dans ce post, je vais couvrir les étapes pour installer et configurer WSUS (Windows Server Update Services) sur Windows Server 2019. Ce guide devrait vous aider si vous décidez d’installer et de configurer WSUS à partir de zéro.
dans le passé, j’ai publié plusieurs articles sur WSUS. Cela inclut l’installation de WSUS et la configuration de WSUS. En plus de cela, j’ai également publié un article sur le dépannage WSUS., Depuis lors, j’utilise le Gestionnaire de Configuration et je n’ai jamais pris la peine de me concentrer sur WSUS.
Il y a quelques jours, un collègue m’a contacté et m’a demandé si je pouvais publier un article sur la configuration de WSUS sur Windows Server 2019. L’entreprise où il travaille utilise uniquement WSUS pour déployer les mises à jour sur les ordinateurs. Il cherchait donc un guide qui peut l’aider à configurer et à configurer WSUS à partir de zéro.
J’ai donc décidé de publier ce guide qui est exclusivement destiné aux administrateurs qui souhaitent installer et configurer WSUS pour gérer les mises à jour dans leur configuration., Je couvrirai également quelques bases du WSUS qui répondent aux questions de base et à l’importance du WSUS.
Cela fait assez longtemps que j’ai configuré quoi que ce soit dans WSUS. En effet, au moment où vous commencez à utiliser SCCM pour déployer des mises à jour, vous oubliez la console WSUS.
J’ai choisi Windows Server 2019 pour installer et configurer WSUS. Après Server 2012 R2, je crois que Server 2019 est une version stable. Je déteste Windows Server 2016 parce que j’ai passé beaucoup de temps à résoudre les problèmes de mise à jour windows., Pour moi, la plainte la plus importante est que les mises à jour ne s’installent pas correctement sur le serveur 2016.
Contenu
Ce sont des Mises à jour de Windows
commençons par quelques notions de base. Lorsque vous installez un système d’exploitation ou une image d’une machine, vous vous assurez toujours qu’elle est corrigée avec les dernières mises à jour. Pas seulement le système d’exploitation, mais presque tous les logiciels que nous utilisons doivent être constamment mis à jour.
les mises à jour Windows sont publiées pour corriger les bogues, résoudre les problèmes de sécurité dans le système d’exploitation et ajouter de nouvelles fonctionnalités au système d’exploitation., Les mises à jour Windows reposent sur le service Windows Update qui est configuré pour démarrer automatiquement par défaut.
Windows Update Service télécharge et installe automatiquement les mises à jour recommandées et importantes.
Les mises à jour Microsoft peuvent être classées dans les catégories suivantes :-
- mises à jour critiques
- mises à jour de sécurité
- mises à jour de définition
- pilotes
- cumuls de mise à jour
- Service Packs
- outils
- Packs de fonctionnalités
- mises à jour
Si vous beaucoup de nouvelles options sous Windows Update., Vous obtenez des options intéressantes telles que suspendre les mises à jour pendant 7 jours, modifier les heures actives pour l’installation des mises à jour. En plus de cela, il existe de nombreuses options utiles sous Options avancées. Lorsque vous aurez le temps, allez-y et explorez-les tous.
Introduction aux Services de mise à jour Windows Server
Les services de mise à jour Windows Server (WSUS) permettent aux administrateurs de déployer les dernières mises à jour de produits Microsoft. WSUS est un rôle de serveur Windows Server et lorsque vous l’installez, vous pouvez gérer et déployer efficacement les mises à jour.,
l’une des tâches les plus importantes des administrateurs système est de maintenir les ordinateurs clients et serveurs à jour avec les derniers correctifs logiciels et mises à jour de sécurité. Sans WSUS, il serait vraiment difficile de gérer le déploiement des mises à jour.
lorsque vous avez un seul serveur WSUS dans votre configuration, les mises à jour sont téléchargées directement à partir de Microsoft Update. Cependant, si vous installez plusieurs serveurs WSUS, vous pouvez configurer le serveur WSUS pour qu’il agisse en tant que source de mise à jour, également connue sous le nom de serveur en amont.,
plutôt que de laisser plusieurs ordinateurs télécharger les mises à jour directement à partir d’internet, vous pouvez configurer le serveur WSUS et pointer les clients pour télécharger toutes les mises à jour à partir d’un serveur WSUS. Avec cela, vous économisez votre bande passante Internet et accélérez également le processus de mise à jour Windows.
je peux beaucoup parler de WSUS mais commençons par installer WSUS.
configuration du laboratoire WSUS
tout d’abord, laissez-moi vous parler de la configuration du laboratoire WSUS. Je crois que la meilleure façon de maîtriser WSUS est de l’installer et de le configurer dans votre configuration de test ou de laboratoire en premier. Vous pouvez alors commencer à travailler dessus et essayer plusieurs choses.,
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
Server Name | Operating System | Roles |
CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
CORPWSUS.PRAJWAL.,LOCAL | Windows Server 2019 Datacenter | WSUS |
CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.,
configuration système WSUS
lorsque vous avez décidé d’implémenter WSUS dans votre configuration, vous devez d’abord examiner les exigences WSUS. Pour planifier votre déploiement WSUS, je vous recommande de lire cet article de Microsoft. Il couvre toutes les informations requises pour les exigences WSUS, les scénarios de déploiement, les considérations de performance, etc.
Cet article couvre la procédure d’installation des Services de mise à jour Windows Server à l’aide de la base de données interne Windows (WID).,
WSUS Firewall Ports/Exceptions
lorsque vous configurez WSUS server, il est important que le serveur se connecte à Microsoft update pour télécharger les mises à jour. S’il existe un pare-feu d’entreprise entre WSUS et Internet, vous devrez peut-être configurer ce pare-feu pour vous assurer que WSUS peut obtenir des mises à jour.
pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise le port 443 pour le protocole HTTPS., Vous devez autoriser L’accès Internet à partir de WSUS à la liste D’URL suivante:-
installer le rôle WSUS sur Windows Server 2019
Les étapes pour installer le rôle Windows Server Update Services (WSUS) sur Windows Server 2019 incluent: –
- connectez-vous au serveur Windows 2019 sur lequel vous prévoyez d’installer le rôle WSUS server à l’aide d’un compte membre du groupe Administrateurs locaux.
- dans le Gestionnaire de Serveur, cliquez sur Gérer et cliquez sur Ajouter des rôles et des fonctionnalités.
- Sur la page Avant de commencer, cliquez sur Suivant.,
- dans la page Sélectionner un type d’installation, sélectionnez L’option D’installation basée sur les rôles ou sur les fonctionnalités. Cliquez Sur Suivant.
sur la page de sélection du serveur, vérifiez le nom du serveur et cliquez sur Suivant.,
Rôles de Serveur Windows Server Update Services
Sur la page rôles de Serveur, sélectionnez le rôle « de Windows Server Update Services ». Vous devriez voir ajouter des fonctionnalités requises pour Windows Server Update Services box. Cliquez sur Ajouter des fonctionnalités, puis sur Suivant.,
sur la page Sélectionner les fonctionnalités, laissez les options par défaut et cliquez sur Suivant.
sur la page des services de mise à jour Windows Server, cliquez sur Suivant.
WSUS Database Type – Role Services
Vous devez sélectionner role services / Database type à installer Pour Windows Server Update services. Sélectionnez connectivité WID et Services WSUS. Cliquez Sur Suivant.,
WSUS Content Location
spécifiez un emplacement de contenu pour stocker les mises à jour. Je recommanderais de stocker les mises à jour sur un autre lecteur et non sur votre lecteur C:. La taille de ce dossier peut éventuellement augmenter et vous ne voulez pas que ce dossier réside sur le lecteur C:. Par conséquent, choisissez un lecteur séparé ou stockez les mises à jour sur le serveur distant.
Cliquez sur Suivant.,
Sur le Rôle de Serveur Web (IIS) de la page, cliquez sur Suivant.
Les services de rôle pour installer le serveur web (IIS) sont sélectionnés automatiquement. Ne changez rien ici et cliquez sur Suivant.
Une confirmation définitive avant l’installation de WSUS. Passez en revue les paramètres et cliquez sur Installer.
Une fois L’installation de WSUS terminée, cliquez sur Lancer les tâches Post-Installation.,
attendez que la Configuration du message soit terminée avec succès. Cliquez Sur Fermer.
configurer les services de mise à jour du serveur Windows (WSUS)
Après avoir installé WSUS, vous pouvez configurer le serveur WSUS à l’aide de l’assistant de configuration du serveur WSUS., Il s’agit d’une configuration unique dans laquelle vous configurerez des options WSUS importantes.
Si vous ne voyez pas d’assistant de configuration de serveur WSUS ou si vous l’avez ignoré par erreur, ne vous inquiétez pas. Vous pouvez le lancer en ouvrant la Console WSUS > Options > assistant de Configuration du serveur WSUS.
Remarque-Avant de commencer à configurer WSUS, quelques points importants.
- assurez-vous que le pare-feu du serveur permet aux clients d’accéder au serveur WSUS. Si les clients rencontrent des problèmes de connexion au serveur WSUS, les mises à jour ne seront pas téléchargées à partir du serveur.,
- Le WSUS télécharge les mises à jour à partir du serveur en amont qui est Microsoft update dans notre cas. Assurez-vous donc que le pare-feu permet au serveur WSUS de se connecter à Microsoft Update.
- Dans le cas où il y a un serveur proxy dans votre configuration, vous devez entrer les informations d’identification pour le serveur proxy lors de la configuration de WSUS. Ayez-les à portée de main car ils sont requis.
Sur la page Avant de commencer, cliquez sur Suivant.
Cliquez sur Suivant.,
Choisissez WSUS en Amont du Serveur
C’est une section importante lorsque vous sélectionnez le serveur en amont. Vous obtenez deux options.
- synchroniser à partir de Microsoft Update – sélectionner cette option permet de télécharger les mises à jour à partir de Microsoft update.
- synchroniser à partir d’un autre serveur Windows Server Update Services – sélectionnez cette option si vous souhaitez que ce serveur WSUS télécharge les mises à jour à partir d’un serveur WSUS déjà existant. Vous devez spécifier le nom du serveur et le numéro de port (8530) par défaut., Si vous sélectionnez L’option D’utiliser SSL pendant la synchronisation des mises à jour, assurez-vous que le serveur WSUS en amont est également configuré pour prendre en charge SSL.
comme ce sera mon seul serveur WSUS, je vais sélectionner synchroniser à partir de Microsoft Update. Cliquez Sur Suivant.
Serveur Proxy
Spécifier les informations du serveur Proxy si vous en avez un. Si cette option est sélectionnée, assurez-vous de spécifier le nom du serveur proxy et le numéro de port., En plus de cela, spécifiez les informations d’identification pour vous connecter au serveur proxy. Si vous souhaitez activer l’authentification de base pour l’utilisateur qui se connecte au serveur proxy, cliquez sur Autoriser l’authentification de base (mot de passe en texte clair).
Cliquez sur Suivant.
sur la page Connexion au serveur amont, cliquez sur le bouton Démarrer la connexion.
une Fois l’installation terminée, cliquez sur Suivant.,
choisir les langues pour les mises à jour
sur la page Choisir les langues, vous avez la possibilité de sélectionner les langues dans les mises à jour. Si vous choisissez de télécharger des mises à jour dans toutes les langues, vous trouverez des mises à jour dans toutes les langues dans la console WSUS.
Toutefois, si vous choisissez d’obtenir les mises à jour uniquement pour des langues spécifiques, sélectionnez Télécharger les mises à jour uniquement dans ces langues. Sélectionnez les langues pour lesquelles vous souhaitez des mises à jour.
Cliquez sur Suivant.,
Choisissez des Produits
C’est la page où vous sélectionnez les produits pour lesquels vous souhaitez que les mises à jour. Un produit est une édition spécifique d’un système d’exploitation ou de l’application.
dans la liste des produits, vous pouvez sélectionner des produits individuels ou des familles de produits pour lesquels vous souhaitez que votre serveur synchronise les mises à jour. Dans ce cas, je vais sélectionner Windows Server 2019 et Windows 10 1903 comme produits.
Cliquez sur Suivant.,
Choisissez mettre à Jour les Classifications
au début du post j’ai dressé la liste des types de mises à jour. Sur la page Choisir les Classifications, sélectionnez les classifications requises. J’ai sélectionné les mises à jour critiques, les mises à jour de sécurité et les cumuls de mise à jour.
Cliquez sur Suivant.,
Configurer WSUS Calendrier de Synchronisation
Vous devez décider comment vous souhaitez réaliser WSUS sync. La page Set Sync Schedule vous permet de choisir si vous souhaitez effectuer la synchronisation manuellement ou automatiquement.
Si vous choisissez synchroniser manuellement, vous devez démarrer manuellement le processus de synchronisation à partir de la Console D’Administration WSUS. Avec cette option sélectionnée, vous devez effectuer manuellement la synchronisation à chaque fois., Par conséquent, ne sélectionnez pas cette option si vous configurez le WSUS en production.
Si vous choisissez Synchroniser automatiquement, le serveur WSUS se synchronisera à des intervalles définis. Vous pouvez définir l’Heure de la première synchronisation. Définissez ensuite le nombre de synchronisations par jour. Dans la liste déroulante, vous pouvez choisir la valeur entre 1 et 24.
Cliquez sur Suivant.
Cliquez sur Commencer la synchronisation initiale. Cliquez Sur Suivant.,
Enfin, sur la dernière page, cliquez sur Terminer. Ceci termine les étapes pour configurer WSUS.
Configurer les Paramètres de Stratégie de Groupe pour WSUS
Après avoir installé et configurer WSUS, la prochaine tâche consiste à configurer les paramètres de stratégie de groupe pour les mises à jour automatiques. Les nouveaux clients ne connaissent toujours pas le nouveau serveur WSUS que vous venez de configurer., À l’aide de la stratégie de groupe, vous pouvez pointer vos machines clientes vers un nouveau serveur WSUS.
dans un environnement active directory, vous pouvez utiliser la stratégie de groupe spécifiez le serveur WSUS. Les paramètres de stratégie de groupe seront utilisés pour obtenir des mises à jour automatiques à partir de Windows Server Update Services (WSUS).
Vous pouvez créer la stratégie de groupe et l’appliquer au niveau du domaine. Ou vous pouvez créer et appliquer le GPO à une unité d’organisation spécifique (contenant vos ordinateurs).
bien qu’il existe de nombreux paramètres de stratégie Windows Update, je vais en configurer peu., Pour obtenir une liste de tous les paramètres de stratégie windows update, lisez cet article de Microsoft.
configurer les mises à jour automatiques WSUS
pour configurer les paramètres de stratégie de groupe de mises à jour automatiques pour WSUS
- ouvrez la console de gestion des stratégies de groupe et ouvrez un GPO existant ou Créez-en un nouveau.
- Accédez à Configuration Ordinateur > Politiques > Modèles d’Administration > Composants Windows > mise à Jour de Windows.
- double-cliquez sur Configurer les mises à jour automatiques et définissez-le sur Activé.,
sous Configurer la mise à jour automatique, sélectionnez l’option souhaitée. Sous planifier le jour d’installation, sélectionnez le jour où vous souhaitez installer les mises à jour. Définissez l’heure d’installation planifiée.
Si vous sélectionnez le téléchargement automatique et planifiez l’installation des mises à jour, vous obtenez quelques options pour limiter la fréquence de mise à jour. Si vous avez configuré les paramètres, cliquez sur Appliquer et OK.,
spécifier L’emplacement du service Intranet Microsoft Update
le paramètre suivant à configurer est de spécifier un service intranet Microsoft update emplacement. L’idée derrière ceci est de s’assurer que les ordinateurs clients contactent le serveur intranet spécifié au lieu de télécharger des mises à jour à partir d’internet. À moins que vous ne configuriez ce paramètre de stratégie, les ordinateurs clients ne connaîtraient pas le serveur intranet.
Pour activer la stratégie, cliquez sur Activé., Spécifiez le service de mise à jour intranet et le serveur de statistiques intranet. Cliquez sur Appliquer et OK.
sur l’ordinateur client, vérifiez l’ensemble de stratégie résultant pour confirmer si le GPO WSUS est appliqué.
vous pouvez également vérifier l’emplacement du service de mise à jour intranet sur les ordinateurs clients à l’aide du registre. Sur l’ordinateur client, ouvrez L’éditeur de registre et accédez à HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.,
vérifiez les valeurs de WUServer et WUStatusServer et confirmez si les valeurs correspondent à celles que vous avez fournies dans WSUS GPO.
configurer les groupes D’ordinateurs WSUS
en créant des groupes d’ordinateurs, vous pouvez d’abord tester et cibler les mises à jour sur des ordinateurs spécifiques. Lorsque vous ouvrez la console WSUS, vous trouverez deux groupes d’ordinateurs par défaut – tous les ordinateurs et les ordinateurs non affectés.,
Vous pouvez créer des groupes d’ordinateurs personnalisés pour gérer les mises à jour dans votre organisation. Selon Microsoft, vous devez créer au moins un groupe d’ordinateurs dans la console WSUS. Testez les mises à jour avant de les déployer sur d’autres ordinateurs de votre organisation.
pour créer un nouveau groupe d’ordinateurs dans la console WSUS
dans la Console D’Administration WSUS, sous mettre à jour les Services, développez le serveur WSUS. Développez ordinateurs, cliquez sur Tous les ordinateurs, puis cliquez sur Ajouter un Groupe d’ordinateurs.
dans la boîte de dialogue Ajouter un groupe d’ordinateurs, spécifiez le nom du nouveau groupe, puis cliquez sur Ajouter.,
Cliquez sur Tous les Ordinateurs et vous devriez voir la liste des ordinateurs. Sélectionnez les ordinateurs, faites un clic droit et cliquez sur Modifier L’adhésion.
Sur l’Ensemble de l’Ordinateur zone Adhésion au Groupe, sélectionnez le groupe que vous venez de créer. Cliquez sur OK.,
Cliquez sur le nouveau groupe et vous devriez trouver ces ordinateurs.
approuver et déployer les mises à jour dans WSUS
Une fois que vous avez créé un groupe d’ordinateurs de test, votre prochaine tâche consiste à déployer les mises à jour dans le groupe de test. Pour ce faire, vous devez d’abord approuver et déployer les mises à jour WSUS.
pour approuver les mises à jour dans WSUS
- lancez la Console D’Administration WSUS, cliquez sur Mises à jour> toutes les mises à jour.,
- dans la section Toutes les mises à jour, sélectionnez les mises à jour que vous souhaitez approuver pour l’installation dans votre groupe d’ordinateurs de test.
- cliquez avec le bouton droit sur les mises à jour et cliquez sur Approuver.
surtout dans la boîte de dialogue approuver les mises à jour, sélectionnez votre groupe de test, puis cliquez sur la flèche vers le bas. Cliquez sur approuvé pour installer. Vous avez également fixé une date limite pour installer les mises à jour. Cliquez sur OK.
la fenêtre de progression de L’approbation apparaît, qui affiche la progression des tâches qui affectent l’approbation des mises à jour., Lorsque le processus d’approbation est terminé, cliquez sur Fermer.
configurer les règles D’approbation automatique dans WSUS
Si vous ne souhaitez pas approuver manuellement les mises à jour, vous pouvez configurer la règle d’approbation automatique dans Windows Server Update Services.
pour configurer les Approbations automatiques dans WSUS
- lancez la console D’Administration WSUS, développez le serveur WSUS, puis cliquez sur Options.
- dans Options, cliquez sur Approbations automatiques.
- Vous devriez trouver la règle d’approbation automatique par défaut et si vous le souhaitez, vous pouvez la modifier et l’utiliser.,
- Pour créer une nouvelle règle d’approbation, cliquez sur Nouvelle Règle.
Cochez la case Lorsqu’une mise à jour est dans un classement spécifique. Sélectionnez les classifications. Vous pouvez également approuver la mise à jour pour les groupes d’ordinateurs. Je vais sélectionner Windows 10 car c’est mon groupe d’ordinateurs de test. Enfin, vous pouvez définir une date limite pour l’approbation de la mise à jour et spécifier le nom de la règle d’approbation automatique.
Après avoir configuré la règle, cliquez sur OK.
Sur l’approbation Automatique de la fenêtre, vous pouvez trouver la règle que vous venez de créer., Si vous souhaitez exécuter cette règle, cliquez sur Exécuter la Règle.
WSUS Rapports
Le dernier article que je souhaite aborder est la WSUS rapports. Cliquez sur Rapports dans la console WSUS pour afficher la liste des rapports. WSUS est livré avec plusieurs rapports pour vous aider à trouver l’état du déploiement des mises à jour, les rapports de synchronisation et les rapports sur les ordinateurs.
- rapports de mise à jour-comprend le résumé de L’état des mises à jour, l’état détaillé et tabulaire, l’état tabulaire pour les mises à jour approuvées.,
- rapports informatiques-résumé de L’État de L’ordinateur, état détaillé, État tabulaire et état tabulaire de l’ordinateur pour les mises à jour approuvées.
- rapports de synchronisation-affiche les résultats de la dernière synchronisation.