Comment installer et configurer WSUS sur Windows Server 2019

Avant d'installer WSUS, vous devez préparer votre système Windows Server 2019 avec la configuration appropriée et vous assurer que toutes les conditions préalables sont remplies.

Connectez-vous à votre système Windows Server 2019 en utilisant un compte avec des privilèges d'administrateur local. Tout d'abord, vérifiez que votre système répond aux exigences minimales et appliquez toutes les mises à jour Windows en attente.

# Vérifier les informations système et l'espace disque disponible
Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, TotalPhysicalMemory
Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DriveType -eq 3} | Select-Object DeviceID, @{Name="Size(GB)";Expression={[math]::Round($_.Size/1GB,2)}}, @{Name="FreeSpace(GB)";Expression={[math]::Round($_.FreeSpace/1GB,2)}}

Créez un répertoire dédié pour le stockage du contenu WSUS. Ce répertoire stockera toutes les mises à jour téléchargées, assurez-vous donc qu'il se trouve sur un lecteur avec suffisamment d'espace.

# Créer un répertoire de contenu WSUS
New-Item -Name WSUS -Type Directory -Path C:\ -Force

# Vérifier la création du répertoire
Get-Item C:\WSUS

Vérification : Exécutez Get-Item C:\WSUS pour confirmer que le répertoire existe et notez l'espace libre disponible sur le lecteur cible.

Installez le rôle Windows Server Update Services à l'aide de Server Manager. Ce processus installera automatiquement IIS et d'autres dépendances requises.

Ouvrez Server Manager et accédez à l'assistant Ajouter des rôles et fonctionnalités. Le processus d'installation prendra plusieurs minutes et nécessite une attention particulière aux sélections de dépendances.

# Méthode d'installation alternative PowerShell
Install-WindowsFeature UpdateServices -IncludeManagementTools -Restart

Pour l'installation GUI, suivez ces étapes :

1. Ouvrez Server Manager
2. Cliquez sur Gérer → Ajouter des rôles et fonctionnalités
3. Sélectionnez Installation basée sur un rôle ou une fonctionnalité
4. Choisissez votre serveur de destination
5. Cochez Windows Server Update Services
6. Acceptez tous les services de rôle IIS lorsqu'ils sont demandés (ne modifiez pas les paramètres par défaut)
7. Cliquez sur Installer et attendez la fin

Après l'installation, vous verrez une notification pour lancer les tâches post-installation. Cliquez sur ce lien pour passer à la phase de configuration.

Vérification : Vérifiez que le rôle WSUS est installé en exécutant Get-WindowsFeature UpdateServices - l'état d'installation devrait indiquer "Installed".

Après l'installation du rôle WSUS, vous devez exécuter la configuration post-installation pour initialiser la base de données WSUS et configurer le répertoire de contenu.

La tâche post-installation crée la base de données WSUS (en utilisant par défaut Windows Internal Database) et configure IIS pour les opérations WSUS.

# Exécuter la configuration post-installation
& "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall CONTENT_DIR=C:\WSUS

Cette commande prendra plusieurs minutes pour se terminer. Vous verrez une sortie indiquant la création de la base de données et la progression de la configuration IIS. Attendez le message "Post-installation successfully completed".

Pour la configuration d'un serveur distant, utilisez cette approche PowerShell :

# Post-installation à distance (remplacez $WsusServer par le nom de votre serveur)
$WsusServer = "YourServerName"
Invoke-Command -ComputerName $WsusServer -ScriptBlock {
    & "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall CONTENT_DIR=C:\WSUS
}

Le processus post-installation crée la base de données SUSDB, configure les pools d'applications IIS et configure le site web d'administration WSUS sur le port 8530.

Vérification : Ouvrez http://localhost:8530 dans un navigateur sur le serveur. Vous devriez voir le site web d'administration WSUS se charger avec succès.

Configurez le pare-feu Windows pour autoriser les connexions des clients WSUS et activez la gestion à distance si nécessaire. WSUS nécessite des ports spécifiques pour la communication client et l'accès administratif.

WSUS utilise par défaut le port 8530 pour la communication HTTP avec les clients. Si vous prévoyez d'utiliser HTTPS, vous aurez besoin du port 8531. Pour la gestion à distance d'IIS, activez le port 8172.

# Activer le port HTTP WSUS (8530)
New-NetFirewallRule -DisplayName "WSUS HTTP" -Direction Inbound -Protocol TCP -LocalPort 8530 -Action Allow

# Activer le port HTTPS WSUS (8531) si vous utilisez SSL
New-NetFirewallRule -DisplayName "WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow

# Activer la gestion à distance IIS (optionnel)
New-NetFirewallRule -DisplayName "IIS Remote Management" -Direction Inbound -Protocol TCP -LocalPort 8172 -Action Allow

Si vous avez besoin de capacités de gestion à distance IIS, configurez également le service de gestion Web :

# Configurer et démarrer le service de gestion Web
Set-Service -Name WMSVC -StartupType Automatic
Start-Service -Name WMSVC

# Vérifier que le service est en cours d'exécution
Get-Service -Name WMSVC

Pour les environnements avec des politiques de pare-feu strictes, vous devrez peut-être configurer des règles sortantes pour que WSUS se synchronise avec les serveurs de mise à jour Microsoft :

# Autoriser le HTTPS sortant vers les serveurs de mise à jour Microsoft
New-NetFirewallRule -DisplayName "WSUS Outbound HTTPS" -Direction Outbound -Protocol TCP -RemotePort 443 -Action Allow

Vérification : Testez les règles de pare-feu en exécutant Test-NetConnection -ComputerName YourWSUSServer -Port 8530 depuis une machine cliente. La connexion doit réussir.

Lancez l'Assistant de configuration WSUS pour configurer les paramètres de synchronisation, sélectionner les catégories de mises à jour et configurer les paramètres initiaux de WSUS.

Ouvrez la console de gestion WSUS et complétez l'assistant de configuration initiale. Cette étape définit quelles mises à jour WSUS téléchargera et gérera.

# Ouvrir la console WSUS via PowerShell
& "$env:ProgramFiles\Update Services\AdministrationSnapin\wsus.msc"

Dans la console WSUS, l'Assistant de configuration se lancera automatiquement. Configurez ces paramètres clés :

1. Source de synchronisation : Sélectionnez "Synchroniser à partir de Microsoft Update" pour les serveurs connectés à Internet
2. Serveur proxy : Configurez si votre environnement nécessite une authentification proxy
3. Langues : Sélectionnez uniquement les langues dont vous avez besoin (l'anglais est généralement suffisant)
4. Produits : Choisissez les produits pertinents comme Windows Server 2019, Windows 10, applications Office
5. Classifications : Sélectionnez Mises à jour critiques, Mises à jour de sécurité, Regroupements de mises à jour et Service Packs

Après avoir complété l'assistant, lancez la première synchronisation :

# Démarrer la synchronisation initiale via PowerShell
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)
$subscription = $wsus.GetSubscription()
$subscription.StartSynchronization()

La synchronisation initiale téléchargera les métadonnées des mises à jour (pas les fichiers de mise à jour réels) et peut prendre 30 à 60 minutes selon votre connexion Internet et les produits sélectionnés.

Vérification : Dans la console WSUS, naviguez vers Synchronisations pour surveiller la progression. Le statut devrait indiquer "En cours" pendant la synchronisation et "Réussi" une fois terminée.

Organisez vos ordinateurs clients en groupes logiques pour un déploiement ciblé des mises à jour. Les groupes d'ordinateurs vous permettent de contrôler quelles mises à jour sont déployées sur des ensembles spécifiques de machines.

Créez des groupes d'ordinateurs qui s'alignent sur votre structure organisationnelle, comme par département, rôle de serveur ou niveau de criticité.

Dans la console WSUS, accédez à Ordinateurs et créez de nouveaux groupes d'ordinateurs :

1. Cliquez avec le bouton droit sur Tous les ordinateurs
2. Sélectionnez Ajouter un groupe d'ordinateurs
3. Entrez des noms de groupe comme "Serveurs de production", "Serveurs de test", "Stations de travail"

Vous pouvez également créer des groupes par programmation :

# Créer des groupes d'ordinateurs via PowerShell
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)

# Créer des groupes
$wsus.CreateComputerTargetGroup("Serveurs de production")
$wsus.CreateComputerTargetGroup("Serveurs de test")
$wsus.CreateComputerTargetGroup("Stations de travail")

# Lister tous les groupes d'ordinateurs
$wsus.GetComputerTargetGroups() | Select-Object Name, Id

Configurez l'affectation automatique des groupes basée sur le ciblage côté client. Cela permet aux ordinateurs de rejoindre automatiquement les groupes appropriés en fonction des paramètres du registre ou de la configuration de la stratégie de groupe.

# Activer le ciblage côté client
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.TargetingMode = [Microsoft.UpdateServices.Administration.TargetingMode]::Client
$wsusConfig.Save()

Pour l'affectation manuelle des groupes, vous pouvez déplacer les ordinateurs entre les groupes après leur apparition dans la console WSUS.

Vérification : Vérifiez que les groupes ont été créés en exécutant la commande PowerShell pour lister les groupes d'ordinateurs, ou visualisez-les dans la console WSUS sous Ordinateurs.

Créez et configurez des objets de stratégie de groupe pour diriger les ordinateurs clients à utiliser votre serveur WSUS pour les mises à jour Windows. Cette étape est cruciale pour que les ordinateurs clients découvrent et se connectent à WSUS.

Ouvrez la console de gestion des stratégies de groupe sur un contrôleur de domaine ou une station de gestion avec RSAT installé.

# Ouvrir la console de gestion des stratégies de groupe
gpmc.msc

Créez un nouveau GPO spécifiquement pour les paramètres WSUS :

1. Cliquez avec le bouton droit sur votre domaine ou l'OU cible
2. Sélectionnez Créer un GPO dans ce domaine, et le lier ici
3. Nommez-le "WSUS-Client-Settings"
4. Cliquez avec le bouton droit sur le nouveau GPO et sélectionnez Modifier

Accédez à Configuration de l'ordinateur → Stratégies → Modèles d'administration → Composants Windows → Mise à jour Windows et configurez ces paramètres essentiels :

Pour le ciblage côté client, configurez le nom du groupe cible :

REM Définir la valeur de registre pour le ciblage côté client
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetGroup /t REG_SZ /d "Production Servers" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v TargetGroupEnabled /t REG_DWORD /d 1 /f

Forcer la mise à jour de la stratégie de groupe sur les ordinateurs clients :

REM Forcer la mise à jour GP sur les clients
gpupdate /force

REM Redémarrer le service de mise à jour Windows
net stop wuauserv
net start wuauserv

Vérification : Sur un ordinateur client, exécutez gpresult /r pour vérifier que la stratégie WSUS est appliquée, et vérifiez les clés de registre HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Déclenchez la détection et l'enregistrement des ordinateurs clients avec votre serveur WSUS, puis vérifiez qu'ils apparaissent dans la console de gestion WSUS.

Sur les ordinateurs clients, forcez Windows Update à détecter le serveur WSUS et à lui faire un rapport immédiatement plutôt que d'attendre le cycle de détection programmé.

REM Forcer la détection WSUS sur les ordinateurs clients
wuauclt.exe /detectnow
wuauclt.exe /reportnow

REM Méthode alternative utilisant le client Windows Update plus récent
usoclient.exe startscan

Pour la détection basée sur PowerShell sur Windows 10/Server 2016 et versions ultérieures :

# Détection moderne de Windows Update
$updateSession = New-Object -ComObject Microsoft.Update.Session
$updateSearcher = $updateSession.CreateUpdateSearcher()
$searchResult = $updateSearcher.Search("IsInstalled=0")

# Forcer la détection et le rapport
Invoke-WUJob -ComputerName localhost -Script { wuauclt /detectnow; wuauclt /reportnow }

# Vérifier l'état du service Windows Update
Get-Service -Name wuauserv | Select-Object Name, Status, StartType

Surveillez la console WSUS pour l'enregistrement des ordinateurs clients. Naviguez vers Ordinateurs → Tous les ordinateurs → Ordinateurs non assignés pour voir les nouveaux clients détectés.

Vérifiez les journaux Windows Update côté client pour la connectivité WSUS :

# Voir les journaux Windows Update (Windows 10/Server 2016+)
Get-WindowsUpdateLog

# Vérifier les événements de communication spécifiques à WSUS
Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" | Where-Object {$_.Message -like "*WSUS*"} | Select-Object TimeCreated, Id, LevelDisplayName, Message

Vérifiez l'enregistrement des clients en consultant la base de données WSUS :

# Interroger WSUS pour les clients enregistrés
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)
$computerTargets = $wsus.GetComputerTargets()
$computerTargets | Select-Object FullDomainName, LastSyncTime, LastReportedStatusTime | Format-Table

Vérification : Actualisez la console WSUS et confirmez que les ordinateurs clients apparaissent sous Ordinateurs. Vérifiez que LastSyncTime affiche des horodatages récents pour les clients enregistrés.

Examinez les mises à jour disponibles et approuvez-les pour l'installation sur vos groupes d'ordinateurs. Cette étape contrôle quelles mises à jour sont déployées sur quels ordinateurs.

Accédez à Mises à jour → Toutes les mises à jour dans la console WSUS pour voir les mises à jour synchronisées. Filtrez par statut d'approbation pour trouver les mises à jour non approuvées.

Créez un flux de travail d'approbation pour différents types de mises à jour :

1. Mises à jour critiques/de sécurité : Approuvez d'abord pour le groupe de test, puis pour la production après validation
2. Mises à jour facultatives : Examinez et approuvez sélectivement en fonction des besoins de l'entreprise
3. Mises à jour de pilotes : Refusez généralement sauf si spécifiquement nécessaires

Approuvez les mises à jour de manière programmatique en utilisant PowerShell :

# Approuver les mises à jour critiques pour un groupe d'ordinateurs spécifique
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)

# Obtenir le groupe d'ordinateurs
$testGroup = $wsus.GetComputerTargetGroups() | Where-Object {$_.Name -eq "Test Servers"}

# Obtenir les mises à jour critiques qui ne sont pas approuvées
$updates = $wsus.GetUpdates() | Where-Object {
    $_.MsrcSeverity -eq "Critical" -and
    $_.GetUpdateApprovals($testGroup)[0].Action -eq "NotApproved"
}

# Approuver les mises à jour pour l'installation
foreach ($update in $updates) {
    $update.Approve([Microsoft.UpdateServices.Administration.UpdateApprovalAction]::Install, $testGroup)
    Write-Host "Approuvé : $($update.Title)"
}

Pour une approbation manuelle via la console :

1. Sélectionnez les mises à jour à approuver (utilisez Ctrl+Clic pour une sélection multiple)
2. Cliquez avec le bouton droit et choisissez Approuver
3. Sélectionnez les groupes d'ordinateurs cibles
4. Choisissez Approuvé pour l'installation
5. Ajoutez des commentaires d'approbation pour le suivi

Surveillez le statut de déploiement des mises à jour :

# Vérifier le statut d'installation des mises à jour
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)
$updateScope = New-Object Microsoft.UpdateServices.Administration.UpdateScope
$updateScope.ApprovedStates = [Microsoft.UpdateServices.Administration.ApprovedStates]::LatestRevisionApproved

$wsus.GetUpdateStatus($updateScope, $false) | Select-Object UpdateTitle, @{Name="Needed";Expression={$_.DownloadedCount}}, @{Name="Installed";Expression={$_.InstalledCount}}, @{Name="Failed";Expression={$_.FailedCount}}

Vérification : Consultez la section Statut des mises à jour dans la console WSUS pour surveiller la progression du déploiement. Vérifiez que les mises à jour approuvées affichent le statut "Téléchargé" ou "Installé" pour les ordinateurs cibles.

Établir des procédures de surveillance et de maintenance continues pour garantir que WSUS continue de fonctionner efficacement et efficacement.

Configurer des tâches de maintenance régulières de WSUS, y compris le nettoyage de la base de données, le nettoyage du contenu et la surveillance de la synchronisation.

# Assistant de nettoyage du serveur WSUS via PowerShell
[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)

# Exécuter le nettoyage avec toutes les options
$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$cleanupScope.DeclineSupersededUpdates = $true
$cleanupScope.DeclineExpiredUpdates = $true
$cleanupScope.CleanupObsoleteUpdates = $true
$cleanupScope.DeleteObsoleteRevisions = $true
$cleanupScope.CleanupObsoleteComputers = $true
$cleanupScope.CleanupUnneededContentFiles = $true
$cleanupScope.CompressUpdates = $true

$cleanupManager = $wsus.GetCleanupManager()
$cleanupResults = $cleanupManager.PerformCleanup($cleanupScope)

Write-Host "Résultats du nettoyage :"
Write-Host "Mises à jour remplacées refusées : $($cleanupResults.SupersededUpdatesDeclined)"
Write-Host "Mises à jour expirées refusées : $($cleanupResults.ExpiredUpdatesDeclined)"
Write-Host "Mises à jour obsolètes supprimées : $($cleanupResults.ObsoleteUpdatesDeleted)"
Write-Host "Espace disque libéré : $($cleanupResults.DiskSpaceFreed) octets"

Créer une tâche planifiée pour la maintenance régulière de WSUS :

# Créer une tâche planifiée pour le nettoyage de WSUS
$action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\WSUSCleanup.ps1"
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 2:00AM
$settings = New-ScheduledTaskSettingsSet -ExecutionTimeLimit (New-TimeSpan -Hours 2)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount

Register-ScheduledTask -TaskName "WSUS Weekly Cleanup" -Action $action -Trigger $trigger -Settings $settings -Principal $principal

Surveiller l'état de synchronisation de WSUS et le rapport des clients :

# Vérifier l'état de la synchronisation
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost",$false,8530)
$subscription = $wsus.GetSubscription()

Write-Host "Dernière synchronisation : $($subscription.LastSynchronizationTime)"
Write-Host "État de la synchronisation : $($subscription.GetSynchronizationStatus())"

# Vérifier les statistiques de rapport des clients
$computerTargets = $wsus.GetComputerTargets()
$totalComputers = $computerTargets.Count
$recentlyReported = ($computerTargets | Where-Object {$_.LastReportedStatusTime -gt (Get-Date).AddDays(-7)}).Count

Write-Host "Total des ordinateurs enregistrés : $totalComputers"
Write-Host "Ordinateurs ayant rapporté au cours des 7 derniers jours : $recentlyReported"

Surveiller l'utilisation de l'espace disque pour le répertoire de contenu WSUS :

# Surveiller la taille du répertoire de contenu WSUS
$wsusContentPath = "C:\WSUS"
$contentSize = (Get-ChildItem -Path $wsusContentPath -Recurse | Measure-Object -Property Length -Sum).Sum
$contentSizeGB = [math]::Round($contentSize / 1GB, 2)

Write-Host "Taille du répertoire de contenu WSUS : $contentSizeGB GB"

# Vérifier l'espace disque disponible
$disk = Get-WmiObject -Class Win32_LogicalDisk | Where-Object {$_.DeviceID -eq "C:"}
$freeSpaceGB = [math]::Round($disk.FreeSpace / 1GB, 2)
Write-Host "Espace disque disponible : $freeSpaceGB GB"

Vérification : Exécuter régulièrement les scripts de nettoyage et de surveillance. Vérifier que la synchronisation se produit avec succès et que les ordinateurs clients continuent de rapporter à WSUS dans les délais prévus.