Windows Server 2003 – Configuración como controlador de dominio y otras posibilidades – Parte 6

Parte 6 – Instalación y configuración de Software Update Services (SUS) En el contexto de la gestión de parches, Microsoft ha desarrollado Software Update Services, que puede descargarse gratuitamente de Internet. El propósito de SUS …

Windows Server 2003 – Configuración como controlador de dominio y otras posibilidades – Parte 6

  1. Revista
  2. »
  3. Artículo
  4. »
  5. Windows
  6. »
  7. Windows Server 2003 – Configuración como controlador de dominio y otras posibilidades – Parte 6

Parte 6 – Instalación y configuración de Software Update Services (SUS)

En el contexto de la gestión de parches, Microsoft ha desarrollado Software Update Services, que puede descargarse gratuitamente de Internet. El propósito de SUS es operar un servidor de actualización local que descarga de forma centralizada las actualizaciones proporcionadas por Microsoft desde Internet y las distribuye a los clientes de la LAN. Entretanto se denomina Windows Server Update Services (WSUS).

Como administrador, usted tiene el control total sobre cuándo qué clientes (deben) instalar qué actualizaciones, ya que la distribución se realiza mediante directivas de grupo.

Pero lo primero es lo primero:
Al principio siempre está la descarga. El software SUS puede descargarse de http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx. En realidad, el procedimiento descrito en el artículo está dirigido exclusivamente a usuarios de DSL con tarifa plana: la instalación de 33 MB para el propio servidor SUS seguiría siendo aceptable con RDSI, pero los más de 2 GB de parches que el servidor SUS descarga a continuación no lo serían.
El requisito previo para la instalación es (según la información oficial de Microsoft) un servidor Windows 2000 o Windows 2003 con IIS (Internet Information Server) instalado.
Sin embargo, con algunos trucos, el servidor SUS también puede instalarse y funcionar en un portátil con XP, por ejemplo, para que siempre tenga a mano todos los parches más recientes y pueda poner orden rápidamente en las redes de sus amigos.
Se publicará un artículo aparte sobre esto, ya que iría más allá del alcance de este artículo.
Volviendo al tema:
Después de la descarga viene la instalación – puesto que el IIS es un requisito básico para el servidor SUS, tenemos que instalarlo primero. Así que inserte el CD de Windows 2003 Server e instale el IIS a través de Inicio => Panel de control => Software => Agregar o quitar componentes => Servidor de aplicaciones => Detalles.

Instalar IIS

Tras instalar IIS, comprobamos que funciona correctamente. Para ello, basta con abrir el navegador e introducir http://localhost en la barra de direcciones. Debería verse así:

IIS instalado correctamente
Haga clic en la imagen para ampliarla

Ahora podemos empezar con la instalación del servidor SUS, simplemente haga doble clic en el archivo exe, esto extraerá el paquete y comenzará la instalación.

Instalar SUS

En el cuadro de diálogo de instalación, seleccione «Típica» y haga clic en SIGUIENTE, el resto irá solo, el servidor SUS se instalará en la unidad C: en el directorio SUS y también guardará las actualizaciones allí, la interfaz de administración en /wwwroot.
Si desea introducir otros valores aquí, puede hacerlo seleccionando «Personalizado» durante la instalación. Esto es recomendable, por ejemplo, si sólo ha previsto la unidad C: como partición del sistema y sus datos están almacenados en la unidad D:, por ejemplo.
La finalización de la instalación se indica mediante este cuadro de diálogo, en el que también puede ver con qué nombre se podrá acceder posteriormente a su servidor de actualizaciones.

Instalar SUS

Tras hacer clic en «Finalizar», se inicia automáticamente la interfaz de administración del servidor SUS:

Interfaz de administración del servidor SUS
Haga clic en la imagen para ampliarla

Ahora haga clic en «Establecer opciones» para configurar el servidor para su red. El diálogo es bastante largo, así que aquí tienes dos imágenes de cómo podría/debería ser:

Interfaz de administración del servidor SUS
Haga clic en la imagen para ampliarla

Interfaz de administración del servidor SUS
Haga clic en la imagen para ampliarla

La configuración en detalle:

  • Seleccione una configuración de servidor proxy:
    Si utiliza un servidor proxy para acceder a Internet, introdúzcalo aquí (con autenticación si es necesario).
  • Especifique el nombre que utilizarán sus clientes para localizar este servidor de actualización:
    Introduzca aquí el nombre con el que los clientes de la red encontrarán posteriormente el servidor. En principio no necesita cambiar nada aquí, el nombre NetBIOS del servidor ya está aquí.
  • Seleccione desde qué servidor se sincronizarán los contenidos:
    Aquí se establece si las actualizaciones deben tomarse directamente de los servidores de Microsoft o de otro servidor SUS ya presente en la LAN. Aquí se establece «directamente de Microsoft» – no hay otro servidor SUS en nuestra LAN.
  • Seleccione cómo desea gestionar las nuevas versiones de actualizaciones aprobadas previamente:
    Microsoft pone a disposición para su descarga versiones corregidas de parches lanzados anteriormente – aquí puede seleccionar si estas versiones deben instalarse automáticamente o si desea aprobarlas manualmente. Se recomienda la aprobación automática.
  • Seleccione dónde desea almacenar las actualizaciones:
    Aquí puede establecer si el servidor SUS debe descargar las actualizaciones una vez por sí mismo y almacenarlas localmente o si los clientes deben acceder directamente a los servidores de MS. Esto último generaría un tráfico de datos innecesario, ya que cada cliente descargaría directamente desde Microsoft, por lo que seleccionamos «Guardar actualizaciones en una carpeta local».

Además, aquí se pueden especificar las versiones de idioma de las actualizaciones que se van a descargar; como supongo que se trata de sistemas alemanes, basta con marcar aquí «Alemán» (con lo que, por ejemplo, el .NET framework se descarga en todos los idiomas independientemente de esta configuración).
Para finalizar la configuración, hacemos clic en «Aplicar» en la parte inferior derecha para guardar los ajustes que hemos realizado.
Ahora que el servidor está configurado, podemos empezar con la primera descarga. Como se mencionó al principio, esta es actualmente > 2GB, por lo que podría tomar un tiempo. Para ello, haz clic en «Sincronizar servidor»:

Interfaz de administración del servidor SUS
Haga clic en la imagen para ampliarla

«Sincronizar ahora» inicia un proceso inmediato de sincronización con Microsoft, «Programar sincronización» nos permite programar la sincronización. Ahora establecemos un horario para cuando nuestro servidor SUS debe descargar actualizaciones de la red. Dado que Microsoft celebra el «día del parche» una vez al mes, es decir, siempre el segundo martes de cada mes, seleccionamos «Semanal» y «Miércoles».

Establecer programación

Como nuestro servidor funciona las 24 horas del día y no queremos atascar nuestra conexión a Internet descargando actualizaciones, las 3 de la madrugada es una buena hora para estas descargas. La configuración de tres nuevos intentos en caso de errores de sincronización también debe seguir siendo la misma.
Para sincronizar el servidor inmediatamente, ahora hacemos clic en «Sincronizar ahora» y esperamos hasta que el servidor haya descargado todas las actualizaciones.

Sincronización con el servidor de Microsoft
Haga clic en la imagen para ampliarla

Una vez descargadas todas las actualizaciones, el servidor SUS muestra el mensaje correspondiente:

Mensaje de finalización tras el proceso de sincronización

Tras hacer clic en Aceptar, llegamos a la página «Aprobar actualizaciones»; aquí podemos decidir qué actualizaciones se aprueban para su instalación.

Aprobar actualizaciones
Haga clic en la imagen para ampliarla

En nuestro caso, primero debemos seleccionar todas las actualizaciones disponibles. En vista de la masa de actualizaciones disponibles después de la primera sincronización, no tendría sentido hacer clic en todas las actualizaciones individualmente, por lo que utilizamos una pequeña herramienta para ayudarnos: Autoapproveupdates.vbs
La configuración del script se explica por sí misma, el script se llama a través de la línea de comandos (he almacenado el script en el directorio C:SUSAutoApprove):

Aprobar mediante script

Autorizar mediante script

Después de ejecutar el script, la página «Aprobar actualizaciones» de nuestro servidor SUS tendrá este aspecto:

Actualizaciones aprobadas
Haga clic en la imagen para ampliarla

Ahora tenemos que asegurarnos de que los clientes de la red también descargan estas actualizaciones de nuestro servidor SUS. Para ello, utilizamos la funcionalidad de directiva de grupo que está a nuestra disposición en forma de plantilla wuau.adm.
Para ello, abrimos el GPMC y creamos un nuevo GPO con el nombre SUSUpdates, que cargamos en el editor de GPO haciendo clic con el botón derecho => Editar.

Editar GPO
Haz clic en la imagen para ampliarla

Ahora navegamos en el árbol de la izquierda hasta Configuración del equipo => Plantillas administrativas => Componentes de Windows => Windows Update y hacemos doble clic en la entrada superior «Configurar actualizaciones automáticas». Las opciones de configuración se explican en la pestaña «Explicación», así que me la ahorraré aquí.
Mi configuración preferida se puede ver en la captura de pantalla:

Configuración de directivas de grupo

Tras pulsar en «Aplicar» y «Siguiente configuración» llegamos al siguiente punto de configuración, aquí se define el nombre del servidor SUS a utilizar. Tenga en cuenta que el SUS funciona con el nombre NetBIOS o con la dirección IP, pero no con un FQDN.

Configuración de la directiva de grupo

El siguiente cuadro de diálogo de configuración tiene el siguiente aspecto:

Configuración de la directiva de grupo

Y el cuarto y último tiene este aspecto:

Configuración de la directiva de grupo

Con ésta, es importante saber que deshabilitarla puede llevar a la pérdida de datos, ya que un usuario que sólo tenga derechos de «usuario» en una máquina NO PUEDE detener el reinicio automático.

Finalizamos la configuración pulsando Aceptar y cerramos el editor de GPO. Tal y como está actualmente la delegación por defecto para esta GPO, sólo los usuarios pero no los administradores de dominio adoptarían esta política, lo que provoca que el propio servidor no se actualice.
Para cambiar esto, llamamos al diálogo de delegación en la GPMC:

Asumir GPO para administrador de dominio
Haga clic en la imagen para ampliarla

Pulsando en «Avanzado» nos aparece la configuración de quién se hace cargo de esta GPO y quién no, aquí marcamos «Hacerse cargo de la directiva de grupo» para el grupo «Administradores de dominio».

Adoptar GPO para administrador de dominio

Esto completa la configuración para la instalación automática de actualizaciones. Tanto los clientes como el servidor deberían ahora cargar esta nueva configuración después de un reinicio y luego instalar las actualizaciones.

El sitio web http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx ofrece algunas herramientas interesantes para gestionar y supervisar un servidor SUS; entre otras cosas, puede utilizar sus herramientas para realizar un seguimiento de qué cliente ha cargado e instalado qué actualización del servidor SUS y cuándo lo ha hecho, etc.

Dado que los requisitos del sistema son tan diferentes como los deseos de los usuarios en cuanto a lo que debe supervisarse, me abstendré de presentar aquí todas las herramientas, ya que iría mucho más allá del alcance de este artículo.

Por último, dos consejos del archivo de consejos de WinTotal.

  • Haga una copia de seguridad de los archivos del servidor SUS durante una nueva instalación
  • Conecte los clientes al servidor SUS sólo durante un breve periodo de tiempo.

Artículos relacionados