Configurar WSUS 3.0 SP2.

Partiendo de la instalacin del artculo anterior vamos a mostrar como configurar el

servidor WSUS para que se ponga a distribuir parches de inmediato.
Entramos en el servidor WSUS. En la consola Server Manager de Windows Server 2008
que puedes abrir desde Inicio >Herramientas administrativas >Server Manager .

Nos situamos en Roles > Windows Server Update Services > Update Services >
Options y pulsamos sobre WSUS Server Configuration Wizard.

Comprobamos los 3 puntos antes de seguir y pulsamos sobre Next.

En caso de querer ayudar a Microsoft a mejorar WSUS marcas la opcin Yes, i would like
to join the Microsoft Update Improvement Program. Esta opcin enviar informacin a
Microsoft sobre cuantos equipos tenemos en la organizacin, cuantos updates han sido
satisfactorios y cuantos han fallado.
Pulsamos sobre Next.

En esta pantalla nos da la opcin de que este servidor sea el que sincronizar con Microsoft
Update o en el caso que estemos instalando un servidor secundario de WSUS marcar la
segunda opcin para introducir el nombre del servidor desde el que se sincronizar WSUS.
(En nuestro caso como va a ser una instalacin simple sin servidores en Branch Offices y
como adems es el primer servidor WSUS (principal) lo dejaremos con esta opcin
marcada por defecto) y pulsamos sobre Next.

En el caso que este servidor requiera de un proxy para poder acceder a internet para
descargar actualizaciones introduciremos sus datos en otro caso pulsamos sobre Next.

Pulsamos sobre Start Connecting. Esto har que WSUS descargue y nos muestre las
diferentes opciones que podremos configurar de idiomas, tipos de parches, y tipos de
producto.

Pulsamos sobre Next.

En esta pantalla se nos da la opcin de o bien sincronizar WSUS con todos los parches de
todos los idiomas o bien nicamente de los idiomas que seleccionemos. (Os recomiendo
que sin no estas seguros del idioma de los sistemas operativos que tienes dejes marcada la
opcin por defecto de todos los idiomas).
Esto no descarga todos los parches de todos los idiomas.
nicamente sincroniza con Windows Update para mostrar todos los parches disponibles de
todos los idiomas que nosotros ms tarde aprobaremos para su distribucin. En caso de que
los idiomas de los equipos a los que vayamos a distribuir parches sean nicamente por
ejemplo espaol e ingls podremos descargar tras aprovar su instalacin nicamente los
parches para estos 2 idiomas.
Recordad. NO descarga los parches en ningn momento. nicamente los muestra para su
aprobacin. (Os lo explicar ms adelante en este mismo artculo).
En nuestro caso como tenemos claro que sistemas operativos y que idiomas disponemos
nicamente marcamos espaol e ingls para que la sincronizacin sea ms rpida.

Pulsamos sobre Next.

Esta pantalla nos ofrece la posibilidad de marcar nicamente los productos que vamos a
sincronizar para poder aplicar parches. En nuestro caso como nicamente le vamos a
actualizar los parches a los servidores vamos a marcar las opciones Exchange, OCS,
Windows Servers, etc En vuestro caso marcad las opciones que mejor se adapten a la
funcionalidad de este WSUS y al terminar pulsad sobre Next.
Recordad que tanto los idiomas como los productos se podrn configurar en otras ocasiones
en caso que sean necesarias sin tener que pasar por todo el wizard.

Aqu se nos da la oportunidad de descargar varios tipos de actualizaciones. Por defecto estn
marcadas las de la imagen anterior. Pero nosotros lo vamos a modificar para que descargue Service
Packs y Update Rollups. Ya que en caso necesario podramos distribuir los Service Pack a travs de
la consola WSUS sin tener que conectarnos servidor a servidor y
descaragar e instalar el Service pack. Los Update rollups tambin los marcamos ya que son
acumulaciones de parches que son tiles en ocasiones para no tener que descargar todos los parches
uno por uno, en update rollups vienen paquetizados.
Marcamos las opciones que ms os convengan y pulsamos sobre Next.

Marcamos la opcin Synchronize automatically y ponemos una hora prudencial en para
no afectar al ancho de banda de internet de los usuarios de nuestra corporacin y pulsamos
sobre Next.

Marcamos la opcin Begin initial synchronization pensando en lo que acabo de decir. Si
no afectamos al ancho de banda de los clientes. Esto realizar una primera sincronizacin
de las configuraciones anteriores.
Pulsamos sobre Next.

Aqu se nos muestran varios enlaces para ayudar a configurar WSUS. Nosotros pulsamos
sobre Finish.
Comprobamos que la sincronizacin se est efectuando en el apartado Synchronizations.

Mientras est sincronizando vamos a configurar la estructura de las actualizaciones.
Por ejemplo en el caso que queramos separar las actualizaciones por empresas para tener un
report claro de cmo estamos a nivel de parches en cada empresa crearemos un grupo por
empresa.
En caso que queramos hacerlo por departamentos pues crearemos tantos departamentos
como queramos.
En nuestro caso como ya hemos dicho antes nicamente vamos a actualizar los servidores
as que primeramente crearemos un grupo llamado BeforeDeploy para poder albergar una
serie de servidores donde descargaremos e instalaremos los parches y chequearemos su
estado, para ms tarde por ejemplo una o 2 semanas distribuir estos mismos parches a todos
los dems servidores de la empresa. (Esta es una buena prctica ya que en caso q uno de los
parches instalados provoque un mal funcionamiento del servidor nicamente nos afectar a
un grupo reducido. El grupo BeforeDeploy os recomiendo que en este grupo tengas un
servidor de cada tipo, por ejemplo un Domain Controller, un Exchange, un Sql, etc para
poder testear los parches con las diferentes funcionalidades de cada servidor.
Para ello tras situarnos sobre Computers pulsamos con el botn derecho del ratn sobre
All computers y pulsamos sobre Add Computer Group.

Escribimos el nombre del grupo y pulsamos sobre Add.
Nosotros creamos otro grupo llamado AllServers para albergar todos los dems servidores.
NOTA: Para poder ubicar los servidores en cada grupo disponemos de 2 opciones. O bien
hacerlo mediante directivas de grupo o bien moviendo manualmente cada servidor dentro
de WSUS a su grupo.
Nosotros para hacerlo ms difcil y tambin ms manejable lo haremos mediante directivas
de grupo. Primero debemos configurar WSUS para que acepte este tipo de instruccin pero
deberemos esperar a que termine de sincronizar para poder modificar estas opciones.
Mientras tanto iremos creando la estructura de Active Directory para poder vincular las
directivas de grupo de una forma ms sencilla.
Nos situamos en el controlador de dominio ms cercano y entramos en la consola de
Usuarios y Equipos de Active Directory. Inicio > Herramientas administrativas >
Usuarios y equipos de Active Directory.
Creamos las unidades organizativas como queris. Nosotros vamos a crear una unidad
organizativa que llamaremos BeforeDeploy y otra que llamaremos AllServers. (No hace
falta que se llamen igual que los grupos de WSUS pero ya que estamos los vamos a
distribuir de la misma forma).
Para hacerlo ya sabes: Botn derecho sobre la unidad organizativa o parte del rbol del
directorio activo donde queris ubicar estos servidores y nuevo > Unidad organizativa.
Ahora deberemos mover los servidores a estas unidades organizativas.
ATENCIN: Los Domain Controllers no os recomiendo que los movis de OU (Unidad
organizativa) ya que en caso de moverlos dejarn de aplicarse-les directivas de grupo
especficas de controladores de dominio.
Ya aplicaremos una directiva de grupo sobre la unidad organizativa de Domain controllers
para que tambin se les actualicen los parches del sistema. (No os preocupis por ello).
En caso de que por error los hayis movido volvedlos a mover a su unidad organizativa, no
pasa nada se les volver a aplicar las directivas y listo.
Bueno ahora que ya tenemos la estructura de OUs creada y los servidores movidos a ellas,
nicamente nos faltar crear las directivas de grupo para que sepan que servidor de
actualizaciones usar para descargar los parches, en que momento, etc..
Ahora en el domain controller ejecutamos la herramienta Group Policy Management
console. Inicio > ejecutar > gpmc.msc. En windows server 2008 ya est incluida pero
en windows server 2003 y anteriores no.
En caso de no disponer de la herramienta nos la descargaremos del siguiente enlace:
http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=0A6D4C24-8CBD-
4B35-9272-DD3CBFC81887&displaylang=en
Instalamos la aplicacin pulsando doble click sobre el fichero descargado.
Tras instalar la aplicacin pulsamos sobre Inicio > ejecutar > gpmc.msc
Nos situamos sobre Bosque: vuestro bosque > Dominios > vuestro dominio.

Pulsamos con el botn derecho del ratn sobre Objetos de directivas de grupo > Nuevo

Escribimos un nombre y pulsamos sobre Aceptar.
Ahora pulsamos con el botn derecho sobre la directiva y editar.

Nos desplazamos por Configuracin del equipo > Plantillas administrativas >
Windows Update.
nicamente os voy a comentar la configuracin simple para que los equipos aparezcan en
vuestro WSUS, vosotros podis leer todas las opciones posibles de la directiva respecto a
cundo instalar los parches, cuando sincronizar, etc
Primero pulsamos doble click sobre Especificar la ubicacin del servicio Microsoft
Update en la intranet.

Marcamos Habilitada y en los dos campos posibles escribimos la direccin que nos dio el
servidor WSUS cuando lo instalamos (http://<nombre del servidor>) y pulsamos sobre
Aceptar.
Ahora pulsamos doble click sobre Habilitar que el cliente pueda ser un destino.

Marcamos Habilitada y ponemos el nombre del grupo que hemos creado en WSUS que es
donde se ubicarn los equipos y pulsamos sobre Aceptar.
Ahora pulsamos doble click sobre Configurar actualizaciones automticas.

Marcamos Habilitada y la configuramos como queramos, de momento pondremos la
opcin 3 que descargar las actualizaciones desde WSUS y notificar para la instalacin.
Como nicamente necesitamos estos 3 valores para que el servidor WSUS vea a los
equipos como clientes cerramos la edicin de la GPO. Vosotros seguid configurando las
opciones posibles para adaptarlo correctamente.
Lo que vamos a hacer ahora es hacer una copia de la directiva ya que nicamente le vamos
a cambiar el valor del nombre de grupo de destino para este equipo por AllServers.
Ahora vamos a vincular estas GPO a sus Unidades organizativas correspondientes.

Nos situamos en la Unidad organizativa donde vamos a vincular la GPO y pulsamos con el
botn derecho sobre ella y sobre Vincular una GPO existente.

Seleccionamos la GPO y pulsamos sobre Aceptar.
Hacemos el mismo procedimiento para las dems unidades organizativas y tambin para la
de Domain Controllers. Quedando el rbol de la siguiente forma:

En nuestro caso hemos creado 2 directivas una para Before Deploy y la otra para Todos los
servidores restantes.
Recordad que deberis crear una directiva por cada grupo que hayis creado en WSUS ya
que en esta directiva se configurar el grupo al que se le aplicarn los parches.
NOTA: En caso de no necesitar saber los parches instalados por departamento o por
empresa os recomiendo crear los 2 grupos mencionados el BeforeDeploy y el restante. Pero
vosotros sois los que sabis como queris implementar los parches.
Podis hacerlo por servidores y workstations por ejemplo. Bueno.. vosotros sabris.
Ahora vamos a forzar la aplicacin de estas directivas a los servidores.
Nos situamos en cualquier servidor y o bien lo reiniciamos o bien Inicio > Ejecutar >
gpupdate /force esto provoca una solicitud de actualizacin de su GPO al domain
controller.
Ahora que el sistema ya es capaz de encontrar su servidor de actualizaciones y de saber en
que grupo de WSUS ubicarse vamos a forzar el envo de datos desde el cliente hacia el
servidor WSUS. para ello Inicio > Ejecutar > wuauclt /detectnow.
Volvemos a comprobar si el servidor WSUS ha terminado de sincronizar el catlogo.
Si es el caso nos situamos sobre Options > Computers del men de Windows Server
Update Services(WSUS).

Marcamos la opcin Use Group Policy or registry settings on computers y pulsamos
sobre OK.
Eso habilita la funcionalidad de catalogar los equipos mediante las directivas de grupo que
hemos configurado en Active Directory.
Despus de aplicar este cambio y de que los equipos hayan actualizado sus directivas de
grupo vamos a comprobar si existen servidores catalogados en WSUS.

Pues en efecto, en los 2 servidores que le hemos realizado el gpup
date /force aparecen y en el grupo correcto.
En el caso que no veis informacin sobre ellos o bien nos esperamos las 22 horas por
defecto o forzamos a que enven y actualicen sus datos. Desde los clientes ejecutamos los
comandos wuauclt /detectnow y wuauclt /updatenow.

Bueno pues ya tenemos informacin de uno de ellos. Vemos que tiene un 96% de parches
instalados. Podemos ver mas columnas pulsando con el botn derecho sobre las actuales
columnas y marcando las opciones que deseemos. Needed count nos mostrar los parches
que le faltan por instalar a los equipos.
Pues puedo comprobar que el servidor firstdomain.megacrack.es le faltan 62 parches.
Ahora vamos a aprovar los parches para su descarga y posterior instalacin en el equipo
cliente.
Desde WSUS pulsamos sobre Updates > All updates.

Como vemos en el campo Approval dejamos marcado Unapproved y en el campo Status
dejamos marcado Failed or Needed con esto conseguimos ver nicamente los parches que
necesitan todos los equipos ubicados en WSUS.
Para descargar los parches para que puedan ser aplicados a los equipos hemos de
aprovarlos.
Seleccionamos todos los parches y con el botn derecho del ratn pulsamos sobre
Approve.

Ahora pulsamos sobre BeforeDeploy pulsamos sobre Approve for Install.
La idea sera que al cabo de 2 semanas por ejemplo tras haber probado estos parches se
podran aprobar tambin para la categora AllServers.

Pulsamos sobre OK.

Los parches se aprobarn y pulsamos sobre Close.
Ahora los parche se irn descargando y segn la poltica de grupo que hemos creado
anteriormente en los equipos del grupo BeforeInstall les aparecer un icono indicando que
tiene parches para instalar.
Pues bien para aprobarlos para los dems grupos deberemos seleccionar en Updates > All
updates en el campo Approval dejamos marcado Approved y en el campo Status
dejamos marcado Failed or Needed con esto conseguimos ver nicamente los parches que
necesitan todos los equipos ubicados en WSUS y podremos aprobarlos para AllServers.