A mediados de junio de 2005, Microsoft lanzó la versión 6 de su sitio de actualizaciones, que ahora no sólo ofrece la descarga de actualizaciones de Windows, sino también de un paquete Office instalado, servidores Exchange y SQL, etc.
En línea con las nuevas funciones disponibles en línea, Microsoft también había proporcionado el sucesor de los «Servicios de actualización de software (SUS)»: Mientras que el SUS (como la antigua página de actualizaciones de Windows en la red) sólo podía distribuir actualizaciones de Windows localmente, su sucesor WSUS (Windows Server Update Services) es incomparablemente más potente.
Índice de contenidos
Características y requisitos
Con los «Servicios de actualización de Windows Server» (WSUS) ahora es posible distribuir parches de Office y otros parches de forma local, los clientes de la LAN pueden combinarse en grupos, etc. La gama de funciones ha crecido considerablemente y es paralela a la del «Servidor de gestión del sistema (SMS)». – La gama de funciones ha crecido considerablemente y se pueden observar paralelismos con el «Servidor de Gestión del Sistema (SMS)». Sólo la distribución de software propio no es posible con WSUS.
Al igual que con el SUS, sólo los sistemas con Windows 2000 SP3 o superior pueden actualizarse mediante WSUS; quedan excluidos todos los sistemas más antiguos. También se ha mejorado la supervisión. WSUS registra meticulosamente en una base de datos qué cliente ha cargado e instalado qué actualizaciones y cuándo, dónde se han producido problemas, etc. Si no se dispone de un servidor SQL, la instalación de WSUS proporciona una versión de MSDE (Microsoft SQL Desktop Engine). La selección se realiza durante la instalación. Para Windows Server 2000, el MSDE debe descargarse e instalarse por separado.
Instalación
Según Microsoft, los requisitos oficiales del sistema para hacer funcionar un WSUS son un Windows 2000 Server SP3 o superior o un Windows 2003 Server con Internet Information Server (IIS) instalado y ~ 30 GB de espacio libre en disco. Además, se requiere Microsoft .NET Framework 1.1 con SP1, Internet Explorer 6 con SP1 y el servicio de sistema BITS en versión 2.0 o superior. Windows Server 2003 sólo suele carecer de SP1 para .NET Framework.
Para el artículo, suponemos un Windows Server 2003 con Service Pack 1 instalado con un dominio de Active Directory y GPMC instalado, en el que se encuentran varios clientes de Windows XP. En nuestro caso, WSUS está instalado directamente en el controlador de dominio (DC).
Después de descargar el WSUS, puede iniciar la instalación directamente; un doble clic en el exe inicia la instalación.
Instalación Haga clic en la imagen para ampliarla |
Haga clic en «Siguiente» para iniciar la rutina de instalación.
Ruta de almacenamiento para las actualizaciones locales Haga clic en la imagen para ampliarla |
La casilla «Guardar actualizaciones localmente» debe estar activada para que el servidor descargue realmente las actualizaciones de la red y la distribución se realice localmente. De lo contrario, las actualizaciones que se instalen podrán gestionarse, pero seguirán descargándose directamente de Microsoft, lo que implica mucho tráfico. El directorio WSUS en la unidad D sirve aquí como ubicación de almacenamiento: si hay varias particiones o unidades, la instalación de WSUS selecciona automáticamente la partición/unidad con más espacio de almacenamiento libre.
Ruta de almacenamiento Servidor SQL Haga clic en la imagen para ampliarla |
Como no disponemos de un servidor SQL, instalamos el «SQL Server Desktop Module» en el mismo directorio que el propio WSUS.
Si ha descargado e instalado el MSDE por separado en Windows Server 2000, introduzca «ServernameWSUS» como servidor de base de datos existente.
Haga clic en la imagen para ampliarla |
Aquí se recomienda utilizar el sitio web estándar del IIS, a menos que este servidor proporcione otros servicios web. Este es el caso, por ejemplo, de un «Small Business Server» que ofrece los «Share Point Services». Si se utiliza la segunda opción, hay que tener cuidado después de hacer referencia al puerto 8530 en todas partes (también en las directrices del grupo) y acordarse también de liberarlo en el cortafuegos si es necesario. A continuación, se accede a la página con el puerto del siguiente modo: http://servername:8530/WSUSAdmin/
El propio servidor WSUS recibe sus actualizaciones a través del puerto 80 para HTTP y 443 para HTTPS. Estos puertos no pueden modificarse. Encontrará una lista de los dominios de destino del servidor WSUS (para la configuración del cortafuegos) en el documento paso a paso de Microsoft.
Herencia posible Haga clic en la imagen para ampliarla |
Si ya hay un WSUS en la red, puede dejar que sus actualizaciones ya descargadas fluyan a la nueva instalación – en nuestro caso, sin embargo, sincronizamos directamente con Microsoft, por lo que esta configuración permanece inactiva aquí.
Resumen Haga clic en la imagen para ampliarla |
Una vez realizados todos los ajustes, comienza la instalación propiamente dicha.
Instalación Haga clic en la imagen para ampliarla |
Instalación Haga clic en la imagen para ampliarla |
Finalización Haga clic en la imagen para ampliarla |
Antes de hacer clic en «Finalizar», el sitio web de administración para WSUS debe añadirse a la zona «Intranet local» (o, alternativamente, debe desinstalarse la «Configuración de seguridad mejorada» para Internet Explorer; dado que esto representa un riesgo para la seguridad, no se tratará aquí).
Para ello, abrimos el Panel de control, hacemos doble clic en la entrada «Opciones de Internet» y pasamos a la pestaña «Seguridad». Aquí seleccionamos «Intranet local», hacemos clic en «Sitios» y añadimos http://servername (en este caso http://wsustest) y guardamos con Aceptar.
Interfaz web de WSUS
A continuación hacemos clic en «Finalizar» y llegamos a la consulta de contraseña – por defecto, WSUS sólo permite administradores para la interfaz de administración, así que nos autenticamos como administradores con la contraseña correspondiente.
Inicio de sesión Haga clic en la imagen para ampliarla |
Tras iniciar sesión correctamente, aparece la página de administración.
Si durante la instalación se utilizó un puerto diferente para WSUS, esto debe tenerse en cuenta al iniciar la sesión. La dirección correcta es, por ejemplo: http://servername:8530/WSUSAdmin/, de lo contrario http://servername/WSUSAdmin/.
Página de bienvenida de WSUS Haga clic en la imagen para ampliarla |
Aquí seleccionamos primero «Opciones» para configurar las opciones de sincronización de nuestro WSUS.
Opciones del WSUS Haga clic en la imagen para ampliarla |
Sincronización del WSUS Haga clic en la imagen para ampliarla |
En primer lugar, debemos establecer una hora en la que WSUS se sincronizará automáticamente con los servidores de Microsoft. Aquí recomendamos una hora fuera del horario laboral para no reducir el ancho de banda disponible con la descarga de parches.
La entrada «Servidor proxy» debe ser activada dependiendo de las condiciones de la red, la configuración «Fuente de actualización» nos da la posibilidad de cargar las actualizaciones desde otros servidores WSUS existentes localmente. Ambos ajustes son irrelevantes aquí y por lo tanto permanecen desactivados.
A continuación, hacemos clic en «Cambiar» debajo de «Actualizar clasificaciones» y activamos todas las entradas.
Clasificaciones Haga clic en la imagen para ampliarla |
Cuando hayamos confirmado estos ajustes con OK, bajamos hasta el final de la página de opciones, hacemos clic en «Avanzado» debajo de «Actualizar archivos e idiomas» y marcamos las casillas como se muestra.
Opciones avanzadas Haga clic en la imagen para ampliarla |
En principio, sólo bastaría con las actualizaciones en alemán, pero nunca está de más «incluir» las versiones en inglés.
Importante con estos ajustes: Una sincronización sólo descarga la lista de todas las actualizaciones disponibles, sólo después de su aprobación por el administrador se produce la descarga real de los archivos. Aquí también puede ahorrar mucho tráfico no aprobando Service Packs o similares que no sean necesarios.
Después de confirmar con OK, la configuración debe ser guardada – el botón correspondiente se encuentra en la parte superior izquierda de la página.
Guardar configuración |
Una vez guardados los ajustes, es hora de sincronizar el servidor por primera vez. Para ello, pasamos a la página de inicio y hacemos clic en «Sincronizar ahora». El estado de la sincronización se muestra en la página de inicio.
Estado |
Conectar clientes
Mientras el servidor se ocupa de la sincronización (que tardará un rato), podemos implementar la configuración de las directivas de grupo para los clientes mediante la GPMC.
Para ello, abra la GPMC en el servidor, cree un nuevo GPO llamado WSUS en «Objetos de directiva de grupo» y ábralo con «Editar».
A continuación, abra la rama «Configuración del equipo => Plantillas administrativas => Componentes de Windows => Windows Update» y configure los ajustes individuales haciendo doble clic. En la imagen se muestra un ejemplo de configuración. Si no dispone de la política, deberá leer el archivo wuau. adm a través de «Agregar plantillas» en el menú contextual de la rama « Plantillas administrativas». Encontrará este archivo en el directorio INF de Windows.
Editor de GPO Haga clic en la imagen para ampliarla |
Los valores individuales tienen este aspecto en nuestro ejemplo:
Política | Configuración |
Configurar actualizaciones automáticas | Activado |
Configurar actualizaciones automáticas | 4 – Descarga e instalación automáticas según programación |
Los 2 ajustes siguientes sólo son necesarios y sólo se aplican cuando se selecciona 4. | |
Día de instalación programado | 0 – Diariamente |
Hora de instalación programada | 11:00 |
Instalar actualizaciones automáticas inmediatamente | Habilitado |
Activar la asignación de destinos del lado del cliente | Activado |
Nombre del grupo de destino para este equipo | WSUSTest |
No personalizar la opción predeterminada «Instalar actualizaciones y apagar» en el cuadro de diálogo «Apagar Windows | Desactiva |
Preguntar de nuevo para reiniciar para instalaciones programadas | Desactivado |
Especificar ruta interna para el servicio de actualización de Microsoft | Habilitado |
Servicio de actualización interno para detectar actualizaciones (ejemplo: http://IntranetUpd01) | http://wsustest |
Servidor de intranet para estadísticas | http://wsustest |
No reiniciar automáticamente las instalaciones programadas | Activado |
Retrasar el reinicio de las instalaciones programadas | Desactivado |
Permitir que los no administradores reciban notificaciones de actualización | Desactivado |
No mostrar la opción «Instalar actualizaciones y apagar» en el cuadro de diálogo «Apagar Windows | Desactivado |
Comprobar la frecuencia de las actualizaciones automáticas | Desactivado |
Tiempo de espera tras el inicio del sistema (minutos) 5 | 5 |
«Desactivado» en este caso no significa que este ajuste no se aplique, sino que establece este ajuste en los valores predeterminados.
Tenga en cuenta para «Servicio de actualización interno para determinar actualizaciones» que es posible que tenga que especificar aquí el WSUS si lo ha cambiado (http://wsustest:8530).
Dado que hay una explicación de la función respectiva en cada cuadro de diálogo de configuración, no entraré en más detalles aquí.
Descripción de cada opción |
Una vez realizados todos los ajustes, cerramos la ventana Editar y vinculamos esta GPO al dominio arrastrando y soltando.
Enlazar GPO |
Los ajustes están ahora disponibles y pueden ser aplicados en los clientes usando gpudate /force.
gpudate /force |
Las políticas de grupo también se actualizarían regularmente, pero forzarlas acorta el tiempo de espera.
Conectar clientes manualmente
El ajuste de los clientes también puede hacerse manualmente a través del registro. Los ajustes se encuentran en el registro en HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Las claves de registro necesarias se describen en la Guía de implementación en español a partir de la página 68.
Gestión de clientes en WSUS
En el «lado del equipo» del servidor WSUS, ya están disponibles todos los equipos que han adoptado la GPO en consecuencia, es decir, también nuestro servidor.
Administración de clientes Haga clic en la imagen para ampliarla |
Detalles |
El cliente aún no ha creado un informe de estado. Esto también se puede forzar introduciendo wuauclt.exe /detectnow en el cuadro de diálogo Ejecutar del cliente.
wuauclt.exe /detectnow |
Con este comando, el cliente informa al servidor WSUS en los próximos 5 minutos.
Al acceder al servidor por primera vez, el cliente de actualización puede actualizarse automáticamente (desde XP con SP1 o W2000 con SP4).
Después de unos minutos, el cliente está disponible en el grupo que solicitó.
Detalles de la administración del cliente Haga clic en la imagen para ampliarla |
Una vez que el servidor WSUS se ha sincronizado completamente, todas las actualizaciones deben aprobarse antes de que los clientes las instalen. Para ello, seleccione todas las actualizaciones en la página de actualizaciones y haga clic en «Aplicar».
Vista del filtro |
En la ventana de la derecha aparecen todas las actualizaciones disponibles; con [CTRL]+[A] puede seleccionar todas las actualizaciones a la vez.
Seleccionar actualizaciones Haga clic en la imagen para ampliarla |
Haga clic en «Aprobar para instalación» para liberar todas las actualizaciones marcadas para su instalación en los clientes.
Autorizar la instalación |
Tras la liberación de la instalación, el cliente lee la lista de actualizaciones recién liberada la próxima vez que se pone en contacto con el servidor y extrae las actualizaciones relevantes para él para su instalación.
Se aprueban las actualizaciones Haga clic en la imagen para ampliarla |
De acuerdo con la agrupación y vinculación de los GPO a diferentes OU, los equipos pueden combinarse en grupos a los que, sin duda, se les pueden proporcionar las actualizaciones más diversas. Por ejemplo, puede crear con seguridad un «grupo de prueba» y probar el efecto de los parches ampliamente aquí antes de que los parches sean liberados para los otros ordenadores en el entorno productivo.
A través de la página «Ordenador», se puede rastrear en cualquier momento qué cliente ha instalado qué actualizaciones o qué cliente ha experimentado problemas. Las autorizaciones también pueden anularse, pero las actualizaciones ya instaladas no se desinstalan.
Para no poner en peligro el entorno productivo, puede crear grupos de prueba y probar aquí primero los parches antes de liberarlos para otros ordenadores. Sin embargo, dado que Microsoft publica nuevos parches con regularidad, también debe comprobar periódicamente el estado de los equipos para ver qué nuevos parches faltan. En el ejemplo siguiente, dos ordenadores carecen de nuevas actualizaciones.
Nuevas actualizaciones para los ordenadores Haga clic en la imagen para ampliarla |
Conexión a la orden
WSUS es una herramienta potente y facilita mucho la gestión de parches. Lo único molesto es que depende de los clientes cuándo se conectan a WSUS. Es posible forzar una conexión a WSUS desde el lado del cliente con wuauclt.exe /detectnow, pero esto tendría que ser introducido de nuevo para cada cliente. Falta una herramienta central desde el lado del servidor. Una posible solución es PsExec, que puede ejecutar programas en los clientes. Si se introduce \* como comodín, el comando y por tanto wuauclt.exe /detectnow se aplica a todo el dominio. PsExec también forma parte del programa gratuito PSTools.
Más enlaces
- Descarga de WSUS a través del archivo de software WinTotal
- Página de descarga con herramientas para WSUS
- Instrucciones paso a paso para WSUS de Microsoft como documento Word
- WSUS.info
- WSUS.de
- Página de inicio de WSUS en TechNet (DE)
- Implementación de Microsoft Windows Server Update Services
- Implementación de Microsoft Windows Server Update Services (DOC, inglés)