Mise à jour via WSUS

From your screenshot in that comment, it sounds like you have dual scan going on.

https://www.ajtek.ca/wsus/dual-scan-making-sense-of-why-so-many-admins-have-issues/

Ensure you're setting the proper scan source in your GPOs which is in part 4 of my 8 part blog series on How to Setup, Manage, and Maintain WSUS.

https://www.ajtek.ca/wsus/how-to-setup-manage-and-maintain-wsus-part-4-creating-your-gpos-for-an-inheritance-setup/

I recommend you read the whole series and other guides on my site.

Bonjour Christelle Beunel,

Merci pour votre retour. Le fait que la commande indique clairement que la source de mise à jour est « Internet » confirme que le client Windows Update ne bascule pas vers WSUS malgré la configuration. Sur Windows Server 2025, Microsoft a introduit des changements dans le moteur de Windows Update : si Windows Update for Business ou les stratégies de canal de maintenance sont activées, elles prennent la priorité sur WSUS et forcent le client à contacter directement Microsoft. Même si les clés de registre et la GPO semblent correctes, il est essentiel de vérifier dans gpedit.msc sous Configuration ordinateur → Modèles d’administration → Composants Windows → Windows Update → Windows Update for Business que toutes les options sont désactivées.

Je vous conseille également de contrôler le paramètre UpdateSource via PowerShell avec Get-WindowsUpdateLog et Get-WUServiceManager pour confirmer la source active. Si WSUS n’apparaît pas comme service, cela signifie que le client est verrouillé sur Microsoft Update. Dans ce cas, il faut supprimer toute configuration Windows Update for Business et forcer la redétection avec usoclient startscan. Enfin, assurez-vous que votre serveur WSUS est bien déclaré dans Active Directory et que la connectivité HTTPS est valide, car une erreur de validation SSL entraîne automatiquement un basculement vers Internet.

Si ma réponse vous a été utile, veuillez cliquer sur « Accepter la réponse » pour me soutenir.

Merci,

QQ.

Bonjour,

J'ai vérifié toutes ces informations et tout semble correct !

La seule chose que je peux constater c 'est via cette commande où je constate bien que la source de MAJ est bien "internet" et non WSUS

Bonjour Christelle Beunel,

Le fait que vos serveurs Windows Server 2025 téléchargent les mises à jour directement depuis Internet malgré une configuration WSUS correcte indique que la stratégie de groupe ou le registre n'applique pas correctement les paramètres de redirection. Les clés critiques sont HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer et WUStatusServer, qui doivent pointer vers votre serveur WSUS. La valeur UseWUServer sous HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU doit être définie sur 1. Si ces clés existent mais que le service Windows Update continue de contacter Microsoft, cela est souvent lié au service Windows Update Medic ou à Windows Update Orchestrator qui réinitialise la configuration, ou à une stratégie de groupe mal appliquée.

Je recommande de vérifier avec gpresult /h report.html que la stratégie de groupe WSUS est correctement appliquée à ces serveurs, puis d'exécuter wuauclt /detectnow ou usoclient startscan pour forcer la détection. Si les serveurs sont en mode Canal semi-annuel ou configurés pour recevoir les mises à jour de sécurité via Windows Update pour Entreprises, ils ignoreront WSUS. Dans ce cas, vous devez désactiver Windows Update pour Entreprises dans la stratégie et vous assurer que la source de mise à jour est exclusivement WSUS. Enfin, vérifiez la validité du certificat SSL du serveur WSUS si vous utilisez HTTPS, car une erreur de validation force le client à basculer vers Microsoft Update.

Si ma réponse vous a été utile, veuillez cliquer sur « Accepter la réponse » pour me soutenir.

Merci,

QQ.