Aujourd’hui, je vous propose de voir comment déployer WSUS sur Windows Server 2019. Et vous allez voir qu’il n’y a aucune complexité ! 🙂
Étape 0 – Présentation de WSUS
WSUS c’est l’acronyme pour Windows Server Update Services. Il s’agit d’un composant intégré à Windows Server qui vous permet de gérer l’ensemble des mises à jour de votre parc informatique Windows.
Lorsque vous achetez un PC portable pour grand public et qu’il n’est pas connecté à un réseau d’entreprise. Vous réalisez en général les mises à jour via Windows Update en allant chercher les mises à jour directement auprès des serveurs de Microsoft.
Cependant, dans le cadre d’une entreprise, il y a plusieurs raisons qui peuvent nécessiter l’emploi d’un outil spécifique pour les mises à jour comme WSUS :
- Si votre parc informatique est composé de 3000 postes (par exemple). Il n’y a aucun intérêt à faire télécharger les 3000 postes les mêmes patchs, updates et autres correctifs les uns après les autres. Vous allez impacter votre bande passante.
- Vous voulez certainement contrôler le déploiement de ces mises à jour et patchs pour éventuellement les tester sur une machine avant de déployer à vos 3000 collaborateurs.
- Généraliser les choix d’updates pour maintenir un parc homogène au sein de votre entreprise.
C’est là que WSUS peut être utile. C’est un rôle intégré à Windows Server qui permet de faire le lien entre les serveurs de Microsoft et votre infrastructure. Vous choisissez les mises à jour à récupérer puis vous définissez comment déployer ces patchs au sein de votre parc.
Étape 1 – Installation de WSUS
Au niveau de l’installation, c’est très simple. Installez votre Windows Server puis cherchez et activez le rôle Windows Server Update Services.
Au moment de la sélection du rôle, cela va automatiquement sélectionner toutes les dépendances nécessaires (notamment le WebServer IIS), acceptez simplement. 🙂
Par défaut, votre serveur WSUS aura besoin d’une base de données. Dépendant de vos contraintes techniques et de la taille du parc à gérer vous pouvez partir sur :
- SQL Server
- SQL Server Express (attention DB limitée à 10 Go)
- WID (Windows Internal Database)
Je connais des entreprises avec plus de 800 postes qui sont en WID et pour qui ça marche sans problème. Donc, réfléchissez bien sur la nécessité ou non d’avoir un SQL Server dédié (ou mutualisé).
Vous devrez ensuite choisir où seront stockées toutes les mises à jour prêtes à déployer au sein de votre parc informatique. Il peut s’agir d’un dossier local sur votre WSUS ou bien d’un chemin réseau.
Voilà, c’est à peu près tout pour l’installation du rôle WSUS. Nous allons passer à la configuration.
Étape 2 – Configuration de WSUS
Une fois l’installation terminée. Vous pouvez exécuter l’assistant de configuration WSUS via la console Update Services (dispo dans les outils Administratifs depuis le menu Démarrer).
Si nécessaire, configurez votre firewall. Votre serveur WSUS doit pouvoir contacter les serveurs Microsoft sur les ports 80/TCP et 443/TCP. Si vous avez besoin de filtrer avec plus de précision, cliquez sur ce lien pour voir les prérequis.
Ci-dessus vous pouvez définir si ce serveur WSUS sera directement connecté au service sur Internet de Microsoft Update pour récupérer les mises à jour – ce qui est notre cas ici.
Sachez toutefois que pour les infrastructures plus complexes / grandes vous pouvez être amené à avoir plusieurs serveurs WSUS. Dans ce contexte, vous pouvez alors créer des serveurs WSUS que l’on appelle Replica ou Autonome.
- Un serveur WSUS Replica – comme son nom l’indique – hérite directement de la configuration d’un autre serveur WSUS en amont. On parle alors de serveur WSUS upstream (amont) ou downstream (aval).
- A l’inverse, un serveur WSUS Autonome n’hérite pas de la configuration d’un autre serveur WSUS. Il peut donc avoir des réglages similaires / différents ou un mix des 2.
C’est donc à ce moment de la configuration que vous pouvez associer un serveur WSUS à un autre serveur WSUS de votre infrastructure. 🙂
Si besoin, indiquez un proxy pour que votre serveur WSUS accède à Internet.
Testez la connexion.
Important : c’est à ce moment de la configuration que vous devrez choisir les langues et les produits pour lesquels vous souhaitez chercher et recevoir des mises à jour / correctifs. Ces choix de configuration vont directement influer sur ce qui sera télécharger et mis en cache sur votre serveur WSUS.
Prenez donc uniquement ce dont vous avez besoin pour éviter de stocker du contenu que vous n’utiliserez pas et remplir votre espace de stockage inutilement. Mais n’oubliez rien car sinon un OS ou un produit pourrait ne recevoir aucun patch et constituer une surface d’attaque !
Choisissez également le type de mises à jour que vous souhaitez avoir sur votre infrastructure. Personnellement, à ce niveau-là, je coche tout ! Libre à vous, cela ne signifie pas pour autant que tout va se déployer automatiquement sans contrôle – nous pourrons choisir de déployer ces mises à jour dans la configuration de la GPO – que nous allons voir un peu plus tard. 🙂
La synchronisation c’est l’action d’aller voir chez Microsoft ce qu’il y a de nouveau en termes de patchs et de correctifs. Une bonne façon de faire c’est de l’automatiser et de la planifier pour 1 recherche par jour afin de recevoir rapidement les nouvelles mises à jour qui seraient disponibles.
Ici, il s’agit de fonctionnalités optionnelles que nous verrons ultérieurement.
Étape 3 – Utilisation de WSUS
Dans cette étape, nous allons voir un peu la logique d’utilisation de WSUS.
Le principe est le suivant : dans les premières options à gauche, vous voyez les différentes mises à jour qui sont disponibles auprès de Microsoft. Ces dernières peuvent être classées suivant plusieurs catégories : Critical Updates, Security Updates, WSUS Updates (vous pouvez même créer vos propres catégories).
En cliquant du bouton droit sur les mises à jour (une à une ou par lot) vous pourrez Approuver ou Refuser les mises à jour. Si vous approuvez une mise à jour, celle-ci sera téléchargée et mis en cache sur votre serveur WSUS local. Elle sera alors disponible pour déploiement auprès de votre parc informatique.
Concernant les options sur la gauche, vous pouvez :
- Computers : pour créer des regroupements logiques de machines correspondant à la logique de votre parc. Par exemple : Production / Pré-Production ou bien postes clients et serveurs.
- Downstream Servers : option utile uniquement si vous êtes dans un contexte d’infrastructure en grappe avec plusieurs serveurs (comme évoqué un peu plus haut dans cet article).
- Synchronization : vous permet de voir les dernières synchronisations effectuées auprès de Microsoft.
- Reports : pour effectuer des rapports sur le déploiement des patchs au sein de votre parc et qui peuvent être exportés aux formats PDF ou Excel.
- Options : options avancées – je vais revenir sur cette partie un peu plus loin. Voir dans l’Étape 5.
Notre serveur WSUS est à présent configuré. Nous avons approuvé des mises à jour qui seront donc disponibles pour nos serveurs et postes clients. Il nous reste maintenant à définir comment nous souhaitons patcher nos serveurs/postes clients. 😉
Étape 4 – Configuration de la GPO
Pour choisir comment déployer les mises à jour au sein de votre parc informatique, nous allons configurer une GPO WSUS. Toute la configuration se passe dans la section suivante :
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
Tous les réglages dont vous avez besoin se trouvent dans cette GPO. Vous verrez que tout n’est pas nécessairement utile mais voici le minimum à mettre en place :
- Configure Automatic Updates
- Specify intranet Microsoft update service location
- Turn off auto-restart for updates during active jours
- Automatic Update detection frequency
- Allow Automatic Updates immediate installation
- No auto-restart with logged on users for scheduled automatic restart
- …
Encore une fois, vous n’avez pas nécessairement besoin d’utiliser tous les réglages possibles pour votre GPO. Mais vous utiliserez sans aucun doute à minima les 2 réglages en gras ci-dessus.
Ce premier réglage vous permet de définir quelle stratégie de déploiement de patchs vous souhaitez pour votre infrastructure : souhaitez-vous que vos PC/Serveurs téléchargement ET installent automatiquement toutes les updates ou bien préférez-vous que tout soit téléchargé mais que le clic d’un administrateur soit nécessaire pour procéder à l’installation.
Cette partie de la configuration est cruciale pour vous assurer de la stratégie que vous visez pour votre parc informatique. Vous devez adapter ce réglage si vous souhaitez éviter que vos périphériques ne redémarrent tout seul – et que vos applicatifs métiers s’arrêtent. 🙂
Enfin, le réglage ci-dessus vous permet de définir le serveur qui porte le rôle WSUS au sein de votre infrastructure.
Je vous laisse le soin de découvrir les autres réglages qui vous permettront d’optimiser encore le comportement de vos serveurs/postes de travail vis-à-vis de votre serveur WSUS. Et n’oubliez pas que vous pouvez créer plusieurs GPO.
Du coup, il est tout à fait possible de créer une GPO qui va mettre à jour automatiquement (téléchargement + installation + restart) les postes clients – mais à l’inverse, qui empêche le redémarrage automatique pour les serveurs (ce n’est qu’un exemple). 🙂
Étape 5 – Options avancées
Normalement, avec tout ce que nous avons vu jusqu’à présent vous pouvez faire fonctionner votre infrastructure WSUS. Il existe toutefois quelques options avancées.
- Update Source and Proxy Server : Vous pouvez modifier la source de votre serveur WSUS. Est-ce qu’il contacte Microsoft Update ou un autre serveur WSUS. Indiquez un proxy pour accéder à Internet.
- Products & Classification / Update Files and Languages : Revoir la liste des produits, les langues et le type d’updates que vous souhaitez récupérer sur votre serveur WSUS.
- Automatic Approvals : Règle d’auto-approbation (je vous en parle en Etape 6).
- Server Cleanup Wizard : Vous permet d’effectuer un nettoyage automatique pour nettoyer la liste des machines qui ne remontent pas depuis longtemps dans votre WSUS ou les updates qui ne sont pas/plus utilisées.
- Email Notifications : Pour recevoir des rapports journaliers et/ou hebdomadaires de votre WSUS.
Je le disais précédemment mais un serveur WSUS dont vous ne n’approuvez ou refusez pas régulièrement les updates n’a aucun intérêt. Il est donc essentiel de statuer régulièrement sur les updates après que WSUS a effectué sa synchronisation avec Microsoft Update.
Cette tâche peut être assez rébarbative. C’est pourquoi vous pouvez utiliser des règles d’auto-approbation. Vous pourrez alors définir certaines règles permettant par exemple d’approuver automatiquement les mises à jour de type Sécurité / Critiques ou bien en fonction du type de périphériques.
Pour aller plus loin
Pour le reste, je vous invite à consulter la documentation officielle sur le site de Microsoft en cliquant sur ce lien. 🙂
Petite galère de mon côté avec les scripts Post-Installation de WSUS dans le cadre de l’utilisation de SQLExpress sur la même machine.
Dans les logs on peut voir que
Autorisation CREATE DATABASE refusée dans la base de données 'master'.
Il se trouve que les scripts ne fonctionnent pas comme il faut quand on est connecté depuis un administrateur du domaine. Depuis l’administrateur local, aucun problème…
Peut-être une question de droit sur le SQLExpress – qui explique que tu aies pu faire l’action avec un compte Admin Local mais pas avec un compte Admin du domaine ?