Gestion des mises à jour dans WSUS
Sommaire
I. Présentation
Après avoir vu l'installation du service WSUS et sa configuration de base, dans ce tutoriel, nous allons nous intéresser à la gestion des mises à jour. C'est quand même tout l'intérêt de la solution étant donné que le but est de distribuer les mises à jour sur les postes clients.
Il faut savoir que WSUS synchronise les mises à jour pour vous donner la liste des mises à jour disponibles selon les produits et les types de mises à jour que vous avez choisit. Cependant, ces mises à jour ne sont pas téléchargées automatiquement dans la base du serveur, elles doivent être au préalable approuvées. Une fois qu'elles sont approuvées, elles sont téléchargées automatiquement dans la base de votre serveur WSUS et rendues disponibles pour les postes clients.
Ce que nous allons voir :
- Organisation des mises à jour
- Approbation des mises à jour
- Visualisation de l'état de la mise à jour
- Règles d'approbations automatiques
II. Organisation des mises à jour
Exécutez la console WSUS afin d'accéder à la gestion du service. Dans le menu de gauche, cliquez sur la flèche à gauche du nom de votre serveur (exemple : SRV1) puis sur "Mises à jour". L'ensemble des mises à jour et du suivi des mises à jour se fait dans cette section. Vous pouvez voir que par défaut plusieurs vues sont déjà présentes : Toutes les mises à jour, Mises à jour critiques, Mises à jour de sécurité et Mises à jour WSUS.
Servez-vous de ces vues pour visualiser les mises à jour concernées. Lorsque vous visualisez une vue si aucune mise à jour s'affiche, modifiez les filtres "Approbations" et "État" présents dans la partie centrale, s'il y a toujours rien vérifiez que la synchronisation s'effectue correctement.
Il est possible de créer des vues personnalisées, par exemple une vue qui afficherait toutes les mises à jour concernant Windows Server 2012. Voyons comment faire. Faites clic droit sur "Mises à jour" dans l'arborescence puis "Nouvelle vue de mise à jour".
Ensuite, cochez la case à côté de "Les mises à jour concernant un produit précis" puis, dans l'étape 2 qui concerne la modification des propriétés sélectionnez uniquement le produit "Windows Server 2012" dans la liste. Ainsi, vous aurez une vue spéciale pour ce système d'exploitation. Pour finir, donnez un nom à la vue. A vous de créer vos vues selon vos besoins en mixant les différents possibilités offertes par l'assistant.
Une fois la vue créée, elle apparaîtra dans la liste à la suite des vues déjà existantes.
III. Approbation des mises à jour
Comme je vous le disais dans la présentation, par défaut, WSUS n'approuve pas et ne télécharge pas les mises à jour automatiquement. L'approbation manuelle de mise à jour s'effectue via l'utilisation des vues. Par exemple, si je me positionne dans la vue "Toutes les mises à jour" et que je souhaite approuver une sélection de mises à jour il faut : Sélectionnez les mises à jour, faire un clic droit sur la sélection puis cliquez sur "Approuver..."
Ensuite, il faut indiquer pour quels ordinateurs vous souhaitez approuver cette mise à jour selon les groupes que vous avez définis. Cliquez sur la flèche à gauche de "Tous les ordinateurs" et cliquez sur "Approuvée pour l'installation" pour déclarer chacune des mises à jour sélectionnée comme approuvée pour l'installation. Concernant le groupe "Ordinateurs non attribués" vous pouvez choisir d'approuver ou non les mises à jour (voir même d'hériter des paramètres définis sur "Tous les ordinateurs"), sachant que ce groupe ne devrait pas être utilisé puisqu'il est mieux de ranger les clients par groupe. Cliquez sur "OK" pour valider une fois votre politique d'approbation définie pour ces mises à jour.
Suite à la validation, WSUS modifie les paramètres d'approbations des mises à jour selon ce que vous souhaitez. Cliquez sur "Fermer".
Dans la console, un icône apparaît de chacune des mises à jour que vous venez d'approuver. Il signifie que les mises à jour sont approuvées et en cours de téléchargement sur votre serveur WSUS.
IV. Visualisation de l'état de la mise à jour
En effectuant une légère modification au niveau de l'interface, il possible d'afficher l'état de chaque mise à jour. Ceci dans le but de savoir si la mise à jour est en cours de téléchargement, téléchargée, non approuvée, etc.. Affichez une de vos vues, faites clic droit dans la barre d'en-tête des colonnes et cochez le champ "État du fichier". Une colonne supplémentaire apparaît et vous permet désormais de savoir facilement où vous en êtes avec chacune de vos mises à jour grâce aux différents icônes.
V. Règles d'approbations automatiques
Les approbations manuelles c'est bien, mais bon, à la longue ça risquerait de devenir lourd en charge de travail car ça prend du temps. C'est pour cela qu'il est possible de définir des règles d'approbations automatique, c'est à dire que vous dîtes par exemple : "Toutes les mises à jour de sécurité pour Windows Server 2012 sont automatiquement approuvées". Ainsi, WSUS sera capable de s'autogérer selon ce que vous lui avez demandé, pratique non ?
Dans votre console WSUS, cliquez sur "Options" puis dans la partie centrale cliquez sur "Approbations automatiques".
Vous voyez qu'il existe déjà une règle créée par défaut mais qui n'est pas active. Si vous l'activez en cochant la case, toutes les mises à jour critiques et toutes les mises à jour de sécurité seront automatiquement approuvées et appliquées sur tous les ordinateurs.
Si cette règle ne vous convient pas, cliquez sur "Nouvelle règle" puis définissez en une qui correspond à vos besoins, vos envies. Une fois la règle créée sélectionnez-la puis cliquez sur "Exécuter la règle" pour que les mises à jour déjà synchronisées se voient appliquer vos paramètres. Ainsi, si certaines ne sont pas encore approuvées mais qu'elles correspondent aux critères de votre règle alors elles le deviendront.
Bonjour,
pouvez-vous, SVP, me dire comment installer les mises à jours une fois quelles ont été téléchargées.
Merci d’avance.
Cordialement
Bonjour,
Y a t’il un moyen de planifier selon un calendrier précis le « push »
des mise à Jours obtenues.
Exemple :
Serveurs d’un groupe > le vendredi de la 1ere semaine
Serveurs d’un second groupe > le Vendredi de la 3ème semaine
Etc…
Merci pour votre réponse.
Bonjour, merci pour toutes les infos pour WSUS et autres :). Une petite question concernant la vue mises à jour, est-il possible de sauvegarder les vue mises à jour que l’on ajoute? A chaque fois que l’on ferme la console et ou redémarre le pc, les vues ajoutées dispqraissent…
Cordialement.
Bonjour, avez-vous eu des infos à ce sujet depuis ? car je suis dans la même situation …
Merci
Bonjour Florian BURNEL, je te remercie infiniment , je trouve tes articles et tes publication très utile , je te souhaite une bonne continuation.
Pas du tout. L’article n’est pas très clair, ce sont des config des débutant !
Bonjour est-il possible d’interdire les mises à jour des mises des postes XP clients. Car lors du démarrage du poste client WSUS fait ramer l’ouverture de session
Bonjour tout d’abord un message de remerciement et d’encouragement pour le travail que vous faites merci et bonne continuation.
Pour ma question :
J’ai installé WSUS sur un serveur dedié windows serveur 2012 R2.
J’ai choisi les mises a jours critique et de securite.
Pour les langues c’est langlais et le francais.
Pour les systemes et apllications j’ai choisi office 2013 et 2016; windows serveur 2003, 2008 et 2012 et pour les clients c’est windows 7 et 8.1.
le systeme est correctement synchronisé avec windows update jusqu’a trouver 7355 mises a jours
j’ai un disque de 500 Go dedié pour les mises a jours.
depuis que j’ai lancé les mises a jours ça occupe pour l’instant 110Go sur le disque de 500Go.
maintenant ce que je ne comprends pas pourquoi l’etat d’evolution de tout les mises jours que j’ai approuvé sont à 0%.
Bonjour,
C’est « normal » car le % est celui d’installation sur les postes client, pas celui du téléchargement. Il est fort probable que tes mises à jour soient disponible mais que les postes clients ne les aient pas encore utilisées. Vois tu bien tes postes dans la liste des ordinateurs? Lance manuellement une Windows Update sur un de tes clients pour t’assurer qu’il se mette bien à jour via le serveur (voir les tutos précédents pour la configuration d’une GPO ou l’utilisation en workgroup).
Tu peux aussi utiliser les rapports pour voir l’état de ton parc (ya un tuto sur ça).
Rq: Tu as toujours du Windows 2003 et tu t’installes un serveur dédié 2012R2 pour WSUS??? Tu ne ferais pas mieux de migrer ton/tes vieux serveurs???
Merci pour votre réponse je prends note pour vos conseils mais j’ai un souci j’ai configuré les GPO mais les quand je tape la commande Gpresult /r sur mes postes client je ne vois pas la gpo concernée dans le reultat de la commande
Bonjour,
J’utilise actuellement un WSUS dans mon entreprise, celui-ci a été configuré à partir d’un tuto du site microsoft, tous mes postes remontent (ou presque), j’ai un pourcentage installé qui stagne un peu. Les postes n’ont aucun historique de mise à jour et aucune notifications n’apparaît bien que celle-ci soit activé dans mes GPO. Lorsque je lance clientdiag sur un poste client, l’erreur « getfileversion(szenginedir, &susversion) failed with hr=0x80070002 » pourriez-vous m’aider je sèche quelque peu là.
d’avance merci
Clientdiag ne fonctionne que sur du 32b d’où ton erreur.
Bonjour,
J’ai un serveur 2016 WSUS sans AD, et 2 autres serveurs 2016 avec AD et sans rôle WSUS
J’ai paramétré WSUS et dans la console, pour la gestion des ordinateurs j’ai choisi « Utiliser la console Update Services ».
Alors il apparaît bien les ordinateurs, mais sans adresse IP réelle. Il apparaît des chiffres et lettres ressemblant à des adresses MAC (mais ce n’en n’est pas) type fe80::e136:b071:570f:20da%2
Comment faire pour corriger ? J’ai beau eu activer l’affichage Adresse IP et la décocher, puis redémarrer la console rien n’y fait..
D’avance, merci pour votre aide
Jymmy26
Bonjour j’ai installé le WSUS pour une entreprise en suivant ce tuto, le problème est que je n’ai que deux postes présent après l’exécution de la GPO. Et l’ajout manuel aussi ne fonction pas avec l’outil wsus Workstation.
bonjour,
@balla : j ai eu le meme souci , et je suis passé par des ajouts de clé de registre dans une gpo pour que cela fonctionne.