Partager via

Serveur 2016 et Windows 10: Bonne pratique pour contrôler les mises à jour WSUS (fr-FR)

  • Article

1: Installez le rôle de serveur WSUS

  1. Dans le Gestionnaire de serveur, cliquez sur "Gérer", puis sur "Ajouter des rôles et des fonctionnalités".
  2. Sélectionnez "Windows Serveur Update Services", puis cliquez sur le bouton "Ajouter des fonctionnalités" lorsque les fenêtres d'ajout de fonctionnalités requises s'ouvrent. Puis cliquez sur Suivant.
  3. Dans l'écran Services de rôle WSUS, sélectionnez la Base de données WID et Services WSUS.
  4. Sélectionnez "Stocker les mises à jour à l'emplacement suivant ..." et tapez un chemin tel que J:\WSUS\updates
  5. Suivant / Suivant / Installer

2: Lancer les tâches de post-installation

Une fois le rôle WSUS terminé, avant de cliquer sur le bouton de fermeture, cliquez sur le lien "Lancer les tâches de post-installation".

Fermez la fenêtre et attendez que le Gestionnaire de serveur dise que c'est fini. Cliquez sur le drapeau en haut de l'écran pour indiquer que la configuration post-déploiement est terminée pour Windows Serveur Update Services à <nom du serveur>.

3: Ouvrir l'assistant de configuration WSUS

Dans le Gestionnaire de serveur, cliquez sur Outils et cliquez sur "Windows Serveur Update Services".

  1. L'assistant de configuration WSUS s'ouvre, cliquez sur Suivant.
  2. Décochez ou laissez cocher la case "Oui, je souhaite rejoindre le programme d'amélioration de Microsoft Update". Cliquez sur Suivant.
  3. Sélectionnez "Synchroniser à partir de Microsoft Update" et cliquez sur Suivant.
  4. Cliquez sur le bouton "Démarrer la connexion". Attends quelques minutes. Cliquez sur Suivant.
  5. Choisissez votre langue, cliquez sur Suivant.
  6. Sélectionnez SEULEMENT les produits que vous voulez soutenir. J'ai choisi seulement "Windows 2016 Serveur " et "Windows 10". Laissez tout le reste décocher, sauf si vous savez ce que vous faites. Cliquez sur Suivant.
  7. Sélectionnez Toutes les classifications. Décochez les lecteurs, sauf si vous savez ce que vous êtes en train de faire. Cliquez sur Suivant.
  8. Choisissez un calendrier de synchronisation à votre convenance, Vous pouvez les synchroniser tous les jours à 18 heures. (6:00 pm) Cliquez sur Suivant.
  9. Cochez "Commencer la synchronisation initiale". Cliquez sur Terminer.
  10. La console WSUS s'ouvre maintenant.
  11. Dans la console WSUS, sélectionnez votre serveur. Vous pouvez voir le statut de la synchronisation.

4: Configurer WSUS

Dans la console WSUS, cliquez sur Options.

  1. Cliquez sur "Mettre à jour les fichiers et les langues".
  2. Décochez "Télécharger les fichiers de mise à jour sur ce serveur uniquement lorsque les mises à jour sont approuvées". Cliquez sur OK.
  3. Cliquez sur "Ordinateurs" dans les options.
  4. Sélectionnez "Utiliser les paramètres de stratégie de groupe ou de registre sur les ordinateurs". Cliquez sur OK.

5: Créer des groupes WSUS

Dans la console WSUS, cliquez avec le bouton droit sur "Tous les ordinateurs" et cliquez sur "Ajouter un groupe d'ordinateurs".

Nommez-le "Win10 Lab Clients".

Créez-en un autre nommé " Win 2016 Lab Serveur".

6: Créer des groupes similaires dans Active Directory

Vous devez créer des groupes dans Active Directory pour les ordinateurs et les serveurs que vous souhaitez contrôler avec WSUS.

Créez deux groupes sur Active Directory de la même manière que les groupes ci-dessus:

  1. "Serveur 2016 Lab-WSUS"
  2. "Win10 Clients Lab-WSUS"

Alors allez-y et ajoutez votre Lab Win10 et 2016 machines à ces groupes dans AD.

7: Configurer la stratégie de groupe

Configurez une stratégie de groupe pour chaque groupe WSUS que vous avez. Nommez-le de façon appropriée. Configurez les paramètres exactement comme indiqué dans l'image, remplacez votre propre nom de serveur, nom de domaine et nom de groupe wsus si nécessaire.

Dans l'onglet Portée de la stratégie de groupe, sous Filtrage de sécurité, supprimez les utilisateurs authentifiés et ajoutez le groupe AD wsus auquel vous souhaitez qu'il s'applique ... par exemple, "Serveur 2016 Lab-WSUS".

Vous pouvez spécifier votre propre "Jour d'installation planifié" et "Heure d'installation planifiée" lorsque vous souhaitez réellement mettre à jour / redémarrer les systèmes à l'aide de cette stratégie.

*** REMARQUE: *** Les mises à jour ne seront PAS installées et votre serveur ne redémarrera pas à moins d'entrer dans la console WSUS, et approuvera spécifiquement les mises à jour du groupe WSUS que vous avez spécifié dans cette politique.

En termes simples, assurez-vous de ne pas approuver les mises à jour dans WSUS, et vos serveurs / clients ira bien. :)

8: mise à jour et redémarrage lorsque vous voulez

Ok, donc vous avez suivi exactement jusqu'à ce point. Vous avez des ordinateurs de test Win10 et certains serveurs de test Win2016 dans les groupes AD appropriés, et avez les stratégies de groupe appropriées configurées comme ci-dessus et elles sont appliquées correctement aux ordinateurs et aux serveurs que vous avez spécifiés.

Vous n'avez pas encore approuvé les mises à jour, mais le moment est venu de faire une mise à jour prévue pour Windows 2016 ou Win10 et de redémarrer.

Si vous avez déjà défini le bon jour et l'heure dans la stratégie de groupe de quand vous voulez que cela se produise, tout ce que vous devez faire est d'approuver les mises à jour que vous voulez, aux groupes WSUS auxquels vous voulez qu'ils s'appliquent.

Disons que vous le faites un mercredi ... puis si vous l'avez défini pour samedi à 3h du matin, les mises à jour seront installées sur les systèmes à 3h du matin, puis redémarrera immédiatement après la fin des mises à jour, ou 15 minutes après si quelqu'un est connecté .

Vous pouvez changer cela facilement dans la politique de groupe et faire un gpupdate / force sur les systèmes affectés pour que cela prenne effet avant le samedi par exemple.

9: Bonus: Faire apparaître les systèmes dans WSUS

Redemarrage

Lorsque vous ajoutez un ordinateur ou un serveur à un groupe dans Active Directory, un redémarrage est nécessaire avant que le système ne sache qu'il se trouve dans ce nouveau groupe. Ces paramètres WSUS sont des "règles de l'ordinateur", donc cela doit se produire avant qu'ils puissent être appliqués au système en fonction du groupe dans lequel il se trouve, dans AD. Vous pouvez parfois contourner cela en ouvrant une invite de commande administrateur et en tapant:

klist -li 0x3e7 purge

Ensuite, lancez gpupdate / force.

Vérifiez que la stratégie de groupe WSUS est appliquée à l'ordinateur en tapant la commande suivante dans une invite de commande administrateur:

gpresult / r / scope ordinateur

Recherchez la politique. Si ce n'est pas répertorié, redémarrez l'ordinateur ou le serveur.

C'est la meilleure façon de vous assurer que votre système obtient les stratégies de groupe les plus à jour et les plus correctes, en particulier s'il s'agit de stratégies informatiques et d'étendue par groupe d'ordinateurs.

Delay

L'affichage du système dans le groupe WSUS de la console WSUS peut prendre un certain temps:

Si tel est le cas, vous pouvez essayer ces commandes sur les systèmes qui n'apparaissent pas encore:

  • gpupdate / force
  • usoclient StartScan (wuauclt / resetauthorization)
  • (cette commande force le client à réinitialiser son association avec le serveur WSUS et à se réinscrire ... utile lorsque l'ordinateur n'apparaît pas dans le bon groupe d'ordinateurs WSUS lorsque le ciblage côté client est utilisé)
  • usoclient StartScan (cette commande déclenche Windows Update pour appeler WSUS)

L'utilisation de cette commande usoclient StartScan vous verrez que Windows Update dans Settings.exe commencera à rafraîchir.

Fondamentalement, vous pouvez être créatif et contrôler à peu près ces mises à jour et redémarrer comme bon vous semble en utilisant les méthodes ci-dessus de manière appropriée. Si vous souhaitez indiquer quand un ordinateur est mis à jour et redémarre, n'approuvez pas les mises à jour pour le groupe dans lequel se trouve le système, jusqu'à deux jours avant que la stratégie ne l'ait prévu.

En utilisant les paramètres vos systèmes ne feront rien jusqu'à ce que vous approuviez quelque chose dans la console WSUS.

Si quelque chose n'est pas clair, ou si vous pensez que je devrais mieux expliquer quelque chose ou que vous avez besoin d'ajouter quelque chose, s'il vous plaît faites le moi savoir et je mettrai à jour ce sujet au besoin.