégies de groupe > Objet de stratégie de groupe.
  • Retrouvez les 3 GPO que nous avons créés, puis modifiez la GPO WSUS – SERVEUR.

Retournez dans Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows Update.

Modifiez la stratégie Autoriser le ciblage côté client.

Cochez la case Activé.

Dans les options, pour Nom du groupe cible, saisissez PC puisque cela concerne nos clients.

  • Maintenant on va modifier le fichier « Désactiver le redémarrage automatique pour les mises à jour pendant les heures d’activité »
  • On coche la case Activé
  • Dans les Options, définir une plage horaire de 07h00 à 19h00 sur les postes de travail :

Voilà vos 3 GPO créer.

Création d’unités d’organisation

  • Toujours sur le serveur AD, allez dans Outils > Gestion des stratégies de groupe.
  • Sélectionnez votre domaine, pour moi ce sera TP.local, puis faites un clic droit.
  • Créez deux unités d’organisation : PC et SERVEURS.

GPO Serveurs

  • Toujours sur notre serveur AD, allez dans Outils > Gestion des stratégies de groupe.
  • Faites un clic droit sur l’unité d’organisation SERVEURS puis sélectionnez Lier un objet de stratégie de groupe existant.

Vous allez devoir sélectionner les GPO à appliquer à votre unité d’organisation.

Pour les serveurs, sélectionnez les deux GPO : WSUS – Serveurs et WSUS – Paramètres communs.

Petit rappel : vous pouvez sélectionner plusieurs GPO en même temps en maintenant la touche CTRL enfoncé.

GPO PC

Un clic droit sur PC « Lier un objet de stratégie de groupe existant »

Vous allez devoir sélectionner les GPO à appliquer dans votre unité d’organisation.

Pour les PC, sélectionnez les deux GPO : « WSUS – PC » et « WSUS – Paramètres communs ».

Voila nos GPO sont prêtes.

Organisation des Clients et Serveurs

  • Retournez sur le tableau de bord de votre serveur AD.
  • Allez dans Outils > Utilisateurs et ordinateurs Active Directory.
  • Dans le dossier Computers ou Domain Controllers, vous verrez à droite les clients et serveurs.
  • De mon côté, on peut voir mon client nommé « DESKTOP-3SOAMI5 » (oui, j’ai oublié de changer le nom de l’ordinateur).
  • Sélectionnez le client, faites un clic droit puis Déplacer, et placez-le dans notre unité d’organisation PC.

Si vous avez également votre serveur visible, faites la même manipulation que pour le client, mais cette fois en le déplaçant dans l’unité d’organisation SERVEURS.

Voilà, vos clients et serveurs sont désormais bien organisés dans leurs unités respectives.

Configuration du client

  • Passez sur votre poste client.
  • Faites Windows + R, puis exécutez la commande : ncpa.cpl pour accéder aux connexions réseau.

Sélectionnez votre réseau « Ethernet » (ou le nom de votre interface réseau).

Cliquez sur Propriétés, puis double-cliquez sur Protocole Internet version 4 (TCP/IPv4).

Laissez l’attribution de l’adresse IP en automatique.

Pour les DNS, entrez l’adresse IP de votre serveur Active Directory (AD).

Validez les paramètres en cliquant sur OK puis Fermer.

  • Maintenant on va mettre à jour notre GPO sur notre client
  • Windows + R, on exécute la commande « cmd »

Puis on saisit la commande « gpupdate /force »

Finalisation : Apparition du client dans la console WSUS

  • Il nous reste une dernière étape pour que notre client apparaisse dans la console WSUS de notre serveur.
  • Dans la barre de recherche (en bas à gauche), tapez « Update ».
  • Vous devriez voir apparaître « Rechercher les mises à jour », puis ouvrez-le.

Lancer la détection des mises à jour

  • Vous voilà dans le menu Windows Update.
  • Cliquez sur « Rechercher des mises à jour ».
  • Si tout est correctement configuré, un message en rouge devrait apparaître :
    « Certains paramètres sont gérés par votre organisation. »
    Cela confirme que la stratégie de groupe WSUS est bien appliquée.

Nous pouvons maintenant retourner sur le serveur WSUS pour vérifier si le poste client apparaît bien dans la console.

Configuration des mises à jour sur le serveur WSUS

  • De retour sur votre serveur WSUS, ouvrez la console WSUS.
  • Une fois dans la console, dans le menu de gauche, développez « Computers » puis cliquez sur l’onglet « PC ».
  • Vous devriez voir apparaître votre poste client dans la liste.

On peut voir ici que mon client « DESKTOP-3SOAMI5.TP.local » apparaît bien dans la console.

On remarque également un petit triangle d’avertissement à gauche du nom de l’ordinateur, indiquant qu’une mise à jour est en attente.

Voici ce qui s’affiche lorsque je passe la souris dessus : (tu peux insérer une capture d’écran ici si nécessaire).

Mon client n’est donc pas à jour, il faut donc procéder à la mise à jour.

Pour cela, allez dans l’onglet « All Updates ».

Vous devriez voir s’afficher les mises à jour disponibles en attente d’approbation.

Faites un clic droit sur la mise à jour, puis sélectionnez « Approuver ».

Choisissez ensuite « Approuvé pour l’installation » pour votre client.

Vous verrez alors un message confirmant que l’approbation a bien été prise en compte.

Maintenant, il va falloir attendre que les mises à jour soient téléchargées sur votre serveur WSUS.

Faites un clic droit sur la barre d’en-tête « Title » et ajoutez l’option « File Status ».

Cela vous permettra de suivre l’avancement du téléchargement des mises à jour.

Normalement, un petit fichier apparaît à gauche de votre mise à jour.

Quand je passe ma souris dessus, il m’indique que l’installation est prête.

Maintenant, on va faire en sorte que les mises à jour soient approuvées automatiquement.

Dans votre console WSUS, cliquez sur Options, puis dans la partie centrale, cliquez sur Approbations automatiques.

Cochez la case qui active la règle pour que WSUS approuve automatiquement les mises à jour.

Voilà, votre client se mettra à jour automatiquement à l’heure que vous avez définie dans la GPO Client via WSUS.

Nettoyer notre WSUS des mises à jour expirées/obsolètes

  • Toujours dans la console WSUS,
  • Aller dans Options > Server Cleanup Wizard
  • Cocher les cases correspondant aux mises à jour inutiles à supprimer
Tags:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *