Installation et configuration de WSUS 3.

0 SP2
Post par : Seb 7 sept Installation et configuration de WSUS 3.0 SP210.0101 Windows Server Update Services est un composant serveur gratuit permettant de grer les mises jour des diffrents logiciels de Microsoft dans toutes les langues disponibles ainsi que certains pilotes de matriel. Les avantages de cette solution centralise par rapport une utilisation individuelle des mises jour de Microsoft Update sont multiples : il est ainsi possible de bloquer linstallation de mises jour pendant une phase de test avant de ne les autoriser que pour certains groupes dordinateurs qui pourront les tlcharger directement sur le rseau interne. Il est galement possible de crer des rapports plus ou moins dtaills sur les mises jour ou sur les machines. On gagne ainsi en fiabilit, en souplesse dadministration, en vitesse de tlchargement et en consommation de lignes Internet.

Des mises jour sont prtes ! Dans cet article nous allons voir comment installer et configurer WSUS 3.0 SP2 sur un serveur Windows 2003.
Pr-requis

La premire chose faire est de tlcharger WSUS 3.0 SP2 sur le site de Microsoft. Si vous souhaitez crer des rapports, tlchargez galement Microsoft Report Viewer 2008 Redistributable. Selon la quantit de mises jour (et de langues) que vous souhaiterez tlcharger il vous faudra disposer de plus ou moins despace disponible sur votre serveur. Pour information, en synchronisant les mises jour en Anglais et en Franais pour Windows XP/Vista/2003/2008, SQL Server 2005/2008 et Office 2003/2007, jai besoin de 75 Go despace disque. Evidemment il faudra tlcharger toutes ces donnes une fois, ce qui prendra du temps et de la bande passante
Installation

Lancez linstallation de WSUS 3.0 SP2 et cliquez sur Suivant. Choisissez lInstallation serveur complte avec la Console dadministration, cliquez sur Suivant, cochez la case Jaccepte les termes du contrat de licence et cliquez sur Suivant. Le processus dinstallation vous rappelle que vous devez installer Microsoft Report Viewer 2008 Redistributable, vous pourrez toujours le faire aprs linstallation de WSUS. Cliquez sur Suivant. Vous devez choisir un rpertoire dans lequel seront tlcharges les mises jour que vous choisirez dautoriser.

Emplacement de stockage des mises jour Cliquez sur Suivant. Vous devez prsent dcider si vous souhaitez utiliser un serveur SQL existant pour stocker la base de donnes de WSUS ou si vous souhaitez que le programme dinstallation cre une base de donnes interne Windows sur le serveur sur lequel vous installez WSUS. Jai ici choisi dutiliser un serveur SQL Server 2005 distant.

Configuration SQL Cliquez sur Suivant pour que le programme dinstallation teste la connexion au serveur SQL. Une fois le test russi, cliquez de nouveau sur Suivant. Cette tape permet de configurer le site web IIS qui sera utilis par WSUS. Dans mon cas le site web par dfaut est dj utilis et le process dinstallation propose de crer un nouveau site sur le port 8530 (port par dfaut de WSUS, 8531 en SSL).

Cration du site web WSUS Cliquez deux fois sur Suivant puis sur Terminer.
Configuration

Dans la fentre qui souvre, cliquez sur Suivant, dcochez Oui, je souhaite participer au Programme damlioration de Microsoft Update, cliquez sur Suivant et vrifiez que Synchroniser partir de Windows Update est coch. Cliquez sur Suivant. Vous pouvez renseigner les champs lis lutilisation dun proxy si vous en utilisez un. Cliquez ensuite sur Suivant pour que linterface de configuration tente de se connecter Microsoft Update. Cela peut prendre plusieurs minutes. Une fois la connexion tablie, cliquez sur Suivant et choisissez quelles langues de mises jour vous souhaitez tlcharger, en gardant en tte que le volume de donnes tlcharger et stocker augmentera en fonction du nombre de langues. Cliquez ensuite sur Suivant et choisissez les diffrents produits que vous souhaitez mettre jour.

Choix des logiciels mettre jour Cliquez sur Suivant et choisissez quels types de mises jour vous souhaitez tlcharger.

Choix des types de mises jour Cliquez sur Suivant, slectionnez Synchroniser automatiquement et dfinissez une heure de synchronisation laquelle WSUS tlchargera les nouvelles mises jour. Cliquez sur Suivant et dcochez la case Commencer la synchronisation initiale pour viter que WSUS ne commence immdiatement le tlchargement des mises jour. Il reste en effet quelques dtails configurer. Cliquez enfin sur Suivant puis sur Terminer. Allez ensuite dans Dmarrer > Outils dadministration > Windows Server Update Services pour lancer la console dadministration WSUS. Dans la colonne de gauche, faites un clic droit sur Ordinateurs > Tous les ordinateurs, cliquez sur Ajouter un groupe dordinateurs et crez les groupes dont vous avez besoin, par exemple Clients, Serveurs, Test et Dploiement. Ces groupes pourront tre utiliss pour diffrencier les machines et leur autoriser diffrentes mises jour, soit manuellement dans

linterface (clic droit sur une machine, puis Modifier lappartenance), soit grce une police de groupe. Dans mon cas jutilise justement une police de groupe pour diffrencier serveurs, clients et machines en cours de dploiement. Pour utilise une police de groupe de ce style il faut aller dans Options > Ordinateurs > Utiliser les paramtres de stratgie de groupe ou de Registre sur les ordinateurs. Dernire chose, pour que des mises jour soient tlcharges et donc disponibles linstallation sur les machines, il faut les approuver manuellement et dfinir pour quels groupes elles sont autorises. Dans certaines structures il peut tre important de conserver cette approbation manuelle de manire pouvoir tester les mises jour avant de les dployer. Dans de plus petites structures il est souvent possible de se poser moins de questions Il existe donc une option permettant dapprouver automatiquement certaines des mises jour proposes par Microsoft. Pour cela, allez dans Options > Approbations automatiques, cochez la rgle par dfaut et cliquez sur la liste de types de mises jour soulignes en bleu. Vous pouvez ensuite slectionner quelles mises jour seront approuves automatiquement. En cliquant sur le groupe dordinateurs soulign en bleu vous pouvez dcider pour quels groupes lapprobation automatique fonctionnera. De manire gnrale il est prudent de ne pas cocher la case Service Pack avant davoir pu faire quelques tests !
Configuration de la police de groupe WSUS

Sur un contrleur de domaine disposant de la Console de gestion des stratgies de groupe, cliquez sur > Outils dadministration > Group Policy Management, puis dployez larborescence jusqu Forest > Domain > NOM_DE_VOTRE_DOMAINE > Group Policy Objects, faites un clic droit puis cliquez sur New. Donnez le nom WSUS ce GPO, puis faites un clic droit dessus et cliquez sur Edit. La section permettant de grer WSUS se situe dans Configuration ordinateur > Modles dadministration > Composants Windows > Windows Update. En particulier loption Spcifier lemplacement intranet du service de Mise jour Microsoft est indispensable pour que les clients puisse savoir sur quel serveur WSUS se connecter ! Voici la configuration que jutilise :

Ne pas afficher loption Installer les mises jour et teindre dans la bote de dialogue Arrt de Windows : Activ Configuration du service Mises jour automatiques : Activ o Configuration des mises jours automatiques : 4 Tlcharger et planifier linstallation o Jour de linstallation planifie : 5 Tous les jeudis o Heure de linstallation planifie : 13:00 Spcifier lemplacement intranet du service de Mise jour Microsoft : Activ o Configurer le service de Mise jour pour la dtection des mises jour : http://WSUSSRV:8530 o Configurer le serveur intranet de statistiques : http://WSUSSRV:8530 Pas de redmarrage automatique avec des utilisateurs connects pour les installations planifies de mises jour automatiques : Activ

Frquence de dtection des mises jour automatiques : Activ o Vrifier la disponibilit de mises jour lintervalle suivant (heures) : 22 Autoriser linstallation immdiate des mises jours automatiques : Activ Redemander un redmarrage avec les installations planifies : Activ o Attendre pendant la dure suivante avant de redemander un redmarrage planifi (minutes) : 1440 Autoriser les non-administrateurs recevoir les notifications de mise jour : Activ Activer les mises jour recommandes par lintermdiaire des Mises jour automatiques : Activ

Dans la console de gestion des polices de groupe, faites un clic droit sur votre domaine et slectionnez Link an existing GPO. Choisissez la GPO WSUS que vous venez de crer et cliquez sur OK. La prochaine fois que les polices de groupe seront rafrachies sur les machines, elles ne passeront plus par Microsoft Update mais par votre serveur WSUS.
Bonus : police de groupe attribuant automatiquement les machines des groupes WSUS

Nous allons voir comment crer une police de groupe permettant dattribuer des machines des groupes WSUS Clients et Serveurs. Pour cela il faut organiser les machines dans des Units dOrganisation dans Active Directory. Sur un contrleur de domaine, allez dans Dmarrer > Outils dadministration > Utilisateurs et ordinateurs Active Directory. En respectant la manire dont vous grez votre domaine, il faudra crer une UO Clients et une UO Serveurs, par exemple dans une UO DOMAINE > France > Paris > Machines. Une fois cela fait, il faudra crer deux polices de groupe appeles par exemple WSUS Clients et WSUS Serveurs contenant uniquement la valeur suivante modifier dans Configuration ordinateur > Modles dadministration > Composants Windows > Windows Update :

Autoriser le ciblage ct client : Activ o Nom de groupe cible pour cet ordinateur : Clients (ou Serveurs selon le GPO)

Il ne restera plus qu lier chaque GPO lUO correspondante. Si vous placez des machines dans ces UO, elles se verront alors automatiquement attribues un groupe WSUS. Le nom des groupes doivent tre exactement les mmes que ceux que vous avez crs dans WSUS.