Installer et configurer un point de mise à jour logicielle
S’applique à : Gestionnaire de Configuration (branche actuelle)
Importante
Avant d’installer le rôle de système de site (SUP) du point de mise à jour logicielle, vous devez vérifier que le serveur répond aux dépendances requises et détermine l’infrastructure du point de mise à jour logicielle sur le site. Pour plus d’informations sur la planification des mises à jour logicielles et la détermination de votre infrastructure de point de mise à jour logicielle, consultez Planifier les mises à jour logicielles.
Le point de mise à jour logicielle est requis sur le site d’administration centrale et sur les sites principaux pour permettre l’évaluation de la conformité des mises à jour logicielles et déployer des mises à jour logicielles sur les clients. Le point de mise à jour logicielle est facultatif sur les sites secondaires. Le rôle de système de site point de mise à jour logicielle doit être créé sur un serveur sur lequel WSUS est installé. Le point de mise à jour logicielle interagit avec les services WSUS pour configurer les paramètres de mise à jour logicielle et demander la synchronisation des métadonnées des mises à jour logicielles. Lorsque vous disposez d’une hiérarchie Configuration Manager, installez et configurez le point de mise à jour logicielle sur le site d’administration centrale, puis sur les sites principaux enfants, puis éventuellement sur les sites secondaires. Lorsque vous disposez d’un site principal autonome, et non d’un site d’administration centrale, installez et configurez d’abord le point de mise à jour logicielle sur le site principal, puis éventuellement sur les sites secondaires. Certains paramètres sont disponibles uniquement lorsque vous configurez le point de mise à jour logicielle sur un site de niveau supérieur. Il existe différentes options que vous devez prendre en compte en fonction de l’emplacement où vous avez installé le point de mise à jour logicielle.
Importante
- Vous pouvez installer plusieurs points de mise à jour logicielle sur un site. Le premier point de mise à jour logicielle que vous installez est configuré comme source de synchronisation, qui synchronise les mises à jour à partir de Microsoft Update ou de la source de synchronisation en amont. Les autres points de mise à jour logicielle sur le site sont configurés en tant que réplicas du premier point de mise à jour logicielle. Par conséquent, certains paramètres ne sont pas disponibles après l’installation et la configuration du point de mise à jour logicielle initiale.
- L’installation du rôle de système de site de point de mise à jour logicielle n’est pas prise en charge sur un serveur qui a été configuré et utilisé en tant que serveur WSUS autonome ou à l’aide d’un point de mise à jour logicielle pour gérer directement les clients WSUS. Les serveurs WSUS existants sont uniquement pris en charge en tant que sources de synchronisation en amont pour le point de mise à jour logicielle actif. Consultez Synchroniser à partir d’un emplacement de source de données en amont.
Vous pouvez ajouter le rôle de système de site du point de mise à jour logicielle à un serveur de système de site existant ou en créer un nouveau. Dans la page Sélection du rôle système de l’Assistant Création d’un serveur de système de site ou De l’Assistant Ajout de rôles de système de site, selon que vous ajoutez le rôle de système de site à un serveur de site nouveau ou existant, sélectionnez Point de mise à jour logicielle, puis configurez les paramètres du point de mise à jour logicielle dans l’Assistant. Les paramètres varient selon la version de Configuration Manager que vous utilisez. Pour plus d’informations sur l’installation des rôles de système de site, consultez Installer des rôles de système de site.
Utilisez les sections suivantes pour plus d’informations sur les paramètres du point de mise à jour logicielle sur un site.
Les paramètres du serveur proxy
Vous pouvez configurer les paramètres du serveur proxy sur différentes pages de l’Assistant Création d’un serveur de système de site ou De l’Assistant Ajout de rôles de système de site en fonction de la version de Configuration Manager que vous utilisez.
Vous devez configurer le serveur proxy, puis spécifier quand utiliser le serveur proxy pour les mises à jour logicielles. Configurez les paramètres suivants :
Configurez les paramètres du serveur proxy dans la page Proxy de l’Assistant ou sous l’onglet Proxy dans Propriétés du système de site. Les paramètres du serveur proxy sont spécifiques au système de site, ce qui signifie que tous les rôles de système de site utilisent les paramètres de serveur proxy que vous spécifiez.
Spécifiez s’il faut utiliser le serveur proxy quand Configuration Manager synchronise les mises à jour logicielles et quand il télécharge du contenu à l’aide d’une règle de déploiement automatique. Configurez les paramètres du serveur proxy du point de mise à jour logicielle dans la page Paramètres du proxy et du compte de l’Assistant ou sous l’onglet Paramètres du proxy et du compte dans Propriétés du point de mise à jour logicielle.
Le paramètre Utiliser un proxy lors du téléchargement de contenu à l’aide de règles de déploiement automatique est disponible, mais il n’est pas utilisé pour un point de mise à jour logicielle sur un site secondaire. Seul le point de mise à jour logicielle sur le site d’administration centrale et le site principal télécharge le contenu à partir de la page mise à jour Microsoft.
Par défaut, le compte Système local du serveur sur lequel une règle de déploiement automatique a été créée est utilisé pour se connecter à Internet et télécharger les mises à jour logicielles lors de l’exécution des règles de déploiement automatique. Lorsque ce compte n’a pas accès à Internet, le téléchargement des mises à jour logicielles échoue et l’entrée suivante est enregistrée dans ruleengine.log : Échec du téléchargement de la mise à jour à partir d’Internet. Erreur = 12007. Configurez les informations d’identification pour vous connecter au serveur proxy lorsque le compte système local n’a pas accès à Internet.
Paramètres WSUS
Vous devez configurer les paramètres WSUS sur différentes pages de l’Assistant Création d’un serveur de système de site ou De l’Assistant Ajout de rôles de système de site en fonction de la version de Configuration Manager que vous utilisez et, dans certains cas, uniquement dans les propriétés du point de mise à jour logicielle, également appelées Propriétés du composant du point de mise à jour logicielle. Utilisez les informations des sections suivantes pour configurer les paramètres WSUS.
Importante
Pour vous assurer que les meilleurs protocoles de sécurité sont en place, nous vous recommandons vivement d’utiliser le protocole TLS/SSL pour sécuriser votre infrastructure de mise à jour logicielle. À compter de la mise à jour cumulative de septembre 2020, les serveurs WSUS basés sur HTTP seront sécurisés par défaut. Un client qui analyse les mises à jour sur un WSUS basé sur HTTP n’est plus autorisé à tirer parti d’un proxy utilisateur par défaut. Si vous avez toujours besoin d’un proxy utilisateur malgré les compromis de sécurité, un nouveau paramètre client des mises à jour logicielles est disponible pour autoriser ces connexions. Pour plus d’informations sur les modifications apportées à l’analyse de WSUS, consultez Modifications de septembre 2020 pour améliorer la sécurité des appareils Windows analysant WSUS.
Paramètres de port WSUS
Vous devez configurer les paramètres de port WSUS dans la page Point de mise à jour logicielle de l’Assistant ou dans les propriétés du point de mise à jour logicielle. Utilisez la procédure suivante pour déterminer les paramètres de port utilisés par WSUS :
Déterminer les paramètres de port utilisés dans IIS
- Sur le serveur WSUS, ouvrez le Gestionnaire des services Internet (IIS).
- Développez Sites, sélectionnez le site d’administration WSUS , puis sélectionnez Liaisons dans le volet Actions . Dans la boîte de dialogue Liaisons de site , les valeurs de port HTTP et HTTPS sont affichées dans la colonne Port .
Configurer les communications SSL vers WSUS
Pour vous assurer que les meilleurs protocoles de sécurité sont en place, nous vous recommandons vivement d’utiliser le protocole TLS/SSL pour sécuriser votre infrastructure de mise à jour logicielle. Vous pouvez configurer la communication SSL dans la page Point de mise à jour logicielle de l’Assistant ou sous l’onglet Général dans les propriétés du point de mise à jour logicielle. Avant de sélectionner, l’option Exiger une communication SSL vers le serveur WSUS pour votre SUP, vérifiez que vous avez activé la communication SSL sur les serveurs WSUS.
Pour plus d’informations sur l’utilisation de SSL, consultez Décider s’il faut configurer WSUS pour utiliser SSL et Configurer un point de mise à jour logicielle pour utiliser TLS/SSL avec un certificat PKI.
Autoriser le trafic de la passerelle de gestion cloud
Vous pouvez activer un point de mise à jour logicielle pour accepter les communications des clients sur Internet via une passerelle de gestion cloud (CMG). Pour plus d’informations sur ce paramètre, consultez Configurer des rôles côté client pour le trafic de passerelle de gestion cloud.
Ajuster la vitesse de téléchargement pour utiliser la bande passante réseau inutilisée (Windows LEDBAT)
(Introduit dans la version 2203)
À compter de Configuration Manager version 2203, vous pouvez activer le transport en arrière-plan à faible délai supplémentaire (LEDBAT) windows pour vos points de mise à jour logicielle qui s’exécutent Windows Server 2016 ou une version ultérieure. LEDBAT ajuste les vitesses de téléchargement pendant les analyses du client sur WSUS pour aider à contrôler la congestion du réseau.
Si un système de site a à la fois les rôles de point de distribution et de point de mise à jour logicielle, vous pouvez configurer LEDBAT indépendamment sur les rôles. Par exemple, si vous activez UNIQUEMENT LEDBAT sur le rôle de point de distribution, le rôle de point de mise à jour logicielle n’hérite pas de la même configuration.
Pour utiliser LEDBAT pour vos suPs qui s’exécutent Windows Server 2016 ou une version ultérieure, activez le paramètre Ajuster la vitesse de téléchargement pour utiliser la bande passante réseau inutilisée (Windows LEDBAT) à partir de l’un des emplacements suivants :
- Dans la page Point de mise à jour logicielle de l’Assistant Installation du point de mise à jour logicielle
- Sous l’onglet Général des propriétés du point de mise à jour logicielle
Pour plus d’informations générales sur Windows LEDBAT, consultez Concepts fondamentaux pour la gestion de contenu.
Compte de connexion au serveur WSUS
Vous pouvez configurer un compte à utiliser par le serveur de site lorsqu’il se connecte à WSUS qui s’exécute sur le point de mise à jour logicielle. Lorsque vous ne configurez pas ce compte, le Configuration Manager utilise le compte d’ordinateur du serveur de site pour se connecter à WSUS. Configurez le compte de connexion de serveur WSUS dans la page Paramètres du proxy et du compte de l’Assistant, ou sous l’onglet Paramètres du proxy et du compte dans Propriétés du point de mise à jour logicielle. Vous pouvez configurer le compte à différents emplacements de l’Assistant en fonction de la version de Configuration Manager que vous utilisez.
Pour plus d’informations sur les comptes Configuration Manager, consultez Comptes utilisés.
Source de synchronisation
Vous pouvez configurer la source de synchronisation en amont pour la synchronisation des mises à jour logicielles dans la page Source de synchronisation de l’Assistant ou sous l’onglet Paramètres de synchronisation dans Propriétés du composant du point de mise à jour logicielle. Vos options pour la source de synchronisation varient en fonction du site.
Utilisez le tableau suivant pour connaître les options disponibles lorsque vous configurez le point de mise à jour logicielle sur un site.
| Site | Options de source de synchronisation disponibles |
|---|---|
| - Site d’administration centrale - Site principal autonome |
- Synchroniser à partir du site web Microsoft Update - Synchroniser à partir d’un emplacement de source de données en amont - Ne pas synchroniser à partir de Microsoft Mise à jour ou d’une source de données en amont |
| - Points de mise à jour logicielle supplémentaires sur un site - Site principal enfant - Site secondaire |
- Synchroniser à partir d’un emplacement de source de données en amont |
La liste suivante fournit plus d’informations sur chaque option que vous pouvez utiliser comme source de synchronisation :
Synchroniser à partir de Microsoft Mise à jour : utilisez ce paramètre pour synchroniser les métadonnées des mises à jour logicielles à partir de Microsoft Update. Le site d’administration centrale doit disposer d’un accès à Internet; sinon, la synchronisation échoue. Ce paramètre est disponible uniquement lorsque vous configurez le point de mise à jour logicielle sur le site de niveau supérieur.
Lorsqu’il existe un pare-feu entre le point de mise à jour logicielle et Internet, il peut être nécessaire de configurer le pare-feu pour accepter les ports HTTP et HTTPS utilisés pour le site Web WSUS. Vous pouvez également choisir de restreindre l’accès sur le pare-feu à des domaines limités. Pour plus d’informations sur la planification d’un pare-feu qui prend en charge les mises à jour logicielles, consultez Configurer des pare-feu.
Si vous partagez la base de données WSUS, n’oubliez pas que Configuration Manager choisit de manière aléatoire le point de mise à jour logicielle entre les serveurs WSUS frontaux. Vérifiez que les exigences d’accès à Internet sont remplies pour chacun des serveurs WSUS. Si les conditions d’accès à Internet ne sont pas remplies, des échecs de synchronisation peuvent se produire. Vous pouvez voir différents points de mise à jour logicielle sur le site de niveau supérieur qui se synchronisent avec Microsoft.
Synchroniser à partir d’un emplacement de source de données en amont : utilisez ce paramètre pour synchroniser les métadonnées des mises à jour logicielles à partir de la source de synchronisation en amont. Les sites principaux enfants et les sites secondaires sont automatiquement configurés pour utiliser l’URL du site parent pour ce paramètre. Vous avez la possibilité de synchroniser les mises à jour logicielles à partir d’un serveur WSUS existant. Spécifiez une URL, telle que
https://WSUSServer:8531, où 8531 est le port utilisé pour se connecter au serveur WSUS.Ne pas synchroniser à partir de Microsoft mise à jour ou d’une source de données en amont : utilisez ce paramètre pour synchroniser manuellement les mises à jour logicielles lorsque le point de mise à jour logicielle sur le site de niveau supérieur est déconnecté d’Internet. Pour plus d’informations, consultez Synchroniser les mises à jour logicielles à partir d’un point de mise à jour logicielle déconnecté.
Vous pouvez également configurer la création d’événements de création de rapports WSUS dans la page Source de synchronisation de l’Assistant ou sous l’onglet Paramètres de synchronisation dans Propriétés du composant du point de mise à jour logicielle. Configuration Manager n’utilise pas ces événements. Par conséquent, vous choisissez normalement le paramètre par défaut Ne pas créer d’événements de création de rapports WSUS.
Planification de la synchronisation
Configurez la planification de la synchronisation dans la page Planification de la synchronisation de l’Assistant ou dans propriétés du composant point de mise à jour logicielle. Ce paramètre est configuré uniquement sur le point de mise à jour logicielle sur le site de niveau supérieur.
Si vous activez la planification, vous pouvez configurer une planification de synchronisation simple ou personnalisée récurrente. Lorsque vous configurez une planification simple, l’heure de début est basée sur l’heure locale de l’ordinateur qui exécute la console Configuration Manager au moment où vous créez la planification. Lorsque vous configurez l’heure de début d’une planification personnalisée, elle est basée sur l’heure locale de l’ordinateur qui exécute la console Configuration Manager.
Conseil
- Planifiez l’exécution de la synchronisation des mises à jour logicielles à l’aide d’une période appropriée pour votre environnement. L’un des scénarios classiques consiste à définir la planification de la synchronisation des mises à jour logicielles pour qu’elle s’exécute peu après la mise en production Microsoft mise à jour de sécurité régulière le deuxième mardi de chaque mois, ce qui est communément appelé Correctif mardi. Un autre scénario classique consiste à définir la planification de synchronisation des mises à jour logicielles pour qu’elle s’exécute quotidiennement lorsque vous utilisez des mises à jour logicielles pour fournir la définition Endpoint Protection et les mises à jour du moteur.
- Lorsque vous choisissez de ne pas activer la synchronisation des mises à jour logicielles selon une planification, vous pouvez synchroniser manuellement les mises à jour logicielles à partir du nœud Tous les logiciels Mises à jour ou Groupes de mises à jour logicielles dans l’espace de travail Bibliothèque de logiciels. Pour plus d’informations, consultez Synchroniser les mises à jour logicielles.
Règles de remplacement
Configurez les paramètres de remplacement dans la page Règles de remplacement de l’Assistant ou sous l’onglet Règles de remplacement dans Propriétés du composant du point de mise à jour logicielle. Vous pouvez configurer les règles de remplacement uniquement sur le site de niveau supérieur. Vous pouvez également spécifier le comportement des règles de remplacement pour les mises à jour de fonctionnalités séparément des mises à jour non-fonctionnalités.
Remarque
La page Règles de remplacement de l’Assistant est disponible uniquement lorsque vous configurez le premier point de mise à jour logicielle sur le site. Cette page ne s’affiche pas lorsque vous installez des points de mise à jour logicielle supplémentaires.
Sur cette page, vous pouvez spécifier quand les mises à jour logicielles remplacées ont expiré dans Configuration Manager, ce qui les empêche d’être incluses dans les nouveaux déploiements et signale les déploiements existants pour indiquer que les mises à jour logicielles remplacées contiennent une ou plusieurs mises à jour logicielles expirées. Vous pouvez spécifier une période avant l’expiration des mises à jour logicielles remplacées, ce qui vous permet de continuer à les déployer. Pour plus d’informations, consultez Règles de remplacement.
Le paramètre par défaut est d’attendre 3 mois avant d’expirer une mise à jour remplacée. La valeur par défaut de 3 mois vous donne le temps de vérifier que la mise à jour n’est plus nécessaire à l’un de vos ordinateurs clients. Il est recommandé de ne pas supposer que les mises à jour remplacées doivent être immédiatement expirées en faveur de la nouvelle mise à jour de remplacement. Vous pouvez afficher la liste des mises à jour logicielles qui remplacent la mise à jour logicielle sous l’onglet Informations de remplacement dans les propriétés de la mise à jour logicielle.
WSUS Maintenance
Configuration Manager pouvez exécuter automatiquement les tâches de maintenance WSUS les plus courantes pour vous. Pour plus d’informations sur ces tâches, consultez Maintenance des mises à jour logicielles.
Durée d’exécution maximale
Vous pouvez spécifier la durée maximale d’installation d’une mise à jour logicielle. Vous pouvez spécifier la durée d’exécution maximale pour les éléments suivants :
Durée d’exécution maximale des mises à jour des fonctionnalités Windows (minutes)
- Mises à jour des fonctionnalités : mise à jour qui se trouve dans l’une des trois classifications suivantes :
- Améliorations
- Correctifs cumulatifs
- Service Packs ;
- Mises à jour des fonctionnalités : mise à jour qui se trouve dans l’une des trois classifications suivantes :
Durée d’exécution maximale pour les mises à jour Office 365 et les mises à jour non liées aux fonctionnalités pour Windows (minutes)
- Mises à jour non liées aux fonctionnalités : mise à jour qui n’est pas une mise à niveau de fonctionnalité et dont le produit est répertorié comme l’un des éléments suivants :
- Windows 11
- Windows 10 (toutes les versions)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
- Mises à jour non liées aux fonctionnalités : mise à jour qui n’est pas une mise à niveau de fonctionnalité et dont le produit est répertorié comme l’un des éléments suivants :
Durée d’exécution maximale de toutes les autres mises à jour logicielles en dehors de ces catégories, telles que les mises à jour tierces (minutes) : la durée d’exécution maximale par défaut de ces mises à jour varie en fonction de la première synchronisation de la mise à jour dans l’environnement et de la version Configuration Manager. Utilisez le panier ci-dessous pour déterminer la valeur d’exécution maximale pour ces mises à jour :
2203 ou version ultérieure 2103, 2107 ou 2111 2010 La durée d’exécution maximale de toutes les autres mises à jour logicielles est personnalisable. La valeur par défaut est de 60 minutes. 60 minutes 10 minutes Importante
- Ce paramètre modifie uniquement le runtime maximal pour les nouvelles mises à jour qui sont synchronisées dans par SUP. Il ne modifie pas l’heure d’exécution des mises à jour existantes qui étaient synchronisées avant la modification de l’heure d’exécution. Par exemple, si
Update 1a été synchronisé pour la première fois dans un environnement 2111, sa durée d’exécution maximale est de 60 minutes. Vous mettez ensuite à niveau l’environnement vers la version 2203 et définissez la durée d’exécution maximale sur 30 minutes.Update 1conserve son runtime de 60 minutes. Toutefois, lorsqu’une nouvelle mise à jour,Update 2, se synchronise dans, elle reçoit le nouveau temps d’exécution de 30 minutes. - Si vous devez modifier manuellement la durée maximale d’exécution d’une mise à jour, vous pouvez configurer les paramètres de mise à jour logicielle pour celle-ci.
- Ce paramètre modifie uniquement le runtime maximal pour les nouvelles mises à jour qui sont synchronisées dans par SUP. Il ne modifie pas l’heure d’exécution des mises à jour existantes qui étaient synchronisées avant la modification de l’heure d’exécution. Par exemple, si
Classifications
Configurez les paramètres de classifications dans la page Classifications de l’Assistant ou sous l’onglet Classifications dans Propriétés du composant du point de mise à jour logicielle. Pour plus d’informations sur les classifications des mises à jour logicielles, consultez Classifications de mise à jour.
Conseil
- La page Classifications de l’Assistant est disponible uniquement lorsque vous configurez le premier point de mise à jour logicielle sur le site. Cette page ne s’affiche pas lorsque vous installez des points de mise à jour logicielle supplémentaires.
- Lorsque vous installez le point de mise à jour logicielle pour la première fois sur le site de niveau supérieur, effacez toutes les classifications des mises à jour logicielles. Après la synchronisation initiale des mises à jour logicielles, configurez les classifications à partir d’une liste mise à jour, puis relancez la synchronisation. Ce paramètre est configuré uniquement sur le point de mise à jour logicielle sur le site de niveau supérieur.
Produits
Configurez les paramètres du produit dans la page Produits de l’Assistant ou sous l’onglet Produits dans Propriétés du composant du point de mise à jour logicielle.
Conseil
- La page Produits de l’Assistant est disponible uniquement lorsque vous configurez le premier point de mise à jour logicielle sur le site. Cette page ne s’affiche pas lorsque vous installez des points de mise à jour logicielle supplémentaires.
- Lorsque vous installez le point de mise à jour logicielle pour la première fois sur le site de niveau supérieur, effacez tous les produits. Après la synchronisation initiale des mises à jour logicielles, configurez les produits à partir d’une liste mise à jour, puis relancez la synchronisation. Ce paramètre est configuré uniquement sur le point de mise à jour logicielle sur le site de niveau supérieur.
Langages
Configurez les paramètres de langue dans la page Langues de l’Assistant ou sous l’onglet Langues dans Propriétés du composant du point de mise à jour logicielle. Spécifiez les langues pour lesquelles vous souhaitez synchroniser les fichiers de mise à jour logicielle et les détails du résumé. Le paramètre Fichier de mise à jour logicielle est configuré à chaque point de mise à jour logicielle dans la hiérarchie Configuration Manager. Les paramètres Détails du résumé sont configurés uniquement sur le point de mise à jour logicielle de niveau supérieur. Pour plus d’informations, consultez Langues.
Remarque
La page Langues de l’Assistant est disponible uniquement lorsque vous installez le point de mise à jour logicielle sur le site d’administration centrale. Vous pouvez configurer les langues du fichier de mise à jour logicielle sur les sites enfants à partir de l’onglet Langues dans Propriétés du composant du point de mise à jour logicielle.
Mises à jour tierces
Vous pouvez activer les mises à jour tierces pour Configuration Manager clients. Lorsque vous activez les mises à jour logicielles tierces dans les propriétés du composant SUP, le fournisseur de services de configuration télécharge le certificat de signature utilisé par WSUS pour les mises à jour tierces. Cette option n’est pas disponible lors de l’installation du point de mise à jour logicielle et doit être configurée après l’installation du sup sup. Pour activer les paramètres client pour les mises à jour tierces, consultez l’article À propos des paramètres client .
Prochaines étapes
Vous avez installé le point de mise à jour logicielle à partir du site le plus haut dans votre hiérarchie Configuration Manager. Répétez les procédures décrites dans cet article pour installer le point de mise à jour logicielle sur les sites enfants.
Une fois vos points de mise à jour logicielle installés, accédez à Synchroniser les mises à jour logicielles.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour