Projet Networking TNE

Gestion des Mises à Jour avec WSUS

6 min de lecture

Phase 3 : Gestion des Mises à Jour avec WSUS

1. Objectif de ce Document

Ce document est un guide pour l’installation et la configuration du rôle WSUS (Windows Server Update Services).

L’objectif est de mettre en place un serveur de mises à jour local qui nous donnera un contrôle total sur le processus de mise à jour de tous les serveurs et postes de travail Windows de notre parc. Nous pourrons décider quelles mises à jour sont déployées, et quand elles le sont.

2. Le “Pourquoi” : La Cantine Centrale du Lycée

Imaginez que chaque élève (un PC) doit se procurer son déjeuner (ses mises à jour) lui-même en allant en ville (Internet).

  • Chaos et Perte de Temps : 30 élèves qui sortent du lycée pour aller chercher leur repas en même temps, cela crée des embouteillages à la sortie (saturation de la bande passante Internet).
  • Aucun Contrôle Qualité : Un élève pourrait manger quelque chose de périmé (une mise à jour défectueuse) et tomber malade (faire planter son PC), propageant le problème à d’autres.
  • Aucune Visibilité : Le proviseur ne sait pas qui a mangé quoi et si tout le monde est en bonne santé.

Le serveur WSUS est la cantine centrale du lycée :

  1. Une Seule Livraison : Le chef de la cantine (l’administrateur WSUS) reçoit la liste de tous les plats disponibles chez le fournisseur (Microsoft Update).
  2. Contrôle et Validation : Il choisit et valide les menus de la semaine (il approuve les mises à jour qu’il juge sûres et nécessaires).
  3. Distribution Locale : La cantine reçoit une seule grosse livraison pour tout le monde (le serveur WSUS télécharge les mises à jour une seule fois).
  4. Service Organisé : Les élèves viennent chercher leur repas à la cantine à une heure précise (les PC contactent le serveur WSUS en local et installent les mises à jour la nuit, via une GPO).

Cette méthode économise massivement la bande passante Internet, empêche le déploiement de mises à jour problématiques et donne à l’administrateur une vue d’ensemble de l’état de santé de tout le parc.

3. Prérequis

  • Une nouvelle VM Windows Server, vm-win-wsus-01, avec une IP fixe (10.0.20.12), jointe au domaine.
  • Espace disque conséquent : Les mises à jour pèsent lourd. Il est fortement recommandé d’attacher un second disque virtuel (ex: 500 Go) à la VM, qui sera dédié au stockage des mises à jour.

4. Procédure Pas-à-Pas

Étape 1 : Préparation du Serveur et Installation du Rôle

  1. Créez et configurez la VM vm-win-wsus-01 selon nos bonnes pratiques. Ajoutez-lui un second disque virtuel de 500 Go.
  2. Dans Windows, initialisez et formatez ce second disque (lettre D:, par exemple). Créez un dossier D:\WSUS_Updates.
  3. Via le Server Manager, lancez Add roles and features.
  4. Sélectionnez le rôle Windows Server Update Services.
  5. Dans la sélection des services de rôle, laissez les options par défaut (WID Database et WSUS Services). La base de données interne WID est suffisante pour notre besoin.
  6. À l’étape Content, entrez le chemin du dossier que vous avez créé : D:\WSUS_Updates.
  7. Terminez l’installation.

Étape 2 : Configuration Post-Installation

  1. Une fois l’installation terminée, une notification dans le Server Manager vous invitera à lancer les “Post-Installation tasks”. Exécutez-les.
  2. La console Windows Server Update Services est maintenant disponible. Lancez-la.
  3. L’assistant de configuration initiale se lance :
    • Upstream Server : Choisissez Synchronize from Microsoft Update.
    • Proxy Server : Laissez vide (sauf si votre réseau l’exige).
    • Connect to Upstream Server : Cliquez sur Start Connecting. Cette étape peut être très longue car le serveur télécharge le catalogue complet des produits et mises à jour.
    • Choose Languages : Sélectionnez uniquement English et French.
    • Choose Products : Ne cochez pas tout ! Sélectionnez uniquement les produits que nous avons réellement dans notre parc (ex: Windows 10, Windows 11, Windows Server 2022, Microsoft Office).
    • Choose Classifications : Sélectionnez Critical Updates, Security Updates, Definition Updates, et Updates.
    • Configure Sync Schedule : Réglez une synchronisation automatique quotidienne, de préférence la nuit (ex: 2:00 AM).
    • Terminez l’assistant et lancez la première synchronisation initiale. Attention, elle peut durer plusieurs heures.

Étape 3 : Configuration des Groupes et de l’Approbation

  1. Dans la console WSUS, sous le nom du serveur, allez dans Computers > All Computers.
  2. Faites un clic droit et Add Computer Group. Créez deux groupes : Test_Clients et Production_Clients.
  3. Allez dans Options > Computers et sélectionnez Use Group Policy or registry settings on computers. C’est pour dire à WSUS que c’est l’Active Directory qui décidera quel ordinateur va dans quel groupe.

Étape 4 : Configuration par Stratégie de Groupe (GPO)

  1. Ouvrez Group Policy Management.
  2. Créez une nouvelle GPO, nommez-la GPO-WSUS-Clients.
  3. Éditez la GPO et naviguez vers : Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.
  4. Configurez les paramètres suivants :
    • Configure Automatic Updates : Enabled. Choisissez l’option 4 - Auto download and schedule the install. Programmez l’installation à une heure de faible activité (ex: Every Tuesday, 03:00).
    • Specify intranet Microsoft update service location : Enabled.
      • Dans les deux champs (“Set the intranet update service…” et “Set the intranet statistics server…”), entrez l’adresse de votre serveur WSUS : http://vm-win-wsus-01.tne.local:8530.
    • Enable client-side targeting : Enabled.
      • Dans le champ “Target group name…”, entrez le nom d’un de vos groupes, par exemple Production_Clients.
  5. Liez cette GPO à l’OU qui contient vos postes de travail (ex: LyceeTechnique/Ordinateurs/Postes Clients). (Astuce : Vous pouvez créer une seconde GPO pour le groupe “Test” et la lier à une OU de test).

5. Points de Validation

  • Sur un poste client, lancez gpupdate /force pour appliquer la nouvelle GPO.
  • Après quelques heures (le client ne se signale pas instantanément), le poste de travail devrait apparaître dans la console WSUS, dans le groupe que vous avez ciblé (Production_Clients).
  • Dans la console WSUS, allez dans Updates > All Updates. Mettez le filtre sur Approval: Unapproved et Status: Needed.
  • Faites un clic droit sur une mise à jour simple (non critique) et Approve.... Approuvez-la pour votre groupe Production_Clients.
  • Lors du prochain cycle de détection, le client verra la mise à jour approuvée, la téléchargera depuis le serveur WSUS, et l’installera à l’heure prévue (3h du matin). Le lendemain, son statut dans la console WSUS passera à Installed.

La Phase 3 est maintenant terminée. Nous avons un écosystème Microsoft complet et robuste, capable de gérer les identités, de déployer des postes, de gérer les licences et de contrôler les mises à jour. Nous sommes prêts à passer à la Phase 4 : Supervision et Services Applicatifs.

Vue Graphique

Liens retour