Mise en place d’un serveur WSUS (Windows Server Update Services)
Mise en place d’un serveur WSUS (Windows Server Update Services)
Objectif
Installer et configurer un serveur WSUS afin de centraliser et contrôler le déploiement des mises à jour Windows dans une infrastructure Active Directory.
Contexte
Dans une entreprise, laisser les postes se mettre à jour directement via Internet pose plusieurs problèmes :
- absence de contrôle des mises à jour installées - risque d’incompatibilité applicative - consommation excessive de bande passante - absence de suivi et de conformité
Le serveur **WSUS (Windows Server Update Services)** permet :
- de centraliser les mises à jour - de valider les correctifs avant déploiement - de contrôler les postes concernés - de superviser l’état des mises à jour
Pré-requis
- Windows Server (2016/2019/2022) - Active Directory fonctionnel - Serveur avec espace disque suffisant - Accès Internet - Droits administrateur
Installation du rôle WSUS
1. Ouvrir le Gestionnaire de serveur 2. Ajouter des rôles et fonctionnalités 3. Sélectionner "Windows Server Update Services" 4. Installer les composants requis (WID ou SQL) 5. Choisir le répertoire de stockage des mises à jour 6. Installer
Configuration initiale
Après installation :
1. Ouvrir la console WSUS 2. Lancer l’assistant de configuration 3. Configurer la synchronisation :
- Source : Microsoft Update - Langues : Français (ou autres nécessaires) - Produits : Windows 10, Windows 11, Windows Server - Classifications : Mises à jour critiques, sécurité, etc.
4. Lancer la première synchronisation
Création de groupes d’ordinateurs
Exemple :
- Groupe_Test - Groupe_Production - Serveurs
Cela permet de tester les mises à jour avant déploiement global.
Approbation des mises à jour
1. Sélectionner une mise à jour 2. Clic droit → "Approuver" 3. Choisir le groupe cible
Les postes du groupe recevront la mise à jour lors du prochain cycle.
Configuration via GPO
Pour diriger les postes vers le serveur WSUS :
1. Ouvrir "Gestion des stratégies de groupe"
2. Créer ou modifier une GPO
3. Chemin :
Configuration ordinateur
→ Modèles d’administration
→ Composants Windows
→ Windows Update
Configurer :
- "Spécifier l’emplacement intranet du service de mise à jour Microsoft"
Exemple :
Forcer la mise à jour sur un poste :
gpupdate /force
wuauclt /detectnow
Vérification
Dans la console WSUS :
- Vérifier les ordinateurs détectés
- Contrôler l’état des mises à jour
- Vérifier les rapports de conformité
Sur un poste client :
- Vérifier l’historique des mises à jour
- Contrôler le serveur configuré via regedit
Dépannage
Si les postes ne remontent pas :
- vérifier la GPO
- contrôler la connectivité vers le serveur WSUS
- vérifier les services Windows Update
- analyser le journal WindowsUpdate.log
- vérifier la synchronisation WSUS
Erreurs fréquentes :
- mauvaise URL dans la GPO
- synchronisation non effectuée
- espace disque insuffisant
- port bloqué par le pare-feu
Bonnes pratiques
- Tester les mises à jour sur un groupe pilote
- Planifier les déploiements hors heures ouvrées
- Nettoyer régulièrement la base WSUS
- Surveiller l’espace disque
- Documenter la politique de mise à jour
Voir aussi
- Mise en place des stratégies de groupe (GPO)
- Installation et configuration d’Active Directory (AD DS)
- Mise en place d’un serveur DNS sous Windows Server
- Catégorie:Services réseau
- Catégorie:Windows Server
- https://wiki.portfolio-articles.ovh/index.php/Cat%C3%A9gorie:Infrastructure_r%C3%A9seau Catégorie:Infra]
Références
- Microsoft – Windows Server Update Services Overview
https://learn.microsoft.com/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus
- Microsoft – Install and Configure WSUS
https://learn.microsoft.com/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus
- Microsoft – Windows Update Policy Settings
https://learn.microsoft.com/windows/deployment/update/waas-wu-settings
