Le service de MAJ : WSUS
Le service WSUS (Windows Server Update Services) est un rôle que l'on peut installer sur un serveur Microsoft Windows pour la gestion locale des mises à jour des systèmes d'exploitation et applicatifs Microsoft.
Il permet de réduire considérablement le trafic vers les serveurs de mise à jour Microsoft (et de résoudre certains problèmes de connexion à ces serveurs).
1. Mise en place du service
Voir ce tutoriel pour la mise en place de ce rôle et la configuration.
NB : ce rôle nécessite la mise en place d'un serveur intranet (service IIS) et utilisera par défaut le port 8530.
Dans mon installation (cf image ci-dessous), le rôle est installé sur le serveur P2019 (point 1) ayant comme IP : 172.16.100.5. L'adresse à utiliser pour la configuration des clients sera donc http://172.16.100.5:8530 (le port figure dans l'encadré 2).
2. Entrer en contact avec le service
Il faut définir (ou modifier) une GPO (existante) pour remplacer les paramètres "Windows Update" de chacun des ordinateurs du réseau qui doivent utiliser service WSUS. (revoir la GPO Windows Update).
Cette fois, il faut que :
le paramètre "Spécifier l'emplacement Intranet du service de mises à jour automatiques" soit activé (point 1 de l'image ci-dessous) et que l'adresse du service WSUS soit renseignée (point 2 et cf §1)
le paramètre "Autoriser le ciblage 'côté client'" soit activé (point 1 de l'image ci-dessous) et que le nom d'un groupe cible soit renseigné (point 2). Ce groupe cible est définit sur le serveur WSUS dans la zone "Tous les ordinateurs" (point 3 de l'image du §1)
3. Piloter le service
Piloter le service c'est :
- Définir les règles d'approbation automatique (cf image ci-dessous) ;
- "Approuver" (ou non) les mises à jour qui ne sont pas approuvées automatiquement (voir le §4) ;
- "Refuser" les mises à jour devenues obsolètes (et procéder au nettoyage du serveur et ainsi libérer de l'espace disque) (voir le §5).
L'image ci-dessus illustre 2 règles :
la règle d'approbation automatique par défaut qui s'applique dans l'exemple "pour tous les ordinateurs" pour les"maj critiques" ou concernant "la sécurité" ;
la règle "postes" qui s'applique aux ordinateurs de l'entité "Postes" pour les maj qui concernent "office 2010", "windows 10", "windows 7" et "windows 8.1".
Toutes les autres situations doivent faire l'objet d'une approbation (ou d'un refus) manuelle.
4. Approbation manuelle
Dans notre exemple, on considérera que pour les machines de l'entité "Serveurs", seules les mises à jour critiques et les mises à jour de sécurité sont approuvées automatiquement par une règle d'approbation automatique. Par conséquent, il faudra traiter manuellement toutes les mises à jour considérées comme nécessaire par Microsoft.
C'est ce que montre l'image ci-contre pour la machine "p2019" pour laquelle 3 mises à jour nécessaires ne sont pas encore approuvées.
Pour les approuver (ou les rejeter), il faut cliquer, comme l'indique l'image, sur le lien "mises à jour nécessaires".
Ce lien s'ouvre sur le "rapport relatif aux ordinateurs" pour la machine étudiée et l'image ci-dessous est l'illustration de la page 2 du rapport obtenu.
Il présente les 3 mises à jour "non approuvées". En cliquant sur le lien "Non approuvée", la fenêtre "Approuver les mises à jour" s'ouvre.
En cliquant sur le triangle (pointe en bas) à côté de "Serveurs", j'accède au choix du type d'approbation.
5. Faire le tri dans les mises à jour
Faisons tout d'abord apparaitre l'icône indiquant l'état de remplacement des mises à jour téléchargées.
Pour cela, faire un clic droit sur l'entête des colonnes du tableau (point 1 de l'image ci-contre) et sélectionner "remplacement" (point 2).
Cliquer ensuite sur l'icône pour trier les mises à jour.
Les 2 mises à jour de l'image ci-dessus sont remplacées. Il faut donc les supprimer (en les sélectionnant et en cliquant sur "refuser").