Installation et configuration de WSUS SP3 sur 2003 serveur

Windows Server Update Services est un composant serveur gratuit permettant de gérer les mises à jour des différents logiciels de Microsoft  dans toutes les langues disponibles ainsi que certains pilotes de matériel. Les avantages de cette solution centralisée par rapport à une utilisation individuelle des mises à jour de Microsoft Update sont multiples : il est ainsi possible de bloquer l’installation de mises à jour pendant une phase de test avant de ne les autoriser que pour certains groupes d’ordinateurs qui pourront les télécharger directement sur le réseau interne. Il est également possible de créer des rapports plus ou moins détaillés sur les mises à jour ou sur les machines. On gagne ainsi en fiabilité, en souplesse d’administration, en vitesse de téléchargement et en consommation de lignes Internet.

Des mises à jour sont prêtes !

 

Dans cet article nous allons voir comment installer et configurer WSUS 3.0 SP2 sur un serveurWindows 2003.

Pré-requis

La première chose à faire est de télécharger WSUS 3.0 SP2 sur le site de Microsoft.

Si vous souhaitez créer des rapports, téléchargez également Microsoft Report Viewer 2008 Redistributable.

Selon la quantité de mises à jour (et de langues) que vous souhaiterez télécharger il vous faudra disposer de plus ou moins d’espace disponible sur votre serveur. Pour information, en synchronisant les mises à jour en Anglais et en Français pour Windows XP/Vista/2003/2008, SQL Server 2005/2008 et Office 2003/2007, j’ai besoin de 75 Go d’espace disque. Evidemment il faudra télécharger toutes ces données une fois, ce qui prendra du temps et de la bande passante…

Installation

Lancez l’installation de WSUS 3.0 SP2 et cliquez sur Suivant. Choisissez l’Installation serveur complète avec la Console d’administration, cliquez sur Suivant, cochez la case J’accepte les termes du contrat de licence et cliquez sur Suivant.

Le processus d’installation vous rappelle que vous devez installer Microsoft Report Viewer 2008 Redistributable, vous pourrez toujours le faire après l’installation de WSUS.

Cliquez sur Suivant. Vous devez choisir un répertoire dans lequel seront téléchargées les mises à jour que vous choisirez d’autoriser.

Emplacement de stockage des mises à jour

Cliquez sur Suivant. Vous devez à présent décider si vous souhaitez utiliser un serveur SQL existant pour stocker la base de données de WSUS ou si vous souhaitez que le programme d’installation crée une base de données interne Windows sur le serveur sur lequel vous installez WSUS. J’ai ici choisi d’utiliser la base de données interne à Windows.

Cliquez de nouveau sur Suivant. Cette étape permet de configurer le site web IIS qui sera utilisé par WSUS. Dans mon cas le site web par défaut est déjà utilisé et le process d’installation propose de créer un nouveau site sur le port 8530 (port par défaut de WSUS, 8531 en SSL).

Création du site web WSUS

Cliquez deux fois sur Suivant puis sur Terminer.

Configuration

Dans la fenêtre qui s’ouvre, cliquez sur Suivant, décochez Oui, je souhaite participer au Programme d’amélioration de Microsoft Update, cliquez sur Suivant et vérifiez queSynchroniser à partir de Windows Update est coché.

Cliquez sur Suivant. Vous pouvez renseigner les champs liés à l’utilisation d’un proxy si vous en utilisez un. Cliquez ensuite sur Suivant pour que l’interface de configuration tente de se connecter à Microsoft Update. Cela peut prendre plusieurs minutes. Une fois la connexion établie, cliquez sur Suivant et choisissez quelles langues de mises à jour vous souhaitez télécharger, en gardant en tête que le volume de données à télécharger et à stocker augmentera en fonction du nombre de langues.

Cliquez ensuite sur Suivant et choisissez les différents produits que vous souhaitez mettre à jour.

Choix des logiciels à mettre à jour

Cliquez sur Suivant et choisissez quels types de mises à jour vous souhaitez télécharger.

Choix des types de mises à jour

Cliquez sur Suivant, sélectionnez Synchroniser automatiquement et définissez une heure de synchronisation à laquelle WSUS téléchargera les nouvelles mises à jour. Cliquez sur Suivant et décochez la case Commencer la synchronisation initiale pour éviter que WSUS ne commence immédiatement le téléchargement des mises à jour. Il reste en effet quelques détails à configurer.

Cliquez enfin sur Suivant puis sur Terminer.

Allez ensuite dans Démarrer Outils d’administration > Windows Server Update Services pour lancer la console d’administration WSUS.

Dans la colonne de gauche, faites un clic droit sur Ordinateurs Tous les ordinateurs, cliquez sur Ajouter un groupe d’ordinateurs et créez les groupes dont vous avez besoin, par exempleClientsServeursTest et Déploiement. Ces groupes pourront être utilisés pour différencier les machines et leur autoriser différentes mises à jour, soit manuellement dans l’interface (clic droit sur une machine, puis Modifier l’appartenance), soit grâce à une police de groupe.

Dans mon cas j’utilise justement une police de groupe pour différencier serveurs, clients et machines en cours de déploiement. Pour utilise une police de groupe de ce style il faut aller dansOptions Ordinateurs Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs.

Dernière chose, pour que des mises à jour soient téléchargées et donc disponibles à l’installation sur les machines, il faut les approuver manuellement et définir pour quels groupes elles sont autorisées. Dans certaines structures il peut être important de conserver cette approbation manuelle de manière à pouvoir tester les mises à jour avant de les déployer. Dans de plus petites structures il est souvent possible de se poser moins de questions… Il existe donc une option permettant d’approuver automatiquement certaines des mises à jour proposées par Microsoft. Pour cela, allez dans Options Approbations automatiques, cochez la règle par défaut et cliquez sur la liste de types de mises à jour soulignées en bleu. Vous pouvez ensuite sélectionner quelles mises à jour seront approuvées automatiquement. En cliquant sur le groupe d’ordinateurs souligné en bleu vous pouvez décider pour quels groupes l’approbation automatique fonctionnera. De manière générale il est prudent de ne pas cocher la case Service Pack avant d’avoir pu faire quelques tests !

Configuration de la police de groupe WSUS

Sur un contrôleur de domaine disposant de la Console de gestion des stratégies de groupe, cliquez sur  > Outils d’administration > Group Policy Management, puis déployez l’arborescence jusqu’à Forest Domain > NOM_DE_VOTRE_DOMAINE Group Policy Objects, faites un clic droit puis cliquez sur New. Donnez le nom WSUS à ce GPO, puis faites un clic droit dessus et cliquez sur Edit. La section permettant de gérer WSUS se situe dansConfiguration ordinateur > Modèles d’administration > Composants Windows >Windows Update.

En particulier l’option Spécifier l’emplacement intranet du service de Mise à jour Microsoft est indispensable pour que les clients puisse savoir sur quel serveur WSUS se connecter !

Voici la configuration que j’utilise :

  • Ne pas afficher l’option « Installer les mises à jour et éteindre » dans la boîte de dialogue Arrêt de Windows : Activé
  • Configuration du service Mises à jour automatiques : Activé
    • Configuration des mises à jours automatiques : 4 – Télécharger et planifier l’installation
    • Jour de l’installation planifiée : 5 – Tous les jeudis
    • Heure de l’installation planifiée : 13:00
  • Spécifier l’emplacement intranet du service de Mise à jour Microsoft : Activé
  • Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques : Activé
  • Fréquence de détection des mises à jour automatiques : Activé
    • Vérifier la disponibilité de mises à jour à l’intervalle suivant (heures) : 22
  • Autoriser l’installation immédiate des mises à jours automatiques : Activé
  • Redemander un redémarrage avec les installations planifiées : Activé
    • Attendre pendant la durée suivante avant de redemander un redémarrage planifié (minutes) : 1440
  • Autoriser les non-administrateurs à recevoir les notifications de mise à jour : Activé
  • Activer les mises à jour recommandées par l’intermédiaire des Mises à jour automatiques : Activé

Dans la console de gestion des polices de groupe, faites un clic droit sur votre domaine et sélectionnez Link an existing GPO. Choisissez la GPO WSUS que vous venez de créer et cliquez sur OK.

La prochaine fois que les polices de groupe seront rafraîchies sur les machines, elles ne passeront plus par Microsoft Update mais par votre serveur WSUS.

Bonus : police de groupe attribuant automatiquement les machines à des groupes WSUS

Nous allons voir comment créer une police de groupe permettant d’attribuer des machines à des groupes WSUS Clients et Serveurs.

Pour cela il faut organiser les machines dans des Unités d’Organisation dans Active Directory. Sur un contrôleur de domaine, allez dans Démarrer Outils d’administration > Utilisateurs et ordinateurs Active Directory. En respectant la manière dont vous gérez votre domaine, il faudra créer une UO Clients et une UO Serveurs, par exemple dans une UO DOMAINE >France Paris Machines.

Une fois cela fait, il faudra créer deux polices de groupe appelées par exemple WSUS – Clientset WSUS – Serveurs contenant uniquement la valeur suivante à modifier dans Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update :

  • Autoriser le ciblage côté client : Activé
    • Nom de groupe cible pour cet ordinateur : Clients (ou Serveurs selon le GPO)

Il ne restera plus qu’à lier chaque GPO à l’UO correspondante. Si vous placez des machines dans ces UO, elles se verront alors automatiquement attribuées un groupe WSUS. Le nom des groupes doivent être exactement les mêmes que ceux que vous avez créés dans WSUS.

Laissez un commentaire