Mi-juin 2005, Microsoft avait mis en service la version 6 de son site de mise à jour, qui proposait désormais non seulement des mises à jour de Windows à télécharger, mais aussi des mises à jour pour un paquet Office installé, un serveur Exchange et SQL, etc.
En fonction des nouvelles fonctionnalités disponibles en ligne, Microsoft avait également mis à disposition le successeur des « Software Update Services (SUS) » : Si le SUS (comme l’ancienne page de mise à jour Windows sur le réseau) ne pouvait distribuer que des mises à jour Windows localement, son successeur WSUS (Windows Server Update Services) est incomparablement plus puissant.
Table des matières
Caractéristiques et conditions préalables
Avec les « Windows Server Update Services » (WSUS), il est désormais possible de distribuer localement des correctifs Office et autres, de regrouper les clients du réseau local, etc. – l’étendue des fonctions s’est nettement accrue et permet d’établir des parallèles avec le « System Management Server (SMS) ». Seul le WSUS ne permet pas de distribuer ses propres logiciels.
Comme pour le SUS, seuls les systèmes équipés de Windows 2000 SP3 ou supérieur peuvent être mis à jour via le WSUS, tous les systèmes plus anciens sont exclus. La surveillance a également été améliorée. Ainsi, le WSUS enregistre minutieusement dans une base de données quel client a chargé et installé quelle mise à jour, quand, où des problèmes sont apparus, etc. Pour ceux qui ne possèdent pas de serveur SQL, l’installation de WSUS fournit une version de MSDE (Microsoft SQL Desktop Engine). Le choix se fait alors pendant le setup. Pour Windows Server 2000, le MSDE doit être téléchargé et installé séparément.
Installation
Selon Microsoft, la configuration système officielle requise pour l’exploitation d’un WSUS est un Windows 2000 Server SP3 ou supérieur ou un Windows 2003 Server avec Internet Information Server (IIS) installé et ~ 30 Go d’espace disque libre. En outre, Microsoft .NET Framework 1.1 avec SP1, Internet Explorer 6 avec SP1 ainsi que le service système BITS dans la version 2.0 ou supérieure sont également nécessaires. En règle générale, il ne manque à Windows Server 2003 que le SP1 pour .NET Framework.
Pour cet article, nous partons d’un serveur Windows 2003 avec Service Pack 1 installé avec un domaine Active Directory et une GPMC installée, dans lequel se trouvent plusieurs clients Windows XP. Dans notre cas, le WSUS est installé directement sur le contrôleur de domaine (DC).
Après le téléchargement du WSUS, l’installation peut commencer directement, un double-clic sur l’exe lance le setup.
 |
| Installation Cliquez sur l’image pour l’agrandir |
Un clic sur « Suivant » démarre la routine d’installation.
 |
| Chemin de sauvegarde pour les mises à jour locales Cliquez sur l’image pour l’agrandir |
La case « Enregistrer les mises à jour localement » doit être cochée pour que le serveur télécharge effectivement les mises à jour depuis le réseau et que la distribution se fasse localement. Dans le cas contraire, les mises à jour à installer peuvent certes être gérées, mais elles sont tout de même téléchargées directement par Microsoft, ce qui entraîne un trafic très important. Le répertoire WSUS sur le lecteur D sert ici de dépôt : s’il y a plusieurs partitions ou lecteurs, l’installation du WSUS choisit automatiquement la partition/le lecteur avec le plus d’espace libre.
 |
| Chemin de stockage du serveur SQL Cliquez sur l’image pour l’agrandir |
Comme nous ne disposons pas d’un serveur SQL, nous installons le « module de bureau SQL Server » dans le même répertoire que le WSUS lui-même.
Si vous avez téléchargé et installé le MSDE séparément sous Windows Server 2000, indiquez ici « Nom du serveurWSUS » comme serveur de base de données existant.
 |
| Cliquez sur l’image pour l’agrandir |
Il est recommandé ici d’utiliser le site web standard d’IIS, dans la mesure où aucun autre service web n’est mis à disposition par ce serveur. C’est par exemple le cas pour un « Small Business Server » qui offre les « Share Point Services ». Si la deuxième option est utilisée, il faudra par la suite veiller à référencer partout le port 8530 (également dans les directives de groupe) et également penser à le libérer le cas échéant dans le pare-feu. L’appel de la page avec indication du port se fait alors de la manière suivante : http://servername:8530/WSUSAdmin/
Le serveur WSUS reçoit lui-même ses mises à jour via le port 80 pour HTTP et 443 pour HTTPS. Ces ports ne peuvent pas être modifiés. Une liste des domaines cibles du serveur WSUS (pour la configuration du pare-feu) se trouve dans le document Step-by-Step de Microsoft.
 |
| Héritage possible Cliquez sur l’image pour l’agrandir |
Si un WSUS est déjà présent dans le réseau, on peut intégrer ses mises à jour déjà téléchargées dans la nouvelle installation – dans notre cas, nous synchronisons toutefois directement avec Microsoft, c’est pourquoi ce paramètre reste inactif ici.
 |
| Résumé Cliquez sur l’image pour l’agrandir |
Après avoir effectué tous les réglages, l’installation proprement dite commence.
 |
| Installation Cliquez sur l’image pour l’agrandir |
 |
| Installation Cliquez sur l’image pour l’agrandir |
 |
| Finition Cliquez sur l’image pour l’agrandir |
Avant de cliquer sur « Terminer », le site d’administration pour le WSUS doit être ajouté à la zone « Intranet local » (ou alternativement, la « Configuration de sécurité renforcée » pour Internet Explorer doit être désinstallée ; étant donné que cela représente un risque de sécurité, nous n’en parlerons pas ici).
Pour ce faire, nous ouvrons le panneau de configuration, double-cliquons sur l’entrée « Options Internet » et passons à l’onglet « Sécurité ». Ici, nous sélectionnons « Intranet local », cliquons sur « Sites » et ajoutons http://servername (dans ce cas http://wsustest) et enregistrons en cliquant sur OK.
Interface web du WSUS
Ensuite, nous cliquons sur « Terminer » et arrivons à la demande de mot de passe – le WSUS n’autorise par défaut que les administrateurs à accéder à l’interface de gestion, nous nous authentifions donc en tant qu’administrateur avec le mot de passe correspondant.
 |
| Connexion Cliquez sur l’image pour l’agrandir |
Une fois l’inscription réussie, la page d’administration s’affiche.
Si un autre port a été utilisé pour le WSUS lors de l’installation, il faut bien sûr en tenir compte lors de l’inscription. L’adresse correcte est alors par ex. : http://servername:8530/WSUSAdmin/, sinon http://servername/WSUSAdmin/
 |
| Page de bienvenue du WSUS Cliquez sur l’image pour l’agrandir |
Ici, nous sélectionnons d’abord « Options » pour régler les options de synchronisation pour notre WSUS.
 |
| Options du WSUS Cliquez sur l’image pour l’agrandir |
 |
| Synchroniser le WSUS Cliquez sur l’image pour l’agrandir |
Tout d’abord, nous devons définir une heure à laquelle le WSUS se synchronise automatiquement avec les serveurs Microsoft. Il est recommandé de choisir une heure en dehors des heures de bureau régulières afin de ne pas réduire la bande passante disponible avec le téléchargement de patchs.
L’entrée « Serveur proxy » doit être activée en fonction des conditions du réseau, le paramètre « Source de mise à jour » nous donne la possibilité de télécharger ultérieurement les mises à jour d’autres serveurs WSUS déjà présents localement. Ces deux paramètres ne sont pas pertinents ici et restent donc désactivés.
Cliquez sur l’image pour l’agrandir
Ensuite, nous cliquons sur « Modifier » en dessous de « Classifications des mises à jour » et activons toutes les entrées.
 |
| Classifications Cliquez sur l’image pour l’agrandir |
Une fois que nous avons confirmé ces paramètres en cliquant sur OK, nous faisons défiler la page des options jusqu’en bas, cliquons sur « Avancé » en dessous de « Mise à jour des fichiers et des langues » et cochons les cases comme indiqué.
 |
| Options avancées Cliquez sur l’image pour l’agrandir |
En principe, seules les mises à jour en allemand suffiraient, mais « prendre » les versions anglaises n’a jamais fait de mal.
Important pour ces paramètres : Une synchronisation ne télécharge que la liste de toutes les mises à jour disponibles, ce n’est qu’après leur approbation par l’administrateur que le téléchargement effectif des fichiers a lieu. Ici aussi, il est possible d’économiser du trafic en n’approuvant pas les ServicePacks ou autres dont on n’a pas besoin.
Après avoir confirmé avec OK, les paramètres doivent être enregistrés – le bouton correspondant se trouve dans la partie supérieure gauche de la page.
 |
| Enregistrer les paramètres |
Après avoir enregistré les paramètres, il est temps de synchroniser le serveur pour la première fois. Pour cela, nous passons à la page d’accueil et cliquons sur « Synchroniser maintenant ». Le statut de la synchronisation s’affiche sur la page d’accueil.
 |
| Statut |
Connecter les clients
Pendant que le serveur est occupé par la synchronisation – ce qui prendra un certain temps – nous pouvons mettre en œuvre les paramètres de stratégie de groupe pour les clients au moyen de la GPMC.
Pour cela, il faut ouvrir la GPMC sur le serveur, créer un nouveau GPO sous « Objets de stratégie de groupe » avec le nom WSUS et l’ouvrir en cliquant sur « Modifier ».
Ensuite, ouvrir la branche « Configuration ordinateur => Modèles d’administration => Composants Windows => Windows Update » et configurer les différents paramètres en double-cliquant dessus. Un exemple de configuration est présenté sur l’image. Si la directive manque chez vous, le fichier wuau.adm doit être lu via « Ajouter des modèles » dans le menu contextuel de la branche « Modèles administratifs ». Vous trouverez ce fichier dans le répertoire INF de Windows.
 |
| Éditeur GPO Cliquez sur l’image pour l’agrandir |
Les différentes valeurs se présentent alors comme suit dans notre exemple :
| Directive | Paramètre |
| Configurer les mises à jour automatiques | Activé |
| Configurer les mises à jour automatiques | 4 – Téléchargement automatique et installation programmée |
| Les 2 paramètres suivants sont uniquement nécessaires et ne s’appliquent que si 4 est sélectionné. | |
| Jour d’installation planifié | 0 – Tous les jours |
| Heure d’installation planifiée | 11:00 |
| Installer immédiatement les mises à jour automatiques | Activé |
| Activer le mappage de la cible côté client | Activé |
| Nom du groupe cible pour cet ordinateur | WSUSTest |
| Ne pas personnaliser l’option par défaut « Installer les mises à jour et arrêter » dans la boîte de dialogue « Arrêter Windows ». | Désactiver |
| Inviter à nouveau à redémarrer pour les installations planifiées | Désactivé |
| Indiquer le chemin interne pour le service de mise à jour Microsoft | Activé |
| Service de mise à jour interne pour détecter les mises à jour (exemple : http://IntranetUpd01) | http://wsustest |
| Serveur intranet pour les statistiques | http://wsustest |
| Ne pas effectuer de redémarrage automatique pour les installations planifiées | Activé |
| Retarder le redémarrage pour les installations planifiées | Désactivé |
| Autoriser les non-administrateurs à recevoir des notifications de mise à jour | Désactivé |
| Ne pas afficher l’option « Installer les mises à jour et arrêter » dans la boîte de dialogue « Arrêter Windows ». | Désactivé |
| Fréquence de recherche des mises à jour automatiques | Désactivé |
| Temps d’attente après le démarrage du système (minutes) : 5 | 5 |
« Désactivé » ne signifie pas dans ce cas que ce paramètre n’est pas appliqué, mais définit ce paramètre sur les valeurs par défaut.
Veuillez noter que pour le « Service de mise à jour interne pour la détection des mises à jour », vous devez éventuellement indiquer ici le WSUS, si vous l’avez modifié (http://wsustest:8530).
Comme chaque boîte de dialogue de paramétrage contient une explication sur la fonction correspondante, je ne m’y attarderai pas ici.
 |
| Description de chaque option |
Une fois tous les réglages effectués, nous fermons la fenêtre d’édition et relions ce GPO au domaine par glisser-déposer.
 |
| Lier le GPO |
Les paramètres sont maintenant disponibles et peuvent être appliqués sur les clients à l’aide de gpudate /force.
 |
| gpudate /force |
Les stratégies de groupe seraient certes mises à jour de manière régulière, mais le fait de les forcer réduit le temps d’attente.
Connecter les clients manuellement
L’adaptation des clients peut également se faire manuellement via le registre. Les paramètres se trouvent dans le registre sous HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Les clés de registre nécessaires sont décrites dans le Deployment Guide en anglais à partir de la page 68.
Gestion des clients dans le WSUS
Sur le « côté ordinateur » du serveur WSUS, toutes les machines qui ont adopté le GPO en conséquence sont maintenant disponibles, donc également notre serveur.
 |
| Gestion des clients Cliquez sur l’image pour l’agrandir |
 |
| Détails |
Le client n’a pas encore créé de rapport d’état, cela peut également être forcé, pour cela, sur le client, entrer wuauclt.exe /detectnow dans la boîte de dialogue d’exécution.
 |
| wuauclt.exe /detectnow |
Avec cette commande, le client se connecte au serveur WSUS dans les 5 minutes qui suivent.
Lors du premier accès au serveur, le client de mise à jour est éventuellement mis à jour de manière autonome (à partir de XP avec SP1 ou W2000 avec SP4).
Après quelques minutes, le client est disponible dans le groupe qu’il a demandé.
 |
| Détails de la gestion des clients Cliquez sur l’image pour l’agrandir |
Après la synchronisation complète du serveur WSUS, toutes les mises à jour doivent d’abord être approuvées avant que les clients n’installent effectivement ces mises à jour. Pour cela, il faut sélectionner toutes les mises à jour sur la page des mises à jour et cliquer sur « Appliquer ».
 |
| Filtrer la vue |
Dans la fenêtre de droite, toutes les mises à jour disponibles sont maintenant listées, avec [CTRL]+[A], il est possible de sélectionner toutes les mises à jour en une seule fois.
 |
| Marquer les mises à jour Cliquez sur l’image pour l’agrandir |
En cliquant sur « Autoriser l’installation », toutes les mises à jour sélectionnées sont libérées pour l’installation sur les clients.
 |
| Autoriser l’installation |
Après l’autorisation d’installation, le client lit la liste des mises à jour nouvellement libérées lors de son prochain contact avec le serveur et extrait les mises à jour qui le concernent pour les installer.
 |
| Les mises à jour sont approuvées Cliquez sur l’image pour l’agrandir |
Conformément au regroupement et à la liaison des GPO sur différentes OU, il est possible de rassembler des ordinateurs en groupes qui peuvent tout à fait recevoir les mises à jour les plus diverses. Vous pouvez par exemple créer sans risque un « groupe de test » et y tester l’effet des correctifs avant de les appliquer aux autres ordinateurs de l’environnement de production.
La page « Ordinateurs » permet de savoir à tout moment quel client a installé quelles mises à jour ou quel client a rencontré des problèmes. Les autorisations peuvent également être annulées, mais les mises à jour déjà installées ne sont pas désinstallées.
Pour ne pas mettre en danger l’environnement de production, il est possible de créer des groupes de test et d’y tester les correctifs avant de les autoriser pour d’autres ordinateurs. Mais comme Microsoft publie régulièrement de nouveaux correctifs, il faudrait aussi consulter régulièrement l’état des ordinateurs pour savoir quels sont les nouveaux correctifs qui manquent aux ordinateurs. Dans l’exemple ci-dessous, il manque des mises à jour récentes pour deux ordinateurs.
 |
| Nouvelles mises à jour pour les ordinateurs Cliquez sur l’image pour l’agrandir |
Connexion sur commande
Le WSUS est un outil puissant qui facilite considérablement la gestion des correctifs. Ce qui est ennuyeux, c’est que c’est aux clients de décider quand ils se connectent au WSUS. On peut certes forcer une connexion au WSUS du côté client avec wuauclt.exe /detectnow, mais il faudrait le saisir à nouveau pour chaque client. Il manque un outil central du côté du serveur. Une solution possible est PsExec, qui peut exécuter des programmes sur les clients. Si l’on indique ici \* comme joker, la commande et donc wuauclt.exe /detectnow est valable pour l’ensemble du domaine. PsExec fait également partie des PSTools gratuits.
Liens supplémentaires
- Téléchargement du WSUS via l’archive logicielle WinTotal
- Page de téléchargement avec des outils pour le WSUS
- Instructions étape par étape pour le WSUS de Microsoft sous forme de document Word
- WSUS.info
- WSUS.de
- Page d’accueil WSUS sur TechNet (DE)
- Déploiement de Microsoft Windows Server Update Services
- Deploying Microsoft Windows Server Update Services (DOC, anglais)