MES TUTOS
[12/02] Kubernetes léger avec K3s
[10/02] Virtualisation : Masterclass Proxmox VE
[01/02] Comprendre les VLANs et le 802.1Q
[31/01] Monitoring : La Stack Grafana + Prometheus
[30/01] Domotique : Home Assistant sous Docker
[29/01] Déployer Docker & Traefik avec SSL
[28/01] Sécuriser un serveur Linux (Hardening)
[27/01] Active Directory : Installation & GPO
VEILLE
Chargement de la veille...
WINDOWS SERVER

WSUS : Centraliser et Valider les Mises à Jour Windows

Mis à jour le 16/03/2026 • Par Léo Le Mounier

Imaginez 100 ordinateurs téléchargeant la même mise à jour de 2 Go le même matin. Votre connexion Internet s'effondre. WSUS résout ce problème : il télécharge la mise à jour une seule fois, la stocke localement, et la distribue aux PC. De plus, il vous permet de tester les patches avant de les déployer.

1. Installation du Rôle

Sur votre serveur (ex: SRV-WSUS), ajoutez le rôle Windows Server Update Services via le Server Manager.

⚠️ Stockage (WID vs SQL) :
Pour une infra de moins de 500 postes, laissez la base de données par défaut (WID Connectivity).
Par contre, prévoyez un disque dédié (ex: E:) d'au moins 300 Go pour le dossier WSUSContent. Ne mettez jamais le stockage sur le C: !

2. Configuration Initiale (Le Wizard)

Une fois installé, lancez l'assistant de configuration. C'est ici que se joue la survie de votre disque dur.

A. Choisir les produits (Le piège)

Ne cochez PAS "Windows 10/11" en entier. Cochez uniquement la version précise que vous utilisez (ex: Windows 10, version 1903 and later).

B. Classifications

Cochez :

NE COCHEZ PAS "Drivers" ! C'est la règle d'or. Les pilotes représentent des téraoctets de données et des milliers de fichiers qui feront planter la console WSUS.

3. Connecter les clients (GPO)

WSUS ne scanne pas le réseau. Ce sont les PC qui doivent venir se présenter au serveur. On configure ça via une GPO.

Chemin : Computer Configuration > Policies > Admin Templates > Windows Components > Windows Update

Paramètre clé : Spécifier l'emplacement intranet

Activez la politique "Specify intranet Microsoft update service location" et entrez l'URL :

http://SRV-WSUS:8530

Note : N'oubliez pas le port 8530 ! C'est le port par défaut de WSUS (et non le 80).

Le Ciblage (Client-Side Targeting)

Pour trier automatiquement les PC dans la console WSUS (ex: "PC_Compta", "Serveurs"), activez la politique "Enable client-side targeting" et entrez le nom du groupe cible.

4. Stratégie d'Approbation (Ring Deployment)

Ne mettez jamais les mises à jour en "Approbation automatique" pour tout le monde. Si Microsoft publie un patch buggé, toute votre entreprise plante.

La méthode recommandée :

  1. Groupe Test (IT) : Approbation automatique (Deadline: Immédiat).
  2. Groupe Pilote (Utilisateurs avancés) : Approbation manuelle après 3 jours.
  3. Groupe Prod (Tout le monde) : Approbation manuelle après 7 jours si aucun problème n'est remonté.

5. Maintenance (Le secret des Pros)

WSUS est connu pour devenir lent et instable avec le temps. La base de données s'encrasse.

Le nettoyage mensuel

Dans la console, allez dans Options > Server Cleanup Wizard. Cochez tout et lancez-le une fois par mois. Cela supprime :

Sans cette maintenance, votre console WSUS finira par crasher au démarrage (TimeOut).

Conclusion

WSUS est un outil puissant mais capricieux. La clé du succès réside dans la retenue : ne synchronisez que ce dont vous avez besoin (pas de drivers !) et nettoyez la base régulièrement.

← Retour à la bibliothèque