Étape 2 : configurer WSUS

Après avoir installé le rôle serveur Windows Server Update Services (WSUS) sur votre serveur, vous devez le configurer correctement. Vous devez également configurer vos ordinateurs clients pour qu’ils reçoivent les mises à jour du serveur WSUS.

2.1. Configurer des connexions réseau

Avant de commencer le processus de configuration, assurez-vous de connaître les réponses aux questions suivantes :

• Le pare-feu du serveur est-il configuré pour autoriser les clients à accéder au serveur ?

• Cet ordinateur peut-il se connecter au serveur en amont (le serveur désigné pour télécharger les mises à jour à partir de Microsoft Update) ?

• Connaissez-vous le nom du serveur proxy et les informations d’identification de l’utilisateur nécessaires pour s’y connecter, le cas échéant ?

Vous pouvez ensuite commencer à configurer les paramètres réseau WSUS suivants :

• Mises à jour : spécifiez la façon dont ce serveur doit obtenir des mises à jour (à partir de Microsoft Update ou d’un autre serveur WSUS).

• Proxy : si vous identifiez que WSUS doit utiliser un serveur proxy pour avoir accès à Internet, configurez les paramètres du proxy sur le serveur WSUS.

• Pare-feu : si vous identifiez que WSUS se trouve derrière un pare-feu d’entreprise, effectuez des étapes supplémentaires sur l’appareil de périphérie pour autoriser le trafic WSUS.

Importante

Si vous n’avez qu’un seul serveur WSUS, il doit avoir accès à Internet, car il doit télécharger les mises à jour à partir de Microsoft. Si vous avez plusieurs serveurs WSUS, un seul serveur a besoin d’un accès à Internet. Les autres ont uniquement besoin d’un accès réseau au serveur WSUS connecté à Internet. Vos ordinateurs clients n’ont pas besoin d’accès à Internet. Ils ont uniquement besoin d’un accès réseau à un serveur WSUS.

Conseil

Si votre réseau est isolé (s’il n’a pas accès à Internet du tout), vous pouvez toujours utiliser WSUS pour fournir des mises à jour aux ordinateurs clients sur le réseau. Cette approche nécessite deux serveurs WSUS. Un serveur WSUS avec accès à Internet collecte les mises à jour de Microsoft. Un deuxième serveur WSUS sur le réseau protégé envoie les mises à jour aux ordinateurs clients. Les mises à jour sont exportées du premier serveur sur un support amovible, transportées à travers la zone de séparation, puis importées dans le deuxième serveur. Cette configuration est avancée et dépasse la portée de cet article.

2.1.1. Configurer votre pare-feu pour permettre à votre premier serveur WSUS de se connecter aux domaines Microsoft sur Internet

Si vous avez un pare-feu d’entreprise entre WSUS et Internet, vous devez peut-être le configurer pour garantir que WSUS obtient les mises à jour. Pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise les ports 80 et 443 avec le protocole HTTP et HTTPS. Même si la plupart des pare-feu d’entreprise autorisent ce type de trafic, certaines sociétés limitent l’accès à Internet à partir des serveurs en raison de stratégies de sécurité. Si votre entreprise restreint l’accès, vous devez configurer votre pare-feu pour permettre à votre serveur WSUS d’accéder aux domaines Microsoft.

Votre premier serveur WSUS doit disposer d’un accès sortant aux ports 80 et 443 sur les domaines suivants :

• http://windowsupdate.microsoft.com

• http ://*.windowsupdate.microsoft.com

• https ://*.windowsupdate.microsoft.com

• http://*.update.microsoft.com

• https://*.update.microsoft.com

• http ://*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http://*.download.windowsupdate.com

• http://wustat.windows.com

• http://ntservicepack.microsoft.com

• http://go.microsoft.com

• http://dl.delivery.mp.microsoft.com

• https://dl.delivery.mp.microsoft.com

• http://*.delivery.mp.microsoft.com

• https://*.delivery.mp.microsoft.com

Si vous gérez les mises à jour Microsoft 365, ce qui nécessite Microsoft Configuration Manager, consultez Gérer les mises à jour des applications Microsoft 365 avec Microsoft Configuration Manager pour plus d’informations sur les domaines que vous devez autoriser.

Importante

Vous devez configurer votre pare-feu pour autoriser le premier serveur WSUS à accéder à n’importe quelle URL au sein de ces domaines. Les adresses IP associées à ces domaines changent constamment. Par conséquent, n’essayez pas d’utiliser des plages d’adresses IP à la place.

2.1.2. Configurer le pare-feu pour permettre à d’autres serveurs WSUS de se connecter au premier serveur

Si vous avez plusieurs serveurs WSUS, vous devez configurer les autres serveurs WSUS pour accéder au premier serveur (le plus haut). Vos autres serveurs WSUS reçoivent ensuite toutes leurs informations de mise à jour à partir du serveur le plus haut. Cette configuration vous permet de gérer l’ensemble de votre réseau à l’aide de la console d’administration WSUS sur le serveur principal.

Vos autres serveurs WSUS doivent avoir un accès sortant au serveur principal via deux ports. Par défaut, ces ports sont 8530 et 8531. Vous pouvez modifier ces ports, comme décrit dans Configurer le serveur web IIS du serveur WSUS pour utiliser TLS pour certaines connexions plus loin dans cet article.

Remarque

Si la connexion réseau entre les serveurs WSUS est lente ou coûteuse, vous pouvez configurer un ou plusieurs autres serveurs WSUS pour recevoir les charges utiles de mise à jour directement de Microsoft. Dans ce cas, seule une petite quantité de données est envoyée de ces serveurs WSUS au serveur le plus haut. Pour que cette configuration fonctionne, les autres serveurs WSUS doivent avoir accès aux mêmes domaines Internet que le serveur principal.

Remarque

Si vous disposez d’une grande organisation, vous pouvez utiliser des chaînes de serveurs WSUS connectés, plutôt que de faire en sorte que tous vos autres serveurs WSUS se connectent directement au serveur principal. Par exemple, vous pouvez avoir un deuxième serveur WSUS qui se connecte au serveur principal et configurer les autres serveurs WSUS pour qu’ils se connectent au deuxième serveur WSUS.

2.1.3. Configurer vos serveurs WSUS pour utiliser un serveur proxy, si nécessaire

Si le réseau d’entreprise utilise des serveurs proxy, les serveurs proxy doivent prendre en charge les protocoles HTTP et HTTPS. Ils doivent également utiliser l’authentification de base ou l’authentification Windows. Vous pouvez répondre à ces exigences en utilisant l’une des configurations suivantes :

• Un serveur proxy unique qui prend en charge deux canaux de protocole. Dans ce cas, définissez un canal pour utiliser le protocole HTTP et l’autre canal pour utiliser HTTPS.

  Remarque

  Vous pouvez configurer un serveur proxy qui gère les deux protocoles pour WSUS pendant l’installation du logiciel du serveur WSUS.

• Deux serveurs proxy, chacun d’eux prend en charge un seul protocole. Dans ce cas, configurez un serveur proxy pour utiliser HTTP et l’autre serveur proxy pour utiliser HTTPS.

Pour configurer WSUS pour utiliser deux serveurs proxy

1. Connectez-vous à l’ordinateur que vous envisagez d’utiliser comme serveur WSUS à l’aide d’un compte membre du groupe Administrateurs locaux.

2. Installez le rôle serveur WSUS. Lorsque vous utilisez l’Assistant Configuration WSUS, comme expliqué dans Configurer WSUS à l’aide de l’Assistant Configuration WSUS, ne spécifiez pas de serveur proxy.

3. Ouvrez l’invite de commandes (Cmd.exe) en tant qu’administrateur :

   1. Dans le menu Démarrer, cherchez Invite de commandes.
   2. Cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.
   3. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, entrez les informations d’identification appropriées (le cas échéant), vérifiez que l’action qu’elle affiche est ce que vous souhaitez, puis sélectionnez Continuer.

4. Dans l’invite de commandes, accédez au dossier C :\Program Files\Update Services\Tools . Entrez la commande suivante :

   wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

   Dans cette commande :

   • proxy_server est le nom du serveur proxy qui prend en charge HTTPS.

   • proxy_port est le numéro de port du serveur proxy.

5. Fermez l’invite de commandes.

Pour ajouter un serveur proxy à la configuration WSUS

1. Ouvrez la console d’administration WSUS.

2. Sous Update Services, développez le nom du serveur, puis sélectionnez Options.

3. Dans le volet Options , sélectionnez Mettre à jour la source et le serveur proxy, puis accédez à l’onglet Serveur proxy .

4. Sélectionnez Utiliser un serveur proxy lors de la synchronisation, puis entrez le nom et le numéro de port du serveur proxy dans les zones correspondantes. Le numéro de port par défaut est 80.

5. Si le serveur proxy exige que vous utilisiez un compte d’utilisateur spécifique, sélectionnez Utiliser les informations d’identification de l’utilisateur pour vous connecter au serveur proxy. Entrez le nom d’utilisateur, le domaine et le mot de passe requis dans les zones correspondantes.

6. Si le serveur proxy prend en charge l’authentification de base, sélectionnez Autoriser l’authentification de base (le mot de passe est envoyé en texte clair).

7. Sélectionnez OK.

Pour supprimer un serveur proxy de la configuration WSUS

1. Dans la console d’administration WSUS, sous Update Services, développez le nom du serveur, puis sélectionnez Options.

2. Dans le volet Options , sélectionnez Mettre à jour la source et le serveur proxy, puis accédez à l’onglet Serveur proxy .

3. Décochez la case Utiliser un serveur proxy pendant la synchronisation.

4. Sélectionnez OK.

2.1.4. Configurer votre pare-feu pour permettre aux ordinateurs clients d’accéder à un serveur WSUS

Vos ordinateurs clients doivent tous se connecter à l’un de vos serveurs WSUS. Chaque ordinateur client doit disposer d’un accès sortant à deux ports sur le serveur WSUS. Par défaut, ces ports sont 8530 et 8531.

2.2. Configurer WSUS en utilisant l’Assistant Configuration de WSUS

Les procédures décrites dans les sections suivantes utilisent l’Assistant Configuration WSUS pour configurer les paramètres WSUS. L’Assistant Configuration WSUS s’affiche la première fois que vous démarrez la console de gestion WSUS. Vous pouvez également utiliser le volet Options dans la console d’administration WSUS pour configurer les paramètres WSUS. Pour plus d’informations sur l’utilisation du volet Options , consultez les procédures suivantes dans d’autres sections de cet article :

• Ajouter un serveur proxy à la configuration WSUS
• Activer le ciblage côté client

Démarrez l’Assistant et configurez les paramètres initiaux

1. Dans le tableau de bord du Gestionnaire de serveur, sélectionnez Outils>Windows Server Update Services.

   Remarque

   Si la boîte de dialogue Terminer l’installation de WSUS s’affiche , sélectionnez Exécuter. Dans la boîte de dialogue Terminer l’installation de WSUS , sélectionnez Fermer une fois l’installation terminée.

   L’Assistant Configuration WSUS s’ouvre.

2. Dans la page Avant de commencer, vérifiez les informations et sélectionnez Suivant.

3. Dans la page Rejoindre le programme d’amélioration de Microsoft Update , lisez les instructions. Conservez la sélection par défaut pour participer au programme ou décochez la case dans le cas contraire. Sélectionnez ensuite Suivant.

Configurer les paramètres en amont et du serveur proxy

1. Dans la page Choisir un serveur en amont , sélectionnez l’une des options suivantes :

   • Synchroniser à partir de Microsoft Update

   • Synchroniser à partir d’un autre serveur Windows Server Update Services

   Si vous choisissez de synchroniser à partir d’un autre serveur WSUS, procédez comme suit :

   1. Spécifiez le nom du serveur et le port sur lequel ce serveur doit communiquer avec le serveur en amont.

   2. Pour utiliser TLS, sélectionnez Utiliser SSL lors de la synchronisation des informations de mise à jour. Les serveurs utilisent le port 443 pour la synchronisation. (Vérifiez que ce serveur et le serveur en amont prennent en charge TLS.)

   3. Si ce serveur est un serveur de réplique, sélectionnez Ceci est une réplique du serveur en amont.

2. Après avoir sélectionné les options de votre déploiement, sélectionnez Suivant.

3. Si WSUS a besoin d’un serveur proxy pour accéder à Internet, configurez les paramètres de proxy suivants. Sinon, ignorez cette étape.

   1. Dans la page Spécifierun serveur proxy, sélectionnez Utiliser un serveur proxy lors de la synchronisation. Entrez ensuite le nom du serveur proxy et le numéro de port (port 80 par défaut) dans les zones correspondantes.

   2. Si vous souhaitez vous connecter au serveur proxy à l’aide d’informations d’identification utilisateur spécifiques, sélectionnez Utiliser les informations d’identification de l’utilisateur pour vous connecter au serveur proxy. Entrez ensuite le nom d’utilisateur, le domaine et le mot de passe de l’utilisateur dans les zones correspondantes.

      Si vous souhaitez activer l’authentification de base pour l’utilisateur qui se connecte au serveur proxy, sélectionnez Autoriser l’authentification de base (le mot de passe est envoyé en clair) .

4. Sélectionnez Suivant.

5. Dans la page Se connecter au serveur en amont , sélectionnez Démarrer la connexion.

6. Dès que WSUS se connecte au serveur, sélectionnez Suivant.

Sélectionner des langues, des produits et des classifications

1. Dans la page Choisir des langues , vous pouvez sélectionner les langues à partir desquelles WSUS reçoit des mises à jour : toutes les langues ou un sous-ensemble de langues. La sélection d’un sous-ensemble de langues permet d’économiser de l’espace disque, mais il est important de sélectionner toutes les langues dont ont besoin tous les clients de ce serveur WSUS.

   Si vous choisissez d’obtenir les mises à jour dans certaines langues uniquement, sélectionnez Télécharger les mises à jour dans ces langues uniquement, puis sélectionnez les langues correspondantes. Sinon, laissez la valeur par défaut.

   Avertissement

   Si vous sélectionnez l'option Télécharger les mises à jour uniquement dans ces langues et qu’un serveur WSUS en aval y est connecté, cette option force le serveur en aval à utiliser uniquement les langues sélectionnées.

2. Sélectionnez Suivant.

3. Dans la page Choisir des produits, spécifiez les produits pour lesquels vous souhaitez mettre à jour. Sélectionnez des catégories de produits, telles que Windows ou des produits spécifiques, tels que Windows Server 2019. La sélection d’une catégorie de produits entraîne celle de tous les produits de cette catégorie.

4. Sélectionnez Suivant.

5. La page Choisir les classifications permet de sélectionner les classifications de mise à jour que vous voulez obtenir. Sélectionnez toutes les classifications ou un sous-ensemble d’entre eux, puis sélectionnez Suivant.

Configurer la planification de synchronisation

1. Dans la page Définir la planification de synchronisation , sélectionnez s’il faut effectuer la synchronisation manuellement ou automatiquement.

   • Si vous sélectionnez Synchroniser manuellement, vous devez démarrer le processus de synchronisation à partir de la console d’administration WSUS.

   • Si vous sélectionnez Synchroniser automatiquement, le serveur WSUS se synchronise à intervalles définis.

     Pour la première synchronisation, définissez l’heure, puis spécifiez le nombre de synchronisations par jour que vous souhaitez que ce serveur effectue. Par exemple, si vous spécifiez quatre synchronisations par jour, à partir de 3 h 00, les synchronisations se produisent à 3 h 00, 9 h 00, 13 h 00 et 19 h 00.

2. Sélectionnez Suivant.

Terminer l’Assistant

1. Dans la page Terminée , si vous souhaitez démarrer la synchronisation immédiatement, sélectionnez Commencer la synchronisation initiale. Si vous ne sélectionnez pas cette option, vous devez utiliser la console de gestion WSUS pour effectuer la synchronisation initiale.

2. Si vous souhaitez en savoir plus sur d’autres paramètres, sélectionnez Suivant. Dans le cas contraire, sélectionnez Terminer pour terminer l’assistant et finaliser la configuration initiale de WSUS.

Quand vous sélectionnez Terminer, la console d’administration WSUS s’affiche. Vous utilisez cette console pour gérer votre réseau WSUS, comme décrit dans les sections ultérieures de cet article.

2.3. Sécuriser WSUS avec le protocole TLS

Vous devez utiliser le protocole TLS pour sécuriser votre réseau WSUS. WSUS peut utiliser TLS pour authentifier les connexions et chiffrer et protéger les informations de mise à jour.

Avertissement

La sécurisation de WSUS à l’aide du protocole TLS est importante pour la sécurité de votre réseau. Si votre serveur WSUS n’utilise pas correctement TLS pour sécuriser ses connexions, un attaquant peut modifier les informations de mise à jour cruciales lorsqu’il est envoyé d’un serveur WSUS à un autre, ou du serveur WSUS aux ordinateurs clients. Dans ce cas, l’attaquant peut installer des logiciels malveillants sur des ordinateurs clients.

Importante

Les clients et les serveurs en aval configurés pour utiliser TLS ou HTTPS doivent également être configurés pour utiliser un nom de domaine complet (FQDN) pour leur serveur WSUS en amont.

2.3.1. Activer TLS/HTTPS sur le service IIS du serveur WSUS pour utiliser TLS/HTTPS

Pour commencer le processus d’utilisation de TLS/HTTPS, vous devez activer la prise en charge de TLS sur le service IIS (Internet Information Services) du serveur WSUS. Cet effort implique la création d’un certificat SSL (TLS/Secure Sockets Layer) pour le serveur.

Les étapes requises pour obtenir un certificat TLS/SSL pour le serveur dépassent l’étendue de cet article et dépendent de votre configuration réseau. Pour plus d’informations et pour obtenir des instructions sur l’installation des certificats et la configuration de cet environnement, consultez la documentation relative aux services de certificats Active Directory.

2.3.2. Configurer le serveur web IIS du serveur WSUS pour utiliser TLS pour certaines connexions

WSUS requiert deux ports pour les connexions à d’autres serveurs WSUS et aux ordinateurs clients. Un port utilise TLS/HTTPS pour envoyer des métadonnées de mise à jour (informations cruciales sur les mises à jour). Par défaut, le port 8531 est utilisé à cet effet. Un deuxième port utilise le protocole HTTP pour envoyer des charges utiles de mise à jour. Par défaut, le port 8530 est utilisé à cet effet.

Importante

Vous ne pouvez pas configurer l’ensemble du site web WSUS pour exiger TLS. WSUS est conçu pour chiffrer uniquement les métadonnées de mise à jour. Windows Update distribue les mises à jour de la même façon.

Pour empêcher un attaquant de falsifier les charges utiles de mise à jour, toutes les charges utiles de mise à jour sont signées en utilisant un ensemble spécifique de certificats de signature approuvés. En outre, un hachage de chiffrement est calculé pour chaque charge utile de mise à jour. Le hachage est envoyé à l’ordinateur client sur la connexion HTTPS sécurisée des métadonnées, en même temps que les autres métadonnées de la mise à jour. Lorsqu’une mise à jour est téléchargée, le logiciel client vérifie la signature numérique et le hachage de la charge utile. Si la mise à jour a changé, elle n’est pas installée.

Vous devez exiger TLS uniquement pour les racines virtuelles IIS suivantes :

• SimpleAuthWebService

• DSSAuthWebService

• ServerSyncWebService

• APIremoting30

• ClientWebService

Vous ne devez pas exiger TLS pour les racines virtuelles suivantes :

• Contenu

• Inventaire

• ReportingWebService

• SelfUpdate

Le certificat de l'autorité de certification (CA) doit être importé dans le magasin de CA racine de confiance de l'ordinateur local de chaque serveur WSUS, ou, si le magasin existe, dans le magasin de CA racine de confiance de WSUS.

Pour plus d’informations sur l’utilisation de certificats TLS/SSL dans IIS, consultez Comment configurer SSL sur IIS 7 ou version ultérieure.

Importante

Vous devez utiliser le stockage de certificats de l’ordinateur local. Vous ne pouvez pas utiliser le magasin de certificats d’un utilisateur.

Normalement, vous devez configurer IIS afin d’utiliser le port 8531 pour les connexions HTTPS et le port 8530 pour les connexions HTTP. Si vous changez ces ports, vous devez utiliser deux numéros de port adjacents. Le numéro de port utilisé pour les connexions HTTP doit être exactement le numéro de port utilisé pour les connexions HTTPS moins 1.

Vous devez réinitialiser le ClientServicingProxy proxy client si le nom du serveur, la configuration TLS ou le numéro de port change.

2.3.3. Configurer WSUS pour utiliser le certificat de signature TLS/SSL pour ses connexions clientes

1. Connectez-vous au serveur WSUS à l’aide d’un compte membre du groupe Administrateurs WSUS ou du groupe Administrateurs locaux.

2. Dans le menu Démarrer , entrez CMD, cliquez avec le bouton droit sur Invite de commandes, puis sélectionnez Exécuter en tant qu’administrateur.

3. Accédez au dossier C :\Program Files\Update Services\Tools .

4. Dans l’invite de commandes, entrez la commande suivante :

   wsusutil configuressl <certificate-name>

   Dans cette commande, le nom de certificat est le nom DNS (Domain Name System) du serveur WSUS.

2.3.4. Sécuriser la connexion SQL Server, si nécessaire

Si vous utilisez WSUS avec une base de données SQL Server distante, la connexion entre le serveur WSUS et le serveur de base de données n’est pas sécurisée via TLS. Cette situation crée un vecteur d’attaque potentiel. Pour protéger cette connexion, tenez compte des recommandations suivantes :

• Déplacez la base de données WSUS sur le serveur WSUS.

• Déplacez le serveur de base de données distant et le serveur WSUS sur un réseau privé.

• Déployez le protocole IPsec (Internet Protocol security) pour sécuriser le trafic réseau. Pour plus d’informations sur IPsec, consultez Création et utilisation des stratégies IPsec.

2.3.5. Créer un certificat de signature de code pour la publication locale, si nécessaire

Outre la distribution des mises à jour que Microsoft fournit, WSUS prend en charge la publication locale. Vous pouvez utiliser la publication locale pour créer et distribuer des mises à jour que vous concevez vous-même, avec vos propres charges utiles et comportements.

L’activation et la configuration de la publication locale n’entrent pas dans le cadre de cet article. Pour plus d’informations, consultez Publication locale.

Importante

La publication locale est un processus complexe très souvent inutile. Avant de décider d’activer la publication locale, vous devez examiner attentivement la documentation et déterminer si vous souhaitez utiliser cette fonctionnalité et comment l’utiliser.

2.4. Configuration des groupes d’ordinateurs WSUS

Les groupes d’ordinateurs représentent une part importante de l’utilisation efficace de WSUS. Vous pouvez utiliser des groupes d’ordinateurs pour tester et cibler les mises à jour sur des ordinateurs spécifiques. Il existe deux groupes d’ordinateurs par défaut : Tous les ordinateurs et Ordinateurs non affectés. Par défaut, lorsque chaque ordinateur client contacte pour la première fois le serveur WSUS, ce dernier l’ajoute à ces deux groupes.

Vous pouvez créer autant de groupes d’ordinateurs personnalisés que nécessaire pour gérer les mises à jour dans votre organisation. Il est recommandé de créer au moins un groupe d’ordinateurs pour tester les mises à jour avant de les déployer vers d’autres ordinateurs de votre organisation.

2.4.1. Choisir une approche pour attribuer des ordinateurs clients à des groupes d’ordinateurs

Il existe deux approches pour attribuer des ordinateurs clients à des groupes d’ordinateurs. La bonne approche pour votre organisation dépend de la façon dont vous gérez généralement vos ordinateurs clients.

• Ciblage côté serveur : cette approche est la cible par défaut. Dans cette approche, vous attribuez des ordinateurs clients à des groupes d’ordinateurs en utilisant la console d’administration WSUS.

  Cette approche vous permet de déplacer rapidement des ordinateurs clients d’un groupe à un autre quand les circonstances changent. Toutefois, vous devez déplacer manuellement les nouveaux ordinateurs clients du groupe Ordinateurs non attribués vers le groupe d’ordinateurs approprié.

• Ciblage côté client : dans cette approche, vous attribuez chaque ordinateur client à des groupes d’ordinateurs en utilisant des paramètres de stratégie définis sur l’ordinateur client lui-même.

  Cette approche facilite l’attribution des nouveaux ordinateurs clients aux groupes appropriés. Vous effectuez cette opération dans le cadre de la configuration de l'ordinateur client pour recevoir les mises à jour du serveur WSUS. Toutefois, vous ne pouvez pas affecter d’ordinateurs clients à des groupes d’ordinateurs ou les déplacer d’un groupe d’ordinateurs vers un autre via la console d’administration WSUS. Vous devez plutôt modifier les stratégies des ordinateurs clients.

2.4.2. Activer le ciblage côté client, le cas échéant

Importante

Ignorez les étapes décrites dans cette section si vous envisagez d’utiliser le ciblage côté serveur.

1. Dans la console d’administration WSUS, sous Update Services, développez le serveur WSUS, puis sélectionnez Options.

2. Dans le volet Options , sélectionnez Ordinateurs. Accédez à l’onglet Général , puis sélectionnez Utiliser les paramètres de stratégie de groupe ou de Registre sur les ordinateurs.

2.4.3. Créer les groupes d’ordinateurs souhaités

Remarque

Vous devez créer des groupes d’ordinateurs dans la console d’administration WSUS, que vous utilisiez le ciblage côté serveur ou le ciblage côté client pour ajouter des ordinateurs clients aux groupes d’ordinateurs.

1. Dans la console d’administration WSUS, sous Services de mise à jour, développez le serveur WSUS, développez Ordinateurs, cliquez avec le bouton droit sur Tous les ordinateurs, puis sélectionnez Ajouter un groupe d’ordinateurs.

2. Dans la boîte de dialogue Ajouter un groupe d’ordinateurs, dans Nom, spécifiez le nom du nouveau groupe. Sélectionnez ensuite Ajouter.

2.5. Configurer des ordinateurs clients pour établir des connexions TLS avec le serveur WSUS

En supposant que vous configurez le serveur WSUS pour protéger les connexions des ordinateurs clients à l’aide de TLS, vous devez configurer les ordinateurs clients pour approuver ces connexions TLS.

Le certificat TLS/SSL du serveur WSUS doit être importé dans le magasin AC racine de confiance des ordinateurs clients, ou dans le magasin AC racine de confiance du service de mise à jour automatique des ordinateurs clients, le cas échéant.

Importante

Vous devez utiliser le stockage de certificats de l’ordinateur local. Vous ne pouvez pas utiliser le magasin de certificats d’un utilisateur.

Les ordinateurs clients doivent approuver le certificat que vous liez au serveur WSUS. Selon le type de certificat utilisé, vous devez peut-être configurer un service permettant aux ordinateurs clients d’approuver le certificat lié au serveur WSUS.

Si vous utilisez la publication locale, vous devez également configurer les ordinateurs clients pour qu’ils approuvent le certificat de signature de code du serveur WSUS. Pour obtenir des instructions, consultez Publication locale.

2.6. Configurer des ordinateurs clients pour recevoir des mises à jour à partir du serveur WSUS

Par défaut, vos ordinateurs clients reçoivent des mises à jour de Windows Update. Ils doivent être configurés pour recevoir des mises à jour du serveur WSUS à la place.

Importante

Cet article présente un ensemble d’étapes pour configurer les ordinateurs clients avec une stratégie de groupe. Ces étapes sont appropriées dans de nombreux cas. Toutefois, de nombreuses autres options sont disponibles pour configurer le comportement des mises à jour sur les ordinateurs clients, notamment l’utilisation de la gestion des appareils mobiles. Pour obtenir de la documentation sur ces options, consultez Gérer les paramètres Windows Update supplémentaires.

2.6.1. Choisir le jeu de stratégies correct à modifier

Si Active Directory est configuré dans votre réseau, vous pouvez configurer un ou plusieurs ordinateurs simultanément en les incluant dans un objet de stratégie de groupe (GPO), puis en configurant cet objet de stratégie de groupe avec les paramètres WSUS.

Nous vous recommandons de créer un objet de stratégie de groupe qui contient uniquement des paramètres WSUS. Liez ce GPO WSUS à un conteneur Active Directory approprié pour votre environnent.

Dans un environnement simple, vous pouvez lier un seul GPO WSUS au domaine. Dans un environnement plus complexe, vous pouvez lier plusieurs GPO WSUS à plusieurs unités d’organisation. Lorsque vous liez des GPO à des unités d'organisation, vous pouvez appliquer les paramètres de stratégie WSUS à différents types d'ordinateurs.

Si vous n’utilisez pas Active Directory dans votre réseau, vous devez configurer chaque ordinateur à l’aide de l’éditeur de stratégie de groupe local.

2.6.2. Modifier les stratégies pour configurer les ordinateurs clients

Suivez les étapes décrites dans les sections suivantes pour configurer les ordinateurs clients à l’aide des paramètres de stratégie.

Remarque

Ces instructions supposent que vous utilisez les versions les plus récentes des outils de modification de stratégie. Dans les versions antérieures des outils, les stratégies peuvent être organisées différemment.

Ouvrez l’éditeur de stratégie et accédez à l’élément Windows Update

1. Ouvrez l’objet de stratégie approprié :

   • Si vous utilisez Active Directory, ouvrez la console de gestion des stratégies de groupe, accédez à l’objet de stratégie de groupe sur lequel vous souhaitez configurer WSUS, puis sélectionnez Modifier. Développez ensuite Configuration de l’ordinateur et développez Stratégies.
   • Si vous n’utilisez pas Active Directory, ouvrez l’éditeur de stratégie de groupe local. La stratégie de l’ordinateur local s’affiche. Développez Configuration ordinateur.

2. Dans l'objet que vous avez étendu à l'étape précédente, étendez Modèles d'administration>Composants Windows>Windows Update. Si votre système d’exploitation est Windows 10 ou Windows 11, sélectionnez également Gérer l’expérience utilisateur final.

Modifier le paramètre des mises à jour automatiques

1. Dans le volet d’informations, double-cliquez sur Configurer les mises à jour automatiques. La stratégie Configuration du service Mises à jour automatiques s’ouvre.

2. Sélectionnez Activé, puis sélectionnez l’option souhaitée sous le paramètre Configurer la mise à jour automatique pour gérer la façon dont la fonctionnalité de mise à jour automatique doit télécharger et installer les mises à jour approuvées.

   Nous vous recommandons d’utiliser le paramètre Téléchargement automatique et planification des installations. Il garantit que les mises à jour que vous approuvez dans WSUS sont téléchargées et installées en temps voulu, sans avoir besoin d’intervention de l’utilisateur.

3. Si vous le souhaitez, modifiez d’autres parties de la stratégie. Pour plus d’informations, consultez Gérer des paramètres Windows Update supplémentaires.

   Remarque

   Les mises à jour d’installation à partir d’autres paramètres de produits Microsoft n’ont aucun effet sur les ordinateurs clients recevant des mises à jour de WSUS. Les ordinateurs clients reçoivent toutes les mises à jour approuvées pour elles sur le serveur WSUS.

4. Sélectionnez OK pour fermer la stratégie Configurer les mises à jour automatiques.

Modifier le paramètre pour spécifier un serveur intranet pour héberger des mises à jour

1. Dans le volet d’informations, double-cliquez sur Spécifier l’emplacement intranet du service de mise à jour Microsoft. Si votre système d’exploitation est Windows 10 ou Windows 11, revenez d’abord au nœud Windows Update de l’arborescence, puis sélectionnez Gérer les mises à jour proposées à partir du service Windows Server Update.

   La stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft s’ouvre.

2. Sélectionnez Activé, puis entrez l’URL du serveur WSUS dans les zones Définir le service de mise à jour intranet pour détecter les mises à jour et Définir le serveur de statistiques intranet.

   Avertissement

   Veillez à inclure le bon port dans l’URL. En supposant que vous configurez le serveur pour qu’il utilise TLS comme recommandé, vous devez spécifier le port configuré pour HTTPS. Par exemple, si vous choisissez d’utiliser le port 8531 pour HTTPS et que le nom de domaine du serveur est wsus.contoso.com, vous devez entrer https://wsus.contoso.com:8531 dans les deux zones de texte.

3. Sélectionnez OK pour fermer la stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft.

Configurer le ciblage côté client, le cas échéant

Si vous choisissez d’utiliser le ciblage côté client, procédez comme suit dans cette section pour spécifier le groupe d’ordinateurs approprié pour les ordinateurs clients que vous configurez.

Remarque

Ces étapes supposent que vous venez de suivre les étapes de modification des stratégies pour configurer les ordinateurs clients.

1. Dans l’éditeur de stratégie, accédez à l’élément Windows Update . Si votre système d’exploitation est Windows 10 ou Windows 11, sélectionnez également Gérer les mises à jour proposées à partir du service Windows Server Update.

2. Dans le volet d’informations, double-cliquez sur Activer le ciblage côté client. La stratégie Activer le ciblage côté client s’ouvre.

3. Sélectionnez Enabled. Sous Nom du groupe cible pour cet ordinateur, entrez le nom du groupe d’ordinateurs WSUS auquel vous souhaitez ajouter les ordinateurs clients.

   Si vous exécutez une version actuelle de WSUS, vous pouvez ajouter les ordinateurs clients à plusieurs groupes d’ordinateurs en entrant les noms des groupes séparés par des points-virgules. Par exemple, vous pouvez entrer Comptabilité;Direction pour ajouter les ordinateurs clients aux groupes d’ordinateurs Comptabilité et Direction.

4. Sélectionnez OK pour fermer la stratégie Activer le ciblage côté client.

2.6.3. Permettre à l’ordinateur client de se connecter au serveur WSUS

Les ordinateurs clients n’apparaissent pas dans la console d’administration WSUS tant qu’ils ne se connectent pas au serveur WSUS pour la première fois.

1. Attendez que les modifications apportées à la stratégie prennent effet sur l’ordinateur client.

   Si vous utilisez un objet de stratégie de groupe basé sur Active Directory pour configurer les ordinateurs clients, le mécanisme de mise à jour des stratégies de groupe prend un certain temps pour remettre les modifications à un ordinateur client. Si vous souhaitez accélérer ce processus, vous pouvez ouvrir l’invite de commandes avec des privilèges élevés, puis entrer la commande gpupdate /force.

   Si vous utilisez l’éditeur de stratégie de groupe local pour configurer un ordinateur client individuel, les modifications prennent effet immédiatement.

2. Redémarrez l'ordinateur client. Cela permet de garantir que le logiciel Windows Update sur l’ordinateur détecte les changements de la stratégie.

3. Laissez l’ordinateur client analyser les mises à jour. Cette analyse prend généralement un certain temps.

   Vous pouvez accélérer le processus à l’aide de l’une des options suivantes :

   • Sur Windows 10 ou 11, utilisez la page Paramètres de Windows Update pour rechercher manuellement les mises à jour.
   • Dans les versions de Windows antérieures à Windows 10, utilisez l’icône Windows Update dans le Panneau de configuration pour rechercher manuellement les mises à jour.
   • Sur les versions de Windows antérieures à Windows 10, ouvrez l’invite de commandes avec des privilèges élevés, puis entrez la commande wuauclt /detectnow.

2.6.4 Vérifier la réussite de la connexion de l’ordinateur client au serveur WSUS

Si vous effectuez toutes les étapes précédentes, vous voyez les résultats suivants :

• L’ordinateur client recherche bien les mises à jour. (Il est possible qu’il ne trouve pas de mises à jour applicables à télécharger et à installer.)

• Au bout d’environ 20 minutes, l’ordinateur client apparaît dans la liste des ordinateurs affichés dans la console d’administration WSUS, en fonction du type de ciblage :

  • Si vous utilisez le ciblage côté serveur, l’ordinateur client s’affiche dans les groupes d’ordinateurs Tous les ordinateurs et Ordinateurs non attribués.

  • Si vous utilisez le ciblage côté client, l’ordinateur client apparaît dans le groupe d’ordinateurs Tous les ordinateurs et dans le groupe d’ordinateurs que vous sélectionnez lors de la configuration de l’ordinateur client.

2.6.5. Configurer le ciblage côté serveur de l’ordinateur client, le cas échéant

Si vous utilisez le ciblage côté serveur, vous devez maintenant ajouter le nouvel ordinateur client aux groupes d’ordinateurs appropriés.

1. Dans la console d’administration WSUS, recherchez le nouvel ordinateur client. Il doit apparaître dans les groupes d’ordinateurs Tous les ordinateurs et Ordinateurs non attribués de la liste d’ordinateurs du serveur WSUS.

2. Cliquez avec le bouton droit sur l’ordinateur client et sélectionnez Changer l’appartenance.

3. Dans la boîte de dialogue, sélectionnez les groupes d’ordinateurs appropriés et sélectionnez OK.

Étape suivante

Étape 3 : Approuver et déployer des mises à jour