Étape 2 : Configurer WSUSStep 2: Configure WSUS

S'applique à : Windows Server (canal semi-annuel), Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Après l’installation du rôle serveur WSUS sur votre serveur, vous devez le configurer correctement.After installing the WSUS server role on your server, you need to properly configure it. La liste de vérification suivante résume les étapes nécessaires à l’exécution de la configuration initiale de votre serveur WSUS.The following checklist summarizes the steps involved in performing the initial configuration for your WSUS server.

TâcheTask DescriptionDescription
2,1. Configurer les connexions réseau2.1. Configure network connections Configurez le réseau de clusters en utilisant l’Assistant Configuration du réseau.Configure the cluster network by using the Network Configuration Wizard.
2,2. Configurer WSUS à l’aide de l’Assistant configuration WSUS2.2. Configure WSUS by using the WSUS Configuration Wizard Utilisez l’Assistant Configuration WSUS pour effectuer la configuration WSUS de base.Use the WSUS Configuration wizard to perform the base WSUS configuration.
2,3. Configurer des groupes d’ordinateurs WSUS2.3. Configure WSUS computer groups Créez des groupes d’ordinateurs dans la console d’administration WSUS pour gérer les mises à jour dans votre organisation.Create computer groups in the WSUS administration console to manage updates in your organization.
2,4. Configurer les mises à jour du client2.4. Configure client updates Spécifiez comment et quand les mises à jour automatiques sont appliquées aux ordinateurs clients.Specify how and when automatic updates are applied to client computers.
2,5. Sécuriser WSUS avec le protocole protocole SSL2.5. Secure WSUS with the Secure Sockets Layer Protocol Configurez le protocole Secure Sockets Layer (SSL) pour protéger Windows Server Update Services (WSUS).Configure Secure Sockets Layer (SSL) protocol to help protect Windows Server Update Services (WSUS).

2.1.2.1. Configurer des connexions réseauConfigure network connections

Avant de commencer le processus de configuration, assurez-vous de connaître les réponses aux questions suivantes :Before you start the configuration process, be sure that you know the answers to the following questions:

  1. Le pare-feu du serveur est-il configuré pour autoriser les clients à accéder au serveur ?Is the server's firewall configured to allow clients to access the server?

  2. Cet ordinateur peut-il se connecter au serveur en amont (par exemple le serveur désigné pour télécharger des mises à jour de Microsoft Update) ?Can this computer connect to the upstream server (such as the server that is designated to download updates from Microsoft Update)?

  3. Connaissez-vous le nom du serveur proxy et les informations d’identification de l’utilisateur nécessaires pour s’y connecter, le cas échéant ?Do you have the name of the proxy server and the user credentials for the proxy server, if you need them?

Par défaut, WSUS est configuré pour utiliser Microsoft Update comme emplacement de récupération des mises à jour.By default, WSUS is configured to use Microsoft Update as the location from which to obtain updates. Si vous disposez d’un serveur proxy sur le réseau, vous pouvez configurer WSUS pour qu’il utilise le serveur proxy.if you have a proxy server on the network, you can configure WSUS to use the proxy server. s’il existe un pare-feu d’entreprise entre WSUS et Internet, vous devrez peut-être configurer le pare-feu pour vous assurer que WSUS peut obtenir les mises à jour.if there is a corporate firewall between WSUS and the Internet, you might have to configure the firewall to ensure that WSUS can obtain updates.

Conseil

Bien qu’une connexion Internet soit nécessaire pour télécharger les mises à jour à partir de Microsoft Update, WSUS offre la possibilité d’importer des mises à jour sur des réseaux non connectés à Internet.Although Internet connectivity is required to download updates from Microsoft Update, WSUS offers you the ability to import updates onto networks that are not connected to the Internet.

Lorsque vous disposez des réponses à ces questions, vous pouvez commencer à configurer les paramètres réseau WSUS suivants :When you have the answers for these questions, you can start configuring the following WSUS network settings:

  • Mises à jour Indiquez comment ce serveur doit obtenir les mises à jour (de Microsoft Update ou d’un autre serveur WSUS).Updates Specify the way this server will obtain updates (from Microsoft Update or from another WSUS server).

  • Proxy si vous avez déterminé que WSUS doit utiliser un serveur proxy pour accéder à Internet, vous devez configurer les paramètres de proxy dans le serveur WSUS.Proxy if you identified that WSUS needs to use a proxy server to have Internet access, you need to configure proxy settings in the WSUS server.

  • Pare-feu si vous avez identifié que WSUS se trouve derrière un pare-feu d’entreprise, vous devez effectuer quelques étapes supplémentaires sur le périphérique de périmètre pour autoriser correctement le trafic WSUS.Firewall if you identified that WSUS is behind a corporate firewall, there are some additional steps that must be done at the edge device to properly allow WSUS traffic.

2.1.1.2.1.1. Connexion Internet à partir du serveur WSUSConnection from the WSUS server to the Internet

Si un pare-feu d’entreprise est placé entre WSUS et Internet, il peut être nécessaire de le configurer afin de garantir que WSUS peut obtenir les mises à jour.If there is a corporate firewall between WSUS and the Internet, you might have to configure that firewall to ensure WSUS can obtain updates. Pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise le port 443 pour le protocole HTTPS.To obtain updates from Microsoft Update, the WSUS server uses port 443 for HTTPS protocol. Bien que la plupart des pare-feu d’entreprise autorisent ce type de trafic, certaines entreprises restreignent l’accès à Internet à partir des serveurs en raison des stratégies de sécurité de l’entreprise.Although most of corporate firewalls allow this type of traffic, there are some companies that restrict Internet access from the servers due the company's security policies. Si votre entreprise restreint l’accès, vous devez obtenir l’autorisation d’autoriser l’accès à Internet à partir de WSUS à la liste suivante d’URL:if your company restricts access, you need to obtain authorization to allow Internet access from WSUS to the following list of URLs:

  • http://windowsupdate.Microsoft.comhttp://windowsupdate.microsoft.com

  • http://.windowsupdate.Microsoft.com*http://*.windowsupdate.microsoft.com

  • :https*. windowsupdate.Microsoft.com//https://*.windowsupdate.microsoft.com

  • http://.Update.Microsoft.com*http://*.update.microsoft.com

  • :https*. Update.Microsoft.com//https://*.update.microsoft.com

  • http://.windowsupdate.com*http://*.windowsupdate.com

  • http://Download.windowsupdate.comhttp://download.windowsupdate.com

  • https://Download.Microsoft.comhttps://download.microsoft.com

  • http://.download.windowsupdate.com*http://*.download.windowsupdate.com

  • http://wustat.Windows.comhttp://wustat.windows.com

  • http://NtServicePack.Microsoft.comhttp://ntservicepack.microsoft.com

  • http://Go.Microsoft.comhttp://go.microsoft.com

  • http://DL.Delivery.MP.Microsoft.comhttp://dl.delivery.mp.microsoft.com

  • https://DL.Delivery.MP.Microsoft.comhttps://dl.delivery.mp.microsoft.com

Important

Pour un scénario dans lequel WSUS ne parvient pas à obtenir les mises à jour en raison des configurations de pare-feu, voir l' article 885819 de la base de connaissances Microsoft.For a scenario in which WSUS is failing to obtain updates due firewall configurations, see article 885819 in the Microsoft Knowledge Base.

La section suivante décrit comment configurer un pare-feu d’entreprise placé entre WSUS et Internet.The following section describes how to configure a corporate firewall that is positioned between WSUS and the Internet. Étant donné que WSUS initie tout le trafic réseau, il n’est pas nécessaire de configurer le pare-feu Windows sur le serveur WSUS.Because WSUS initiates all the network traffic, it is not necessary to configure Windows Firewall on the WSUS server. Bien que la connexion entre Microsoft Update et WSUS impose que les ports 80 et 443 soient ouverts, vous pouvez configurer plusieurs serveurs WSUS pour qu’ils se synchronisent avec un port personnalisé.Although the connection between Microsoft Update and WSUS requires ports 80 and 443 to be open, you can configure multiple WSUS servers to synchronize with a custom port.

2.1.2.2.1.2. Connexion entre les serveurs WSUSConnection between WSUS servers

Les serveurs WSUS en amont et en aval se synchronisent sur le port configuré par l’administrateur WSUS.WSUS upstream and downstream servers will synchronize on the port configured by the WSUS Administrator. Par défaut, ces ports sont configurés comme suit :By default, these ports are configured as follows:

  • Sur WSUS 3.2 et versions antérieures, port 80 pour HTTP et 443 pour HTTPSOn WSUS 3.2 and earlier, port 80 for HTTP and 443 for HTTPS

  • Sur WSUS 6,2 et versions ultérieures (au moins Windows Server 2012), le port 8530 pour HTTP et 8531 pour HTTPs sont utilisésOn WSUS 6.2 and later (at least Windows Server 2012 ), port 8530 for HTTP and 8531 for HTTPS are used

Le pare-feu sur le serveur WSUS doit être configuré pour autoriser le trafic entrant sur ces ports.The firewall on the WSUS server must be configured to allow inbound traffic on these ports.

2.1.3.2.1.3. Connexion entre les clients (Windows Update Agent) et les serveurs WSUSConnection between clients (Windows Update Agent) and WSUS servers

Les interfaces et les ports d’écoute sont configurés dans les sites IIS pour WSUS et dans les paramètres de stratégie de groupe utilisés pour configurer les ordinateurs clients.The listening interfaces and ports are configured in the IIS site(s) for WSUS and in any Group Policy settings used to configure client PCs. Les ports par défaut sont les mêmes que ceux spécifiés à la section précédente Connexion entre les serveurs WSUSet le pare-feu du serveur WSUS doit également être configuré pour autoriser le trafic entrant sur ces ports.The default ports are the same as those specified in the preceding section Connection between WSUS servers, and the firewall on the WSUS server must also be configured to allow inbound traffic on these ports.

Configuration du serveur proxyConfigure the proxy server

Si le réseau d’entreprise utilise des serveurs proxy, ces derniers doivent prendre en charge les protocoles HTTP et SSL et utiliser l’authentification de base ou Windows.If the corporate network uses proxy servers, the proxy servers must support HTTP and SSL protocols and use basic authentication or Windows authentication. Ces exigences peuvent être satisfaites en utilisant l’une des configurations suivantes :These requirements can be met by using one of the following configurations:

  1. Un serveur proxy unique qui prend en charge deux canaux de protocole.A single proxy server that supports two protocol channels. Dans ce cas, définissez un canal pour utiliser le protocole HTTP et l’autre canal pour utiliser HTTPS.In this case, set one channel to use HTTP and the other channel to use HTTPS.

    Notes

    Vous pouvez configurer un serveur proxy qui gère les deux protocoles pour WSUS pendant l’installation du logiciel serveur WSUS.You can set up one proxy server that handles both protocols for WSUS during the WSUS server software installation.

  2. Deux serveurs proxy, chacun d’eux prend en charge un seul protocole.Two proxy servers, each of which supports a single protocol. Dans ce cas, un serveur proxy est configuré pour utiliser le protocole HTTP et l’autre serveur proxy est configuré pour utiliser HTTPS.In this case, one proxy server is configured to use HTTP, and the other proxy server is configured to use HTTPS.

Pour configurer deux serveurs proxy, chacun d’eux gérant un protocole pour WSUS, procédez comme suit :To set up two proxy servers, each of which will handle one protocol for WSUS, use the following procedure:

Pour configurer WSUS pour utiliser deux serveurs proxyTo set up WSUS to use two proxy servers

  1. Ouvrez une session sur l’ordinateur qui sera le serveur WSUS à l’aide d’un compte membre du groupe Administrateurs local.Log on to the computer that is to be the WSUS server by using an account that is a member of the local Administrators group.

  2. Installez le rôle serveur WSUS.Install the WSUS server role. Au cours du déroulement de l’Assistant Configuration WSUS (décrit dans la section suivante), ne spécifiez pas de serveur proxy.During the WSUS Configuration Wizard (discussed in the next section) do not specify a proxy server.

  3. Ouvrez une invite de commandes (Cmd.exe) en tant qu'administrateur.Open a command prompt (Cmd.exe) as an administrator. Pour ouvrir une invite de commandes en tant qu’administrateur, accédez à Démarrer.To open a command prompt as an administrator, go to Start. Dans Démarrer la recherche, tapez invite de commandes.In Start Search, type Command prompt. en haut du menu Démarrer, cliquez avec le bouton droit sur invite de commandes, puis cliquez sur exécuter en tant qu’administrateur.at the top of the start menu, right-click Command prompt, and then click Run as administrator. Si la boîte de dialogue contrôle de compte d’utilisateur s’affiche, entrez les informations d’identification appropriées (si nécessaire), confirmez que l’action affichée est celle que vous souhaitez, puis cliquez sur Continuer.if the User Account Control dialog box appears, enter the appropriate credentials (if requested), confirm that the action it displays is what you want, and then click Continue.

  4. Dans la fenêtre d’invite de commandes, accédez au dossier C:\Program Files\Update Services\ToolsIn the Command prompt window, go to the C:\Program Files\Update Services\Tools folder. tapez la commande suivante:type the following command:

    WSUSutil ConfigureSSlproxy [< proxy_server proxy_port >]-enable, où:wsusutil ConfigureSSlproxy [< proxy_server proxy_port>] -enable, where:

    1. proxy_server est le nom du serveur proxy qui prend en charge HTTPS.proxy_server is the name of the proxy server that supports HTTPS.

    2. proxy_port est le numéro de port du serveur proxy.proxy_port is the proxy server port number.

  5. Fermez la fenêtre d’invite de commandes.Close the Command prompt window.

Pour ajouter le serveur proxy qui utilise le protocole HTTP à la configuration de WSUS, procédez comme suit :To add the proxy server that uses the HTTP protocol to the WSUS configuration, use the following procedure:

Pour ajouter un serveur proxy qui utilise le protocole HTTPTo add a proxy server that uses the HTTP protocol

  1. Ouvrez la console d’administration WSUS.Open the WSUS Administration Console.

  2. Dans le volet gauche, développez le nom du serveur, puis cliquez sur Options.In the left pane, expand the server name, and then click Options.

  3. Dans le volet Options , cliquez sur Source de mise à jour et serveur de mise à jour, puis cliquez sur l’onglet Serveur proxy .In the Options pane, click Update Source and Update Server, and then click the Proxy Server tab.

  4. Pour modifier la configuration du serveur proxy existante, utilisez les options suivantes :Use the following options to modify the existing proxy server configuration:

    Pour modifier ou ajouter un serveur proxy à la configuration WSUSTo change or add a proxy server to the WSUS configuration
    1. Activez la case à cocher Utiliser un serveur proxy lors de la synchronisation.Select the check box for Use a proxy server when synchronizing.

    2. Dans la zone de texte Nom du serveur proxy, tapez le nom du serveur proxy.In the Proxy server name text box, type the name of the proxy server.

    3. Dans la zone de texte Numéro de port proxy , tapez le numéro de port du serveur proxy.In the Proxy port number text box, type the port number of the proxy server. Le numéro de port par défaut est 80.The default port number is 80.

    4. FF le serveur proxy requiert que vous utilisiez un compte d’utilisateur spécifique, activez la case à cocher utiliser les informations d’identification de l’utilisateur pour se connecter au serveur proxy .Ff the proxy server requires that you use a specific user account, select the Use user credentials to connect to the proxy server check box. tapez le nom d’utilisateur, le domaine et le mot de passe requis dans les zones de texte correspondantes.type the required user name, domain, and password into the corresponding text boxes.

    5. Si le serveur proxy prend en charge l’authentification de base, activez la case à cocher Autoriser l’authentification de base (mot de passe envoyé non codé) .If the proxy server supports basic authentication, select the Allow basic authentication (password is sent in cleartext) check box.

    6. Cliquez sur OK.Click OK.

    Pour supprimer un serveur proxy de la configuration WSUSTo remove a proxy server from the WSUS configuration
    1. Pour supprimer un serveur proxy de la configuration WSUS, désactivez la case à cocher Utiliser un serveur proxy lors de la synchronisation.To remove a proxy server from the WSUS configuration, clear the check box for Use a proxy server when synchronizing.

    2. Cliquez sur OK.Click OK.

2.2.2.2. Configurer WSUS en utilisant l’Assistant Configuration de WSUSConfigure WSUS by using the WSUS Configuration Wizard

Cette procédure part du principe que vous utilisez l’Assistant Configuration de WSUS, qui s’affiche la première fois que vous lancez la console de gestion des services WSUS.This procedure assumes that you are using the WSUS Configuration Wizard, which appears the first time you launch the WSUS Management Console. Plus loin dans cette rubrique, vous apprendrez à effectuer ces configurations à l’aide de la page Options :Later in this topic, you will learn how to perform these configurations by using the Options page:

Pour configurer WSUSTo configure WSUS

  1. Dans le volet de navigation du Gestionnaire de serveur, cliquez sur Tableau de bord, sur Outils, puis sur Services WSUS (Windows Server Update Services) .In the Server Manager navigation pane, click Dashboard, click Tools, and then click Windows Server Update Services.

    Notes

    Si la boîte de dialogue terminer l’installation de WSUS s’affiche, cliquez sur exécuter.If the complete WSUS Installation dialog box appears, click Run. Dans la boîte de dialogue terminer l’installation de WSUS , cliquez sur Fermer une fois l’installation terminée.In the complete WSUS Installation dialog box, click Close when the installation successfully finishes.

  2. L’Assistant WSUS (Windows Server Update Services) s’affiche.The Windows Server Update Services Wizard opens. Dans la page Avant de commencer , examinez les informations, puis cliquez sur Suivant.On the Before you Begin page, review the information, and then click Next.

  3. Lisez les instructions de la page S’inscrire au Programme d’amélioration de Microsoft Update et déterminez si vous souhaitez participer.Read the instructions on the Join the Microsoft Update Improvement Program page and evaluate if you want to participate. Si vous souhaitez participer au programme.If you want to participate in the program. Conservez la sélection par défaut ou désactivez la case à cocher, puis cliquez sur suivant.retain the default selection, or clear the check box, and then click Next.

  4. Sur la page Choisir le serveur en amont, il existe deux options :On the Choose Upstream Server page, there are two options:

    1. Synchroniser les mises à jour avec Microsoft UpdateSynchronize the updates with Microsoft Update

    2. Synchroniser à partir d’un serveur Windows Server Update ServicesSynchronize from another Windows Server Update Services server

      • Si vous choisissez de synchroniser à partir d’un autre serveur WSUS, spécifiez le nom du serveur et le port sur lequel ce serveur communiquera avec le serveur en amont.if you choose to synchronize from another WSUS server, specify the server name and the port on which this server will communicate with the upstream server.

      • Pour utiliser SSL, activez la case à cocher Utiliser SSL pour la synchronisation des informations de mise à jour .To use SSL, select the Use SSL when synchronizing update information check box. Les serveurs utiliseront le port 443 pour la synchronisation.The servers will use port 443 for synchronization. (Vous devez vous assurer que ce serveur et le serveur en amont prennent en charge le protocole SSL).(Make sure that this server and the upstream server support SSL).

      • s’il s’agit d’un serveur réplica, activez la case à cocher il s’agit d’un réplica du serveur en amont .if this is a replica server, select the This is a replica of the upstream server check box.

  5. Après avoir sélectionné les options appropriées pour votre déploiement, cliquez sur Suivant pour continuer.After selecting the proper options for your deployment, click Next to proceed.

  6. Dans la page Définir le serveur proxy, activez la case à cocher Utiliser un serveur proxy lors de la synchronisation, puis saisissez le nom du serveur proxy et son numéro de port (80 par défaut) dans les zones correspondantes.On the Specify Proxy Server page, select the Use a proxy server when synchronizing check box, and then type the proxy server name and port number (port 80 by default) in the corresponding boxes.

    Important

    Vous devez effectuer cette étape si vous avez déterminé que WSUS doit utiliser un serveur proxy pour accéder à Internet.You must complete this step if you identified that WSUS needs a proxy server to have Internet access.

  7. Si vous souhaitez vous connecter au serveur proxy en utilisant des informations d’identification spécifiques de l’utilisateur, activez la case à cocher utiliser les informations d’identification de l’utilisateur pour se connecter au serveur proxy , puis tapez le nom d’utilisateur, le domaine et le mot de passe de l’utilisateur dans les zones correspondantes.if you want to connect to the proxy server by using specific user credentials, select the Use user credentials to connect to the proxy server check box, and then type the user name, domain, and password of the user in the corresponding boxes. Si vous souhaitez activer l’authentification de base pour l’utilisateur qui se connecte au serveur proxy, activez la case à cocher autoriser l’authentification de base (le mot de passe est envoyé en texte clair) .if you want to enable basic authentication for the user who is connecting to the proxy server, select the Allow basic authentication (password is sent in cleartext) check box.

  8. Cliquez sur Suivant.Click Next. Sur la page se connecter au serveur en amont , cliquez sur Démarrer la connexion.On the Connect to Upstream Server page, click start Connecting.

  9. Une fois la connexion établie, cliquez sur Suivant pour continuer.When it connects, click Next to proceed.

  10. Dans la page choisir les langues , vous avez la possibilité de sélectionner les langues à partir desquelles WSUS recevra les mises à jour (toutes les langues ou un sous-ensemble de langues).On the Choose Languages page, you have the option to select the languages from which WSUS will receive updates - all languages or a subset of languages. la sélection d’un sous-ensemble de langues permet d’économiser de l’espace disque, mais il est IMPORTANT de choisir toutes les langues nécessaires à tous les clients de ce serveur WSUS.selecting a subset of languages will save disk space, but it is IMPORTANT to choose all of the languages that are needed by all the clients of this WSUS server. Si vous choisissez d’obtenir des mises à jour uniquement pour des langues spécifiques, sélectionnez Télécharger les mises à jour dans ces langues uniquement, puis sélectionnez les langues pour lesquelles vous voulez des mises à jour. dans le cas contraire, laissez la sélection par défaut.if you choose to get updates only for specific languages, select Download updates only in these languages, and then select the languages for which you want updates; otherwise, leave the default selection.

    Avertissement

    Si vous sélectionnez l’option Télécharger les mises à jour dans ces langues uniquementet qu’un serveur WSUS en aval est connecté à ce serveur, cette option oblige le serveur en aval à n’utiliser également que les langues sélectionnées.If you select the option Download updates only in these languages, and this server has a downstream WSUS server connected to it, this option will force the downstream server to also use only the selected languages.

  11. Après avoir sélectionné les options linguistiques appropriées pour votre déploiement, cliquez sur Suivant pour continuer.After selecting the appropriate language options for your deployment, click Next to continue.

  12. La page Choisir les produits vous permet d’indiquer les produits pour lesquels vous souhaitez des mises à jour.The Choose Products page allows you specify the products for which you want updates. Sélectionnez des catégories de produits, telles que Windows, ou des produits spécifiques, tels que Windows Server 2008.select product categories, such as Windows, or specific products, such as Windows Server 2008. la sélection d’une catégorie de produit sélectionne tous les produits de cette catégorie.selecting a product category selects all the products in that category.

  13. Sélectionnez les options de produit appropriées pour votre déploiement, puis cliquez sur suivant.select the appropriate product options for your deployment, and then click Next.

  14. La page Choisir les classifications permet de sélectionner les classifications des mises à jour que vous souhaitez obtenir.On the Choose Classifications page, select the update classifications that you want to obtain. Choisissez toutes les classifications ou un sous-ensemble d’entre elles, puis cliquez sur Suivant.Choose all the classifications or a subset of them, and then click Next.

  15. La page Définir la planification de la synchronisation permet d’indiquer si vous souhaitez effectuer la synchronisation manuellement ou automatiquement.The Set Sync Schedule page enables you to select whether to perform synchronization manually or automatically.

    • Si vous choisissez synchroniser manuellement, vous devez démarrer le processus de synchronisation à partir de la console d’administration WSUS.if you choose Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • Si vous choisissez synchroniser automatiquement, le serveur WSUS se synchronise à des intervalles définis.if you choose Synchronize automatically, the WSUS server will synchronize at set intervals.

    Définissez l’heure de la Première synchronisation, puis indiquez le nombre de Synchronisations par jour que ce serveur doit effectuer.Set the time for the First synchronization, and then specify the number of Synchronizations per day that you want this server to perform. Si, par exemple, vous indiquez quatre synchronisations par jour à compter de 3h00, les synchronisations auront lieu à 3h00, 9h00, 15h00 et 21h00.For example, if you specify that there should be four synchronizations per day, starting at 3:00 A.M., synchronizations will occur at 3:00 A.M., 9:00 A.M., 3:00 P.M., and 9:00 P.M.

  16. Après avoir sélectionné les options de synchronisation appropriées pour votre déploiement, cliquez sur Suivant pour continuer.After selecting the appropriate synchronization options for your deployment, click Next to continue.

  17. Dans la page Terminé , vous avez la possibilité de démarrer maintenant la synchronisation en activant la case à cocher Commencer la synchronisation initiale .On the Finished page, you have the option to start the synchronization now by selecting the Begin initial synchronization check box. Si vous ne sélectionnez pas cette option, vous devez utiliser la console de gestion WSUS pour effectuer la synchronisation initiale.if you do not select this option, you need to use WSUS Management Console to perform the initial synchronization. Cliquez sur Suivant si vous voulez en savoir plus sur d’autres paramètres ou sur Terminer pour terminer cet Assistant et la configuration WSUS initiale.Click Next if you want to read more about additional settings, or you can click Finish to conclude this wizard and finish the initial WSUS setup.

  18. Après avoir cliqué sur Terminer, la console de gestion des services WSUS s’affiche.After you click Finish, the WSUS Management Console appears.

Maintenant que vous avez effectué la configuration WSUS de base, lisez les sections suivantes pour plus d’informations sur la modification des paramètres à l’aide de la console de gestion des services WSUS.Now that you have performed the basic WSUS configuration, read the next sections for more details about changing the settings by using WSUS Management Console.

2.3.2.3. Configurer des groupes d’ordinateurs WSUSConfigure WSUS computer groups

les groupes d’ordinateurs représentent un élément IMPORTANT des déploiements de Windows Server Update Services (WSUS).computer groups are an IMPORTANT part of Windows Server Update Services (WSUS) deployments. Ils vous permettent de tester et de cibler des mises à jour sur des ordinateurs spécifiques.Computer groups permit you to test and target updates to specific computers. Il existe deux groupes d’ordinateurs par défaut : Tous les ordinateurs et ordinateurs non attribués.There are two default computer groups: All computers and Unassigned computers. Par défaut, lorsque chaque ordinateur client contacte pour la première fois le serveur WSUS, ce dernier l’ajoute à ces deux groupes.By default, when each client computer first contacts the WSUS server, the server adds that client computer to both of these groups.

Vous pouvez créer autant de groupes d’ordinateurs personnalisés que nécessaire pour gérer les mises à jour dans votre organisation.You can create as many custom computer groups as you need to manage updates in your organization. Il est recommandé de créer au moins un groupe d’ordinateurs pour tester les mises à jour avant de les déployer vers d’autres ordinateurs de votre organisation.As a best practice, create at least one computer group to test updates before you deploy them to other computers in your organization.

Utilisez la procédure suivante pour créer un groupe et affecter un ordinateur à ce groupe :Use the following procedure to create a new group and assign a computer to this group:

Pour créer un groupe d’ordinateursTo create a computer group

  1. Dans la console d’administration WSUS, sous Update Services, développez le serveur WSUS, développez ordinateurs, cliquez avec le bouton droit sur tous les ordinateurs, puis cliquez sur Ajouter un grouped’ordinateurs.In the WSUS Administration Console, under Update Services, expand the WSUS server, expand computers, right-click All computers, and then click add computer Group.

  2. Dans la boîte de dialogue Ajouter un groupe d’ordinateurs , dans nom, spécifiez le nom du nouveau groupe, puis cliquez sur Ajouter.In the add computer Group dialog box, in Name, specify the name of the new group, and click then add.

  3. Cliquez sur ordinateurs, puis sélectionnez les ordinateurs que vous souhaitez affecter à ce nouveau groupe.Click computers, and then select the computers that you want to assign to this new group.

  4. Cliquez avec le bouton droit sur les noms d’ordinateur que vous avez sélectionnés à l’étape précédente, puis cliquez sur modifier l’appartenance.Right-click the computer names that you selected in the previous step, and then click change Membership.

  5. Dans la boîte de dialogue définir l’appartenance à un groupe d’ordinateurs , sélectionnez le groupe de test que vous avez créé, puis cliquez sur OK.In the Set computer Group Membership dialog box, select the test group that you created, and then click OK.

2.4.2.4. Configurer les mises à jour des clientsConfigure client updates

Le programme d’installation de WSUS configure automatiquement les services Internet (IIS) pour qu’ils distribuent la version la plus récente de Mises à jour automatiques à chaque ordinateur client qui contacte le serveur WSUS.WSUS Setup automatically configures IIS to distribute the latest version of Automatic Updates to each client computer that contacts the WSUS server. La meilleure méthode de configuration des Mises à jour automatiques dépend de votre environnement réseau.The best way to configure Automatic Updates depends on the network environment.

  • Dans un environnement qui utilise le service d’annuaire Active Directory, vous pouvez utiliser un objet de stratégie de groupe basé sur un domaine existant ou créer un nouvel objet de stratégie de groupe.In an environment that uses active directory directory service, you can use an existing domain-based Group Policy Object (GPO) or create a new GPO.

  • Dans un environnement sans Active Directory, utilisez l’éditeur de stratégie de groupe local pour configurer Mises à jour automatiques, puis faites pointer les ordinateurs clients vers le serveur WSUS.In an environment without active directory, use the Local Group Policy editor to configure Automatic Updates, and then point the client computers to the WSUS server.

Important

Les procédures suivantes supposent que votre réseau exécute Active Directory.The following procedures assume that your network runs active directory. Elles supposent également que vous connaissez la stratégie de groupe et que vous l’utilisez pour gérer le réseau.These procedures also assume that you are familiar with Group Policy and you use it to manage the network.

Utilisez les procédures suivantes pour configurer les Mises à jour automatiques pour les ordinateurs clients :Use the following procedures to configure Automatic Updates for client computers:

Configurer les Mises à jour automatiques dans une stratégie de groupeConfigure Automatic Updates in Group Policy

Si vous avez configuré Active Directory dans votre réseau, vous pouvez configurer un ou plusieurs ordinateurs simultanément en les incluant dans un objet de stratégie de groupe (GPO), puis en configurant cet objet de stratégie de groupe avec les paramètres WSUS.If you have set up active directory in your network, you can configure one or multiple computers simultaneously by including them in a Group Policy Object (GPO), and then configuring that GPO with WSUS settings. Nous vous recommandons de créer un objet de stratégie de groupe qui contient uniquement des paramètres WSUS.We recommend that you create a new GPO that contains only WSUS settings.

Liez cet objet de stratégie de groupe WSUS à un conteneur Active Directory approprié à votre environnement.Link this WSUS GPO to an active directory container that is appropriate for your environment. Dans un environnement simple, vous pouvez lier un seul objet de stratégie de groupe WSUS au domaine.In a simple environment, you might link a single WSUS GPO to the domain. Dans un environnement plus complexe, vous pouvez lier plusieurs objets de stratégie de groupe WSUS à plusieurs unités d’organisation, ce qui vous permet d’appliquer différents paramètres de stratégie WSUS à différents types d’ordinateurs.In a more complex environment, you might link multiple WSUS GPOs to several organizational units (OUs), which will enable you to apply different WSUS policy settings to different types of computers.

Pour activer WSUS par le biais d’un objet de stratégie de groupe de domaineTo enable WSUS through a domain GPO
  1. Dans la Console de gestion des stratégies de groupe (GPMC), accédez à l’objet de stratégie de groupe sur lequel vous souhaitez configurer WSUS, puis cliquez sur modifier.In the Group Policy Management Console (GPMC), browse to the GPO on which you want to configure WSUS, and then click edit.

  2. Dans la console GPMC, développez Configuration ordinateur, développez stratégies, développez modèles d’administration, développez composants Windows, puis cliquez sur Windows Update.In the GPMC, expand computer Configuration, expand Policies, expand Administrative Templates, expand Windows components, and then click Windows Update.

  3. Dans le volet d’informations, double-cliquez sur Configurer les mises à jour automatiques.In the details pane, double-click Configure Automatic Updates. La stratégie Configuration du service Mises à jour automatiques s’ouvre.The Configure Automatic Updates policy opens.

  4. Cliquez sur Activé, puis sélectionnez l’une des options suivantes sous le paramètre Configuration de la mise à jour automatique :Click Enabled, and then select one of the following options under the Configure automatic updating setting:

    • Notification des téléchargements et des installations.Notify for download and notify for install. Cette option avertit un administrateur connecté avant de télécharger et d’installer les mises à jour.This option notifies a logged-on administrative user before you download and install the updates.

    • Téléchargement automatique et notification des installations.Auto download and notify for install. Cette option lance automatiquement le téléchargement des mises à jour, puis avertit un administrateur connecté avant d’installer les mises à jour.This option automatically begins downloading updates and then notifies a logged-on administrative user before installing the updates. Cette option est activée par défaut.By default, this option is selected.

    • Téléchargement automatique et planification des installations.Auto download and schedule the install. Cette option lance automatiquement le téléchargement des mises à jour, puis installe les mises à jour selon le jour et l’heure que vous spécifiez.This option automatically begins downloading updates and then installs the updates on the day and time that you specify.

    • Autoriser l’administrateur local à choisir les paramètres.Allow local admin to choose setting. Cette option permet aux administrateurs locaux d’utiliser Mises à jour automatiques dans le Panneau de configuration pour sélectionner une option de configuration.This option lets local administrators to use Automatic Updates in Control Panel to select a configuration option. Par exemple, ils peuvent choisir une heure d’installation planifiée.For example, they can choose a scheduled installation time. Les administrateurs locaux ne sont pas autorisés à désactiver les Mises à jour automatiques.Local administrators cannot disable Automatic Updates.

  5. Sélectionnez activer le ciblage côté client, sélectionnez activé, puis tapez le nom du groupe d’ordinateurs WSUS auquel vous souhaitez ajouter cet ordinateur dans la zone Nom du groupe cible pour cet ordinateur .select Enable client-side targeting, select Enabled, and then type the name of the WSUS computer group to which you want to add this computer in the Target group name for this computer box.

    Notes

    L’optionAutoriser le ciblage côté client permet aux ordinateurs clients de s’ajouter aux groupes d’ordinateurs cibles sur le serveur WSUS lorsque les mises à jour automatiques sont redirigées vers un serveur WSUS.Enable client-side targeting enables client computers to add themselves to target computer groups on the WSUS server, when Automatic Updates is redirected to a WSUS server. Si l’État est défini sur activé, cet ordinateur s’identifie en tant que membre d’un groupe d’ordinateurs particulier lorsqu’il envoie des informations au serveur WSUS, qui l’utilise pour déterminer quelles mises à jour sont déployées sur cet ordinateur.if the status is set to Enabled, this computer will identify itself as a member of a particular computer group when it sends information to the WSUS server, which uses it to determine which updates are deployed to this computer. Ce paramètre indique au serveur WSUS le groupe que l’ordinateur client doit utiliser.This setting indicates to the WSUS server which group the client computer will use. Vous devez créer le groupe sur le serveur WSUS et ajouter des ordinateurs membres du domaine à ce groupe.You must create the group on the WSUS server, and add domain-member computers to that group.

  6. Cliquez sur OK pour fermer la stratégie Autoriser le ciblage côté client et revenir au volet de détails Windows Update.Click OK to close the Enable client-side targeting policy and return to the Windows Update details pane.

  7. Cliquez sur OK pour fermer la stratégie Configuration du service Mises à jour automatiques et revenir au volet de détails Windows Update.Click OK to close the Configure Automatic Updates policy and return to the Windows Update details pane.

  8. Dans le volet d’informations Windows Update, double-cliquez sur Spécifier l’emplacement intranet du service de mise à jour Microsoft.In the Windows Update details pane, double-click Specify intranet Microsoft update service location.

  9. Cliquez sur Activé, puis sur Serveur dans les zones de texte Configurer le service intranet de mise à jour pour la détection des mises à jour et Configurer le serveur intranet de statistiques . Entrez la même URL que celle du serveur WSUS.Click Enabled, and then, server in the Set the intranet update service for detecting updates and Set the intranet statistics server text boxes, type the same URL of the WSUS server. Par exemple, tapez http://servername dans les deux zones (où nom_serveur est le nom du serveur WSUS).For example, type http://servername in both boxes (where servername is the name of the WSUS server).

    Avertissement

    Lorsque vous tapez l’adresse intranet de votre serveur WSUS, veillez à indiquer le port qui sera utilisé.When you type the intranet address of your WSUS server make sure to specify which port is going to be used. Par défaut, WSUS utilise le port 8530 pour HTTP et le port 8531 pour HTTPS.By default WSUS will use port 8530 for HTTP and 8531 for HTTPS. Par exemple, si vous utilisez le protocole HTTP, vous devez http://servername:8530 taper.For example, if you are using HTTP, you should type http://servername:8530.

  10. Cliquez sur OK.Click OK.

Une fois que vous avez configuré un ordinateur client, l’affichage de l’ordinateur sur la page ordinateurs de la console d’administration WSUS peut prendre plusieurs minutes.After you set up a client computer, it will take several minutes before the computer appears on the computers page in the WSUS Administration Console. Pour les ordinateurs clients configurés avec un objet de stratégie de groupe de domaine, environ 20 minutes peuvent être nécessaires à la stratégie de groupe pour qu’elle applique les nouveaux paramètres de stratégie à l’ordinateur client.For client computers that are configured with a domain-based Group Policy Object, it can take about 20 minutes for Group Policy to apply the new policy settings to the client computer. Par défaut, stratégie de groupe est mis à jour en arrière-plan toutes les 90 minutes, avec un décalage aléatoire de 0-30 minutes.By default, Group Policy updates in the background every 90 minutes, with a random offset of 0-30 minutes. Si vous souhaitez mettre à jour stratégie de groupe plus tôt, vous pouvez ouvrir une fenêtre d’invite de commandes sur l’ordinateur client et taper gpupdate/force.if you want to update Group Policy sooner, you can open a Command prompt window on the client computer and type gpupdate /force.

pour les ordinateurs clients configurés à l’aide de l’éditeur de stratégie de groupe local, l’objet de stratégie de groupe est appliqué immédiatement et la mise à jour prend environ 20 minutes.for client computers that are configured by using the Local Group Policy editor, the GPO is applied immediately, and the update takes about 20 minutes. Si vous commencez la détection manuellement, vous n’avez pas besoin d’attendre 20 minutes pour que l’ordinateur client contacte WSUS.if you begin detection manually, you do not have to wait 20 minutes for the client computer to contact WSUS.

Dans la mesure où l’attente du début de la détection peut être longue, vous pouvez utiliser la procédure suivante pour lancer la détection immédiatement.Because waiting for detection to start can be a time-consuming process, you can use the following procedure to initiate detection immediately.

Pour lancer la détection par le serveur WSUSTo initiate WSUS detection
  1. Sur l’ordinateur client, ouvrez une fenêtre d’invite de commandes avec des privilèges élevés.On the client computer, open a Command prompt window with elevated privileges.

  2. Tapez wuauclt. exe/detectnow, puis appuyez sur entrée.type wuauclt.exe /detectnow, and then press ENTER.

2.5.2.5. Sécurisation de WSUS avec le protocole SSL (Secure Sockets Layer)Secure WSUS with the Secure Sockets Layer Protocol

Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour aider à sécuriser le déploiement de WSUS.You can use the Secure Sockets Layer (SSL) protocol to help secure the WSUS deployment. WSUS utilise SSL pour authentifier les ordinateurs clients et les serveurs WSUS en aval vers le serveur WSUS.WSUS uses SSL to authenticate client computers and downstream WSUS servers to the WSUS server. WSUS utilise également SSL pour chiffrer les métadonnées de mise à jour.WSUS also uses SSL to encrypt update metadata.

Important

Les clients et les serveurs en aval configurés pour utiliser le protocole TLS (Transport Layer Security) ou HTTPS doivent également être configurés pour utiliser un nom de domaine complet (FQDN) pour leur serveur WSUS en amont.Clients and downstream servers that are configured to use Transport Layer Security (TLS) or HTTPS must also be configured to use a fully qualified domain name (FQDN) for their upstream WSUS server.

WSUS utilise SSL pour les métadonnées uniquement, pas pour les fichiers de mise à jour.WSUS uses SSL for metadata only, not for update files. Microsoft Update distribue les mises à jour de la même façon.This is the same way that Microsoft Update distributes updates. Microsoft réduit le risque d’envoyer des fichiers de mise à jour sur un canal non chiffré en signant chaque mise à jour.Microsoft reduces the risk of sending update files over an unencrypted channel by signing each update. En outre, un hachage est calculé et envoyé avec les métadonnées pour chaque mise à jour.In addition, a hash is computed and sent together with the metadata for each update. Lorsqu’une mise à jour est téléchargée, WSUS vérifie la signature numérique et le hachage.When an update is downloaded, WSUS checks the digital signature and hash. Si la mise à jour a été modifiée, elle n’est pas installée.If the update has been changed, it is not installed.

Limitations des déploiements SSL WSUSLimitations of WSUS SSL deployments

Lorsque vous utilisez SSL pour sécuriser un déploiement WSUS, vous devez prendre en compte les limitations suivantes :You must consider the following limitations when you use SSL to secure a WSUS deployment:

  1. L’utilisation de SSL augmente la charge de travail du serveur.Using SSL increases the server workload. Vous devez prévoir une perte de 10 % des performances en raison du coût du chiffrement de toutes les métadonnées envoyées sur le réseau.You should expect a 10 percent loss of performance because of the cost of encrypting all the metadata that is sent over the network.

  2. Si vous utilisez WSUS avec une base de données SQL Server distante, la connexion entre le serveur WSUS et le serveur de base de données n’est pas sécurisée par SSL.If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server is not secured by SSL. Si la connexion à la base de données doit être sécurisée, tenez compte des recommandations suivantes :If the database connection must be secured, consider the following recommendations:

  • Déplacez la base de données WSUS vers le serveur WSUS.move the WSUS database to the WSUS server.

  • Déplacez le serveur de base de données distant et le serveur WSUS vers un réseau privé.move the remote database server and the WSUS server to a private network.

  • Déployez le protocole IPsec (Internet Protocol Security) pour sécuriser le trafic réseau.deploy Internet Protocol security (IPsec) to help secure network traffic. Pour plus d’informations sur IPsec, consultez la rubrique Création et utilisation des stratégies IPsec.For more information about IPsec, see Creating and Using IPsec Policies.

Configuration de SSL sur le serveur WSUSConfigure SSL on the WSUS server

WSUS requiert deux ports SSL : un port qui utilise le protocole HTTPS pour envoyer des métadonnées chiffrées et un port qui utilise le protocole HTTP pour envoyer des mises à jour.WSUS requires two ports for SSL: one port that uses HTTPS to send encrypted metadata, and one port that uses HTTP to send updates. Lorsque vous configurez WSUS pour utiliser SSL, procédez comme suit :When you configure WSUS to use SSL, consider the following:

  • Vous ne pouvez pas configurer l’ensemble du site web WSUS de manière à ce qu’il exige SSL, car tout le trafic vers le site WSUS devrait alors être chiffré.You cannot configure the whole WSUS website to require SSL because all traffic to the WSUS site would have to be encrypted. WSUS chiffre uniquement les métadonnées de mise à jour.WSUS encrypts update metadata only. Si un ordinateur tente de récupérer des fichiers de mise à jour sur le port HTTPs, le transfert échoue.if a computer attempts to retrieve update files on the HTTPS port, the transfer will fail.

    Vous devez exiger SSL pour les racines virtuelles suivantes uniquement :You should require SSL for the following virtual roots only:

    • SimpleAuthWebServiceSimpleAuthWebService

    • DSSAuthWebServiceDSSAuthWebService

    • ServerSyncWebServiceServerSyncWebService

    • APIremoting30APIremoting30

    • ClientWebServiceClientWebService

    Vous ne devez pas exiger SSL pour les racines virtuelles suivantes :You should not require SSL for the following virtual roots:

    • ContenuContent

    • StockInventory

    • Service WebReportingWebService

    • SelfUpdateSelfUpdate

  • Le certificat de l’autorité de certification (AC) doit être importé dans le magasin AC racine de confiance de l’ordinateur local ou dans le magasin AC racine de confiance de Windows Server Update Service sur les serveurs WSUS en aval.The certificate of the certification authority (CA) must be imported into the local computer Trusted Root CA store, or the Windows Server Update Service Trusted Root CA store on downstream WSUS servers. Si le certificat est importé uniquement dans le magasin d’autorités de certification racines de confiance de l’utilisateur local, le serveur WSUS en aval n’est pas authentifié sur le serveur en amont.if the certificate is only imported to the Local User Trusted Root CA store, the downstream WSUS server will not be authenticated on the upstream server.

    Pour plus d’informations sur l’utilisation des certificats SSL dans IIS, voir Require protocole SSL (IIS 7).for more information about how to use SSL certificates in IIS, see Require Secure Sockets Layer (IIS 7).

  • Vous devez importer le certificat sur tous les ordinateurs qui communiqueront avec le serveur WSUS.You must import the certificate to all computers that will communicate with the WSUS server. Cela inclut tous les ordinateurs clients, les serveurs en aval et les ordinateurs qui exécutent la console d’administration WSUS.This includes all client computers, downstream servers, and computers that run the WSUS Administration Console. Le certificat doit être importé dans le magasin AC racine de confiance de l’ordinateur local ou dans le magasin AC racine de confiance de Windows Server Update Service.The certificate should be imported into the local computer Trusted Root CA store or into the Windows Server Update Service Trusted Root CA store.

  • Vous pouvez utiliser n’importe quel port pour SSL.You can use any port for SSL. Toutefois, le port que vous définissez pour SSL détermine également le port que WSUS utilise pour envoyer le trafic HTTP non sécurisé.However, the port that you set up for SSL also determines the port that WSUS uses to send clear HTTP traffic. Prenons les exemples suivants :Consider the following examples:

    • Si vous utilisez le port standard de l’industrie 443 pour le trafic HTTPs, WSUS utilise le port standard 80 pour le trafic HTTP en clair.if you use the industry standard port of 443 for HTTPS traffic, WSUS uses the industry standard port 80 for clear HTTP traffic.

    • Si vous utilisez un port autre que 443 pour le trafic HTTPs, WSUS enverra un trafic HTTP clair sur le port qui précède numériquement le port pour HTTPs.if you use any port other than 443 for HTTPS traffic, WSUS will send clear HTTP traffic over the port that numerically comes before the port for HTTPS. Par exemple, si vous utilisez le port 8531 pour HTTPS, WSUS utilise le port 8530 pour HTTP.For example, if you use port 8531 for HTTPS, WSUS will use port 8530 for HTTP.

  • Vous devez réinitialiser ClientServicingProxy si le nom du serveur, la configuration SSL ou le numéro de port sont modifiés.You must re-initialize ClientServicingProxy if the server name, SSL configuration, or port number are changed.

Pour configurer SSL sur le serveur racine WSUSTo configure SSL on the WSUS root server
  1. Ouvrez une session sur le serveur WSUS à l’aide d’un compte membre du groupe Administrateurs WSUS ou Administrateurs local.Log on to the WSUS server by using an account that is a member of the WSUS Administrators group or the local Administrators group.

  2. Accédez à Démarrer, tapez cmd, cliquez avec le bouton droit sur invite de commandes, puis cliquez sur exécuter en tant qu’administrateur.Go to start, type CMD, right-click Command prompt, and then click Run as administrator.

  3. Accédez au dossier % ProgramFiles% \Update Services\Tools\ .Navigate to the %ProgramFiles%\Update Services\Tools\ folder.

  4. Dans la fenêtre d’invite de commandes, tapez la commande suivante:In the Command prompt window, type the following command:

    Wsusutil configuresslcertificateNameWsusutil configuresslcertificateName

    où :where:

    certificateName est le nom DNS du serveur WSUS.certificateName is the DNS name of the WSUS server.

Configuration de SSL sur les ordinateurs clientsConfigure SSL on client computers

Lorsque vous configurez SSL sur les ordinateurs clients, vous devez envisager les problèmes suivants :When you configure SSL on client computers, you should consider the following issues:

  • Vous devez inclure une URL pour un port sécurisé sur le serveur WSUS.You must include a URL for a secure port on the WSUS server. Étant donné que vous ne pouvez pas exiger SSL sur le serveur, le seul moyen de vous assurer que les ordinateurs clients peuvent utiliser un canal de sécurité est d’utiliser une URL qui spécifie le protocole HTTPS.Because you cannot require SSL on the server, the only way to make sure that client computers can use a security channel is by using a URL that specifies HTTPS. Si vous utilisez un port autre que 443 pour SSL, vous devez également inclure ce port dans l’URL.if you use any port other than 443 for SSL, you must include that port in the URL also.

  • Le certificat sur un ordinateur client doit être importé dans le magasin de l’autorité de certification racine de confiance de l’ordinateur local ou dans le magasin d’autorités de certification racines de confiance du service de mise à jour automatique.The certificate on a client computer must be imported into the Local computer Trusted Root CA store or Automatic Update Service Trusted Root CA store. Si le certificat est importé dans le magasin de l’autorité de certification racine de confiance de l’utilisateur local uniquement, Mises à jour automatiques échouera l’authentification du serveur.if the certificate is imported to the Local User's Trusted Root CA store only, Automatic Updates will fail server authentication.

  • Les ordinateurs clients doivent approuver le certificat que vous liez au serveur WSUS.The client computers must trust the certificate that you bind to the WSUS server. Selon le type de certificat utilisé, vous devrez peut-être configurer un service permettant aux ordinateurs clients d’approuver le certificat lié au serveur WSUS.Depending on the type of certificate that is used, you might have to set up a service to enable the client computers to trust the certificate that is bound to the WSUS server.

Configuration de SSL pour les serveurs WSUS en avalConfigure SSL for downstream WSUS servers

Les instructions suivantes configurent un serveur en aval à synchroniser avec un serveur en amont qui utilise SSL.The following instructions configure a downstream server to synchronize to an upstream server that uses SSL.

Pour synchroniser un serveur en aval avec un serveur en amont qui utilise SSLTo synchronize a downstream server to an upstream server that uses SSL
  1. Ouvrez une session sur l’ordinateur à l’aide d’un compte d’utilisateur membre du groupe Administrateurs WSUS ou Administrateurs local.Log on to the computer by using a user account that is a member of the local Administrators group or the WSUS Administrators group.

  2. Cliquez sur Démarrer, sur tous les programmes, sur Outils d’administration, puis sur service de mise à jour Windows Server.Click start, click All Programs, click Administrative Tools, and then click Windows Server Update Service.

  3. Dans le volet de droite, développez le nom du serveur.In the right pane, expand the server name.

  4. Cliquez sur Options, puis sur Source des mises à jour et serveur proxy.Click Options, and then click Update Source and Proxy Server.

  5. Sur la page Mise à jour de la source , sélectionnez Synchroniser à partir d’un autre serveur Windows Server Update Services.On the Update Source page, select Synchronize from another Windows Server Update Services server.

  6. tapez le nom du serveur en amont dans la zone de texte nom du serveur .type the name of the upstream server into the Server name text box. tapez le numéro de port que le serveur utilise pour les connexions SSL dans la zone de texte numéro de port .type the port number that the server uses for SSL connections into the Port number text box.

  7. activez la case à cocher utiliser SSL lors de la synchronisation des informations de mise à jour , puis cliquez sur OK.select the Use SSL when synchronizing update information check box, and then click OK.

ressources SSL supplémentairesadditional SSL resources

Les étapes requises pour configurer une autorité de certification, lier le certificat au site web WSUS et établir une relation d’approbation entre les ordinateurs clients et le certificat n’entrent pas dans le cadre de ce guide.The steps that are required to set up a certification authority, bind the certificate to the WSUS website, and establish a trust between the client computers and the certificate are beyond the scope of this guide. Pour plus d’informations et pour obtenir des instructions sur la façon d’installer des certificats et de configurer cet environnement, consultez les rubriques suivantes :For more information and for instructions about how to install certificates and set up this environment, see the following topics:

2.6.2.6. Achèvement de la configuration d’IISComplete IIS Configuration

Par défaut, l’accès en lecture anonyme est activé pour la valeur par défaut et tous les nouveaux sites web IIS.By default, anonymous read access is enabled for the default and all new IIS websites. Certaines applications, notamment Windows SharePoint Services, peuvent supprimer l’accès anonyme.Some applications, notably Windows SharePoint Services, may remove anonymous access. Si cela s’est produit, vous devez réactiver l’accès en lecture anonyme pour pouvoir installer et utiliser correctement WSUS.if this has occurred, you must re-enable the anonymous read access before you can successfully install and operate WSUS.

Pour activer l’accès en lecture anonyme, suivez les étapes de la version applicable d’IIS :To enable anonymous read access, follow the steps for the applicable version of IIS:

  1. Activation de l’authentification anonyme (IIS 7), comme indiqué dans le Guide des opérations IIS 7.Enable Anonymous Authentication (IIS 7), as documented in the IIS 7 Operations Guide.

  2. Activation de l’authentification anonyme (IIS 6.0), comme indiqué dans le Guide des opérations IIS 6.0.Enabling Anonymous Authentication (IIS 6.0), as documented in the IIS 6.0 Operations Guide.

2.7.2.7. Configuration d’un certificat de signatureConfigure a Signing Certificate

WSUS a la possibilité de publier des packages de mise à jour personnalisés permettant de mettre à jour des produits Microsoft et non-Microsoft.WSUS has the ability to publish custom update packages to update Microsoft and non-Microsoft products. WSUS peut signer automatiquement ces packages de mises à jour personnalisés pour vous avec un certificat Authenticode.WSUS can automatically sign these custom update packages for you with an Authenticode certificate. Pour activer la signature personnalisée des mises à jour, vous devez installer un certificat de signature de packages sur votre serveur WSUS.To enable custom update signing, you must install a package signing certificate on your WSUS server. Il existe plusieurs règles associées à la signature personnalisée des mises à jour.There are several considerations associated with custom update signing.

  1. Distribution des certificats.Certificate Distribution. La clé privée doit être installée sur le serveur WSUS et la clé publique doit être installée de manière explicite dans le magasin de certificats approuvé sur tous les ordinateurs et serveurs clients qui doivent recevoir des mises à jour signées personnalisées.The private key must be installed on the WSUS server, and the public key must be explicitly installed in the trusted certificate store on all client PCs and servers which are to receive custom-signed updates.

  2. Expiration.Expiration. Lorsque le certificat auto-signé expire ou s’approche de l’expiration, WSUS enregistre les événements dans le journal des événements.When the self-signed certificate expires or nears expiration, WSUS will log events in the event log.

  3. Mises à jour/révocation de certificats.Certificate Updates/Revocation. Si vous souhaitez mettre à jour ou révoquer un certificat (par exemple, après avoir découvert qu’il a expiré), WSUS n’offrait aucune fonctionnalité pour l’activer.if you wanted to update or revoke a certificate (i.e. after discovering that it expired), WSUS offered no functionality to enable this. Il s’agissait d’une tâche très difficile à effectuer manuellement ou à automatiser avec succès.Accomplishing this turned into a manual task that was very hard to either do by hand or automate successfully.