Partager via

Étape 2 : configurer WSUS

Après avoir installé le rôle serveur Windows Server Update Services (WSUS) sur votre serveur, vous devez le configurer correctement. Vous devez également configurer vos ordinateurs clients pour qu’ils reçoivent les mises à jour du serveur WSUS.

2.1. Configurer des connexions réseau

Avant de commencer le processus de configuration, assurez-vous de connaître les réponses aux questions suivantes :

  • Le pare-feu du serveur est-il configuré pour autoriser les clients à accéder au serveur ?

  • Cet ordinateur peut-il se connecter au serveur en amont (le serveur désigné pour télécharger les mises à jour à partir de Microsoft Update) ?

  • Connaissez-vous le nom du serveur proxy et les informations d’identification de l’utilisateur nécessaires pour s’y connecter, le cas échéant ?

Vous pouvez ensuite commencer à configurer les paramètres réseau WSUS suivants :

  • Updates: Specify the way this server should get updates (from Microsoft Update or from another WSUS server).

  • Proxy: If you identify that WSUS needs to use a proxy server to have internet access, configure proxy settings in the WSUS server.

  • Firewall: If you identify that WSUS is behind a corporate firewall, take extra steps at the edge device to allow WSUS traffic.

Important

Si vous n’avez qu’un seul serveur WSUS, il doit avoir accès à Internet, car il doit télécharger les mises à jour à partir de Microsoft. Si vous avez plusieurs serveurs WSUS, un seul serveur a besoin d’un accès à Internet. Les autres ont uniquement besoin d’un accès réseau au serveur WSUS connecté à Internet. Vos ordinateurs clients n’ont pas besoin d’accès à Internet. Ils ont uniquement besoin d’un accès réseau à un serveur WSUS.

Tip

If your network is air gapped—if it doesn't have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. Cette approche nécessite deux serveurs WSUS. Un serveur WSUS avec accès à Internet collecte les mises à jour de Microsoft. Un deuxième serveur WSUS sur le réseau protégé envoie les mises à jour aux ordinateurs clients. Les mises à jour sont exportées du premier serveur sur un support amovible, transportées à travers la zone de séparation, puis importées dans le deuxième serveur. Cette configuration est avancée et dépasse la portée de cet article.

2.1.1. Configurer votre pare-feu pour permettre à votre premier serveur WSUS de se connecter aux domaines Microsoft sur Internet

Si vous avez un pare-feu d’entreprise entre WSUS et Internet, vous devez peut-être le configurer pour garantir que WSUS obtient les mises à jour. Pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise les ports 80 et 443 avec le protocole HTTP et HTTPS. Même si la plupart des pare-feu d’entreprise autorisent ce type de trafic, certaines sociétés limitent l’accès à Internet à partir des serveurs en raison de stratégies de sécurité. Si votre entreprise restreint l’accès, vous devez configurer votre pare-feu pour permettre à votre serveur WSUS d’accéder aux domaines Microsoft.

Votre premier serveur WSUS doit disposer d’un accès sortant aux ports 80 et 443 sur les domaines suivants :

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Si vous gérez les mises à jour Microsoft 365, ce qui nécessite Microsoft Configuration Manager, consultez Gérer les mises à jour des applications Microsoft 365 avec Microsoft Configuration Manager pour plus d’informations sur les domaines que vous devez autoriser.

Important

Vous devez configurer votre pare-feu pour autoriser le premier serveur WSUS à accéder à n’importe quelle URL au sein de ces domaines. Les adresses IP associées à ces domaines changent constamment. Par conséquent, n’essayez pas d’utiliser des plages d’adresses IP à la place.

2.1.2. Configurer le pare-feu pour permettre à d’autres serveurs WSUS de se connecter au premier serveur

If you have multiple WSUS servers, you should configure the other WSUS servers to access the first (topmost) server. Vos autres serveurs WSUS reçoivent ensuite toutes leurs informations de mise à jour à partir du serveur le plus haut. Cette configuration vous permet de gérer l’ensemble de votre réseau à l’aide de la console d’administration WSUS sur le serveur principal.

Vos autres serveurs WSUS doivent avoir un accès sortant au serveur principal via deux ports. Par défaut, ces ports sont 8530 et 8531. Vous pouvez modifier ces ports, comme décrit dans Configurer le serveur web IIS du serveur WSUS pour utiliser TLS pour certaines connexions plus loin dans cet article.

Note

Si la connexion réseau entre les serveurs WSUS est lente ou coûteuse, vous pouvez configurer un ou plusieurs autres serveurs WSUS pour recevoir les charges utiles de mise à jour directement de Microsoft. Dans ce cas, seule une petite quantité de données est envoyée de ces serveurs WSUS au serveur le plus haut. Pour que cette configuration fonctionne, les autres serveurs WSUS doivent avoir accès aux mêmes domaines Internet que le serveur principal.

Note

Si vous disposez d’une grande organisation, vous pouvez utiliser des chaînes de serveurs WSUS connectés, plutôt que de faire en sorte que tous vos autres serveurs WSUS se connectent directement au serveur principal. Par exemple, vous pouvez avoir un deuxième serveur WSUS qui se connecte au serveur principal et configurer les autres serveurs WSUS pour qu’ils se connectent au deuxième serveur WSUS.

2.1.3. Configurer vos serveurs WSUS pour utiliser un serveur proxy, si nécessaire

Si le réseau d’entreprise utilise des serveurs proxy, les serveurs proxy doivent prendre en charge les protocoles HTTP et HTTPS. Ils doivent également utiliser l’authentification de base ou l’authentification Windows. Vous pouvez répondre à ces exigences en utilisant l’une des configurations suivantes :

  • Un serveur proxy unique qui prend en charge deux canaux de protocole. Dans ce cas, définissez un canal pour utiliser le protocole HTTP et l’autre canal pour utiliser HTTPS.

    Note

    Vous pouvez configurer un serveur proxy qui gère les deux protocoles pour WSUS pendant l’installation du logiciel du serveur WSUS.

  • Deux serveurs proxy, chacun d’eux prend en charge un seul protocole. Dans ce cas, configurez un serveur proxy pour utiliser HTTP et l’autre serveur proxy pour utiliser HTTPS.

Pour configurer WSUS pour utiliser deux serveurs proxy

  1. Connectez-vous à l’ordinateur que vous envisagez d’utiliser comme serveur WSUS à l’aide d’un compte membre du groupe Administrateurs locaux.

  2. Installez le rôle serveur WSUS. Lorsque vous utilisez l’Assistant Configuration WSUS, comme expliqué dans Configurer WSUS à l’aide de l’Assistant Configuration WSUS, ne spécifiez pas de serveur proxy.

  3. Open Command Prompt (Cmd.exe) as an administrator:

    1. On the Start menu, search for Command Prompt.
    2. Right-click Command Prompt, and then select Run as administrator.
    3. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, entrez les informations d’identification appropriées (le cas échéant), vérifiez que l’action qu’elle affiche est ce que vous souhaitez, puis sélectionnez Continuer.

  4. Dans l’invite de commandes, accédez au dossier C :\Program Files\Update Services\Tools . Entrez la commande suivante :

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Dans cette commande :

    • proxy_server is the name of the proxy server that supports HTTPS.

    • proxy_port is the port number of the proxy server.

  5. Fermez l’invite de commandes.

Pour ajouter un serveur proxy à la configuration WSUS

  1. Ouvrez la console d’administration WSUS.

  2. Under Update Services, expand the server name, and then select Options.

  3. On the Options pane, select Update Source and Proxy Server, and then go to the Proxy Server tab.

  4. Sélectionnez Utiliser un serveur proxy lors de la synchronisation, puis entrez le nom et le numéro de port du serveur proxy dans les zones correspondantes. Le numéro de port par défaut est 80.

  5. Si le serveur proxy exige que vous utilisiez un compte d’utilisateur spécifique, sélectionnez Utiliser les informations d’identification de l’utilisateur pour vous connecter au serveur proxy. Entrez le nom d’utilisateur, le domaine et le mot de passe requis dans les zones correspondantes.

  6. Si le serveur proxy prend en charge l’authentification de base, sélectionnez Autoriser l’authentification de base (le mot de passe est envoyé en texte clair).

  7. Select OK.

Pour supprimer un serveur proxy de la configuration WSUS

  1. In the WSUS Administration Console, under Update Services, expand the server name, and then select Options.

  2. On the Options pane, select Update Source and Proxy Server, and then go to the Proxy Server tab.

  3. Décochez la case Utiliser un serveur proxy pendant la synchronisation.

  4. Select OK.

2.1.4. Configurer votre pare-feu pour permettre aux ordinateurs clients d’accéder à un serveur WSUS

Vos ordinateurs clients doivent tous se connecter à l’un de vos serveurs WSUS. Chaque ordinateur client doit disposer d’un accès sortant à deux ports sur le serveur WSUS. Par défaut, ces ports sont 8530 et 8531.

2.2. Configurer WSUS en utilisant l’Assistant Configuration de WSUS

Les procédures décrites dans les sections suivantes utilisent l’Assistant Configuration WSUS pour configurer les paramètres WSUS. L’Assistant Configuration WSUS s’affiche la première fois que vous démarrez la console de gestion WSUS. You can also use the Options pane in the WSUS Administration Console to configure WSUS settings. For more information about using the Options pane, see the following procedures in other sections of this article:

Démarrez l’Assistant et configurez les paramètres initiaux

  1. In the Server Manager dashboard, select Tools>Windows Server Update Services.

    Note

    Si la boîte de dialogue Terminer l’installation de WSUS s’affiche , sélectionnez Exécuter. Dans la boîte de dialogue Terminer l’installation de WSUS , sélectionnez Fermer une fois l’installation terminée.

    L’Assistant Configuration WSUS s’ouvre.

  2. Dans la page Avant de commencer, vérifiez les informations et sélectionnez Suivant.

  3. Dans la page Rejoindre le programme d’amélioration de Microsoft Update , lisez les instructions. Conservez la sélection par défaut pour participer au programme ou décochez la case dans le cas contraire. Then select Next.

Configurer les paramètres en amont et du serveur proxy

  1. Dans la page Choisir un serveur en amont , sélectionnez l’une des options suivantes :

    • Synchroniser à partir de Microsoft Update

    • Synchroniser à partir d’un autre serveur Windows Server Update Services

    Si vous choisissez de synchroniser à partir d’un autre serveur WSUS, procédez comme suit :

    1. Spécifiez le nom du serveur et le port sur lequel ce serveur doit communiquer avec le serveur en amont.

    2. Pour utiliser TLS, sélectionnez Utiliser SSL lors de la synchronisation des informations de mise à jour. Les serveurs utilisent le port 443 pour la synchronisation. (Vérifiez que ce serveur et le serveur en amont prennent en charge TLS.)

    3. Si ce serveur est un serveur de réplique, sélectionnez Ceci est une réplique du serveur en amont.

  2. After you select the options for your deployment, select Next.

  3. Si WSUS a besoin d’un serveur proxy pour accéder à Internet, configurez les paramètres de proxy suivants. Sinon, ignorez cette étape.

    1. Dans la page Spécifierun serveur proxy, sélectionnez Utiliser un serveur proxy lors de la synchronisation. Entrez ensuite le nom du serveur proxy et le numéro de port (port 80 par défaut) dans les zones correspondantes.

    2. Si vous souhaitez vous connecter au serveur proxy à l’aide d’informations d’identification utilisateur spécifiques, sélectionnez Utiliser les informations d’identification de l’utilisateur pour vous connecter au serveur proxy. Entrez ensuite le nom d’utilisateur, le domaine et le mot de passe de l’utilisateur dans les zones correspondantes.

      Si vous souhaitez activer l’authentification de base pour l’utilisateur qui se connecte au serveur proxy, sélectionnez Autoriser l’authentification de base (le mot de passe est envoyé en clair) .

  4. Select Next.

  5. Dans la page Se connecter au serveur en amont , sélectionnez Démarrer la connexion.

  6. When WSUS connects to the server, select Next.

Sélectionner des langues, des produits et des classifications

  1. On the Choose Languages page, you can select the languages from which WSUS receives updates: all languages or a subset of languages. La sélection d’un sous-ensemble de langues permet d’économiser de l’espace disque, mais il est important de sélectionner toutes les langues dont ont besoin tous les clients de ce serveur WSUS.

    Si vous choisissez d’obtenir les mises à jour dans certaines langues uniquement, sélectionnez Télécharger les mises à jour dans ces langues uniquement, puis sélectionnez les langues correspondantes. Sinon, laissez la valeur par défaut.

    Warning

    Si vous sélectionnez l'option Télécharger les mises à jour uniquement dans ces langues et qu’un serveur WSUS en aval y est connecté, cette option force le serveur en aval à utiliser uniquement les langues sélectionnées.

  2. Select Next.

  3. On the Choose Products page, specify the products for which you want updates. Sélectionnez des catégories de produits, telles que Windows ou des produits spécifiques, tels que Windows Server 2019. La sélection d’une catégorie de produits entraîne celle de tous les produits de cette catégorie.

  4. Select Next.

  5. On the Choose Classifications page, select the update classifications that you want to get. Select all the classifications or a subset of them, and then select Next.

Configurer la planification de synchronisation

  1. Dans la page Définir la planification de synchronisation , sélectionnez s’il faut effectuer la synchronisation manuellement ou automatiquement.

    • If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • If you select Synchronize automatically, the WSUS server synchronizes at set intervals.

      For First synchronization, set the time, and then specify the number of synchronizations per day that you want this server to perform. Par exemple, si vous spécifiez quatre synchronisations par jour, à partir de 3 h 00, les synchronisations se produisent à 3 h 00, 9 h 00, 13 h 00 et 19 h 00.

  2. Select Next.

Terminer l’Assistant

  1. On the Finished page, if you want to start the synchronization right away, select Begin initial synchronization. Si vous ne sélectionnez pas cette option, vous devez utiliser la console de gestion WSUS pour effectuer la synchronisation initiale.

  2. If you want to read more about other settings, select Next. Otherwise, select Finish to conclude the wizard and finish the initial WSUS setup.

After you select Finish, the WSUS Administration Console appears. Vous utilisez cette console pour gérer votre réseau WSUS, comme décrit dans les sections ultérieures de cet article.

2.3. Sécuriser WSUS avec le protocole TLS

Vous devez utiliser le protocole TLS pour sécuriser votre réseau WSUS. WSUS peut utiliser TLS pour authentifier les connexions et chiffrer et protéger les informations de mise à jour.

Warning

La sécurisation de WSUS à l’aide du protocole TLS est importante pour la sécurité de votre réseau. Si votre serveur WSUS n’utilise pas correctement TLS pour sécuriser ses connexions, un attaquant peut modifier les informations de mise à jour cruciales lorsqu’il est envoyé d’un serveur WSUS à un autre, ou du serveur WSUS aux ordinateurs clients. Dans ce cas, l’attaquant peut installer des logiciels malveillants sur des ordinateurs clients.

Important

Les clients et les serveurs en aval configurés pour utiliser TLS ou HTTPS doivent également être configurés pour utiliser un nom de domaine complet (FQDN) pour leur serveur WSUS en amont.

2.3.1. Activer TLS/HTTPS sur le service IIS du serveur WSUS pour utiliser TLS/HTTPS

Pour commencer le processus d’utilisation de TLS/HTTPS, vous devez activer la prise en charge de TLS sur le service IIS (Internet Information Services) du serveur WSUS. Cet effort implique la création d’un certificat SSL (TLS/Secure Sockets Layer) pour le serveur.

Les étapes requises pour obtenir un certificat TLS/SSL pour le serveur dépassent l’étendue de cet article et dépendent de votre configuration réseau. Pour plus d’informations et pour obtenir des instructions sur l’installation des certificats et la configuration de cet environnement, consultez la documentation relative aux services de certificats Active Directory.

2.3.2. Configurer le serveur web IIS du serveur WSUS pour utiliser TLS pour certaines connexions

WSUS requiert deux ports pour les connexions à d’autres serveurs WSUS et aux ordinateurs clients. One port uses TLS/HTTPS to send update metadata (crucial information about the updates). Par défaut, le port 8531 est utilisé à cet effet. Un deuxième port utilise le protocole HTTP pour envoyer des charges utiles de mise à jour. Par défaut, le port 8530 est utilisé à cet effet.

Important

Vous ne pouvez pas configurer l’ensemble du site web WSUS pour exiger TLS. WSUS est conçu pour chiffrer uniquement les métadonnées de mise à jour. Windows Update distribue les mises à jour de la même façon.

Pour empêcher un attaquant de falsifier les charges utiles de mise à jour, toutes les charges utiles de mise à jour sont signées en utilisant un ensemble spécifique de certificats de signature approuvés. En outre, un hachage de chiffrement est calculé pour chaque charge utile de mise à jour. Le hachage est envoyé à l’ordinateur client sur la connexion HTTPS sécurisée des métadonnées, en même temps que les autres métadonnées de la mise à jour. Lorsqu’une mise à jour est téléchargée, le logiciel client vérifie la signature numérique et le hachage de la charge utile. Si la mise à jour a changé, elle n’est pas installée.

Vous devez exiger TLS uniquement pour les racines virtuelles IIS suivantes :

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Vous ne devez pas exiger TLS pour les racines virtuelles suivantes :

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

Le certificat de l'autorité de certification (CA) doit être importé dans le magasin de CA racine de confiance de l'ordinateur local de chaque serveur WSUS, ou, si le magasin existe, dans le magasin de CA racine de confiance de WSUS.

Pour plus d’informations sur l’utilisation de certificats TLS/SSL dans IIS, consultez Comment configurer SSL sur IIS 7 ou version ultérieure.

Important

Vous devez utiliser le stockage de certificats de l’ordinateur local. Vous ne pouvez pas utiliser le magasin de certificats d’un utilisateur.

Normalement, vous devez configurer IIS afin d’utiliser le port 8531 pour les connexions HTTPS et le port 8530 pour les connexions HTTP. Si vous changez ces ports, vous devez utiliser deux numéros de port adjacents. Le numéro de port utilisé pour les connexions HTTP doit être exactement le numéro de port utilisé pour les connexions HTTPS moins 1.

Vous devez réinitialiser le ClientServicingProxy proxy client si le nom du serveur, la configuration TLS ou le numéro de port change.

2.3.3. Configurer WSUS pour utiliser le certificat de signature TLS/SSL pour ses connexions clientes

  1. Connectez-vous au serveur WSUS à l’aide d’un compte membre du groupe Administrateurs WSUS ou du groupe Administrateurs locaux.

  2. On the Start menu, enter CMD, right-click Command Prompt, and then select Run as administrator.

  3. Accédez au dossier C :\Program Files\Update Services\Tools .

  4. Dans l’invite de commandes, entrez la commande suivante :

    wsusutil configuressl <certificate-name>

    In that command, certificate-name is the Domain Name System (DNS) name of the WSUS server.

2.3.4. Sécuriser la connexion SQL Server, si nécessaire

Si vous utilisez WSUS avec une base de données SQL Server distante, la connexion entre le serveur WSUS et le serveur de base de données n’est pas sécurisée via TLS. Cette situation crée un vecteur d’attaque potentiel. Pour protéger cette connexion, tenez compte des recommandations suivantes :

  • Déplacez la base de données WSUS sur le serveur WSUS.

  • Déplacez le serveur de base de données distant et le serveur WSUS sur un réseau privé.

  • Déployez le protocole IPsec (Internet Protocol security) pour sécuriser le trafic réseau. Pour plus d’informations sur IPsec, consultez Création et utilisation des stratégies IPsec.

2.3.5. Créer un certificat de signature de code pour la publication locale, si nécessaire

Outre la distribution des mises à jour que Microsoft fournit, WSUS prend en charge la publication locale. Vous pouvez utiliser la publication locale pour créer et distribuer des mises à jour que vous concevez vous-même, avec vos propres charges utiles et comportements.

L’activation et la configuration de la publication locale n’entrent pas dans le cadre de cet article. For full details, see Local publishing.

Important

La publication locale est un processus complexe très souvent inutile. Avant de décider d’activer la publication locale, vous devez examiner attentivement la documentation et déterminer si vous souhaitez utiliser cette fonctionnalité et comment l’utiliser.

2.4. Configuration des groupes d’ordinateurs WSUS

Les groupes d’ordinateurs représentent une part importante de l’utilisation efficace de WSUS. Vous pouvez utiliser des groupes d’ordinateurs pour tester et cibler les mises à jour sur des ordinateurs spécifiques. Il existe deux groupes d’ordinateurs par défaut : Tous les ordinateurs et Ordinateurs non affectés. Par défaut, lorsque chaque ordinateur client contacte pour la première fois le serveur WSUS, ce dernier l’ajoute à ces deux groupes.

Vous pouvez créer autant de groupes d’ordinateurs personnalisés que nécessaire pour gérer les mises à jour dans votre organisation. Il est recommandé de créer au moins un groupe d’ordinateurs pour tester les mises à jour avant de les déployer vers d’autres ordinateurs de votre organisation.

2.4.1. Choisir une approche pour attribuer des ordinateurs clients à des groupes d’ordinateurs

Il existe deux approches pour attribuer des ordinateurs clients à des groupes d’ordinateurs. La bonne approche pour votre organisation dépend de la façon dont vous gérez généralement vos ordinateurs clients.

  • Server-side targeting: This approach is the default one. Dans cette approche, vous attribuez des ordinateurs clients à des groupes d’ordinateurs en utilisant la console d’administration WSUS.

    Cette approche vous permet de déplacer rapidement des ordinateurs clients d’un groupe à un autre quand les circonstances changent. Toutefois, vous devez déplacer manuellement les nouveaux ordinateurs clients du groupe Ordinateurs non attribués vers le groupe d’ordinateurs approprié.

  • Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.

    Cette approche facilite l’attribution des nouveaux ordinateurs clients aux groupes appropriés. Vous effectuez cette opération dans le cadre de la configuration de l'ordinateur client pour recevoir les mises à jour du serveur WSUS. Toutefois, vous ne pouvez pas affecter d’ordinateurs clients à des groupes d’ordinateurs ou les déplacer d’un groupe d’ordinateurs vers un autre via la console d’administration WSUS. Vous devez plutôt modifier les stratégies des ordinateurs clients.

2.4.2. Activer le ciblage côté client, le cas échéant

Important

Ignorez les étapes décrites dans cette section si vous envisagez d’utiliser le ciblage côté serveur.

  1. In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select Options.

  2. On the Options pane, select Computers. Go to the General tab, and then select Use Group Policy or registry settings on computers.

2.4.3. Créer les groupes d’ordinateurs souhaités

Note

Vous devez créer des groupes d’ordinateurs dans la console d’administration WSUS, que vous utilisiez le ciblage côté serveur ou le ciblage côté client pour ajouter des ordinateurs clients aux groupes d’ordinateurs.

  1. In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.

  2. Dans la boîte de dialogue Ajouter un groupe d’ordinateurs, dans Nom, spécifiez le nom du nouveau groupe. Then select Add.

2.5. Configurer des ordinateurs clients pour établir des connexions TLS avec le serveur WSUS

En supposant que vous configurez le serveur WSUS pour protéger les connexions des ordinateurs clients à l’aide de TLS, vous devez configurer les ordinateurs clients pour approuver ces connexions TLS.

Le certificat TLS/SSL du serveur WSUS doit être importé dans le magasin AC racine de confiance des ordinateurs clients, ou dans le magasin AC racine de confiance du service de mise à jour automatique des ordinateurs clients, le cas échéant.

Important

Vous devez utiliser le stockage de certificats de l’ordinateur local. Vous ne pouvez pas utiliser le magasin de certificats d’un utilisateur.

Les ordinateurs clients doivent approuver le certificat que vous liez au serveur WSUS. Selon le type de certificat utilisé, vous devez peut-être configurer un service permettant aux ordinateurs clients d’approuver le certificat lié au serveur WSUS.

Si vous utilisez la publication locale, vous devez également configurer les ordinateurs clients pour qu’ils approuvent le certificat de signature de code du serveur WSUS. For instructions, see Local publishing.

2.6. Configurer des ordinateurs clients pour recevoir des mises à jour à partir du serveur WSUS

Par défaut, vos ordinateurs clients reçoivent des mises à jour de Windows Update. Ils doivent être configurés pour recevoir des mises à jour du serveur WSUS à la place.

Important

Cet article présente un ensemble d’étapes pour configurer les ordinateurs clients avec une stratégie de groupe. Ces étapes sont appropriées dans de nombreux cas. Toutefois, de nombreuses autres options sont disponibles pour configurer le comportement des mises à jour sur les ordinateurs clients, notamment l’utilisation de la gestion des appareils mobiles. Pour obtenir de la documentation sur ces options, consultez Gérer les paramètres Windows Update supplémentaires.

2.6.1. Choisir le jeu de stratégies correct à modifier

Si Active Directory est configuré dans votre réseau, vous pouvez configurer un ou plusieurs ordinateurs simultanément en les incluant dans un objet de stratégie de groupe (GPO), puis en configurant cet objet de stratégie de groupe avec les paramètres WSUS.

Nous vous recommandons de créer un objet de stratégie de groupe qui contient uniquement des paramètres WSUS. Liez ce GPO WSUS à un conteneur Active Directory approprié pour votre environnent.

Dans un environnement simple, vous pouvez lier un seul GPO WSUS au domaine. Dans un environnement plus complexe, vous pouvez lier plusieurs GPO WSUS à plusieurs unités d’organisation. Lorsque vous liez des GPO à des unités d'organisation, vous pouvez appliquer les paramètres de stratégie WSUS à différents types d'ordinateurs.

Si vous n’utilisez pas Active Directory dans votre réseau, vous devez configurer chaque ordinateur à l’aide de l’éditeur de stratégie de groupe local.

2.6.2. Modifier les stratégies pour configurer les ordinateurs clients

Suivez les étapes décrites dans les sections suivantes pour configurer les ordinateurs clients à l’aide des paramètres de stratégie.

Note

Ces instructions supposent que vous utilisez les versions les plus récentes des outils de modification de stratégie. Dans les versions antérieures des outils, les stratégies peuvent être organisées différemment.

Ouvrez l’éditeur de stratégie et accédez à l’élément Windows Update

  1. Ouvrez l’objet de stratégie approprié :

    • If you're using Active Directory, open the Group Policy Management Console, go to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration, and expand Policies.
    • Si vous n’utilisez pas Active Directory, ouvrez l’éditeur de stratégie de groupe local. La stratégie de l’ordinateur local s’affiche. Expand Computer Configuration.

  2. In the object that you expanded in the previous step, expand Administrative Templates>Windows components>Windows Update. Si votre système d’exploitation est Windows 10 ou Windows 11, sélectionnez également Gérer l’expérience utilisateur final.

Modifier le paramètre des mises à jour automatiques

  1. Dans le volet d’informations, double-cliquez sur Configurer les mises à jour automatiques. La stratégie Configuration du service Mises à jour automatiques s’ouvre.

  2. Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how the automatic updates feature should download and install approved updates.

    Nous vous recommandons d’utiliser le paramètre Téléchargement automatique et planification des installations. Il garantit que les mises à jour que vous approuvez dans WSUS sont téléchargées et installées en temps voulu, sans avoir besoin d’intervention de l’utilisateur.

  3. Si vous le souhaitez, modifiez d’autres parties de la stratégie. Pour plus d’informations, consultez Gérer des paramètres Windows Update supplémentaires.

    Note

    Les mises à jour d’installation à partir d’autres paramètres de produits Microsoft n’ont aucun effet sur les ordinateurs clients recevant des mises à jour de WSUS. Les ordinateurs clients reçoivent toutes les mises à jour approuvées pour elles sur le serveur WSUS.

  4. Select OK to close the Configure Automatic Updates policy.

Modifier le paramètre pour spécifier un serveur intranet pour héberger des mises à jour

  1. Dans le volet d’informations, double-cliquez sur Spécifier l’emplacement intranet du service de mise à jour Microsoft. If your operating system is Windows 10 or Windows 11, first go back to the Windows Update node of the tree, and then select Manage updates offered from Windows Server Update Service.

    La stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft s’ouvre.

  2. Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server boxes.

    Warning

    Veillez à inclure le bon port dans l’URL. En supposant que vous configurez le serveur pour qu’il utilise TLS comme recommandé, vous devez spécifier le port configuré pour HTTPS. Par exemple, si vous choisissez d’utiliser le port 8531 pour HTTPS et que le nom de domaine du serveur est wsus.contoso.com, vous devez entrer https://wsus.contoso.com:8531 dans les deux zones de texte.

  3. Select OK to close the Specify intranet Microsoft update service location policy.

Configurer le ciblage côté client, le cas échéant

Si vous choisissez d’utiliser le ciblage côté client, procédez comme suit dans cette section pour spécifier le groupe d’ordinateurs approprié pour les ordinateurs clients que vous configurez.

Note

Ces étapes supposent que vous venez de suivre les étapes de modification des stratégies pour configurer les ordinateurs clients.

  1. In the policy editor, go to the Windows Update item. Si votre système d’exploitation est Windows 10 ou Windows 11, sélectionnez également Gérer les mises à jour proposées à partir du service Windows Server Update.

  2. Dans le volet d’informations, double-cliquez sur Activer le ciblage côté client. La stratégie Activer le ciblage côté client s’ouvre.

  3. Select Enabled. Sous Nom du groupe cible pour cet ordinateur, entrez le nom du groupe d’ordinateurs WSUS auquel vous souhaitez ajouter les ordinateurs clients.

    Si vous exécutez une version actuelle de WSUS, vous pouvez ajouter les ordinateurs clients à plusieurs groupes d’ordinateurs en entrant les noms des groupes séparés par des points-virgules. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.

  4. Select OK to close the Enable client-side targeting policy.

2.6.3. Permettre à l’ordinateur client de se connecter au serveur WSUS

Les ordinateurs clients n’apparaissent pas dans la console d’administration WSUS tant qu’ils ne se connectent pas au serveur WSUS pour la première fois.

  1. Attendez que les modifications apportées à la stratégie prennent effet sur l’ordinateur client.

    Si vous utilisez un objet de stratégie de groupe basé sur Active Directory pour configurer les ordinateurs clients, le mécanisme de mise à jour des stratégies de groupe prend un certain temps pour remettre les modifications à un ordinateur client. If you want to speed up this process, you can open Command Prompt with elevated privileges and then enter the command gpupdate /force.

    Si vous utilisez l’éditeur de stratégie de groupe local pour configurer un ordinateur client individuel, les modifications prennent effet immédiatement.

  2. Redémarrez l'ordinateur client. Cela permet de garantir que le logiciel Windows Update sur l’ordinateur détecte les changements de la stratégie.

  3. Laissez l’ordinateur client analyser les mises à jour. Cette analyse prend généralement un certain temps.

    Vous pouvez accélérer le processus à l’aide de l’une des options suivantes :

    • On Windows 10 or 11, use the Settings app Windows Update page to manually check for updates.
    • On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
    • On versions of Windows before Windows 10, open Command Prompt with elevated privileges, and enter the command wuauclt /detectnow.

2.6.4 Vérifier la réussite de la connexion de l’ordinateur client au serveur WSUS

Si vous effectuez toutes les étapes précédentes, vous voyez les résultats suivants :

  • L’ordinateur client recherche bien les mises à jour. (Il est possible qu’il ne trouve pas de mises à jour applicables à télécharger et à installer.)

  • Au bout d’environ 20 minutes, l’ordinateur client apparaît dans la liste des ordinateurs affichés dans la console d’administration WSUS, en fonction du type de ciblage :

    • Si vous utilisez le ciblage côté serveur, l’ordinateur client s’affiche dans les groupes d’ordinateurs Tous les ordinateurs et Ordinateurs non attribués.

    • Si vous utilisez le ciblage côté client, l’ordinateur client apparaît dans le groupe d’ordinateurs Tous les ordinateurs et dans le groupe d’ordinateurs que vous sélectionnez lors de la configuration de l’ordinateur client.

2.6.5. Configurer le ciblage côté serveur de l’ordinateur client, le cas échéant

Si vous utilisez le ciblage côté serveur, vous devez maintenant ajouter le nouvel ordinateur client aux groupes d’ordinateurs appropriés.

  1. Dans la console d’administration WSUS, recherchez le nouvel ordinateur client. Il doit apparaître dans les groupes d’ordinateurs Tous les ordinateurs et Ordinateurs non attribués de la liste d’ordinateurs du serveur WSUS.

  2. Right-click the client computer and select Change membership.

  3. In the dialog, select the appropriate computer groups, and then select OK.

Next step

Étape 3 : Approuver et déployer des mises à jour