Installation d’un serveur WSUS

Publié le 10 avril 2012 par Lolokai @lolokai

Introduction

Il est très important dans un réseau de tenir à jour les machines. Tout d’abord, question de sécurité : une machine non mis à jour est une machine qui peut posséder des failles de sécurité. Il est donc important de tenir les machines de son réseau continuellement à jour.

Le problème avec les mises à jour c’est qu’elles peuvent parfois être lourdes et difficiles à télécharger. Imaginez plusieurs machines en train de faire des mises à jour pendant une heure de grand traffic sur le réseau. Votre réseau devient lourd et la bande passante internet est très vite saturée.

Je vous propose donc de voir avec moi une solution qu’est WSUS soit Windows Server Update Service. Cette solution permet de configurer un serveur qui va se charger de télécharger les mises à jours utiles pour les machines, puis il les stocke. Il les teste puis une fois approuvées il établie un ordre de priorité et à l’heure choisie les distribue sur le réseau. Le Serveur WSUS interagit avec des clients Windows Update. Le serveur est capable de démarrer une machine en veille pour installer les mises à  jours.

Installation

Tout d’abord nous allons installer et configurer notre serveur WSUS.

Contrairement à DNS, DHCP ou IIS il ne faut pas installer le role serveur WSUS, il n’existe pas. Il suffit de se rendre à www.microsoft.com/  et vous prenez la dernière version du serveur, qui est à ce jour WSUS 3.0. Une fois téléchargé vous lancez l’exécutable.

Pour installer WSUS il est indispensable d’avoir ajouter le role IIS avec la plus part de ses services de rôles

Une fois que tout est ok, vous pouvez lancer l’executable, vous accepter le contrat de licence et vous arrivez à la fenêtre ci-dessous. L’assistant nous demande juste de choisir l’emplacement voulu pour stocker nos mises à jour.

Ensuite, WSUS nous demande quel logiciel utiliser pour gérer la base de données. Par défaut, il propose de créer une base.

Puis WSUS vous demande de choisir le site qu’il doit utiliser. Je vous recommande fortement de laisser les paramètres par défaut. Une fois tout cela fait un petit bilan est dressé et il ne suffit qu’à cliquer sur « Suivant » pour lancer l’installation.

Après ces quelques minutes à attendre, un assistant s’ouvre pour nous proposer de configurer notre serveur WSUS.

La première chose que l’on doit configurer est le « serveur en amont ». L’assistant nous propose de choisir le Serveur Windows Update avec lequel on veut récupérer les mises à jour.

Par défaut, il vaut mieux ne pas toucher à ces paramètres. Donc à part être dans une grande architecture et vouloir synchroniser avec un serveur WSUS dans un but de délégation, ne touchez pas au paramètre par défaut !

Ensuite l’assistant nous propose d’entrer un proxy nous permettant d’accéder à Windows Update. Là selon vos architectures réseaux il se peut que vous ayez ou pas un proxy.

Puis vous avez différents types de réglages possibles. Vous avez la possibilité de régler la synchronisation ou la gestion des langues, mais pour vous montrer l’outil de configuration par excellence je configurerai WSUS via Update Services. Démarrer -> Outils d’administration ->  Update Services.

Dans cette fenêtre, vous pouvez retrouver toutes les possibilités de configuration. Nous ne les verons pas toutes car chaque administrateur a sa configuration personnelle. Je vous propose avec moi de voir deux options que je juge très très importantes. Tout d’abord, la synchronisation elle nous permet de fixer une heure et une fréquence de mise à jour. Je vous conseil de choisir des heures où il y a peu d’activité dans l’entreprise ou sur le réseau car il se peut que la bande passante soit réduite lors des mises à jour. Pour cela il suffit d’aller dans option -> Planification de la synchronisation.

Dans mon exemple j’ai choisis de faire les synchronisations une fois par jour à 05h30.

La deuxième option est ordinateur. Cette option nous permet de configurer des groupes d’ordinateurs. En effet dans un réseau vous ne distribuez pas les mises à jour à tout le monde en même temps surtout si vous avez un réseau consequent. Pour gérer cela il suffit de créer des groupes d’ordinateurs. Pour cela vous faites un clic droit sur Ordinateurs dans le menu de gauche, et faites « Ajouter ».

On vous demande simplement après d’entrer le nom du groupe. Vous renouvellerez la manipulation autant de fois que vous voulez de groupe. Pour l’exemple j’ai créé un groupe grp1 et un grp2.

Il existe deux methodes pour configurer un groupe d’ordinateur: le ciblage coté serveur ou coté client.

  • Ciblage coté serveur: préféré pour les petites structures, cette méthode implique le fait d’intégrer manuellement une machine cliente à un groupe.
  • Ciblage coté client: à l’inverse de l’autre méthode, celle ci permet d’automatiser l’ajout d’ordinateurs dans un groupe via les stratégies de groupe.

Nous avons donc choisi de faire un ciblage coté client. Pour cela dans la fenêtre Update Services dans le menu de gauche cliquez sur Option -> Ordinateur et sélectionnez « Utiliser les paramètres de stratégies de groupe ou de registre sur les ordinateurs ».

Ensuite ,il faut configurer les GPO pour que les ordinateurs soit dans les groupes adéquats, ce sera surement l’objet d’un autre article ! Restez connecté .

Conclusion:

Nous avons vu à travers ce ticket l’installation d’un serveur WSUS. Ce serveur vous permet de gagner du temps et surtout de la bande passante lors du déploiement de mises à jour à très grande échelle et reste un des rôle les plus importants pour les entreprises qui privilégient la sécurité sur un parc Microsoft.

Je n’ai proposé que deux options de configuration (ordinateur et planification) quel sont pour vous les options indispensable à configurer ?