WSUS: Cómo mantener los ordenadores actualizados

  • Iperius Backup Spain
Mantener a los clientes y servidores actualizados es una de las reglas básicas de la Tecnología de la Información. Hay muchas maneras de actualizar las computadoras, dependiendo de la dimensión de su empresa. Al final de todo, hay tres posibilidades:
  • Gestionado con Windows Update predeterminado
  • Gestionado con WSUS
  • Gestionado con SCCM
El último es utilizado por empresas medianas y grandes porque System Center Configuration Manager no solo es un administrador de parches, sino que también es una plataforma completa para administrar toda la infraestructura de TI. En este artículo veremos cómo administrar clientes y servidores con WSUS.
Windows Server Update Services es un rol presente en Windows Server desde 2008 pero existe desde 2001 cuando el nombre era solo Software Update Services. WSUS permite a los administradores administrar la distribución de actualizaciones y revisiones lanzadas para productos de Microsoft a ordenadores en un entorno corporativo.

Instalar y configurar WSUS

Para habilitar WSUS es necesario seleccionar el rol en Server Manager, como se muestra en la figura 1.

2019_01_03_wsus-01

Deje todos los ajustes, pero seleccione qué tipo de roles habilitar – figura 2. La configuración clásica utiliza la base de datos interna de Windows, basada en el SQL Express completo administrado por Windows.

2019_01_03_wsus-02

Para aumentar el rendimiento, es posible utilizar la base de datos en SQL Server; esto puede ayudar a reducir el esfuerzo en la máquina WSUS acerca de la CPU y RAM. Este escenario también es útil cuando hay muchos ordenadores. Obviamente, el costo de este juego no es barato porque a menos que ya tenga una licencia de SQL ya pagada, no es posible.

El último paso de este asistente es seleccionar la ruta del contenido: esto debe tener formato en NTFS y el tamaño debe ser de al menos 150 GB. Si usa una máquina virtual, agregue un disco dedicado solo para WSUS.

2019_01_03_wsus-03

Confirme toda la selección y cierre el asistente. Al final del procedimiento, podrá abrir la consola desde el menú de inicio

2019_01_03_wsus-04

El asistente le permite configurar:
  • Servidor ascendente: si el servidor es maestro o fuente
  • Idioma de las actualizaciones
  • Productos a gestionar
  • Clasificación
  • Tiempo programado (sugiero al menos 4 sincronizaciones por día)
No hablaré sobre estos detalles porque son muy fáciles, el único punto que quiero aclarar es la clasificación porque es necesario seleccionar todas las casillas de verificación para proporcionar actualizaciones para todo. Acerca de los productos, seleccionaré solo Windows Server 2019, pero debe elegir el sistema operativo y el software que se presentan en su infraestructura.
NB: recuerde que Office 365 ProPlus no se puede administrar a través de WSUS. El producto está presente en el catálogo, pero a menos que tenga SCCM, no hay forma de proporcionar actualizaciones. Más detalles están disponibles en este artículo: https://blogs.technet.microsoft.com/wsus/2016/04/13/office-365-client-updates-via-wsus/

Política de Grupo

Mientras tanto, su WSUS está trabajando para sincronizar el catálogo, tenemos tiempo para crear la Política de grupo para configurar nuestros ordenadores para que utilicen el servidor local para detectar actualizaciones. En este aspecto un aspecto importante porque hay muchas escuelas sobre la estrategia a aplicar. Es obligatorio establecer la política de instalación automática para los clientes, pero para la mayoría de los servidores, debe configurar el modo de descarga únicamente e instalar las actualizaciones manualmente durante el horario no comercial; por cierto, podría tener un montón de servidores que pueden instalarse automáticamente (depende de si hay una aplicación en línea de negocio crítica).

Cree un nuevo GPO llamado Administrar WSUS – Servidor (para el cliente podría ser Administrar WSUS – Cliente) en la OU donde se ubican los servidores; no olvide los controladores de dominio de la unidad organizativa para evitar descargar los parches externos para cada controlador de dominio.

Los parámetros para administrar las actualizaciones están disponibles en la carpeta Configuración del equipo – Políticas – Plantillas administrativas – Componentes de Windows – Actualización de Windows

2019_01_03_wsus-06

Los ajustes más importantes a cambiar son:
  • Configurar actualizaciones automáticas: Habilitado – Descarga automática y notificación para la instalación – Todos los días
  • Especifique la ubicación del servicio de actualización de Microsoft de la intranet – Habilitado – establezca la ruta de acceso de WSUS en formato FQDN (por ejemplo, http://myserver.contoso.com:8530) para ambas filas
  • Frecuencia de detección de actualizaciones automáticas – Habilitado – Establecer intervalo cada 1 hora

Grupos

Para administrar mejor los ordenadores, WSUS usa un grupo lógico para implementar actualizaciones aprobadas. Un solo ordenador puede ser miembro de muchos grupos; por lo tanto, puede implementar parches basados en el alcance. Para crear un nuevo grupo, haga clic con el botón derecho en Computadoras – Todas las computadoras  y seleccione Agregar grupo de computadoras – figura 6.

 

NB: el nombre del grupo no se puede cambiar después de la creación, así que decida la conveniencia de la nomenclatura antes de comenzar.
Para asignar un ordenador, o muchos, a un grupo, selecciónelo y elija Cambiar membresía, como se muestra en la figura 7.

2019_01_03_wsus-07

Una vez que haya asignado clientes y servidores a los grupos de destino correctos, podemos proceder a aprobar las actualizaciones. Desde el área Actualizaciones – Todas las Actualizaciones podemos ver todos los parches que deben implementarse en nuestra infraestructura. La sugerencia es cambiar la vista de tabla – figura 8 – agregar las columnas Sustitución y Cuenta Necesaria. Esto puede ayudarlo a desalojar las actualizaciones antiguas y comprender cuántos ordenadores necesitan una actualización específica.

2019_01_03_wsus-08

Recuerde rechazar todas las actualizaciones ya caducadas, puede detectarlas mediante el ícono que se muestra en la columna Sustitución – figura 9.

2019_01_03_wsus-09

Para aprobar las actualizaciones, haga clic en ellas y use el botón derecho para acceder al menú Aprobar – figura 10.

2019_01_03_wsus-10

Seleccione el grupo destino para aplicar las actualizaciones (figura 11) y haga clic en Aceptar.

2019_01_03_wsus-11

WSUS comenzará a descargar los paquetes desde el Catálogo de Microsoft – figura 12. El tiempo de ejecución depende de su conexión a Internet. Después de esto, los puntos finales están disponibles para detectar las nuevas actualizaciones de WSUS.

2019_01_03_wsus-12

Instalar actualizaciones en el cliente

Abra el panel de Windows Update en su máquina y verifique la presencia de nuevos elementos. Como puede ver, hay un mensaje de advertencia que informa a la configuración anulada por el administrador sobre esta área.

2019_01_03_wsus-13

Si elige descargar e instalar las actualizaciones, la tarea se ejecutará durante el período seleccionado en el GPO. De lo contrario, las actualizaciones estarán disponibles para su instalación.

Solución de problemas

En el área de Opciones, hay una gran herramienta para limpiar su servidor. Por ejemplo, es posible eliminar actualizaciones caducadas u ordenadores que no estén presentes en su entorno. Es importante ejecutar este asistente al menos una vez al mes, para reducir el tamaño de la base de datos y evitar el uso de espacio en disco.

2019_01_03_wsus-14

Migrar Carpeta de Repositorio

En caso de que desee migrar la carpeta del repositorio, puede seguir estos pasos:

  • Abra ventana de command en el directorio de instalación de WSUS – (por ejemplo, C: \ Archivos de programa \ Update Services \ Tools)
  • Ejecute el comando exe movecontent “new path for content” “new path for logs”
Esta operación podría requerir horas, así que tenga cuidado de ejecutar el comando fuera de las horas de trabajo.

Migrar base de datos

En caso de que desee migrar su base de datos desde una base de datos remota, tal vez un servidor SQL, siga la documentación oficial de Microsoft Docs: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update- servicios / administrar / wid-to-sql-migration

Consideraciones

Windows Server Update Services puede ser una necesidad dentro de cada compañía para automatizar y simplificar la administración de parches. Como vimos, en pocos pasos instalamos y habilitamos los roles para proporcionar actualizaciones a todas los ordenadores de nuestra infraestructura.

(Inglés, Francés, Portugués, Brasil)



WSUS: Cómo mantener los ordenadores actualizados
Iperius Backup Spain
*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************