Étape 2 : configurer WSUS

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Après avoir installé le rôle serveur Windows Server Update Services (WSUS) sur votre serveur, vous devez le configurer correctement. Vous devez également configurer vos ordinateurs clients pour qu’ils reçoivent les mises à jour du serveur WSUS.

Cet article vous guide dans les procédures suivantes :

Tâche Description
2.1. Configurer des connexions réseau Configurez vos paramètres de pare-feu et de proxy pour permettre au serveur d’établir les connexions dont il a besoin.
2.2. Configurer WSUS en utilisant l’Assistant Configuration de WSUS Utilisez l’Assistant Configuration WSUS pour effectuer la configuration WSUS de base.
2.3. Sécuriser WSUS avec le protocole SSL (Secure Sockets Layer) Configurez le protocole SSL (Secure Sockets Layer) pour protéger WSUS.
2.4. Configuration des groupes d’ordinateurs WSUS Créez des groupes d’ordinateurs dans la console d’administration WSUS pour gérer les mises à jour dans votre organisation.
2.5. Configurer des ordinateurs clients pour établir des connexions SSL avec le serveur WSUS Configurez les ordinateurs clients pour établir des connexions sécurisées au serveur WSUS.
2.6. Configurer des ordinateurs clients pour recevoir des mises à jour à partir du serveur WSUS Configurez les ordinateurs clients pour qu’ils reçoivent leurs mises à jour à partir du serveur WSUS.

2.1. Configurer des connexions réseau

Avant de commencer le processus de configuration, assurez-vous de connaître les réponses aux questions suivantes :

  • Le pare-feu du serveur est-il configuré pour autoriser les clients à accéder au serveur ?

  • Cet ordinateur peut-il se connecter au serveur en amont (par exemple, le serveur désigné pour télécharger les mises à jour de Microsoft Update) ?

  • Connaissez-vous le nom du serveur proxy et les informations d’identification de l’utilisateur nécessaires pour s’y connecter, le cas échéant ?

Vous pouvez ensuite commencer à configurer les paramètres réseau WSUS suivants :

  • Mises à jour : indiquez comment ce serveur doit obtenir les mises à jour (de Microsoft Update ou d’un autre serveur WSUS).

  • Proxy : si vous avez déterminé que WSUS doit utiliser un serveur proxy pour accéder à Internet, vous devez configurer les paramètres de proxy dans le serveur WSUS.

  • Pare-feu : si vous avez déterminé que WSUS se trouve derrière un pare-feu d’entreprise, vous devez effectuer des étapes supplémentaires au niveau de l’appareil périphérique pour autoriser le trafic WSUS.

Important

Si vous avez un seul serveur WSUS, il doit avoir accès à Internet pour pouvoir télécharger les mises à jour de Microsoft. Si vous avez plusieurs serveurs WSUS, un seul serveur a besoin d’un accès à Internet. Les autres ont uniquement besoin d’un accès réseau au serveur WSUS connecté à Internet. Vos ordinateurs clients n’ont pas besoin d’accéder à Internet, ils ont uniquement besoin d’un accès réseau à un serveur WSUS.

Conseil

Si votre réseau est « isolé physiquement » (s’il n’a pas du tout accès à Internet), vous pouvez toujours utiliser WSUS pour fournir des mises à jour aux ordinateurs clients sur le réseau. Cette approche nécessite deux serveurs WSUS. Un serveur WSUS avec accès à Internet collecte les mises à jour de Microsoft. Un deuxième serveur WSUS sur le réseau protégé envoie les mises à jour aux ordinateurs clients. Les mises à jour sont exportées du premier serveur vers un support amovible, transportées via le lieu isolé et importées sur le second serveur. Il s’agit d’une configuration avancée qui dépasse le cadre de cet article.

2.1.1. Configurer votre pare-feu pour permettre à votre premier serveur WSUS de se connecter aux domaines Microsoft sur Internet

Si vous avez un pare-feu d’entreprise entre WSUS et Internet, vous devez peut-être le configurer pour garantir que WSUS obtient les mises à jour. Pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise les ports 80 et 443 avec le protocole HTTP et HTTPS. Même si la plupart des pare-feu d’entreprise autorisent ce type de trafic, certaines sociétés limitent l’accès à Internet à partir des serveurs en raison de stratégies de sécurité. Si c’est le cas de votre société, vous devez configurer votre pare-feu pour permettre à votre serveur WSUS d’accéder aux domaines Microsoft.

Votre premier serveur WSUS doit disposer d’un accès sortant aux ports 80 et 443 sur les domaines suivants :

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Important

Vous devez configurer votre pare-feu pour autoriser le premier serveur WSUS à accéder à n’importe quelle URL au sein de ces domaines. Les adresses IP associées à ces domaines changent constamment. Par conséquent, n’essayez pas d’utiliser des plages d’adresses IP à la place.

Dans le cas où WSUS ne parvient pas à obtenir des mises à jour en raison des configurations de pare-feu, consultez l’article 885819 dans la Base de connaissances Microsoft.

2.1.2. Configurer le pare-feu pour permettre à d’autres serveurs WSUS de se connecter au premier serveur

Si vous avez plusieurs serveurs WSUS, vous devez configurer les autres serveurs WSUS pour qu’ils accèdent au premier serveur (serveur principal). Vos autres serveurs WSUS recevront toutes leurs informations de mise à jour du serveur principal. Cette configuration vous permet de gérer l’ensemble de votre réseau à l’aide de la console d’administration WSUS sur le serveur principal.

Vos autres serveurs WSUS doivent avoir un accès sortant au serveur principal via deux ports. Par défaut, il s’agit des ports 8530 et 8531. Vous pouvez changer ces ports, comme décrit plus loin dans cet article.

Notes

Si la connexion réseau entre les serveurs WSUS est lente ou coûteuse, vous pouvez configurer un ou plusieurs autres serveurs WSUS pour recevoir les charges utiles de mise à jour directement de Microsoft. Dans ce cas, seule une petite quantité de données est envoyée de ces serveurs WSUS vers le serveur principal. Pour que cette configuration fonctionne, les autres serveurs WSUS doivent avoir accès aux mêmes domaines Internet que le serveur principal.

Notes

Si vous disposez d’une grande organisation, vous pouvez utiliser des chaînes de serveurs WSUS connectés, plutôt que de faire en sorte que tous vos autres serveurs WSUS se connectent directement au serveur principal. Par exemple, vous pouvez avoir un deuxième serveur WSUS qui se connecte au serveur principal et configurer les autres serveurs WSUS pour qu’ils se connectent au deuxième serveur WSUS.

2.1.3. Configurer vos serveurs WSUS pour utiliser un serveur proxy, si nécessaire

Si le réseau d’entreprise utilise des serveurs proxy, ils doivent prendre en charge les protocoles HTTP et HTTPS. Ils doivent également utiliser l’authentification de base ou l’authentification Windows. Vous pouvez répondre à ces exigences en utilisant l’une des configurations suivantes :

  • Un serveur proxy unique qui prend en charge deux canaux de protocole. Dans ce cas, définissez un canal pour utiliser le protocole HTTP et l’autre canal pour utiliser HTTPS.

    Remarque

    Vous pouvez configurer un serveur proxy qui gère les deux protocoles pour WSUS pendant l’installation du logiciel du serveur WSUS.

  • Deux serveurs proxy, chacun d’eux prend en charge un seul protocole. Dans ce cas, un serveur proxy est configuré pour utiliser le protocole HTTP et l’autre serveur proxy est configuré pour utiliser HTTPS.

Pour configurer WSUS pour utiliser deux serveurs proxy

  1. Ouvrez une session sur l’ordinateur destiné au serveur WSUS à l’aide d’un compte membre du groupe Administrateurs local.

  2. Installez le rôle serveur WSUS. Pendant l’exécution de l’Assistant Configuration WSUS, ne spécifiez pas de serveur proxy.

  3. Ouvrez une invite de commandes (Cmd.exe) en tant qu’administrateur :

    1. Accédez à Démarrer.
    2. Dans Rechercher, tapez Invite de commandes.
    3. En haut du menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.
    4. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, entrez les informations d’identification appropriées (si nécessaire), vérifiez que l’action affichée est celle que vous voulez, puis sélectionnez Continuer.

  4. Dans la fenêtre d’invite de commandes, accédez au dossier C:\Program Files\Update Services\Tools. Entrez la commande suivante :

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    Dans cette commande :

    • proxy_server est le nom du serveur proxy qui prend en charge HTTPS.

    • proxy_port est le numéro de port du serveur proxy.

  5. Fermez la fenêtre d'invite de commandes.

Pour ajouter un serveur proxy à la configuration WSUS

  1. Ouvrez la console d’administration WSUS.

  2. Dans le volet de gauche, développez le nom du serveur et sélectionnez Options.

  3. Dans le volet Options, sélectionnez Source de mise à jour et serveur de mise à jour, puis l’onglet Serveur proxy.

  4. Cochez la case Utiliser un serveur proxy pendant la synchronisation.

  5. Dans la zone de texte Nom du serveur proxy, entrez le nom du serveur proxy.

  6. Dans la zone de texte Numéro de port proxy, entrez le numéro de port du serveur proxy. Le numéro de port par défaut est 80.

  7. Si le serveur proxy nécessite un compte d’utilisateur spécifique, cochez la case Utiliser les informations d’identification de l’utilisateur pour se connecter au serveur proxy. Entrez le nom d’utilisateur, le domaine et le mot de passe demandés dans les zones de texte correspondantes.

  8. Si le serveur proxy prend en charge l’authentification de base, cochez la case Autoriser l’authentification de base (mot de passe envoyé non codé) .

  9. Sélectionnez OK.

Pour supprimer un serveur proxy de la configuration WSUS

  1. Décochez la case Utiliser un serveur proxy pendant la synchronisation.

  2. Sélectionnez OK.

2.1.4. Configurer votre pare-feu pour permettre aux ordinateurs clients d’accéder à un serveur WSUS

Vos ordinateurs clients se connectent tous à l’un de vos serveurs WSUS. L’ordinateur client doit disposer d’un accès sortant à deux ports sur le serveur WSUS. Par défaut, il s’agit des ports 8530 et 8531.

2.2. Configurer WSUS en utilisant l’Assistant Configuration de WSUS

Cette procédure part du principe que vous utilisez l’Assistant Configuration WSUS, qui s’affiche la première fois que vous démarrez la console de gestion WSUS. Plus loin dans cette rubrique, vous apprenez à effectuer ces configurations en utilisant la page Options.

Pour configurer WSUS

  1. Dans le volet de gauche du Gestionnaire de serveur, sélectionnez Tableau de bord>Outils>Windows Server Update Services.

    Notes

    Si la boîte de dialogue Terminer l’installation de WSUS s’affiche, sélectionnez Exécuter. Dans la boîte de dialogue Terminer l’installation de WSUS, sélectionnez Fermer quand l’installation est terminée.

  2. L’Assistant Configuration WSUS s’ouvre. Dans la page Avant de commencer, vérifiez les informations et sélectionnez Suivant.

  3. Lisez les instructions de la page S’inscrire au Programme d’amélioration de Microsoft Update. Conservez la sélection par défaut pour participer au programme ou décochez la case dans le cas contraire. Sélectionnez ensuite Suivant.

  4. Dans la page Choisir un serveur en amont, sélectionnez l’une des deux options suivantes : Synchroniser les mises à jour avec Microsoft Update ou Synchroniser à partir d’un autre serveur Windows Server Update Services.

    Si vous choisissez la synchronisation à partir d’un autre serveur WSUS :

    • Spécifiez le nom du serveur et le port sur lequel ce serveur doit communiquer avec le serveur en amont.

    • Pour utiliser SSL, cochez la case Utiliser SSL pour la synchronisation des informations de mise à jour. Les serveurs utiliseront le port 443 pour la synchronisation. (Vous devez vous assurer que ce serveur et le serveur en amont prennent en charge le protocole SSL.)

    • Dans le cas d’un serveur réplica, cochez la case Il s’agit d’un réplica du serveur en amont.

  5. Après avoir sélectionné les options de votre déploiement, sélectionnez Suivant.

  6. Dans la page Spécifier un serveur proxy, sélectionnez Utiliser un serveur proxy pendant la synchronisation. Entrez ensuite le nom du serveur proxy et le numéro de port (port 80 par défaut) dans les zones correspondantes.

    Important

    Vous devez effectuer cette étape si vous avez déterminé que WSUS doit utiliser un serveur proxy pour accéder à Internet.

  7. Si vous voulez vous connecter au serveur proxy avec des informations d’identification d’utilisateur spécifiques, cochez la case Utiliser les informations d’identification de l’utilisateur pour se connecter au serveur proxy. Entrez ensuite le nom d’utilisateur, le domaine et le mot de passe de l’utilisateur dans les zones correspondantes.

    Afin d’activer l’authentification de base pour l’utilisateur qui se connecte au serveur proxy, cochez la case Autoriser l’authentification de base (mot de passe envoyé non codé) .

  8. Sélectionnez Suivant.

  9. Dans la page Se connecter au serveur en amont, sélectionnez Démarrer la connexion.

  10. Dès que WSUS se connecte au serveur, sélectionnez Suivant.

  11. Dans la page Choisir les langues, vous avez la possibilité de sélectionner les langues dans lesquelles WSUS doit recevoir les mises à jour (toutes les langues ou un sous-ensemble de langues). La sélection d’un sous-ensemble de langues permet de gagner de l’espace disque, mais vous devez choisir toutes les langues dont les différents clients de ce serveur WSUS ont besoin.

    Si vous choisissez d’obtenir les mises à jour dans certaines langues uniquement, sélectionnez Télécharger les mises à jour dans ces langues uniquement, puis sélectionnez les langues correspondantes. Sinon, laissez la valeur par défaut.

    Avertissement

    Si vous sélectionnez l’option Télécharger les mises à jour dans ces langues uniquementet qu’un serveur WSUS en aval est connecté à ce serveur, cette option oblige le serveur en aval à n’utiliser également que les langues sélectionnées.

  12. Après avoir sélectionné les options linguistiques de votre déploiement, sélectionnez Suivant.

  13. La page Choisir les produits vous permet d’indiquer les produits pour lesquels vous voulez des mises à jour. Sélectionnez des catégories de produits, telles que Windows, ou des produits spécifiques, tels que Windows Server 2012. La sélection d’une catégorie de produits entraîne celle de tous les produits de cette catégorie.

  14. Après avoir sélectionné les options de produits de votre déploiement, sélectionnez Suivant.

  15. La page Choisir les classifications permet de sélectionner les classifications de mise à jour que vous voulez obtenir. Choisissez toutes les classifications ou une partie, puis sélectionnez Suivant.

  16. La page Définir la planification de la synchronisation permet d’indiquer si vous souhaitez effectuer la synchronisation manuellement ou automatiquement.

    • Si vous sélectionnez Synchroniser manuellement, vous devez démarrer le processus de synchronisation à partir de la console d’administration WSUS.

    • Si vous sélectionnez Synchroniser automatiquement, le serveur WSUS effectue la synchronisation aux intervalles indiqués.

    Définissez l’heure de la Première synchronisation, puis indiquez le nombre de synchronisations par jour que ce serveur doit effectuer. Par exemple, si vous spécifiez quatre synchronisations par jour, à partir de 3 h 00, les synchronisations ont lieu à 3 h 00, 9 h 00, 15 h 00 et 21 h 00.

  17. Après avoir sélectionné les options de synchronisation de votre déploiement, sélectionnez Suivant.

  18. Dans la page Terminé, vous avez la possibilité de démarrer maintenant la synchronisation en cochant la case Commencer la synchronisation initiale.

    Si vous ne sélectionnez pas cette option, vous devez utiliser la console de gestion WSUS pour effectuer la synchronisation initiale. Sélectionnez Suivant pour en savoir plus sur les autres paramètres ou Terminer pour terminer cet Assistant ainsi que la configuration WSUS initiale.

  19. Quand vous sélectionnez Terminer, la console d’administration WSUS s’affiche. Vous l’utilisez pour gérer votre réseau WSUS, comme décrit plus loin.

2.3. Sécuriser WSUS avec le protocole SSL (Secure Sockets Layer)

Vous devez utiliser le protocole SSL pour sécuriser votre réseau WSUS. WSUS peut utiliser SSL pour authentifier les connexions et chiffrer et protéger les informations de mise à jour.

Avertissement

La sécurisation de WSUS avec le protocole SSL est importante pour la sécurité de votre réseau. Si votre serveur WSUS n’utilise pas correctement SSL pour sécuriser ses connexions, un attaquant peut être en mesure de modifier des informations de mise à jour cruciales pendant leur envoi d’un serveur WSUS à un autre ou du serveur WSUS aux ordinateurs clients. Cela permettra à l’attaquant d’installer des logiciels malveillants sur les ordinateurs clients.

Important

Les clients et les serveurs en aval configurés pour utiliser le protocole TLS (Transport Layer Security) ou HTTPS doivent également être configurés pour utiliser un nom de domaine complet (FQDN) pour leur serveur WSUS en amont.

2.3.1. Activer SSL/HTTPS sur le service IIS du serveur WSUS pour utiliser SSL/HTTPS

Pour commencer le processus, vous devez activer la prise en charge de SSL sur le service IIS du serveur WSUS. Cet effort implique la création d’un certificat SSL pour le serveur.

Les étapes d’obtention d’un certificat SSL pour le serveur n’entrent pas dans le cadre de cet article et dépendent de la configuration de votre réseau. Pour plus d’informations et pour obtenir des instructions sur l’installation des certificats et la configuration de cet environnement, consultez les articles suivants :

2.3.2. Configurer le serveur web IIS du serveur WSUS afin qu’il utilise SSL pour certaines connexions

WSUS requiert deux ports pour les connexions à d’autres serveurs WSUS et aux ordinateurs clients. Un port utilise SSL/HTTPS pour envoyer des métadonnées de mise à jour (informations cruciales sur les mises à jour). Par défaut, ce port est le port 8531. Un deuxième port utilise le protocole HTTP pour envoyer des charges utiles de mise à jour. Par défaut, ce port est le port 8530.

Important

Vous ne pouvez pas configurer l’ensemble du site web WSUS avec le protocole SSL. WSUS est conçu pour chiffrer uniquement les métadonnées de mise à jour. Windows Update distribue les mises à jour de la même façon.

Pour empêcher un attaquant de falsifier les charges utiles de mise à jour, toutes les charges utiles de mise à jour sont signées en utilisant un ensemble spécifique de certificats de signature approuvés. Par ailleurs, un hachage de chiffrement est calculé pour chaque charge utile de mise à jour. Le hachage est envoyé à l’ordinateur client sur la connexion HTTPS sécurisée des métadonnées, en même temps que les autres métadonnées de la mise à jour. Lorsqu’une mise à jour est téléchargée, le logiciel client vérifie la signature numérique et le hachage de la charge utile. Si la mise à jour a changé, elle n’est pas installée.

Vous devez exiger SSL uniquement pour ces racines virtuelles IIS :

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Vous ne devez pas exiger SSL pour ces racines virtuelles :

  • Contenu

  • Inventaire

  • ReportingWebService

  • SelfUpdate

Le certificat de l’autorité de certification (AC) doit être importé dans le magasin AC racine de confiance de l’ordinateur local de chaque serveur WSUS ou dans le magasin AC racine de confiance de WSUS, le cas échéant.

Pour plus d’informations sur l’utilisation des certificats SSL dans IIS, consultez la rubrique Exigence de SSL (Secure Sockets Layer) (IIS 7).

Important

Vous devez utiliser le magasin de certificats de l’ordinateur local. Vous ne pouvez pas utiliser le magasin de certificats d’un utilisateur.

Normalement, vous devez configurer IIS afin d’utiliser le port 8531 pour les connexions HTTPS et le port 8530 pour les connexions HTTP. Si vous changez ces ports, vous devez utiliser deux numéros de port adjacents. Le numéro de port utilisé pour les connexions HTTP doit être exactement le numéro de port utilisé pour les connexions HTTPS moins 1.

Vous devez réinitialiser ClientServicingProxy si le nom du serveur, la configuration SSL ou le numéro de port ont changé.

2.3.3. Configurer WSUS pour utiliser le certificat de signature SSL pour ses connexions clientes

  1. Ouvrez une session sur le serveur WSUS avec un compte membre du groupe Administrateurs WSUS ou Administrateurs local.

  2. Accédez à Démarrer, tapez CMD, cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.

  3. Accédez au dossier %ProgramFiles%\Update Services\Tools\.

  4. Dans une fenêtre d’invite de commandes, entrez la commande suivante :

    wsusutil configuressl _certificateName_

    Dans cette commande, certificateName est le nom DNS du serveur WSUS.

2.3.4. Sécuriser la connexion SQL Server, si nécessaire

Si vous utilisez WSUS avec une base de données SQL Server distante, la connexion entre le serveur WSUS et le serveur de base de données n’est pas sécurisée par SSL. Cela crée un vecteur d’attaque potentiel. Pour protéger cette connexion, tenez compte des recommandations suivantes :

  • Déplacez la base de données WSUS sur le serveur WSUS.

  • Déplacez le serveur de base de données distant et le serveur WSUS sur un réseau privé.

  • Déployez le protocole IPsec (Internet Protocol security) pour sécuriser le trafic réseau. Pour plus d’informations sur IPsec, consultez Création et utilisation des stratégies IPsec.

2.3.5. Créer un certificat de signature de code pour la publication locale, si nécessaire

En plus de la distribution des mises à jour fournies par Microsoft, WSUS prend également en charge la publication locale. La publication locale vous permet de créer et de distribuer des mises à jour que vous créez vous-même, avec vos propres charges utiles et comportements.

L’activation et la configuration de la publication locale n’entrent pas dans le cadre de cet article. Pour plus d’informations, consultez Publication locale.

Important

La publication locale est un processus complexe très souvent inutile. Avant de décider d’activer la publication locale, consultez attentivement la documentation, et déterminez si et comment vous allez utiliser cette fonctionnalité.

2.4. Configuration des groupes d’ordinateurs WSUS

Les groupes d’ordinateurs représentent une part importante de l’utilisation efficace de WSUS. Ils vous permettent de tester et de cibler des mises à jour sur des ordinateurs spécifiques. Il existe deux groupes d’ordinateurs par défaut : Tous les ordinateurs et Ordinateurs non affectés. Par défaut, lorsque chaque ordinateur client contacte pour la première fois le serveur WSUS, ce dernier l’ajoute à ces deux groupes.

Vous pouvez créer autant de groupes d’ordinateurs personnalisés que nécessaire pour gérer les mises à jour dans votre organisation. Il est recommandé de créer au moins un groupe d’ordinateurs pour tester les mises à jour avant de les déployer vers d’autres ordinateurs de votre organisation.

2.4.1. Choisir une approche pour attribuer des ordinateurs clients à des groupes d’ordinateurs

Il existe deux approches pour attribuer des ordinateurs clients à des groupes d’ordinateurs. La bonne approche pour votre organisation dépend de la façon dont vous gérez généralement vos ordinateurs clients.

  • Ciblage côté serveur : il s’agit de l’approche par défaut. Dans cette approche, vous attribuez des ordinateurs clients à des groupes d’ordinateurs en utilisant la console d’administration WSUS.

    Cette approche vous permet de déplacer rapidement des ordinateurs clients d’un groupe à un autre quand les circonstances changent. Toutefois, cela signifie que les nouveaux ordinateurs clients doivent être déplacés manuellement du groupe Ordinateurs non attribués vers le groupe d’ordinateurs approprié.

  • Ciblage côté client : dans cette approche, vous attribuez chaque ordinateur client à des groupes d’ordinateurs en utilisant des paramètres de stratégie définis sur l’ordinateur client lui-même.

    Cette approche facilite l’attribution des nouveaux ordinateurs clients aux groupes appropriés. L’attribution se fait alors pendant la configuration de l’ordinateur client pour la réception des mises à jour du serveur WSUS. Toutefois, cela signifie que vous ne pouvez pas utiliser la console d’administration WSUS pour attribuer les ordinateurs clients à des groupes d’ordinateurs ni les déplacer d’un groupe d’ordinateurs vers un autre. Au lieu de cela, les stratégies des ordinateurs clients doivent être modifiées.

2.4.2. Activer le ciblage côté client, le cas échéant

Important

Ignorez cette étape si vous utilisez le ciblage côté serveur.

  1. Dans la console d’administration WSUS, sous Services de mise à jour, développez le serveur WSUS, puis sélectionnez Options.

  2. Sous l’onglet Général du volet Options, sélectionnez Utiliser la stratégie de groupe ou les paramètres de Registre des ordinateurs.

2.4.3. Créer les groupes d’ordinateurs souhaités

Notes

Vous devez créer des groupes d’ordinateurs dans la console d’administration WSUS, que vous utilisiez le ciblage côté serveur ou le ciblage côté client pour ajouter des ordinateurs clients aux groupes d’ordinateurs.

  1. Dans la console d’administration WSUS, sous Services de mise à jour, développez le serveur WSUS, développez Ordinateurs, cliquez avec le bouton droit sur Tous les ordinateurs, puis sélectionnez Ajouter un groupe d’ordinateurs.

  2. Dans la boîte de dialogue Ajouter un groupe d’ordinateurs, dans Nom, spécifiez le nom du nouveau groupe. Sélectionnez ensuite Ajouter.

2.5. Configurer des ordinateurs clients pour établir des connexions SSL avec le serveur WSUS

En supposant que vous avez configuré le serveur WSUS pour protéger les connexions des ordinateurs clients avec SSL, vous devez configurer les ordinateurs clients pour qu’ils approuvent ces connexions SSL.

Le certificat SSL du serveur WSUS doit être importé dans le magasin AC racine de confiance des ordinateurs clients, ou dans le magasin AC racine de confiance du service de mise à jour automatique des ordinateurs clients, le cas échéant.

Important

Vous devez utiliser le magasin de certificats de l’ordinateur local. Vous ne pouvez pas utiliser le magasin de certificats d’un utilisateur.

Les ordinateurs clients doivent approuver le certificat que vous liez au serveur WSUS. Selon le type de certificat utilisé, vous devez peut-être configurer un service permettant aux ordinateurs clients d’approuver le certificat lié au serveur WSUS.

Si vous utilisez la publication locale, vous devez également configurer les ordinateurs clients pour qu’ils approuvent le certificat de signature de code du serveur WSUS. Pour obtenir des instructions, consultez Publication locale.

2.6. Configurer des ordinateurs clients pour recevoir des mises à jour à partir du serveur WSUS

Par défaut, vos ordinateurs clients reçoivent des mises à jour de Windows Update. Ils doivent être configurés pour recevoir des mises à jour du serveur WSUS à la place.

Important

Cet article présente un ensemble d’étapes pour configurer les ordinateurs clients avec une stratégie de groupe. Ces étapes sont appropriées dans de nombreux cas. Toutefois, de nombreuses autres options sont disponibles pour configurer le comportement des mises à jour sur les ordinateurs clients, notamment l’utilisation de la gestion des appareils mobiles. Ces options sont documentées dans Gérer les paramètres supplémentaires de Windows Update.

2.6.1. Choisir le jeu de stratégies correct à modifier

Si vous avez configuré Active Directory dans votre réseau, vous pouvez configurer un ou plusieurs ordinateurs simultanément en les ajoutant dans un objet de stratégie de groupe (GPO), puis en configurant ce GPO avec des paramètres WSUS.

Nous vous recommandons de créer un objet de stratégie de groupe qui contient uniquement des paramètres WSUS. Liez ce GPO WSUS à un conteneur Active Directory approprié pour votre environnent.

Dans un environnement simple, vous pouvez lier un seul objet de stratégie de groupe WSUS au domaine. Dans un environnement plus complexe, vous pouvez lier plusieurs GPO WSUS à plusieurs unités d’organisation. La liaison de GPO aux unités d’organisation vous permet d’appliquer des paramètres de stratégie WSUS à différents types d’ordinateurs.

Si vous n’utilisez pas Active Directory dans votre réseau, vous configurez chaque ordinateur à l’aide de l’éditeur de stratégie de groupe local.

2.6.2. Modifier les stratégies pour configurer les ordinateurs clients

Notes

Ces instructions supposent que vous utilisez les versions les plus récentes des outils de modification de stratégie. Dans les versions antérieures des outils, les stratégies peuvent être organisées différemment.

  1. Ouvrez l’objet de stratégie approprié :

    • Si vous utilisez Active Directory, ouvrez la console de gestion des stratégies de groupe, accédez au GPO sur lequel vous voulez configurer WSUS et sélectionnez Modifier. Développez Configuration ordinateur, puis Stratégies.
    • Si vous n’utilisez pas Active Directory, ouvrez l’éditeur de stratégie de groupe local. La stratégie de l’ordinateur local s’affiche. Développez Configuration ordinateur.

  2. Dans l’objet que vous avez développé à l’étape précédente, développez Modèles d’administration, Composants Windows, Windows Update et sélectionnez Gérer l’expérience de l’utilisateur final.

  3. Dans le volet d’informations, double-cliquez sur Configurer les mises à jour automatiques. La stratégie Configuration du service Mises à jour automatiques s’ouvre.

  4. Sélectionnez Activé, puis sélectionnez l’option souhaitée sous le paramètre Configurer la mise à jour automatique pour gérer la façon dont les mises à jour automatiques téléchargent et installent les mises à jour approuvées.

    Nous vous recommandons d’utiliser le paramètre Téléchargement automatique et planification des installations. Cela garantit que les mises à jour que vous approuvez dans WSUS sont téléchargées et installées en temps voulu, sans intervention de l’utilisateur.

  5. Si vous le souhaitez, modifiez les autres parties de la stratégie, comme décrit dans Gérer les paramètres supplémentaires de Windows Update.

    Notes

    La case à cocher Installer les mises à jour d’autres produits Microsoft n’a aucun effet sur les ordinateurs clients recevant des mises à jour de WSUS. Les ordinateurs clients reçoivent toutes les mises à jour approuvées sur le serveur WSUS.

  6. Sélectionnez OK pour fermer la stratégie Configurer les mises à jour automatiques.

  7. De retour dans le nœud Windows Update de l’arborescence, sélectionnez Gérer les mises à jour offertes par Windows Server Update Service.

  8. Dans le volet d’informations Gérer les mises à jour offertes par Windows Server Update Service, double-cliquez sur Spécifier l’emplacement intranet du service de mise à jour Microsoft. La stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft s’ouvre.

  9. Sélectionnez Activé, puis entrez l’URL du serveur WSUS dans les zones de texte Configurer le service intranet de mise à jour pour la détection des mises à jour et Configurer le serveur intranet de statistiques.

    Avertissement

    Veillez à inclure le bon port dans l’URL. En supposant que vous avez configuré le serveur pour utiliser SSL comme recommandé, vous devez spécifier le port configuré pour HTTPS. Par exemple, si vous choisissez d’utiliser le port 8531 pour HTTPS et que le nom de domaine du serveur est wsus.contoso.com, vous devez entrer https://wsus.contoso.com:8531 dans les deux zones de texte.

  10. Sélectionnez OK pour fermer la stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft.

Configurer le ciblage côté client, le cas échéant

Si vous avez choisi d’utiliser le ciblage côté client, vous devez maintenant spécifier le groupe d’ordinateurs approprié pour les ordinateurs clients que vous configurez.

Notes

Ces étapes supposent que vous venez de terminer les étapes de modification des stratégies pour configurer les ordinateurs clients.

  1. Dans le volet d’informations Gérer les mises à jour offertes par Windows Server Update Service, double-cliquez sur Activer le ciblage côté client. La stratégie Activer le ciblage côté client s’ouvre.

  2. Sélectionnez Activé, puis entrez le nom du groupe d’ordinateurs WSUS auquel vous souhaitez ajouter les ordinateurs clients dans la boîte de dialogue Nom du groupe cible de cet ordinateur.

    Si vous exécutez une version actuelle de WSUS, vous pouvez ajouter les ordinateurs clients à plusieurs groupes d’ordinateurs en entrant les noms des groupes séparés par des points-virgules. Par exemple, vous pouvez entrer Comptabilité;Direction pour ajouter les ordinateurs clients aux groupes d’ordinateurs Comptabilité et Direction.

  3. Sélectionnez OK pour fermer la stratégie Activer le ciblage côté client.

2.6.3. Permettre à l’ordinateur client de se connecter au serveur WSUS

Les ordinateurs clients n’apparaissent pas dans la console d’administration WSUS tant qu’ils ne sont pas connectés au serveur WSUS pour la première fois.

  1. Attendez que les modifications apportées à la stratégie prennent effet sur l’ordinateur client.

    Si vous avez utilisé un GPO basé sur Active Directory pour configurer les ordinateurs clients, le mécanisme de mise à jour de stratégie de groupe peut prendre un certain temps pour distribuer les changements à un ordinateur client. Pour accélérer la procédure, vous pouvez ouvrir une fenêtre d’invite de commandes avec des privilèges élevés et entrer la commande gpupdate /force.

    Si vous avez utilisé l’éditeur de stratégie de groupe local pour configurer un ordinateur client individuel, les changements prennent effet immédiatement.

  2. Redémarrez l'ordinateur client. Cela permet de garantir que le logiciel Windows Update sur l’ordinateur détecte les changements de la stratégie.

  3. Laissez l’ordinateur client analyser les mises à jour. Cette analyse prend généralement un certain temps.

    Vous pouvez accélérer le processus à l’aide de l’une des options suivantes :

    • Sur Windows 10 ou 11, utilisez la page Windows Update de l’application Paramètres pour rechercher manuellement les mises à jour.
    • Dans les versions de Windows antérieures à Windows 10, utilisez l’icône Windows Update dans le Panneau de configuration pour rechercher manuellement les mises à jour.
    • Dans les versions de Windows antérieures à Windows 10, ouvrez une fenêtre d’invite de commandes avec des privilèges élevés et entrez la commande wuauclt /detectnow.

2.6.4 Vérifier la réussite de la connexion de l’ordinateur client au serveur WSUS

Si vous avez effectué toutes les étapes précédentes, vous obtenez les résultats suivants :

  • L’ordinateur client recherche bien les mises à jour. (Il est possible qu’il ne trouve pas de mises à jour applicables à télécharger et à installer.)

  • Au bout d’environ 20 minutes, l’ordinateur client apparaît dans la liste des ordinateurs affichés dans la console d’administration WSUS, en fonction du type de ciblage :

    • Si vous utilisez le ciblage côté serveur, l’ordinateur client s’affiche dans les groupes d’ordinateurs Tous les ordinateurs et Ordinateurs non attribués.

    • Si vous utilisez le ciblage côté client, l’ordinateur client s’affiche dans le groupe d’ordinateurs Tous les ordinateurs et dans le groupe d’ordinateurs que vous avez sélectionné pendant la configuration de l’ordinateur client.

2.6.5. Configurer le ciblage côté serveur de l’ordinateur client, le cas échéant

Si vous utilisez le ciblage côté serveur, vous devez maintenant ajouter le nouvel ordinateur client aux groupes d’ordinateurs appropriés.

  1. Dans la console d’administration WSUS, recherchez le nouvel ordinateur client. Il doit apparaître dans les groupes d’ordinateurs Tous les ordinateurs et Ordinateurs non attribués de la liste d’ordinateurs du serveur WSUS.

  2. Cliquez avec le bouton droit sur l’ordinateur client et sélectionnez Changer l’appartenance.

  3. Dans la boîte de dialogue, sélectionnez les groupes d’ordinateurs appropriés et sélectionnez OK.