Como Config Un Server WSUS

Introduccin a Windows Server Update
Services
Se aplica a: Windows Server 2012 R2, Windows Server 2012
Windows Server Update Services (WSUS) permite a los administradores de tecnologas de

la informacin implementar las actualizaciones de productos de Microsoft ms recientes.
Con WSUS, los administradores pueden administrar por completo la distribucin de
actualizaciones que se publican en Microsoft Update para los equipos de su red. En este
tema se proporciona informacin general sobre este rol de servidor y ms informacin
sobre cmo implementar y mantener WSUS.
Quiz lo que busca es
Windows Server Update Services 3.0 SP2 en TechNet:

Windows Update
Implementacin de software
Descripcin del rol de servidor de WSUS

El servidor WSUS proporciona las caractersticas que los administradores necesitan para
administrar y distribuir actualizaciones mediante una consola de administracin. Adems,
un servidor WSUS puede ser el origen de actualizacin para otros servidores WSUS de la
organizacin. El servidor WSUS que acta como origen de actualizacin es el servidor que
precede en la cadena. En una implementacin de WSUS, al menos un servidor WSUS de la
red debe conectarse a Microsoft Update para obtener informacin sobre actualizaciones
disponibles. El administrador puede determinar, en funcin de la configuracin y seguridad
de red, la cantidad de servidores que desea que se conecten directamente a Microsoft
Update.
Aplicaciones prcticas
La administracin de actualizaciones es el proceso por el cual se controla la
implementacin y el mantenimiento de versiones provisionales de software en entornos de
produccin. Le permite preservar la eficiencia operativa, superar vulnerabilidades de
seguridad y mantener la estabilidad del entorno de produccin. Si su organizacin no puede
determinar y mantener un nivel conocido de confianza en sus sistemas operativos y
software de aplicacin, podra tener una serie de vulnerabilidades de seguridad que, si se
explotan, afectaran los ingresos y la propiedad intelectual. Minimizar esta amenaza
requiere que tenga sistemas correctamente configurados, que use el software ms reciente y
que instale las actualizaciones de software recomendadas.
Los escenarios principales en los que WSUS favorece a su negocio son los siguientes:
Administracin centralizada de actualizaciones

Automatizacin de administracin de actualizaciones
Funcionalidad nueva y modificada

Advertencia
Para proceder a la actualizacin desde cualquier versin de Windows Server que sea
compatible con WSUS 3.2 a Windows Server 2012 R2 es preciso desinstalar primero
WSUS 3.2.
En Windows Server 2012, la actualizacin desde cualquier versin de Windows Server con
WSUS 3.2 instalado se bloquea durante el proceso de instalacin si se detecta WSUS 3.2, y
se le pedir que desinstale Windows Server Update Services antes de actualizar Windows
Server 2012.
Sin embargo, dados los cambios introducidos en Windows Server 2012 R2, al proceder a la
actualizacin desde cualquier versin de Windows Server y WSUS 3.2 a Windows
Server 2012 R2, la instalacin no se bloquea. El hecho de no desinstalar WSUS 3.2 antes
de realizar una actualizacin de Windows Server 2012 R2 provocar un error en las tareas
de instalacin posterior de WSUS en Windows Server 2012 R2. En ese caso, la nica
solucin conocida consiste en formatear el disco duro y reinstalar Windows
Server 2012 R2.
Windows Server Update Services es un rol del servidor integrado que incluye las siguientes
mejoras:
Puede agregarse o quitarse con el Administrador del servidor.

Incluye cmdlets de Windows PowerShell para administrar las diez tareas
administrativas ms importantes en WSUS.
Agrega la capacidad hash SHA256 para una mayor seguridad.
Proporciona separacin entre cliente y servidor: las versiones del Agente de
Windows Update (WUA) pueden entregarse independientemente de WSUS
Windows Server 2012

Caracterstica y funcionalidad Windows Server 2008 R2 y Windows
Server 2012 R2
Adicin de cmdlets de Windows
PowerShell para administrar las diez
X
tareas administrativas ms
importantes en WSUS
Mejoras de seguridad con capacidad
X
hash SHA256
Separacin entre cliente y servidor:
las versiones del Agente de Windows
X
Update (WUA) pueden entregarse
independientemente de WSUS
Uso de Windows PowerShell para administrar WSUS
Para administrar sus operaciones, los administradores necesitan cobertura en la

automatizacin de lnea de comandos. El objetivo principal es facilitar la administracin de
WSUS al permitir que los administradores del sistema automaticen sus operaciones
cotidianas.
Qu valor aporta este cambio?
Al exponer operaciones principales de WSUS mediante Windows PowerShell, los

administradores del sistema pueden aumentar su productividad, reducir la curva de
aprendizaje de herramientas nuevas y disminuir los errores debido a expectativas no
cumplidas por incoherencia en operaciones similares.
Qu funciona de manera diferente?
En versiones anteriores del sistema operativo Windows Server, no haba cmdlets de

Windows PowerShell y la automatizacin de la administracin de actualizaciones era un
desafo. Los cmdlets de Windows PowerShell para operaciones de WSUS agregan
flexibilidad y agilidad al administrador del sistema.
Funcionalidad eliminada o en desuso

En esta versin de WSUS, la API se actualiza a .NET Framework 4.5.
Requisitos del sistema

Los requisitos mnimos de hardware para WSUS son:
Procesador: procesador x64 de 1,4 gigahertz (GHz) (se recomienda de 2 Ghz o ms

rpido)
Memoria: WSUS requiere 2 GB adicionales de RAM ms de lo que necesita el
servidor.
Espacio en disco disponible: 10 GB (se recomiendan 40 GB o ms)
Adaptador de red: 100 megabits por segundo (Mbps) o superior
Requisitos de software
Para ver informes, WSUS necesita Microsoft Report Viewer Redistributable 2008.
Vea tambin
La siguiente tabla incluye referencias que proporcionan ms informacin acerca de WSUS:
Tipo de contenido REFERENCES

Recursos de WSUS 3.0
Windows Server Update Services 3.0 SP2 en TechNet:
SP2
Evaluacin del producto Pgina de TechNet sobre Windows Server Update Services
Planeacin e Implementacin de Windows Server Update Services en la
implementacin organizacin
Migracin de Windows Server Update Services a Windows
Migracin
Server 2012
Recursos de la comunidad WSUS Forum
Implementacin de Windows Server
Update Services en la organizacin
Windows Server Update Services (WSUS) permite a los administradores de tecnologas de

la informacin implementar las actualizaciones de productos de Microsoft ms recientes.
WSUS es un rol de servidor de Windows Server que puede instalarse para administrar y
distribuir actualizaciones. Un servidor WSUS puede ser el origen de actualizacin para
otros servidores WSUS de la organizacin. El servidor WSUS que acta como origen de
actualizacin es el servidor que precede en la cadena. En una implementacin de WSUS, al
menos un servidor WSUS de la red debe conectarse a Microsoft Update para obtener
informacin sobre actualizaciones disponibles. El administrador puede determinar, en
funcin de la configuracin y seguridad de red, la cantidad de servidores que desea que se
conecten directamente a Microsoft Update.
Este documento ofrece informacin conceptual para planear la implementacin de

Windows Server Update Services en Windows Server 2012 y las versiones posteriores del
sistema operativo Windows Server. Adems proporciona los procedimientos paso a paso
para instalar WSUS en la organizacin.
Paso 1: preparar la implementacin de WSUS

Paso 2: instalar el rol de servidor de WSUS
Paso 3: configurar WSUS
Paso 4: aprobar e implementar actualizaciones de WSUS
Paso 5: Configurar opciones de directiva de grupo para actualizaciones automticas
Paso 1: preparar la implementacin de
WSUS
El primer paso de la implementacin de Windows Server Update Services (WSUS) es

tomar decisiones importantes, tales como determinar el escenario de implementacin de
WSUS, elegir una topologa de red y comprender los requisitos del sistema. La siguiente
lista de comprobacin describe los pasos para preparar la implementacin de WSUS.
Tarea Descripcin
1.1. Revisar consideraciones Revise la lista de consideraciones y requisitos del sistema
iniciales y requisitos del para asegurarse de tener todo el hardware y software
sistema necesario para implementar WSUS.
1.2. Elegir el escenario de Decida el escenario de implementacin de WSUS que se va
implementacin de WSUS a usar.
1.3. Elegir la estrategia de Decida cul es la estrategia de almacenamiento de WSUS
almacenamiento de WSUS que mejor se adapta a su implementacin.
1.4. Elegir idiomas de Decida los idiomas de actualizacin de WSUS que se van a
actualizacin de WSUS instalar.
1.5. Planear grupos de equipos Planee el enfoque de grupos de equipos WSUS que usar
WSUS en la implementacin.
1.6. Planear consideraciones
Planee un diseo de WSUS para su mejor rendimiento.
sobre el rendimiento de WSUS
1.7. Planear la configuracin Planee la manera en que configurar las actualizaciones
de actualizaciones automticas automticas en su escenario.
1.1. Revisar consideraciones iniciales y requisitos del

sistema
Requisitos del sistema:
Antes de habilitar el rol de servidor de WSUS, compruebe que el servidor cumpla con los
requisitos del sistema y que usted tenga los permisos necesarios para completar la
instalacin. Para ello, siga estas instrucciones:
Los requisitos de hardware del servidor para habilitar el rol de WSUS estn
enlazados a los requisitos del hardware. Los requisitos de hardware se enumeran en
el tema: Introduccin a Windows Server Update Services.
Si instala roles o actualizaciones de software que al finalizar requieren el reinicio
del servidor, reincielo antes de habilitar el rol de servidor WSUS.
Se debe instalar Microsoft .NET Framework 4.0 en el servidor que tendr instalado
el rol de servidor de WSUS.
Para que el complemento de administracin de WSUS se muestre correctamente, la
cuenta NT Authority o de servicio de red debe tener permisos de control total para
las siguientes carpetas:
o %windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET
Files
Importante
Esta ruta de acceso podra no existir antes de instalar el rol del servidor web
que contiene Internet Information Services (IIS).
o %windir%\Temp
Confirme que la cuenta que tiene previsto usar para instalar WSUS es miembro del
grupo local Administradores.
Consideraciones para la instalacin:
Durante el proceso de instalacin, WSUS instalar lo siguiente de manera predeterminada:
API de .NET y cmdlets de Windows PowerShell

Windows Internal Database (WID), que usa WSUS
Servicios que usa WSUS:
o Servicio de actualizacin
o Servicio web de informes
o Servicio web de cliente
o Servicio web de autenticacin simple
o Servicio de sincronizacin de servidores
o Servicio web de autenticacin DSS
Consideraciones de las caractersticas a peticin
Tenga en cuenta que la configuracin de los equipos cliente (incluidos los servidores) para
actualizar mediante WSUS provocar las siguientes limitaciones:
1. Los roles de servidor a los que se ha quitado sus cargas mediante caractersticas a
peticin no se pueden instalar a peticin desde Microsoft Update. Deber facilitar
un origen de instalacin en el momento en que se intentan instalar estos roles de
servidor o configurar un origen para las caractersticas a peticin en las directiva de
grupo.
2. Las ediciones cliente de Windows no podrn instalar .NET 3.5 a peticin desde la
web. Las mismas consideraciones de los roles de servidor se aplican a .NET 3.5.
Nota
En la configuracin de un origen de instalacin de caractersticas a peticin no influye

WSUS 3.x o WSUS en Windows Server 2012 R2. Para obtener informacin sobre cmo
configurar las caractersticas, consulte Configuracin de caractersticas a peticin en
Windows Server.
Requisitos de base de datos de WSUS
Independientemente de los Service Pack asociados con cada versin de Microsoft SQL
Server, WSUS necesita una de las bases de datos siguientes:
Windows Internal Database (WID)

Microsoft SQL Server 2014
Microsoft SQL Server 2012
Microsoft SQL Server 2008 R2
Las siguientes ediciones de SQL Server son compatibles con WSUS:
Enterprise
Standard
Express
Importante
SQL Server Express 2008 R2 admite un tamao lmite de base de datos de 10 GB. Aunque
probablemente este tamao de base de datos es suficiente para WSUS, su uso no representa
ningn beneficio con respecto a WID. La base de datos WID tiene un requisito mnimo de
memoria de RAM de 2 GB, por encima de los requisitos estndares de un sistema Windows
Server.
Puede instalar el rol de WSUS en un equipo independiente del equipo servidor de base de
datos. En este caso, se aplican los siguientes criterios adicionales:
1. El servidor de base de datos no puede ser un controlador de dominio.

2. El servidor WSUS no puede ejecutar Servicios de Escritorio remoto.
3. El servidor de base de datos debe estar en el mismo dominio de Active Directory
que el servidor WSUS; de lo contrario, debe existir una relacin de confianza entre
ellos.
4. El servidor WSUS y el servidor de base de datos deben estar en la misma zona
horaria o deben estar sincronizados en la misma Hora universal coordinada (Hora
del meridiano de Greenwich).
1.2. Elegir el escenario de implementacin de WSUS

Esta seccin describe las caractersticas bsicas de todas las implementaciones de WSUS.
Use esta seccin para familiarizarse con una implementacin simple que implica un
servidor WSUS nico; adems de escenarios ms complejos, como una jerarqua de
servidores WSUS o un servidor WSUS en un segmento aislado de red.
Implementacin simple de WSUS
La implementacin de WSUS ms bsica consiste en un servidor dentro de un firewall

corporativo que sirve a equipos cliente en una intranet privada, como se muestra en la
figura 1. El servidor WSUS se conecta con Microsoft Update para descargar
actualizaciones. Esto se conoce como sincronizacin. En cada sincronizacin, WSUS
determina si, desde la ltima realizada, se ha puesto a disposicin alguna actualizacin
nueva. Si es la primera vez que se sincroniza WSUS, todas las actualizaciones estn
disponibles para su descarga.
Nota
La sincronizacin inicial puede tardar ms de una hora. Todas las sincronizaciones

siguientes debern ser mucho ms rpidas.
De manera predeterminada, el servidor WSUS usa el puerto 80 para el protocolo HTTP y el

puerto 443 para el protocolo HTTPS, a fin de obtener actualizaciones de Microsoft. Si hay
un firewall corporativo entre su red e Internet, deber abrir estos puertos en el servidor que
se comunica directamente con Microsoft Update. Si tiene previsto usar puertos
personalizados para esta comunicacin, abra esos puertos. Varios servidores WSUS se
pueden sincronizar con un servidor WSUS primario. De forma predeterminada, el servidor
WSUS usa el puerto 8530 para el protocolo HTTP y el puerto 8531 para el protocolo
HTTPS, a fin de proporcionar actualizaciones a estaciones de trabajo cliente.
La siguiente figura muestra un escenario simple de servidor WSUS en el que un

administrador puede establecer un servidor que ejecuta WSUS dentro del firewall
corporativo, para que sincronice contenido directamente con Microsoft Update y distribuya
actualizaciones a los equipos cliente.
Figura 1 Implementacin bsica de WSUS
Varios servidores WSUS
Los administradores pueden implementar varios servidores que ejecutan WSUS para que
sincronicen todo el contenido dentro de la intranet de la organizacin. En la figura 2, se
expone un solo servidor en Internet. En esta configuracin, este es el nico servidor que
descarga actualizaciones de Microsoft Update. Este servidor se configura como el servidor
que precede en la cadena: el origen con el que se sincronizan los servidores que siguen en
la cadena. Cuando es aplicable, los servidores pueden estar geogrficamente dispersos en
una red para proporcionar una mejor conectividad a todos los equipos cliente. La siguiente
figura muestra un ejemplo de varios servidores WSUS internos sincronizados.
Figura 2 Varios servidores WSUS
Servidor WSUS desconectado
Si una directiva corporativa u otras condiciones limitan el acceso de los equipos a Internet,
los administradores pueden configurar un servidor interno para que ejecute WSUS. Un
ejemplo es un servidor conectado a la intranet, pero aislado de Internet. Despus de
descargar, probar y aprobar las actualizaciones en este servidor, un administrador
exportara los metadatos y el contenido de las actualizaciones a un DVD, para despus
importarlos a servidores que ejecutan WSUS en la intranet.
Figura 3 Importacin de actualizaciones con medios externos
Jerarquas de servidores WSUS

Es posible crear jerarquas complejas de servidores WSUS. Dado que los servidores WSUS
se pueden sincronizar entre s en lugar de hacerlo con Microsoft Update, solo es necesario
un servidor WSUS nico que se conecte a Microsoft Update. Cuando piensa en vincular
servidores WSUS, hay uno que precede en la cadena y otro que sigue en la cadena. Una
implementacin de jerarqua de servidores WSUS ofrece los siguientes beneficios:
Puede descargar actualizaciones desde Internet una sola vez y despus distribuirlas
a los equipos cliente mediante servidores que siguen en la cadena. Este mtodo
ahorra ancho de banda en la conexin corporativa a Internet.
Puede descargar actualizaciones en un servidor WSUS que est fsicamente cerca de
los equipos cliente, por ejemplo, en sucursales.
Puede configurar servidores WSUS independientes para equipos cliente que usan
productos de Microsoft en distintos idiomas.
Puede escalar WSUS para una organizacin grande, cuyos equipos cliente superan
la cantidad que un servidor WSUS puede administrar con eficacia.
Nota
Se recomienda no crear una jerarqua de servidores WSUS con una profundidad mayor que
tres niveles. Cada nivel requiere tiempo para propagar actualizaciones a todos los
servidores conectados. Si bien no hay un lmite terico de jerarqua, Microsoft Corporation
solo ha probado implementaciones con una jerarqua de cinco niveles de profundidad.
Puede conectar servidores WSUS en modo autnomo (para una administracin distribuida)
o en modo de rplica (para una administracin centralizada). No es necesario implementar
una jerarqua de servidores en un solo modo: puede implementar una solucin WSUS que
use servidores WSUS en ambos modos, autnomo y de rplica.
Modo autnomo
El modo autnomo, tambin denominado administracin distribuida, es la opcin de

instalacin predeterminada para WSUS. En este modo, un servidor WSUS que precede en
la cadena comparte actualizaciones con los servidores que siguen en la cadena, durante la
sincronizacin. Los servidores WSUS que siguen en la cadena se administran de forma
independiente y no reciben el estado de aprobacin de una actualizacin ni informacin del
grupo de equipos del servidor que precede en la cadena. Al usar el modelo de
administracin distribuida, el administrador de cada servidor WSUS selecciona idiomas de
actualizacin, crea grupos de equipos, asigna equipos a grupos, prueba y aprueba
actualizaciones y se asegura de que las actualizaciones correctas se instalen en los grupos
de equipos adecuados. La siguiente imagen muestra cmo se podran implementar
servidores WSUS autnomos en un entorno de sucursal:
Figura 4 Servidores autnomos
Modo de rplica
El modo de rplica, tambin denominado administracin centralizada, funciona con un

servidor WSUS que precede en la cadena y que comparte actualizaciones, estados de
aprobacin y grupos de equipos con los servidores que siguen en la cadena. Los servidores
de rplica heredan las aprobaciones de actualizacin y no pueden administrarse al margen
del servidor WSUS que los precede . La siguiente imagen muestra cmo se podran
implementar servidores WSUS de rplica en un entorno de sucursal:
Figura 5 Servidores de rplica
Nota
Si configura varios servidores de rplica para que se conecten con un servidor WSUS nico
que los precede, no programe la sincronizacin para que se ejecute al mismo tiempo en
todos los servidores de rplica. Este procedimiento evitar un repentino aumento del uso
del ancho de banda.
Sucursales
Puede aprovechar la caracterstica de sucursal de Windows para optimizar la

implementacin de WSUS. Este tipo de implementacin ofrece las siguientes ventajas:
1. Ayuda a reducir el uso del vnculo WAN y mejora la capacidad de respuesta de la
aplicacin. Para habilitar la aceleracin BranchCache del contenido proporcionado
por un servidor WSUS, instale la caracterstica BranchCache en el servidor y en los
equipos cliente, y asegrese de que el servicio BranchCache se haya iniciado. No es
necesario realizar otros pasos.
2. La caracterstica de sucursal tambin se puede usar en sucursales que tengan
conexiones de ancho de banda reducido con la oficina central, pero conexiones de
ancho de banda alto con Internet. En este caso, quizs desee configurar servidores
WSUS que siguen en la cadena para que obtengan informacin sobre las
actualizaciones que se deben instalar desde el servidor WSUS central, pero que las
descarguen desde Microsoft Update.
Equilibrio de carga de red
El equilibrio de carga de red (NLB) aumenta la confiabilidad y el rendimiento de la red

WSUS. Puede configurar varios servidores WSUS para que compartan un solo clster de
conmutacin por error que ejecuta SQL Server 2008 R2 SP1. En esta configuracin, debe
usar una instalacin completa de SQL Server, no la instalacin de Windows Internal
Database que se proporciona con WSUS, y el rol de base de datos debe instalarse en todos
los servidores WSUS front-end. Adems puede hacer que todos los servidores WSUS usen
un sistema de archivos distribuido (DFS) para almacenar su contenido.
Figura 6 Clster de conmutacin por error
Programa de instalacin de WSUS para NLB: en comparacin con el programa de

instalacin de WSUS 3.2 para NLB, ya no son necesarios ni parmetros ni una llamada de
configuracin especial para configurar WSUS para NLB. Solo es necesario instalarse los
servidores WSUS con las consideraciones siguientes.
WSUS debe instalarse con la opcin de base de datos SQL en lugar de WID.
Si almacena las actualizaciones de forma local, debe compartirse la misma carpeta
de contenido entre los servidores WSUS que comparten la misma base de datos
SQL.
La instalacin de WSUS debe realizarse en serie. Las tareas posteriores a la
instalacin no se pueden ejecutar en varios servidores al mismo tiempo cuando se
comparte la misma base de datos SQL.
Implementacin de WSUS con equipos cliente mviles
Si la red incluye usuarios mviles que inician sesin desde distintas ubicaciones, puede
configurar WSUS para permitir que estos usuarios actualicen sus equipos cliente desde el
servidor WSUS que tengan geogrficamente ms cerca. La figura 7 muestra un servidor
WSUS implementado en cada regin y cada regin es una subred DNS. Todos los equipos
cliente se dirigen al mismo servidor WSUS, que se resuelve en cada subred como el
servidor WSUS fsico ms cercano.
Figura 7 Servidores en regiones
1.3. Elegir la estrategia de almacenamiento de WSUS

Windows Server Update Services (WSUS) usa dos tipos de sistemas de almacenamiento:
una base de datos para almacenar la configuracin de WSUS y los metadatos de
actualizaciones, y un sistema de archivos local opcional para almacenar archivos de
actualizacin. Antes de instalar WSUS, debe decidir la manera en que implementar el
almacenamiento.
Las actualizaciones se componen de dos partes: los metadatos que describen la
actualizacin y los archivos necesarios para instalarla. Los metadatos de una actualizacin
normalmente son mucho ms pequeos que la actualizacin en s y se almacenan en la base
de datos de WSUS. Los archivos de una actualizacin se almacenan en un servidor WSUS
local o en un servidor web de Microsoft Update.
Base de datos de WSUS
WSUS requiere una base de datos para cada servidor WSUS. WSUS admite el uso de una
base de datos que resida en otro equipo que no sea el servidor WSUS, con algunas
restricciones. Para obtener una lista de las bases de datos admitidas y las limitaciones de
bases de datos remotas, consulte la seccin 1.1. Revisar consideraciones iniciales y
requisitos del sistema de este documento.
La base de datos WSUS almacena la siguiente informacin:
Informacin de configuracin de servidores WSUS

Metadatos que describen cada actualizacin
Informacin sobre equipos cliente, actualizaciones e interacciones
Si instala varios servidores WSUS, debe tener una base de datos independiente para cada
uno de ellos, sean autnomos o de rplica. No puede almacenar varias bases de datos de
WSUS en una instancia nica de SQL Server, salvo en clsteres de equilibrio de carga de
red que usan la conmutacin por error de SQL Server.
SQL Server, SQL Server Express y Windows Internal Database proporcionan las mismas
caractersticas de rendimiento para una configuracin de servidor nico, donde la base de
datos y el servicio de WSUS se ubican en el mismo equipo. Una configuracin de servidor
nico puede admitir miles de equipos cliente de WSUS.
Precaucin
No intente administrar WSUS accediendo directamente a la base de datos. La manipulacin

directa de la base de datos puede daarla. Los daos podran no detectarse de inmediato,
pero pueden impedir actualizaciones a las siguientes versiones del producto. Para
administrar WSUS, puede usar la consola de WSUS o las interfaces de programacin de
aplicaciones (API) de WSUS.
WSUS con Windows Internal Database
De manera predeterminada, el asistente para instalacin crea y usa Windows Internal

Database con el nombre SUSDB.mdf. Esta base de datos se ubica en la carpeta
%windir%\wid\data\, donde %windir% es la unidad local en la que se instala el software
del servidor WSUS.
Advertencia
Windows Internal Database (WID) se incluye con Windows Server 2012 y las versiones
posteriores del sistema operativo Windows Server.
WSUS admite la autenticacin de Windows solo para la base de datos. No se puede usar la
autenticacin de SQL Server con WSUS. Si usa Windows Internal Database para la base de
datos de WSUS, el programa de instalacin de WSUS crea una instancia de SQL Server
con el nombre server\Microsoft##WID, donde server es el nombre del equipo. Con
cualquiera de las opciones de base de datos, el programa de instalacin de WSUS crea una
base de datos con el nombre SUSDB. El nombre de esta base de datos no es configurable.
Se recomienda que use Windows Internal Database en los siguientes casos:
La organizacin an no ha adquirido y no necesita un producto de SQL Server para

ninguna otra aplicacin.
La organizacin no necesita una solucin NLB WSUS.
Se intenta implementar varios servidores WSUS (por ejemplo, en sucursales). En
este caso, debe considerar usar Windows Internal Database en servidores
secundarios, aun si va a usar SQL Server para el servidor WSUS raz. Dado que
cada servidor WSUS requiere una instancia independiente de SQL Server, pronto
experimentar problemas de rendimiento de la base de datos si una sola instancia de
SQL Server administra varios servidores WSUS.
Windows Internal Database no proporciona una interfaz de usuario ni herramientas de

administracin de bases de datos. Si selecciona esta base de datos para WSUS, debe usar
herramientas externas para administrarla. Para obtener ms informacin, vase:
Copias de seguridad y restauraciones de datos de WSUS y copias de seguridad de su

servidor
Reindizacin de la base de datos de WSUS
WSUS con SQL Server
Se recomienda que use SQL Server con WSUS en los siguientes casos:
1. Necesita una solucin NLB WSUS.

2. Ya tiene por lo menos una instancia de SQL Server instalada.
3. No puede ejecutar el servicio de SQL Server con una cuenta local no del sistema ni
usando la autenticacin de SQL Server. WSUS admite la autenticacin de Windows
nicamente.
Almacenamiento de actualizaciones de WSUS
Cuando se sincronizan las actualizaciones con su servidor WSUS, los archivos de

actualizacin y los metadatos se almacenan en dos ubicaciones independientes. Los
metadatos se almacenan en la base de datos de WSUS. Los archivos de actualizacin se
pueden almacenar en el servidor WSUS o en servidores de Microsoft Update, en funcin de
cmo haya configurado las opciones de sincronizacin. Si decide almacenar los archivos de
actualizacin en el servidor WSUS, los equipos cliente descargarn actualizaciones
aprobadas desde el servidor WSUS local. En caso contrario, los equipos cliente descargarn
actualizaciones aprobadas directamente desde Microsoft Update. La opcin que mejor se
adapte a su organizacin depender del ancho de banda de red para conectarse a Internet,
del ancho de banda de red de la intranet y de la disponibilidad de almacenamiento local.
Puede seleccionar otra solucin de almacenamiento de actualizaciones para cada servidor

WSUS que implemente.
Almacenamiento en servidor WSUS local
El almacenamiento local de archivos de actualizacin es la opcin predeterminada cuando

instala y configura WSUS. Esta opcin puede ahorrar ancho de banda en la conexin
corporativa a Internet, porque los equipos cliente descargan actualizaciones directamente
desde el servidor WSUS local.
Esta opcin requiere que el servidor tenga suficiente espacio en disco para almacenar todas
las actualizaciones necesarias. Como mnimo, WSUS requiere 20 GB para almacenar
actualizaciones de forma local; sin embargo, se recomienda tener 30 GB en funcin de
variables probadas.
Almacenamiento remoto en servidores de Microsoft Update
Puede almacenar actualizaciones de forma remota en servidores de Microsoft Update. Esta

opcin es til si la mayora de los equipos cliente se conecta al servidor WSUS con una
conexin WAN lenta, pero se conectan a Internet con una conexin de ancho de banda alto.
En este caso, el servidor WSUS raz se sincroniza con Microsoft Update y recibe los
metadatos de las actualizaciones. Una vez que se aprueben las actualizaciones, los equipos
cliente las descargarn desde servidores de Microsoft Update.
La figura 8 muestra una configuracin de WSUS donde las actualizaciones se almacenan en

Microsoft Update. En este caso, las sucursales recuperan actualizaciones aprobadas
directamente desde servidores de Microsoft Update. Esto ahorra espacio en disco y ancho
de banda de red en la organizacin. Esta opcin de almacenamiento puede ofrecer
descargas ms rpidas para equipos cliente geogrficamente distribuidos.
Figura 8 Configuracin de WSUS
1.4. Elegir idiomas de actualizacin de WSUS

Cuando implementa una jerarqua de servidores WSUS, debe determinar los idiomas de
actualizacin que se usan en toda la organizacin. Debe configurar el servidor WSUS raz
para que descargue actualizaciones en todos los idiomas utilizados en la organizacin.
Por ejemplo, la oficina principal necesita actualizaciones en francs e ingls, pero una
sucursal las necesita en ingls, francs y alemn, y otra sucursal las necesita en ingls y
espaol. En esta situacin, se configurara el servidor WSUS raz para que descargue
actualizaciones en ingls, francs, alemn y espaol. Despus se configurara el servidor
WSUS de la primera sucursal para que descargue solo actualizaciones en ingls, francs y
alemn, y se configurara la segunda sucursal para que descargue solo actualizaciones en
ingls y espaol.
La pgina Elegir idiomas del Asistente para la configuracin de WSUS permite obtener
actualizaciones en todos los idiomas o en un subconjunto de idiomas. Si selecciona un
subconjunto de idiomas, ahorra espacio en disco; no obstante, es importante elegir todos los
idiomas que se necesitan para todos los servidores que siguen en la cadena y los equipos
cliente de un servidor WSUS.
A continuacin encontrar notas importantes sobre el idioma de actualizacin que debe

tener en cuenta, antes de configurar esta opcin:
Siempre incluya ingls adems de cualquier otro idioma necesario en la

organizacin. Todas las actualizaciones se basan en paquetes de idioma para ingls.
Los servidores que siguen en la cadena y los equipos cliente no recibirn todas las
actualizaciones adecuadas, si no se han seleccionado todos los idiomas necesarios
para el servidor que precede en la cadena. Asegrese de seleccionar todos los
idiomas que necesitan todos los equipos cliente asociados con los servidores que
siguen en la cadena.
Por lo general, se deben descargar actualizaciones en todos los idiomas en el
servidor WSUS raz que se sincroniza con Microsoft Update. Esta seleccin
garantiza que todos los servidores que siguen en la cadena y los equipos cliente
recibirn las actualizaciones en los idiomas adecuados.
Si almacena actualizaciones de forma local y ha configurado un servidor WSUS para que

descargue una cantidad limitada de idiomas, podr notar actualizaciones en idiomas
distintos a los que especific. Muchos archivos de actualizacin son grupos de varios
idiomas, que incluyen al menos uno de los idiomas especificados en el servidor.
Servidores que preceden en la cadena
Importante
Configure los servidores que preceden en la cadena para que sincronicen las actualizaciones
en todos los idiomas que requieren los servidores de rplica que siguen en la cadena. No se
le notificarn las actualizaciones necesarias en los idiomas no sincronizados.
Las actualizaciones se mostrarn como No aplicables en los equipos cliente que requieran
el idioma. Para evitar esto, asegrese de que se incluyen todos los idiomas de sistemas
operativos en las opciones de sincronizacin del servidor WSUS. Puede ver todos los
idiomas del sistema operativo en la vista Equipos de la consola de administracin de
WSUS y ordenar los equipos por idioma del sistema operativo. Sin embargo, puede que
quiera incluir ms idiomas si hay aplicaciones de Microsoft en ms de un idioma (por
ejemplo, si se instala la versin en francs de Microsoft Word en algunos equipos que usan
la versin en ingls de Windows Server 2008 R2).
La eleccin de idiomas de un servidor que precede en la cadena no es lo mismo que elegir

idiomas para un servidor que sigue en la cadena. En los procedimientos siguientes se
explican las diferencias.
Eleccin de idiomas de actualizacin para un servidor de sincronizacin de

Microsoft Update
1. En el Asistente para configuracin de WSUS:
o Para obtener actualizaciones en todos los idiomas, haga clic en Descargar
actualizaciones en todos los idiomas, incluyendo los ms recientes.
o Para obtener actualizaciones solo de idiomas concretos, haga clic en
Descargar actualizaciones solamente en estos idiomas, y luego seleccione
los idiomas para los que quiere actualizaciones.
Eleccin de idiomas de actualizacin para un servidor que sigue en la cadena
1.
1. Si el servidor que precede en la cadena se configur para descargar archivos
de actualizacin de un subconjunto de idiomas: en el Asistente para
configuracin de WSUS, haga clic en Descargar actualizaciones
solamente en estos idiomas (el servidor que precede en la cadena solo
admite los idiomas marcados con un asterisco) y luego seleccione los
idiomas para los que quiere actualizaciones.
Nota
Debe hacer esto aunque quiera que el servidor que sigue en la cadena
descargue los mismos idiomas que el servidor que precede en la cadena.
2. Si el servidor que precede en la cadena se configur para descargar archivos

de actualizacin de todos los idiomas: en el Asistente para configuracin de
WSUS, haga clic en Descargar actualizaciones en todos los idiomas que
admite el servidor que precede en la cadena.
Nota
Debe hacer esto aunque quiera que el servidor que sigue en la cadena
descargue los mismos idiomas que el servidor que precede en la cadena.
Esta configuracin hace que el servidor que precede en la cadena descargue
actualizaciones en todos los idiomas, incluidos los idiomas que no se
configuraron originalmente para el servidor que precede en la cadena. Si
agrega idiomas al servidor que precede en la cadena, debe copiar las nuevas
actualizaciones en sus servidores de rplica.
Si se cambian las opciones de idioma solo en el servidor que precede en la

cadena, se puede provocar una falta de coincidencia entre el nmero de
actualizaciones aprobadas en el servidor central y el nmero de
actualizaciones aprobadas en los servidores de rplica.
1.5. Planear grupos de equipos WSUS

WSUS le permite dirigir actualizaciones a grupos de equipos cliente para asegurarse de que
determinados equipos reciban siempre las actualizaciones correspondientes en los
momentos ms oportunos. Por ejemplo, si todos los equipos de un departamento (como el
equipo de Contabilidad) tienen una configuracin especfica, puede configurar un grupo
para ese equipo, decidir las actualizaciones que se instalarn y despus usar informes de
WSUS para evaluar las actualizaciones correspondientes al equipo.
Importante
Si un servidor WSUS se ejecuta en el modo de rplica, no se pueden crear grupos en ese

servidor. Todos los grupos de equipos necesarios para equipos cliente del servidor de
rplicas deben crearse en el servidor WSUS que se encuentra en la raz de la jerarqua de
servidores WSUS. Para ms informacin sobre el modo de rplica, vea Administrar
servidores de rplica WSUS en el manual de operaciones de WSUS 3.0 SP2.
Los equipos siempre se asignan al grupo Todos los equipos y permanecen en el grupo
Equipos sin asignar hasta que los asigne a otro grupo. Los equipos pueden pertenecer a
ms de un grupo.
Los grupos de equipos pueden configurarse en jerarquas (por ejemplo, el grupo Nmina y
el grupo Cuentas por pagar debajo del grupo Contabilidad). Las actualizaciones aprobadas
para un grupo superior se implementarn automticamente en los grupos inferiores. En este
ejemplo, si aprueba Update1 para el grupo Contabilidad, la actualizacin se implementar
en todos los equipos de este grupo, en todos los equipos del grupo Nmina y en todos los
equipos del grupo Cuentas por pagar.
Dado que los equipos pueden asignarse a varios grupos, es posible que una actualizacin se
apruebe ms de una vez para el mismo equipo. No obstante, la actualizacin se
implementar una sola vez y cualquier conflicto se resolver en el servidor WSUS. Para
continuar con el ejemplo anterior, si el EquipoA se asigna al grupo Nmina y al grupo
Cuentas por pagar y Update1 se aprueba para ambos grupos, esta se implementar una sola
vez.
Puede asignar equipos a grupos de equipos por medio de dos mtodos: asignacin del lado
servidor o asignacin del lado cliente. A continuacin se encuentran las definiciones de
cada mtodo:
Asignacin del lado servidor: se asigna de forma manual uno o ms equipos cliente
a varios grupos simultneamente.
Asignacin del lado cliente: se usa la directiva de grupo o se modifica la
configuracin del Registro en los equipos cliente para habilitar esos equipos de
manera que se agreguen automticamente a los grupos de equipos creados
anteriormente.
Resolucin de conflictos
El servidor aplica las siguientes reglas para resolver conflictos y determinar la accin
correspondiente en los clientes:
1. Prioridad
2. Prioridad de la instalacin y desinstalacin
3. Prioridad de las fechas de entrega
Prioridad
Las acciones asociadas al grupo de mayor prioridad reemplazan las acciones de otros
grupos. Cuanto mayor sea la profundidad de un grupo dentro de la jerarqua de grupos,
mayor ser su prioridad. La prioridad solo se asigna en funcin de la profundidad; todas las
ramas tienen la misma prioridad. Por ejemplo, un grupo dos niveles por debajo de la rama
Equipos de escritorio tiene una prioridad ms alta que un grupo un nivel por debajo de la
rama Servidor.
En el siguiente ejemplo de texto del panel de jerarquas de la consola de Update Services,

para un servidor WSUS denominado WSUS-01, se han agregado grupos de equipos
denominados Equipos de escritorio y Servidor al grupo predeterminado Todos los equipos.
Tanto el grupo Equipos de escritorio como el grupo Servidor tienen el mismo nivel
jerrquico.
Update Services
o WSUS-01
Actualizaciones
Equipos
Todos los equipos
Equipos sin asignar
Equipos de escritorio
Desktops-L1
Desktops-L2
Servidores
Servers-L1
Servidores que siguen en la cadena
Sincronizaciones
Informes
Opciones
En este ejemplo, el grupo que est dos niveles por debajo de la rama Equipos de escritorios
(Desktops L2) tiene mayor prioridad que el grupo que est un nivel por debajo de la rama
Servidor (Servers L1). Por lo tanto, para un equipo que pertenezca tanto al grupo Desktops-
L2 como al grupo Servers-L1, todas las acciones del grupo Desktops-L2 tendrn prioridad
sobre las acciones especificadas para el grupo Servers-L1.
Prioridad de la instalacin y desinstalacin
Instalar acciones reemplaza a desinstalar acciones. Las instalaciones obligatorias

reemplazan a las instalaciones opcionales (estas ltimas estn disponibles solo a travs de
la API y cambiar la aprobacin para una actualizacin con la Consola de administracin de
WSUS borrar todas las aprobaciones opcionales).
Prioridad de las fechas de entrega
Las acciones que tienen una fecha lmite reemplazan a las que no la tienen. Las acciones
con fechas lmite anteriores reemplazan a las que tienen fechas lmite posteriores.
1.6. Planear consideraciones sobre el rendimiento de

WSUS
Antes de implementar WSUS, debe planear con cuidado algunas reas para obtener un
mejor rendimiento. Las reas clave son:
Configuracin de red
Descarga diferida
Filtros
Instalacin
Implementaciones de actualizaciones grandes
Servicio de transferencia inteligente en segundo plano
Configuracin de red
Para optimizar el rendimiento en redes de WSUS, considere estas sugerencias:
1. Configure redes de WSUS en una topologa de concentrador y radio, en lugar de

una topologa jerrquica.
2. Use el orden de mscara de red DNS para equipos cliente mviles y configure estos
equipos para que obtengan actualizaciones del servidor WSUS local.
Descarga diferida
Puede aprobar actualizaciones y descargar los metadatos antes de descargar los archivos de
actualizacin. Este mtodo se denomina descarga diferida. Al diferir descargas, una
actualizacin se descarga solo despus de haber sido aprobada. Se recomienda diferir
descargas porque de esta manera se optimiza el ancho de banda de red y el espacio en
disco.
Figura 9 Descarga diferida
En una jerarqua de servidores WSUS, WSUS establece automticamente la configuracin

de descarga diferida del servidor WSUS raz en todos los servidores que siguen en la
cadena. Esta configuracin predeterminada se puede modificar. Por ejemplo, puede
configurar un servidor que precede en la cadena para que realice sincronizaciones
completas e inmediatas, y despus configurar un servidor que sigue en la cadena para que
difiera las descargas.
Si implementa una jerarqua de servidores WSUS conectados, se recomienda que no anide

servidores con profundidad. Si habilita las descargas diferidas y un servidor que sigue en la
cadena solicita una actualizacin no aprobada en el servidor que precede, esta solicitud
fuerza una descarga en el servidor que precede. El servidor que sigue en la cadena despus
descarga la actualizacin en una sincronizacin posterior. En una jerarqua profunda de
servidores WSUS, se pueden producir demoras porque las actualizaciones se solicitan, se
descargan y despus se pasan a travs de la jerarqua. De manera predeterminada, las
descargas diferidas se habilitan cuando las actualizaciones se guardan de forma local.
Puede cambiar esta opcin manualmente.
Filtros
WSUS le permite filtrar sincronizaciones de actualizaciones por idioma, producto y

clasificacin. En una jerarqua de servidores WSUS, WSUS establece automticamente las
opciones de filtrado seleccionadas en el servidor WSUS raz en todos los servidores que
siguen en la cadena. Puede volver a configurar los servidores de descarga para que reciban
un subconjunto de idiomas nicamente.
De manera predeterminada, los productos que se van actualizar son Windows y Office, y
las clasificaciones predeterminadas son actualizaciones crticas, de seguridad y de
definiciones. Para conservar el ancho de banda y el espacio en disco, se recomienda limitar
los idiomas a aquellos que realmente usa.
Instalacin
Las actualizaciones normalmente consisten en nuevas versiones de archivos que ya existen

en un equipo que se est actualizando. En un nivel binario, estos archivos existentes
podran no diferir demasiado de las versiones actualizadas. La caracterstica de archivos de
instalacin rpida identifica el nmero exacto de bytes entre versiones, crea y distribuye
actualizaciones solo para esas diferencias y despus combina el archivo existente con los
bytes actualizados.
A veces esta caracterstica se denomina entrega de diferencia porque descarga nicamente

la diferencia (delta) entre dos versiones de un archivo. Los archivos de instalacin rpida
son ms grandes que las actualizaciones que se distribuyen a equipos cliente, porque un
archivo de instalacin rpida contiene todas las versiones posibles de cada archivo que se
va a actualizar.
Puede usar archivos de instalacin rpida para limitar el ancho de banda que se consume en
la red local, ya que WSUS transmite solo el delta aplicable a una versin determinada de un
componente actualizado. Sin embargo, esto requiere ancho de banda adicional entre el
servidor WSUS, los servidores WSUS que preceden en la cadena y Microsoft Update,
adems de espacio adicional en el disco local. De manera predeterminada, WSUS no usa
archivos de instalacin rpida.
La figura 10 muestra una actualizacin que primero se distribuye mediante archivos de

instalacin rpida y despus se distribuye sin estos archivos. En este ejemplo, el uso de
archivos de instalacin rpida da lugar a un tamao de descarga inicial que es tres veces
mayor que el tamao de la actualizacin en s. No obstante, esto se pondera con la cantidad
reducida de ancho de banda que se requiere para actualizar equipos cliente en la red
corporativa. Cuando se deshabilita la caracterstica de archivos de instalacin rpida, la
descarga inicial es ms pequea, pero el tamao total de la descarga despus deber
distribuirse a cada equipo cliente de la red corporativa.
Figura 10 Archivos de instalacin rpida
Nota
Los tamaos de archivo en esta imagen solo se dan a modo ilustrativo. Cada actualizacin y
tamao de archivo de instalacin rpida varan. El tamao de cada actualizacin que se
distribuye a equipos cliente depende del estado del equipo que se est actualizando.
No todas las actualizaciones son ptimas para su distribucin con archivos de instalacin
rpida. Si selecciona esta opcin, obtendr archivos de instalacin rpida para todas las
actualizaciones. Si no almacena las actualizaciones de forma local, el agente de Windows
Update decidir si se deben descargar los archivos de instalacin rpida o las distribuciones
de actualizacin completas.
Implementaciones de actualizaciones grandes
Cuando implementa actualizaciones grandes (como Service Packs), puede evitar que se
sature la red de la siguiente manera:
1. Use el lmite del Servicio de transferencia inteligente en segundo plano (BITS). Las
limitaciones de ancho de banda de BITS se pueden controlar por hora del da, pero
se aplican a todas las aplicaciones que usan BITS. Para obtener informacin sobre
cmo controlar la limitacin de BITS, consulte Directivas de grupo
2. Use el lmite de Internet Information Services (IIS) para limitar uno o ms servicios
web.
3. Use grupos de equipos para controlar el lanzamiento. Un equipo cliente se identifica
a s mismo como miembro de un determinado grupo de equipos, cuando enva
informacin al servidor WSUS. El servidor WSUS usa esta informacin para
determinar las actualizaciones que deben implementarse en ese equipo. Puede
configurar varios grupos de equipos y aprobar secuencialmente grandes descargas
de Service Packs para un subconjunto de estos grupos.
Servicio de transferencia inteligente en segundo plano
WSUS usa el protocolo Servicio de transferencia inteligente en segundo plano (BITS) para
todas sus tareas de transferencia de archivos. Esto incluye descargas a equipos cliente y
sincronizaciones de servidores. BITS habilita programas para que descarguen archivos
usando ancho de banda de reserva. BITS mantiene las transferencias de archivos cuando se
producen desconexiones de red y se reinicia el equipo. Para ms informacin, consulte:
Servicio de transferencia inteligente en segundo plano.
1.7. Planear la configuracin de actualizaciones

automticas
Puede especificar una fecha lmite para aprobar actualizaciones en el servidor WSUS. La
fecha lmite hace que los equipos cliente instalen la actualizacin en un momento
especfico, pero hay situaciones que varan segn si la fecha lmite expir, si hay otras
actualizaciones en la cola para instalarse en el equipo y si la actualizacin (u otra
actualizacin en la cola) requiere el reinicio.
De manera predeterminada, el servicio Actualizaciones automticas sondea el servidor

WSUS para detectar actualizaciones aprobadas, cada 22 horas, con un desplazamiento
aleatorio. Si hay nuevas actualizaciones que necesitan instalarse, estas se descargan. El
tiempo transcurrido entre cada ciclo de deteccin se puede manipular entre 1 y 22 horas.
Puede manipular las opciones de notificacin de la siguiente manera:
1. Si Actualizaciones automticas se configura para que notifique al usuario cuando

haya actualizaciones listas para instalarse, la notificacin se enva al registro del
sistema y al rea de notificacin del equipo cliente.
2. Cuando un usuario con credenciales apropiadas hace clic en el icono del rea de
notificacin, Actualizaciones automticas muestra las actualizaciones disponibles
para instalar. El usuario debe hacer clic en Instalar para que la instalacin
comience. Si la actualizacin requiere el reinicio del equipo para completarse,
aparecer un mensaje. Si se solicita el reinicio, el servicio Actualizaciones
automticas no podr detectar otras actualizaciones hasta que el equipo no se
reinicie.
Si este servicio se configura para instalar actualizaciones con una programacin

establecida, las actualizaciones aplicables se descargarn y marcarn como listas para
instalar. Actualizaciones automticas notifica a los usuarios que tienen credenciales
apropiadas mediante el icono del rea de notificacin y un evento se registra en el registro
del sistema.
En el da y hora programados, Actualizaciones automticas instala la actualizacin y

reinicia el equipo (si es necesario), aun cuando ningn administrador local haya iniciado
sesin. Si un administrador local inicia sesin y el equipo debe reiniciarse, Actualizaciones
automticas muestra una advertencia y una cuenta regresiva para el reinicio. De lo
contrario, la instalacin se produce en segundo plano.
Si el equipo debe reiniciarse y cualquier usuario inici sesin, se muestra un cuadro de

dilogo de cuenta regresiva similar que advierte al usuario sobre el reinicio inminente.
Puede manipular el reinicio del equipo con la directiva de grupo.
Una vez descargadas las actualizaciones nuevas, Actualizaciones automticas sondea la

lista de paquetes aprobados en el servidor WSUS para confirmar que los paquetes que
descarg an son vlidos y estn aprobados. Esto significa que si un administrador de
WSUS elimina actualizaciones de la lista de actualizaciones aprobadas mientras
Actualizaciones automticas est realizando una descarga, solo se instalarn las
actualizaciones que an estn aprobadas.
Paso 2: instalar el rol de servidor de WSUS
El siguiente paso en la implementacin del servidor WSUS es instalar el rol de servidor de

WSUS. En el siguiente procedimiento, se describen los pasos para instalar el rol de servidor
de WSUS mediante el Administrador del servidor.
Importante
Este procedimiento solo abarca la instalacin de WSUS con Windows Internal Database
(WID). El procedimiento para instalar WSUS con Microsoft SQL Server aparece en este
artculo.
Para instalar el rol de servidor de WSUS

1. Inicie sesin en el servidor donde tiene previsto instalar el rol de servidor de WSUS,
con una cuenta que sea miembro del grupo local Administradores.
2. En el Administrador del servidor, haz clic en Administrar y despus haz clic en
Agregar roles y caractersticas.
3. En la pgina Antes de comenzar, haga clic en Siguiente.
4. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo,
%comspec% o C:\Windows\System32\cmd.exe .
5. En la pgina Seleccionar servidor de destino, elija la ubicacin del servidor (en un
grupo de servidores o en un disco duro virtual). Una vez que selecciones la
ubicacin, elige el servidor en el que quieres instalar el rol de servidor de WSUS y
despus haz clic en Siguiente.
6. En la pgina Seleccionar roles de servidor, haga clic en Windows Server Update
Services. Se abre Agregar caractersticas requeridas para Windows Server
Update Services. Haz clic en Agregar caractersticas requeridas y, a
continuacin, haz clic en Siguiente.
7. En la pgina Seleccionar caractersticas. Deja la configuracin predeterminada y
haz clic en Siguiente.
Importante
WSUS solo requiere la configuracin predeterminada del rol de servidor web. Si se
le solicita una configuracin adicional para el rol de servidor web mientras
configura WSUS, acepte con seguridad los valores predeterminados y contine la
instalacin de WSUS.
8. En la pgina Windows Server Update Services, haga clic en Siguiente.

9. En la pgina Seleccionar servicios de rol, deje la configuracin predeterminada y
haga clic en Siguiente.
Sugerencia
Tienes que seleccionar un tipo de base de datos. Si las opciones de base de datos
estn desactivadas (no seleccionadas), se producir un error en las tareas posteriores
a la instalacin.
10. En la pgina Seleccin de ubicacin de contenido, escribe una ubicacin vlida

para almacenar las actualizaciones. Por ejemplo, puedes crear una carpeta llamada
WSUS_database en la raz de la unidad K especficamente para este propsito y
escribir k:\WSUS_database como una ubicacin vlida.
11. Click La propiedad SIDHistory lo hace posible. Revisa la informacin y, a
continuacin, haz clic en Siguiente. En Seleccionar servicios de rol para instalar
para el servidor Web (IIS), conserva los valores predeterminados y, a
continuacin, haz clic en Siguiente.
12. En la pgina Confirmar selecciones de instalacin, revise las opciones
seleccionadas y haga clic en Instalar. Se ejecuta el Asistente para la instalacin de
WSUS. Esto puede llevar varios minutos.
13. Una vez finalizada la instalacin de WSUS, en la ventana resumen de la pgina de
Progreso de la instalacin, haz clic en Tareas de inicio posterior a la instalacin.
El texto cambia y muestra: Espera mientras se configura el servidor. Cuando
haya terminado la tarea, el texto cambia a: La configuracin se complet
correctamente. Haga clic en Cerrar.
14. En Administrador del servidor, compruebe si aparece una notificacin que le
informa que es necesario reiniciar el servidor. Esta puede variar segn el rol de
servidor instalado. Si se requiere el reinicio, asegrese de reiniciar el servidor para
que finalice la instalacin.
Importante
En este punto finaliza el proceso de instalacin; no obstante, para que funcione WSUS
tienes que continuar con Paso 3: configurar WSUS.
Paso 3: configurar WSUS
Despus de instalar el rol de servidor de WSUS en su servidor, debe configurarlo de forma

apropiada. La siguiente lista de comprobacin describe los pasos de la configuracin inicial
de su servidor WSUS.
Tarea Descripcin
Configure la red en clster con el Asistente para
3.1. Configurar conexiones de red
configuracin de red.
3.2. Configurar WSUS con el
Utilizar el Asistente para configuracin de WSUS a fin
Asistente para la configuracin de
de realizar la configuracin bsica de WSUS.
WSUS
Cree grupos de equipos en la consola de
3.3. Configurar grupos de equipos administracin de WSUS para administrar las
actualizaciones de su organizacin.
3.4. Configurar actualizaciones de Especifique cmo y cundo se aplican las
cliente actualizaciones automticas en los equipos cliente.
3.5. Proteger WSUS con el Configure el protocolo de Capa de sockets seguros
protocolo de Capa de sockets (SSL) para ayudar a proteger Windows Server Update
seguros Services (WSUS).
3.1. Configurar conexiones de red

Antes de iniciar el proceso de configuracin, asegrese de saber responder las siguientes
preguntas:
1. El firewall del servidor est configurado para permitir el acceso de clientes?

2. Puede este equipo conectarse al servidor que precede en la cadena (como el
servidor designado para descargar actualizaciones de Microsoft Update)?
3. Tiene el nombre del servidor proxy y las credenciales de usuario para este servidor,
si los necesita?
De manera predeterminada, WSUS se configura para usar Microsoft Update como

ubicacin donde obtener actualizaciones. Si tiene un servidor proxy en la red, puede
configurar WSUS para que lo use. Si hay un firewall corporativo entre WSUS e Internet,
quizs deba configurar el firewall para asegurarse de que WSUS obtenga actualizaciones.
Sugerencia
Si bien se requiere conectividad a Internet para descargar actualizaciones de Microsoft
Update, WSUS ofrece la posibilidad de importar actualizaciones en redes no conectadas a
Internet.
Si tiene las respuestas de estas preguntas, puede comenzar a configurar los siguientes
parmetros de red de WSUS:
Actualizaciones Especifique de qu manera este servidor obtendr actualizaciones

(desde Microsoft Update o desde otro servidor WSUS).
Servidor proxy En caso de que WSUS necesite un servidor proxy para tener acceso
a Internet, configure los parmetros correspondientes en el servidor WSUS.
Firewall En caso de que WSUS est protegido por un firewall corporativo, deber
seguir pasos adicionales en el dispositivo perimetral para permitir el trfico de
WSUS de forma apropiada.
3.1.1. Conexin desde el servidor WSUS a Internet
Si hay un firewall corporativo entre WSUS e Internet, quizs deba configurar el firewall
para asegurarse de que WSUS obtenga actualizaciones. Para obtener actualizaciones de
Microsoft Update, el servidor WSUS usa el puerto 443 para el protocolo HTTPS. Si bien la
mayora de los firewalls corporativos permiten este tipo de trfico, algunas compaas
restringen el acceso de servidores a Internet por sus polticas de seguridad. Si su compaa
restringe el acceso, deber obtener autorizacin para permitir el acceso de WSUS a
Internet, a las siguientes direcciones URL:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
Importante
Para ver un escenario en el que WSUS no puede obtener actualizaciones debido a la

configuracin de firewall, consulte el artculo 885819 de Microsoft Knowledge Base.
En la siguiente seccin se describe cmo configurar un firewall corporativo entre WSUS e

Internet. Dado que WSUS inicia todo el trfico de red, no es necesario que configure
Firewall de Windows en el servidor WSUS. Si bien la conexin entre Microsoft Update y
WSUS requiere que los puertos 80 y 443 estn abiertos, se pueden configurar varios
servidores WSUS para que se sincronicen con un puerto personalizado.
3.1.2. Conexin entre servidores WSUS
Los servidores WSUS que preceden y siguen en la cadena se sincronizarn en el puerto que
configure el administrador de WSUS. De forma predeterminada, estos puertos se
configuran as:
En WSUS 3.2 y versiones anteriores, el puerto 80 para HTTP y el 443 para HTTPS.
En WSUS 6.2 y versiones posteriores (como mnimo Windows Server 2012), el
puerto 8530 para HTTP y el 8531 para HTTPS.
El firewall del servidor WSUS debe configurarse para permitir trfico entrante en estos
puertos.
3.1.3. Conexin entre clientes (Agente de Windows Update) y servidores

WSUS
Los puertos e interfaces de escucha se configuran en los sitios de IIS para WSUS y en las
configuraciones de directivas de grupo que se usan para configurar los equipos cliente. Los
puertos predeterminados son los mismos que los que se especifican en la seccin anterior,
Conexin entre servidores WSUS, y el firewall del servidor WSUS tambin debe
configurarse para permitir el trfico entrante en esos puertos.
Configuracin del servidor proxy

Si la red corporativa usa servidores proxy, estos deben admitir protocolos HTTP y SSL y
utilizar la autenticacin bsica o autenticacin de Windows. Estos requisitos pueden
cumplirse mediante una de las siguientes configuraciones:
1. Un servidor proxy nico que admita dos canales de protocolos. En este caso,
establezca que un canal use HTTP y el otro HTTPS.
Nota
Puede configurar un servidor proxy que controle los dos protocolos de WSUS
durante la instalacin del software del servidor WSUS.
2. Dos servidores proxy, cada uno de los cuales admite un nico protocolo. En este
caso, un servidor proxy se configura para que use HTTP y el otro para HTTPS.
Para configurar dos servidores proxy, cada uno de los cuales controlar un protocolo para
WSUS, aplique el procedimiento siguiente:
Configuracin de WSUS para usar dos servidores proxy
1. Inicie sesin en el equipo que actuar como servidor WSUS con una cuenta que sea
miembro del grupo de administradores locales.
2. Instalacin del rol de servidor WSUS Durante el Asistente para configuracin de
WSUS (que se explica en la seccin siguiente), no especifique un servidor proxy.
3. Abra un smbolo del sistema (Cmd.exe) como administrador. Para abrir un smbolo
del sistema como administrador, vaya a Inicio. En Iniciar bsqueda, escriba
Smbolo del sistema. En la parte superior del men Inicio, haga clic con el botn
derecho en Smbolo del sistema y luego haga clic en Ejecutar como
administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario,
escriba las credenciales adecuadas (si se solicitan), confirme que la accin que se
muestra es la esperada y, a continuacin, haga clic en Continuar.
4. En la ventana del smbolo del sistema, vaya a la carpeta C:\Archivos de
programa\Update Services\Tools. Escriba el siguiente comando:
wsusutil ConfigureSSLProxy [< proxy_server proxy_port>] enable, donde:
1. proxy_server es el nombre del servidor proxy que admite HTTPS.

2. proxy_port es el nmero del puerto del servidor proxy.
5. Cierre la ventana del smbolo del sistema.
Para agregar el servidor proxy que usa el protocolo HTTP para la configuracin de WSUS,
siga el procedimiento que se muestra a continuacin:
Adicin de un servidor proxy que usa el protocolo HTTP
1. Abra la consola de administracin de WSUS.

2. En el panel izquierdo, expanda el nombre del servidor y haga clic en Opciones.
3. En el panel Opciones, haga clic en Actualizar origen y servidor y luego haga clic
en la pestaa Servidor proxy.
4. Use las siguientes opciones para modificar la configuracin del servidor proxy
existente:
Cambio o adicin de un servidor proxy a la configuracin de WSUS
1. Seleccione la casilla Usar un servidor proxy al sincronizarse.

2. En el cuadro de texto Nombre del servidor proxy, escriba el nombre del
servidor proxy.
3. En el cuadro de texto Nmero del puerto del proxy, escriba el nmero del
puerto del servidor proxy. El nmero de puerto predeterminado es 80.
4. Si el servidor proxy requiere el uso de una cuenta de usuario concreta,
seleccione la casilla Usar credenciales de usuario para conectarse al
servidor proxy. Escriba el nombre de usuario, el dominio y la contrasea
necesarios en los cuadros de texto correspondientes.
5. Si el servidor proxy admite la autenticacin bsica, active la casilla Permitir
la autenticacin bsica (la contrasea se enva en texto no cifrado).
6. Haga clic en Aceptar.
Eliminacin de un servidor proxy de la configuracin de WSUS
7. Para quitar un servidor proxy de la configuracin de WSUS, desactive la

casilla Usar un servidor proxy al sincronizarse.
3.2. Configurar WSUS con el Asistente para la

configuracin de WSUS
En este procedimiento, se supone que est usando el Asistente para la configuracin de
WSUS, que aparece la primera vez que inicia la Consola de administracin de WSUS. Ms
adelante en este tema, obtendr informacin acerca de cmo configurar estos parmetros
mediante la pgina Opciones:
Para configurar WSUS
1. En el panel de navegacin del Administrador del servidor, haga clic en Panel, en

Herramientas y, a continuacin, en Windows Server Update Services.
Nota
Si aparece el cuadro de dilogo Completar instalacin de WSUS, haga clic en

Ejecutar. Cuando la instalacin finalice correctamente, en el cuadro de dilogo
Completar instalacin de WSUS, haga clic en Cerrar.
2. Se abrir el Asistente para Windows Server Update Services. En la pgina Antes de

comenzar, revise la informacin y haga clic en Siguiente.
3. Lea las instrucciones en la pgina Unirse al programa de mejora de Microsoft
Update y determine si desea participar. Si quiere participar en el programa.
Conserve la seleccin predeterminada, o desactive la casilla y haga clic en
Siguiente.
4. En la pgina Elegir servidor que precede en la cadena, hay dos opciones:
1. Sincronizar las actualizaciones con Microsoft Update.
2. Sincronizar desde otro servidor de Windows Server Update Services.
Si elige sincronizar con otro servidor WSUS, especifique el nombre
del servidor y el puerto de comunicacin entre este servidor y el
servidor que precede en la cadena.
Para usar SSL, active la casilla Usar SSL al sincronizar la
informacin de actualizacin. Los servidores usarn el puerto 443
para la sincronizacin. (Asegrese de que este servidor y el servidor
que precede en la cadena sean compatibles con SSL).
Si este es un servidor de rplicas, active la casilla Esto es una
rplica del servidor que precede en la cadena.
5. Una vez que seleccione las opciones apropiadas para la implementacin, haga clic
en Siguiente para continuar.
6. En la pgina Especificar servidor proxy, active la casilla Usar un servidor proxy
al sincronizar y, a continuacin, escriba el nombre del servidor proxy y el nmero
del puerto (puerto 80, de manera predeterminada) en los cuadros correspondientes.
Importante
Debe completar este paso si observa que WSUS necesita un servidor proxy para
obtener acceso a Internet.
7. Si desea conectarse al servidor proxy con credenciales de usuario especficas, active

la casilla Usar credenciales de usuario para conectarse al servidor proxy y, a
continuacin, escriba el nombre de usuario, el dominio y la contrasea del usuario
en los cuadros correspondientes. Si desea habilitar la autenticacin bsica del
usuario que se conecta al servidor proxy, active la casilla Permitir autenticacin
bsica (la contrasea se enva en texto no cifrado).
8. Haga clic en Siguiente. En la pgina Conectar al servidor que precede en la
cadena, haga clic en Iniciar conexin.
9. Cuando se conecte, haga clic en Siguiente para continuar.
10. En la pgina Elegir idiomas, tiene la opcin de seleccionar los idiomas en los que
WSUS recibir actualizaciones, todos los idiomas o un subconjunto de idiomas. Si
selecciona un subconjunto de idiomas, ahorrar espacio en disco; no obstante, es
importante elegir todos los idiomas que necesitan los clientes de este servidor
WSUS. Si elige obtener actualizaciones solo en idiomas especficos, seleccione
Descargar actualizaciones solo en estos idiomas y, a continuacin, seleccione los
idiomas que desea; de lo contrario, deje la seleccin predeterminada.
Advertencia
Si selecciona Descargar actualizaciones solo en estos idiomas y este servidor

tiene un servidor WSUS que sigue en la cadena, esta opcin forzar al servidor que
sigue en la cadena a usar los idiomas seleccionados.
11. Una vez que seleccione las opciones de idioma apropiadas para la implementacin,
haga clic en Siguiente para continuar.
12. La pgina Elegir productos le permite especificar los productos para los que desea
actualizaciones. Seleccione las categoras de productos, como Windows, o
productos especficos, como Windows Server 2008. Si selecciona una categora de
productos, selecciona todos los productos de esa categora.
13. Seleccione las opciones de producto apropiadas para la implementacin y haga clic
en Siguiente.
14. En la pgina Elegir clasificaciones, seleccione las clasificaciones de actualizacin
que desea obtener. Elija todas las clasificaciones o un subconjunto de ellas y haga
clic en Siguiente.
15. En la pgina Establecer una programacin de sincronizacin se permite
seleccionar si se debe realizar la sincronizacin de forma manual o automtica.
o Si elige Sincronizar manualmente, deber iniciar el proceso de
sincronizacin desde la Consola de administracin de WSUS.
o Si elige Sincronizar automticamente, el servidor WSUS sincronizar en
intervalos establecidos.
Establezca la hora de la Primera sincronizacin y especifique el nmero de

Sincronizaciones por da que quiere que realice este servidor. Por ejemplo, si
especifica que debern realizarse cuatro sincronizaciones por da a partir de las
03:00 a.m., las sincronizaciones se producirn a las 03:00 a.m., 09:00 a.m.,
03:00 p.m. y 09:00 p.m.
16. Una vez que seleccione las opciones de sincronizacin apropiadas para la
implementacin, haga clic en Siguiente para continuar.
17. En la pgina Finalizado, tiene la opcin de iniciar la sincronizacin ahora al activar
la casilla Iniciar sincronizacin inicial. Si selecciona esta opcin, deber usar la
Consola de administracin de WSUS para realizar la sincronizacin inicial. Haga
clic en Siguiente, si desea leer ms informacin sobre parmetros adicionales de
configuracin o haga clic en Finalizar, para concluir el asistente y finalizar la
configuracin inicial de WSUS.
18. Despus de que haga clic en Finalizar, aparece la Consola de administracin de
WSUS.
Ahora que ya ha establecido la configuracin bsica de WSUS, lea las siguientes secciones
para obtener ms detalles sobre cmo cambiar la configuracin mediante la Consola de
administracin de WSUS.
3.3. Configurar grupos de equipos

Los grupos de equipos son una parte importante de las implementaciones de Windows
Server Update Services (WSUS). Los grupos de equipos le permiten probar y dirigir
actualizaciones a equipos especficos. Hay dos grupos de equipos predeterminados: Todos
los equipos y Equipos sin asignar. De manera predeterminada, cuando cada equipo cliente
se comunica por primera vez con el servidor WSUS, el servidor agrega ese equipo cliente
en ambos grupos.
Puede crear tantos grupos de equipos personalizados como desee para administrar
actualizaciones en la organizacin. Como procedimiento recomendado, cree al menos un
grupo de equipos para probar actualizaciones antes de implementarlas en otros equipos de
la organizacin.
Use el siguiente procedimiento para crear un grupo nuevo y asignar un equipo a este grupo:
Para crear un grupo de equipos
1. En la Consola de administracin de WSUS, en Update Services, expanda el

servidor de WSUS, despus expanda Equipos, haga clic con el botn secundario en
Todos los equipos y luego haga clic en Agregar grupo de equipos.
2. En el cuadro de dilogo Agregar grupo de equipos, en Nombre, especifique el
nombre del nuevo grupo y haga clic en Agregar.
3. Haga clic en Equipos y, a continuacin, seleccione los equipos que desee asignar a
este grupo nuevo.
4. Haga clic con el botn secundario en los nombres de los equipos que seleccion en
el paso anterior y, a continuacin, haga clic en Cambiar pertenencia.
5. En el cuadro de dilogo Establecer pertenencia a grupo de equipos, seleccione el
grupo de prueba que cre y, a continuacin, haga clic en Aceptar.
3.4. Configurar actualizaciones de cliente

El programa de instalacin de WSUS configura ISS de forma automtica para que se
distribuya la versin ms reciente del servicio Actualizaciones automticas a cada equipo
cliente que se contacte con el servidor WSUS. La mejor manera de configurar
Actualizaciones automticas depende del entorno de red.
En entornos que usan el servicio de directorio de Active Directory, puede usar un

objeto de directiva de grupo (GPO) basado en dominio que ya existe o crear un
GPO nuevo.
En entornos sin Active Directory, use el Editor de directivas de grupo local para
configurar Actualizaciones automticas y luego determine que los equipos cliente
sealen al servidor WSUS.
Importante
En los siguientes procedimientos, se supone que su red ejecuta Active Directory. Adems
se supone que usted est familiarizado con la directiva de grupo y que la usa para
administrar la red.
Use los siguientes procedimientos para configurar Actualizaciones automticas para

equipos cliente:
Configurar Actualizaciones automticas en la directiva de grupo

3.3. Configurar grupos de equipos
Realice los primeros dos procedimientos en el GPO basado en dominio que desee y realice
el ltimo procedimiento en un smbolo del sistema del equipo cliente.
Configurar Actualizaciones automticas en la directiva de grupo
Si ha configurado Active Directory en su red, puede configurar uno o varios equipos

simultneamente al incluirlos en el objeto de directiva de grupo (GPO) y luego al
configurar ese GPO con la configuracin de WSUS. Se recomienda que cree un GPO
nuevo, que contenga solo la configuracin de WSUS.
Vincule este GPO de WSUS a un contenedor de Active Directory apropiado para su

entorno. En un entorno simple, podra unir un GPO de WSUS nico al dominio. En un
entorno complejo, podra vincular varios GPO de WSUS a varias unidades organizativas
(OU), lo cual permite aplicar parmetros de configuracin de directiva de WSUS diferentes
en distintos tipos de equipos.
Para habilitar WSUS en un GPO de dominio
1. En la Consola de administracin de directivas de grupo (GPMC), busque el GPO

donde desee configurar WSUS y haga clic en Editar.
2. En GPMC, expanda Configuracin del equipo, expanda Directivas, expanda
Plantillas administrativas, expanda Componentes de Windows y, a continuacin,
haga clic en Windows Update.
3. En el panel de detalles, haga doble clic en Configurar actualizaciones
automticas. Se abrir la directiva Configurar actualizaciones automticas.
4. Haga clic en Habilitada y, despus, seleccione una de las siguientes opciones del
parmetro Configurar actualizacin automtica:
o Notificar descarga y notificar instalacin. Esta opcin notifica al usuario
administrativo con sesin iniciada sobre las actualizaciones, antes de que se
descarguen e instalen.
o Descargar automticamente y notificar instalacin. Esta opcin
comienza automticamente a descargar actualizaciones y luego notifica al
usuario administrativo con sesin iniciada antes de instalarlas. Esta opcin
est seleccionada de forma predeterminada.
o Descargar automticamente y programar la instalacin. Esta opcin
comienza automticamente a descargar actualizaciones y luego las instala el
da y a la hora especificados.
o Permitir que el administrador local elija la opcin. Esta opcin permite a
los administradores locales usar Actualizaciones automticas en el Panel de
control para seleccionar una opcin de configuracin. Por ejemplo, pueden
elegir una hora de instalacin programada. Los administradores locales no
pueden deshabilitar Actualizaciones automticas.
5. Seleccione Habilitar destinatarios del lado cliente, elija Habilitado y luego
escriba el nombre del grupo de equipos WSUS a los que quiere agregar este equipo
en el cuadro Nombre de grupo de destino para este equipo.
Nota
La opcin Habilitar destinatarios del lado cliente permite que los equipos cliente se
agreguen ellos mismos a grupos de equipos de destino en el servidor WSUS,
cuando las actualizaciones automticas se redirigen a un servidor WSUS. Si el
estado se establece en Habilitado, este equipo se identificar como miembro de un
grupo de equipos concreto cuando enve informacin al servidor WSUS, que la
usar para determinar las actualizaciones que estn implementadas en este equipo.
Este valor indica al servidor WSUS el grupo que usar el equipo cliente. Debe crear
el grupo en el servidor WSUS y agregar equipos miembros del dominio a ese grupo.
6. Haga clic en Aceptar para cerrar la directiva Habilitar destinatarios del lado
cliente y volver al panel de detalles de Windows Update.
7. Haga clic en Aceptar para cerrar la directiva Configurar actualizaciones
automticas y volver al panel de detalles de Windows Update.
8. En el panel de detalles de Windows Update, haga doble clic en Especificar la
ubicacin del servicio Windows Update en la intranet.
9. Haga clic en Habilitado y escriba la misma direccin URL del servidor WSUS en
los cuadros de texto Establecer el servicio de actualizacin de la intranet para
detectar actualizaciones y Establecer el servidor de estadsticas de la intranet.
Por ejemplo, escriba http://nombreservidor en ambos cuadros (donde
nombreservidor es el nombre del servidor WSUS).
Advertencia
Cuando escriba la direccin de intranet de su servidor WSUS, asegrese de

especificar el puerto que se va a usar. De manera predeterminada, WSUS usar el
puerto 8530 para HTTP y 8531 para HTTPS. Por ejemplo, si usa HTTP, debe
escribir http://nombreservidor:8530.
Una vez que configure un equipo cliente, pasarn varios minutos antes de que el equipo
aparezca en la pgina Equipos, en la Consola de administracin de WSUS. Con equipos
cliente configurados con un objeto de directiva de grupo basado en dominio, pueden
transcurrir alrededor de 20 minutos para que la directiva de grupo se aplique a la nueva
configuracin del equipo cliente. De manera predeterminada, la directiva de grupo se
actualiza en segundo plano cada 90 minutos, con un desplazamiento aleatorio de 0 a 30
minutos. Si quiere actualizar la directiva de grupo antes, puede abrir una ventana del
smbolo del sistema en el equipo cliente y escribir gpupdate /force.
Para equipos cliente configurados con el Editor de directivas de grupo local, el GPO se
aplica inmediatamente y la actualizacin puede tardar alrededor de 20 minutos. Si
comienza la deteccin de forma manual, no ser necesario que espere 20 minutos para que
el equipo cliente se comunique con WSUS.
Dado que la espera de la deteccin a veces requiere bastante tiempo, con el siguiente
procedimiento puede iniciar la deteccin de inmediato.
Para iniciar la deteccin de WSUS
1. En el equipo cliente, abra una ventana del smbolo del sistema con privilegios
elevados.
2. Escriba wuauclt.exe /detectnow y presione ENTRAR.
3.5. Proteger WSUS con el protocolo de Capa de sockets

seguros
Puede usar el protocolo de Capa de sockets seguros (SSL) para ayudar a proteger la
implementacin de WSUS. WSUS utiliza SSL para autenticar en el servidor WSUS los
equipos cliente y los servidores WSUS que siguen en la cadena. WSUS tambin usa SSL
para cifrar los metadatos de actualizacin.
Importante
Los clientes y los servidores que siguen en la cadena que estn configurados para usar
Seguridad de la capa de transporte (TLS) o HTTPS tambin deben configurarse para
utilizar un nombre de dominio completo (FQDN) para su servidor WSUS que precede en la
cadena.
WSUS usa SSL solo para los metadatos, no para los archivos de actualizacin. Se trata de
la misma manera en que Microsoft Update distribuye actualizaciones. Microsoft reduce el
riesgo de enviar archivos de actualizacin a travs de un canal no cifrado mediante la firma
de cada actualizacin. Adems, se calcula un hash y se enva junto con los metadatos de
cada actualizacin. Cuando se descarga una actualizacin, WSUS comprueba la firma
digital y el hash. Si la actualizacin ha cambiado, no se instala.
Limitaciones de las implementaciones SSL de WSUS
Debe tener en cuenta las siguientes limitaciones cuando use SSL para proteger una
implementacin de WSUS:
1. El uso de SSL aumenta la carga de trabajo del servidor. Debe esperar una prdida de
rendimiento del 10 por ciento, debido al costo de cifrar todos los metadatos que se
envan a travs de la red.
2. Si usa WSUS con una base de datos de SQL Server remota, la conexin entre el
servidor WSUS y el servidor de la base de datos no est protegida con SSL. Si la
conexin de base de datos debe estar protegida, tenga en cuenta las siguientes
recomendaciones:
Mueva la base de datos WSUS al servidor WSUS.

Mueva el servidor de la base de datos remota y el servidor WSUS a una red privada.
Implemente el protocolo de seguridad de Internet (IPsec) para ayudar a proteger el
trfico de la red. Para ms informacin sobre IPsec, consulte Creacin y uso de
directivas de IPsec.
Configurar SSL en el servidor WSUS
WSUS requiere dos puertos para SSL: un puerto que use HTTPS para enviar metadatos
cifrados y otro que utilice HTTP para enviar las actualizaciones. Al configurar WSUS para
que use SSL, tenga en cuenta lo siguiente:
No se puede configurar que el sitio web de WSUS completo requiera SSL porque
entonces debera cifrarse todo el trfico al sitio de WSUS. WSUS solo cifra los
metadatos de actualizacin. Si un equipo intenta recuperar los archivos de
actualizacin en el puerto HTTPS, se producir un error en la transferencia.
Debe requerir SSL solo para las races virtuales siguientes:
o SimpleAuthWebService
o DSSAuthWebService
o ServerSyncWebService
o APIRemoting30
o ClientWebService
No debe requerir SSL para las races virtuales siguientes:
o Content
o Inventory
o ReportingWebService
o SelfUpdate
El certificado de la entidad de certificacin (CA) debe importarse en el almacn de
CA raz de confianza del equipo local o el de Windows Server Update Service en
los servidores WSUS que siguen en la cadena. Si el certificado solo se importa al
almacn de la entidad de certificacin raz de confianza del usuario local, el servidor
WSUS que sigue en la cadena no se autenticar en el servidor que precede en la
cadena.
Para ms informacin sobre el uso de los certificados SSL en IIS, consulte Requerir
Capa de Sockets seguros (IIS 7).
Debe importar el certificado en todos los equipos que se comunicarn con el

servidor WSUS. Se incluyen todos los equipos cliente, servidores que siguen en la
cadena y equipos que ejecutan la consola de administracin de WSUS. El
certificado debe importarse en el almacn de CA raz de confianza del equipo local
o el de Windows Server Update Service.
Puede usar cualquier puerto para SSL. Sin embargo, el puerto que configure para
SSL tambin determina el puerto que WSUS usa para enviar el trfico HTTP sin
cifrar. Considera los ejemplos siguientes:
o Si utiliza el puerto estndar del sector 443 para el trfico HTTPS, WSUS
usar el puerto estndar del sector 80 para el trfico HTTP sin cifrar.
o Si utiliza un puerto distinto del 443 para el trfico HTTPS, WSUS enviar
trfico HTTP sin cifrar a travs del puerto que preceda numricamente al
puerto para HTTPS. Por ejemplo, si utiliza el puerto 8531 para HTTPS,
WSUS usar el puerto 8530 para HTTP.
Debe volver a inicializar ClientServicingProxy si se cambia el nombre del servidor,
la configuracin de SSL o el nmero del puerto.
Configuracin de SSL en el servidor raz WSUS
1. Inicie sesin en el servidor WSUS con una cuenta que sea miembro de los grupos
de administradores o administradores locales de WSUS.
2. Vaya a Inicio, escriba CMD, haga clic con el botn secundario en Smbolo del
sistema y despus haga clic en Ejecutar como administrador.
3. Navegue hasta la carpeta %ProgramFiles%\Update Services\Tools\.
4. En la ventana del smbolo del sistema, escriba los comandos siguientes:
Wsusutil configuressl nombreCertificado
Donde:
nombreCertificado es el nombre DNS del servidor WSUS.
Configurar SSL en equipos cliente
Al configurar SSL en los equipos cliente, debe considerar lo siguiente:
Debe incluir la direccin URL de un puerto seguro en el servidor WSUS. Dado que
no se requiere SSL en el servidor, la nica forma de asegurarse de que los equipos
cliente pueden usar un canal de seguridad es mediante una direccin URL que
especifique HTTPS. Si usa un puerto distinto del 443 para SSL, tambin debe
incluir ese puerto en la direccin URL.
El certificado en un equipo cliente debe importarse en el almacn de CA raz de
confianza del equipo local o el del servicio de actualizacin automtica. Si el
certificado se importa solo en el almacn de CA raz de confianza del usuario local,
las actualizaciones automticas no superarn la autenticacin del servidor.
Los equipos cliente deben confiar en el certificado que se enlace al servidor WSUS.
Segn el tipo de certificado que se use, podra tener que configurar un servicio para
permitir que los equipos cliente confen en el certificado que est enlazado al
servidor WSUS.
Configurar SSL para servidores WSUS que siguen en la cadena

Las instrucciones siguientes configuran un servidor que sigue en la cadena para que se
sincronice con uno que precede en la cadena y usa SSL.
Sincronizacin de un servidor que sigue en la cadena a uno que precede en la cadena y

usa SSL
1. Inicie sesin en el equipo con una cuenta de usuario que sea miembro de los grupos
de administradores o administradores locales de WSUS.
2. Haga clic en Inicio, Todos los programas, Herramientas administrativas y, por
ltimo, en Windows Server Update Service.
3. En el panel derecho, expanda el nombre del servidor.
4. Haga clic en Opciones y despus en Actualizar origen y servidor proxy.
5. En la pgina Actualizar origen, seleccione Sincronizar desde otro servidor de
Windows Server Update Services.
6. Escriba el nombre del servidor que precede en la cadena en el cuadro de texto
Nombre del servidor. Escriba el nmero del puerto que el servidor usa para las
conexiones SSL en el cuadro de texto Nmero de puerto.
7. Active la casilla Usar SSL al sincronizar la informacin de actualizacin y haga
clic en Aceptar.
Recursos SSL adicionales
Los pasos necesarios para configurar una entidad de certificacin, enlazar el certificado al
sitio web de WSUS y establecer una confianza entre los equipos cliente y el certificado
estn fuera del mbito de esta gua. Para ms informacin y para instrucciones sobre cmo
instalar certificados y configurar este entorno, consulte los temas siguientes:
Gua paso a paso de Suite B de PKI

Implementacin y administracin de plantillas de certificado
Gua de migracin y actualizacin de los Servicios de certificados de Active
Directory
Configurar la inscripcin automtica de certificados
3.6. Completar la configuracin de IIS
De forma predeterminada, el acceso de lectura annimo est habilitado en los sitios web de
IIS predeterminados y en todos los nuevos. Algunas aplicaciones, especialmente Windows
SharePoint Services, pueden quitar el acceso annimo. Si esto ha sucedido, debe volver a
habilitar el acceso de lectura annimo antes de poder instalar y trabajar con WSUS
correctamente.
Para habilitar el acceso de lectura annimo, siga los pasos de la versin concreta de IIS:
1. Habilitar la autenticacin annima (IIS 7), como se documenta en la Gua de

operaciones de IIS 7.
2. Habilitacin de la autenticacin annima (IIS 6.0), como se documenta en la Gua
de operaciones de IIS 6.0.
3.6. Configurar un certificado de firma
WSUS tiene la capacidad de publicar paquetes de actualizacin personalizados para

actualizar productos de Microsoft y de otros desarrolladores. WSUS puede firmar
automticamente estos paquetes de actualizacin con un certificado Authenticode. Para
habilitar la firma de actualizacin personalizada, debe instalar un certificado de firma de
paquetes en el servidor WSUS. Hay varias consideraciones que debe tener en cuenta
relacionados con la firma de actualizacin personalizada.
1. Distribucin de certificados. La clave privada debe instalarse en el servidor WSUS

y la clave pblica debe instalarse de forma explcita en el almacn de certificados de
confianza en todos los servidores y equipos cliente que recibirn las actualizaciones
de firma personalizada.
2. Expiracin. Cuando el certificado autofirmado expire o est prximo a hacerlo,
WSUS registrar los eventos en el registro de eventos.
3. Actualizaciones y revocacin de certificados. Si quera actualizar o revocar un
certificado (por ejemplo, tras detectar que expir), WSUS no ofreca ninguna
funcionalidad para habilitar esta opcin. Para realizar esto, era necesario realizar
una tarea manual que era muy complicada de hacer a mano o automatizar
correctamente.
Paso 4: aprobar e implementar
actualizaciones de WSUS
Los equipos que pertenecen a un grupo se comunican automticamente con el servidor

WSUS en las siguientes 24 horas, para obtener actualizaciones. La caracterstica de
informes de WSUS se puede usar para determinar si esas actualizaciones fueron
implementadas en los equipos de prueba. Cuando las pruebas finalizan correctamente, se
pueden aprobar las actualizaciones para los grupos de equipos de la organizacin que
correspondan. La siguiente lista de comprobacin describe los pasos para aprobar e
implementar actualizaciones mediante el uso de la Consola de administracin de WSUS.
Tarea Descripcin
4.1. Aprobar e implementar Apruebe e implemente actualizaciones de WSUS mediante el
actualizaciones de WSUS uso de la Consola de administracin de WSUS.
Configure WSUS para aprobar automticamente la instalacin
4.2. Configurar reglas de
de actualizaciones para grupos seleccionados y el mtodo para
aprobacin automtica
aprobar las revisiones de las actualizaciones existentes.
4.3. Revisar actualizaciones Revise las actualizaciones que se instalaron, los equipos que
instaladas con informes de recibieron esas actualizaciones y otros detalles mediante el uso
WSUS de la caracterstica de informes de WSUS.
4.1. Aprobar e implementar actualizaciones de WSUS

Use el siguiente procedimiento para aprobar e implementar actualizaciones.
Para aprobar e implementar actualizaciones de WSUS
1. En la Consola de administracin de WSUS, haga clic en Actualizaciones. En el

panel derecho, se muestra un resumen de estado de actualizacin para Todas las
actualizaciones, Actualizaciones crticas, Actualizaciones de seguridad y
Actualizaciones de WSUS.
3. En la lista de actualizaciones, seleccione las que desee aprobar para su instalacin
en el grupo de equipos de prueba. Podr encontrar informacin sobre una
actualizacin seleccionada, en el panel inferior del panel Actualizaciones. Para
seleccionar varias actualizaciones contiguas, mantenga presionada la tecla MAYS,
mientras hace clic en los nombres de las actualizaciones. Para seleccionar varias
actualizaciones no contiguas, mantenga presionada la tecla CTRL, mientras hace
clic en los nombres de las actualizaciones.
4. Haga clic con el botn secundario y, a continuacin, haga clic en Aprobar.
6. Click
7. Aparecer la ventana Progreso de la aprobacin, que muestra el progreso de las
tareas relacionadas con la aprobacin de actualizaciones. Cuando se haya
completado el proceso de aprobacin, haga clic en Cerrar.
4.2. Configurar reglas de aprobacin automtica

Las aprobaciones automticas permiten especificar cmo aprobar automticamente la
instalacin de actualizaciones de determinados grupos y como aprobar las revisiones de las
actualizaciones existentes.
Para configurar aprobaciones automticas
1. En la consola de administracin de WSUS, en Update Services, expanda el

servidor WSUS y luego haga clic en Opciones. La propiedad SIDHistory lo hace
posible.
2. En Opciones, haga clic en Aprobaciones automticas. Se abre el cuadro de
dilogo Aprobaciones automticas.
3. En Reglas de actualizacin, haga clic en Nueva regla. La propiedad SIDHistory
lo hace posible.
4. En Agregar regla, en Paso 1: Seleccionar propiedades, seleccione cualquiera de
las siguientes opciones o combinacin de opciones:
o Cuando una actualizacin est en una clasificacin especfica
o Cuando una actualizacin est en un producto especfico
o L
5. En Paso 2: Modificar las propiedades, haga clic en cada una de las opciones y
luego seleccione las opciones adecuadas para cada una.
6. En Paso 3: Especificar un nombre, escriba un nombre para la regla y luego haga
clic en Aceptar.
7. Click
4.3. Revisar actualizaciones instaladas con informes de

WSUS
24 horas despus de aprobar las actualizaciones, puede usar la caracterstica de informes de
WSUS para determinar si las actualizaciones se implementaron en los equipos del grupo de
prueba. Para comprobar el estado de una actualizacin, use la caracterstica de informes de
WSUS de la siguiente manera.
Para revisar actualizaciones

1. En el panel de navegacin de la Consola de administracin de WSUS, haga clic en
Informes.
2. En la pgina Informes, haga clic en el informe Resumen de estado de
actualizacin. La propiedad SIDHistory lo hace posible.
3. Si desea filtrar la lista de actualizaciones, seleccione los criterios que desea usar; por
ejemplo, Incluir actualizaciones en estas clasificaciones y, a continuacin, haga
clic en Ejecutar informe.
4. Ver el panel Informe de actualizaciones. Puede comprobar el estado de
actualizaciones individuales al seleccionar la actualizacin en la seccin izquierda
del panel. La ltima seccin del panel de informes muestra el resumen de estado de
la actualizacin.
5. Puede guardar o imprimir este informe, al hacer clic en el icono correspondiente de
la barra de herramientas.
6. Una vez que prueba las actualizaciones, puede aprobarlas para su instalacin en los
grupos de equipos correspondientes de la organizacin.
Paso 5: Configurar opciones de directiva
de grupo para actualizaciones automticas
En un entorno de Active Directory, puede utilizar Directiva de grupo para definir la forma
en que los equipos y usuarios (denominados en este documento los clientes WSUS) pueden
interactuar con las actualizaciones de Windows para obtener las actualizaciones
automticas de Windows Server Update Services (WSUS).
Este tema contiene dos secciones principales:
Configuracin de directiva de grupo para las actualizaciones de cliente WSUSque

proporciona orientacin prescriptiva y comportamientos detalles acerca de la configuracin
de Windows Update y el programador de mantenimiento de directiva de grupo que
controlan cmo los clientes WSUS pueden interactuar con Windows Update para obtener
actualizaciones automticas.
Informacin complementariatiene las siguientes secciones: Para los administradores que no

estn familiarizados con la directiva de grupo, la primera seccin proporciona informacin
general sobre el uso general de directiva de grupo. La segunda seccin contiene una tabla
que resume las diferencias entre la instalacin manual de estrofas de predeterminado de
WSUS en una versin anterior y actual de WSUS. La tercera seccin contiene una lista y
definiciones de la terminologa utilizada en esta gua.
Obtener acceso a la configuracin de Windows Update en la directiva de grupoque

proporciona instrucciones generales acerca de cmo utilizar el Editor de
administracin de directivas de grupo y obtener informacin acerca del acceso a las
extensiones de directiva de servicios de actualizacin y configuracin de
programador de mantenimiento de directiva de grupo.
Cambios realizados en WSUS relevantes para esta gua: para los administradores
familiarizados con WSUS 3.2 y versiones anteriores, esta seccin ofrece un breve
resumen de las diferencias clave entre la versin actual y pasada de WSUS
relevantes para esta gua.
Trminos y definiciones: las definiciones para varios trminos relacionados con
WSUS y actualizacin de los servicios que se usan en esta gua.
Configuracin de directiva de grupo para las

actualizaciones de cliente WSUS
Esta seccin proporciona informacin sobre tres extensiones de directiva de grupo. En estas
extensiones, encontrar la configuracin que puede utilizar para configurar la forma en que
los clientes WSUS pueden interactuar con Windows Update para recibir las actualizaciones
automticas.
Configuracin del equipo > configuracin de la directiva de Windows Update

Configuracin del equipo > configuracin de la directiva de programador de
mantenimiento
Configuracin de usuario > configuracin de la directiva de Windows Update
Nota
En este tema se supone que ya utilice y est familiarizado con directiva de grupo. Si no est
familiarizado con la directiva de grupo, es recomendable que revise la informacin de
laInformacin complementariaseccin de este documento antes de intentar configurar la
directiva de WSUS.
Configuracin del equipo > configuracin de la directiva de Windows

Update
Esta seccin proporciona detalles acerca de la configuracin de directiva de equipo

siguiente:
Permitir la instalacin inmediata de actualizaciones automticas

Permitir que los usuarios reciben notificaciones de actualizacin
Permitir actualizaciones firmadas desde una ubicacin del servicio Microsoft update
de la intranet
Frecuencia de deteccin de actualizaciones automtica
Configurar actualizaciones automticas
Retrasar el reinicio para las instalaciones programadas
No ajustar la opcin predeterminada en "Instalar actualizaciones y apagar" en el
cuadro de dilogo de salir de Windows
No mostrar la opcin "Instalar actualizaciones y apagar" en el cuadro de dilogo de
salir de Windows
Habilitar destinatarios del lado cliente
Habilitar administracin de energa de Windows Update reactivar automticamente
el equipo para instalar las actualizaciones programadas
Instalaciones de actualizaciones no reiniciar automticamente con usuarios que
iniciaron sesin para automticas programadas
Volver a preguntar para reiniciar con instalaciones programadas
Volver a programar la instalacin programada de actualizaciones automticas
Especifique la ubicacin del servicio Microsoft update de la intranet
Activar actualizaciones recomendadas mediante actualizaciones automticas
Activar las notificaciones de Software
En GPME, las directivas de Windows Update para configuracin de equipo se encuentran
en la ruta de acceso: NombreDeDirectiva>Configuracin del
equipo>directivas>plantillas administrativas>componentes de Windows>Windows
Update.
Nota
De forma predeterminada, estas opciones no estn configuradas.
Permitir la instalacin inmediata de actualizaciones automticas
Especifica si las actualizaciones automticas se instalar automticamente las

actualizaciones que no interrumpen servicios de Windows o reinicie Windows.
Compatible con: Excluir:

Sistemas operativos Windows que estn an en susciclo de vida de soporte
nulo
tcnico de productos de Microsoft.
Nota
Si se establece la configuracin de directiva "Configurar actualizaciones automticas"

endeshabilitadoesta directiva no tiene ningn efecto.
Estado de la
configuracin de Comportamiento
directiva
Especifica que las actualizaciones no se instalarn inmediatamente.
No configurado Los administradores locales pueden cambiar esta configuracin
mediante el Editor de directivas de grupo Local.
Especifica que las actualizaciones automticas instala las
Habilitada actualizaciones inmediatamente una vez que se descarguen y estn
listas para instalar.
Deshabilitada Especifica que las actualizaciones no se instalarn inmediatamente.
Opciones: No hay ninguna opcin para esta configuracin.
Permitir que los usuarios reciben notificaciones de actualizacin
Especifica si los usuarios no administrativos recibirn notificaciones de actualizacin en

funcin de la configuracin de directiva Configurar actualizaciones automticas.

Sistemas operativos Windows que estn an en susciclo de vida Ver los detalles de la
de soporte tcnico de productos de Microsoft. tabla siguiente.
Nota
Si la configuracin de directiva "Configurar actualizaciones automticas" est deshabilitada
o no est configurada, esta configuracin de directiva no tiene ningn efecto.
Importante
A partir deWindows 8yWindows RTesta configuracin de directiva est habilitada de

forma predeterminada. En todas las versiones anteriores de Windows est deshabilitado de
forma predeterminada.
Estado de la
directiva
Especifica que los usuarios siempre se ve una ventana Control de cuentas
y requiere permisos elevados para realizar estas tareas. Un administrador
No configurado
local puede cambiar esta configuracin mediante el Editor de directivas
de grupo Local.
Especifica que Microsoft Update y actualizaciones automticas de
Windows incluir no sean administradores cuando determine qu usuario
con sesin iniciada recibir notificaciones de actualizacin. Los usuarios
no administrativos podrn instalar todo el contenido de actualizacin
importante, recomendados y opcionales para el que ha recibido una
notificacin. Los usuarios no vern una ventana de Control de cuentas de
usuario y no necesitan permisos elevados para instalar estas
actualizaciones, excepto en el caso de las actualizaciones que contienen
cambios de configuracin de la interfaz de usuario, contrato de licencia de
usuario final o Windows Update.
Existen dos situaciones donde el efecto de esta configuracin depende del

equipo operativo:
1. OcultaroRestauraractualizaciones
Habilitada 2. Cancelaruna instalacin de actualizacin
EnWindows Vistao Windows XP, si se habilita esta configuracin de

directiva, los usuarios no vern una ventana de Control de cuentas de
usuario y no necesitan permisos elevados para ocultar, restaurar o
cancelar las actualizaciones.
EnWindows Vistasi se habilita esta configuracin de directiva, los

usuarios no vern una ventana de Control de cuentas de usuario y no
necesitan permisos elevados para ocultar, restaurar o cancelar las
actualizaciones. Si no est habilitada esta configuracin de directiva, los
usuarios siempre vern una ventana de Control de cuentas y requieren
permisos elevados para ocultar, restaurar o cancelar las actualizaciones.
EnWindows 7esta configuracin de directiva no tiene ningn efecto. Los

usuarios siempre vern una ventana de Control de cuentas y requieren
permisos elevados para realizar estas tareas.
EnWindows 8yWindows RTesta configuracin de directiva no tiene

ningn efecto.
Especifica que ha iniciado sesin slo administradores reciban
notificaciones de actualizacin.
Nota
Deshabilitada
EnWindows 8yWindows RTesta configuracin de directiva est
habilitada de forma predeterminada. En todas las versiones anteriores de
Windows est deshabilitado de forma predeterminada.
Permitir actualizaciones firmadas desde una ubicacin del servicio Microsoft update de
la intranet
Especifica si las actualizaciones automticas acepta las actualizaciones que estn firmadas
por entidades que no sea de Microsoft cuando la actualizacin se encuentra en una
ubicacin del servicio Microsoft update de intranet.

Windows RT
Nota
Las actualizaciones de un servicio que no sea un servicio de actualizacin de Microsoft de

intranet siempre deben estar firmadas por Microsoft y no se ven afectados por esta
configuracin de directiva.
Nota
Esta directiva no se admite enWindows RT. Si habilita esta directiva no tendr ningn
efecto en los equipos que ejecutanWindows RT.
Estado de la
directiva
Especifica que las actualizaciones desde una ubicacin del servicio
No configurado
Microsoft update de la intranet deben estar firmadas por Microsoft.
Especifica que las actualizaciones automticas acepta actualizaciones
Habilitada
recibidas a travs de una ubicacin del servicio Microsoft update de la
intranet si estn firmadas por un certificado que se encuentra en el
almacn de certificados del equipo local "Editores de confianza".
Especifica que las actualizaciones desde una ubicacin del servicio
Deshabilitada
Microsoft update de la intranet deben estar firmadas por Microsoft.
Reiniciar siempre automticamente a la hora programada
Especifica si un temporizador de reinicio siempre comienza inmediatamente despus de

que Windows Update instala actualizaciones importantes, en lugar de la primera
notificacin a que los usuarios en la pantalla de inicio de sesin para al menos dos das.

nulo
Nota
Si la configuracin de directiva "instalaciones de actualizaciones No reiniciar

automticamente con usuarios que iniciaron sesin para automticas programadas" est
habilitada, esta directiva no tiene ningn efecto.
Estado de la
directiva
Especifica que Windows Update no alterar el comportamiento de
No configurado
reinicio del equipo.
Especifica que un temporizador de reinicio siempre comienza
inmediatamente despus de que Windows Update instala
actualizaciones importantes, en lugar de la primera notificacin a que
los usuarios en la pantalla de inicio de sesin para al menos dos das.
Habilitada
El temporizador de reinicio puede configurarse para que comience con
cualquier valor desde 15 a 180 minutos. Cuando se agote el
temporizador, el reinicio continuar incluso si el equipo tiene usuarios
con sesin iniciada.
Especifica que Windows Update no alterar el comportamiento de
Deshabilitada
reinicio del equipo.
Opciones: Si habilita esta configuracin, puede especificar la cantidad de tiempo que debe
transcurrir despus de instalar actualizaciones antes de que se produzca un reinicio del
equipo forzada.
Frecuencia de deteccin de actualizaciones automtica
Especifica las horas que Windows usar para determinar cunto tiempo debe esperar antes
de comprobar si hay actualizaciones disponibles. El tiempo de espera exacto se determina
mediante las horas especificadas aqu menos cero a veinte por ciento de las horas
especificadas. Por ejemplo, si esta directiva se utiliza para especificar una frecuencia de
deteccin de 20 horas, todos los clientes a los que se aplica esta directiva comprobar las
actualizaciones en cualquier lugar entre 16 y 20 horas.

Sistemas operativos Windows que estn an en susciclo de vida de soporte Windows
tcnico de productos de Microsoft. RT
Nota
La configuracin "Especificar la ubicacin del servicio Microsoft update la intranet" debe

habilitarse para que esta directiva surta efecto.
Si la configuracin de directiva "Configurar actualizaciones automticas" est

deshabilitada, esta directiva no tiene ningn efecto.
Nota
Estado de la configuracin
Comportamiento
de directiva
Especifica que Windows buscar actualizaciones disponibles
No configurado
en el intervalo predeterminado de 22 horas.
Habilitada
en el intervalo especificado.
Deshabilitada
en el intervalo predeterminado de 22 horas.
Opciones: Si habilita esta configuracin, puede especificar el intervalo de tiempo (en horas)
que se espera antes de comprobar las actualizaciones a Windows Update.
Configurar actualizaciones automticas
Especifica especificar si las actualizaciones automticas estn habilitadas en este equipo.

tcnico de productos de Microsoft. RT
Si habilita esta opcin, debe seleccionar una de las cuatro opciones que se proporcionan en
esta configuracin de directiva de grupo.
Para usar esta configuracin, seleccionehabilitadoy, a continuacin,

enopcionesenConfigurar actualizaciones automticas deseleccione una de las opciones
(2, 3, 4 o 5).
Estado de la
directiva
Especifica que el uso de las actualizaciones automticas no se especifica
en el nivel de directiva de grupo. Sin embargo, un administrador del
No configurado
equipo todava puede configurar actualizaciones automticas en el Panel
de Control.
Especifica que Windows reconoce cuando el equipo est en lnea y utiliza
su conexin a Internet para buscar las actualizaciones disponibles en
Windows Update.
Cuando est habilitada, los administradores locales podrn usar el panel

de control de Windows Update para seleccionar una opcin de
configuracin de su eleccin. Sin embargo, los administradores locales no
se permitir para deshabilitar la configuracin de actualizaciones
automticas.
2 - notificar descarga y notificar instalacin
Cuando Windows Update busca las actualizaciones que se aplican

al equipo, se notificar a los usuarios que las actualizaciones estn
listas para su descarga. Los usuarios, a continuacin, pueden
ejecutar Windows Update para descargar e instalar las
Habilitada
actualizaciones disponibles.
3 Descargar automticamente y notificar instalacin(valor

predeterminado)
Windows Update busca las actualizaciones aplicables y las

descarga en segundo plano; el usuario no se le notifica ni
interrumpe durante el proceso. Cuando se hayan completado las
descargas, se notifica a los usuarios que hay actualizaciones listas
para instalar. Los usuarios, a continuacin, pueden ejecutar
Windows Update para instalar las actualizaciones descargadas.
4 Descargar automticamente y programar la instalacin
Puede especificar la programacin mediante las opciones en esta

configuracin de directiva de grupo. Si no se especifica ninguna
programacin, la programacin predeterminada para todas las
instalaciones ser diariamente a las 3:00 A.M. Si alguna
actualizacin requiere un reinicio para completar la instalacin,
Windows reiniciar automticamente el equipo. (Si un usuario ha
iniciado sesin en el equipo cuando Windows est listo para
reiniciar, el usuario se notifica y ofrece la opcin de retrasar el
reinicio.)
Nota
IniciarWindows 8puede establecer las actualizaciones que se

instalar durante el mantenimiento automtico en lugar de usar
una programacin especfica vinculada a Windows Update.
Mantenimiento automtico instalar actualizaciones cuando el
equipo no est en uso y evitar la instalacin de actualizaciones
cuando el equipo est funcionando con batera. Si no puede
instalar actualizaciones en das mantenimiento automtico,
Windows Update se instalar actualizaciones inmediatamente. A
continuacin, se notificar a los usuarios acerca de un reinicio
pendiente. Un reinicio pendiente slo llevar a cabo si no hay
ninguna posibilidad de prdida accidental de datos.
Puede especificar opciones de programacin en la configuracin

del programador de mantenimiento GPME, que se encuentra en
la ruta de acceso,nombreDeDirectiva>Configuracin del
equipo>directivas>plantillas administrativas>componentes
de Windows>Mantenimiento programador>lmite de
activacin automtica de mantenimiento. Vea la seccin de
esta referencia titulada:Configuracin del equipo > configuracin
de la directiva de programador de mantenimientopara establecer
los detalles.
5 - permitir al administrador local elegir configuracin
Especifica si los administradores locales pueden utilizar

actualizaciones automticas en el panel de control para
seleccionar una opcin de configuracin de su eleccin, por
ejemplo, si los administradores locales pueden elegir una hora de
instalacin programada.
No se permitir a los administradores locales para deshabilitar la

configuracin de actualizaciones automticas.
Especifica que las actualizaciones de cliente que estn disponibles en el
Deshabilitada servicio Windows Update pblico deben manualmente descargadas de
Internet e instalar.
Retrasar el reinicio para las instalaciones programadas
Especifica la cantidad de tiempo que actualizaciones automticas esperar antes de

continuar con un reinicio programado.

nulo
Nota
Esta directiva slo se aplica cuando actualizaciones automticas est configurada para
realizar instalaciones o actualizaciones programadas. Si la configuracin de directiva
"Configurar actualizaciones automticas" est deshabilitada, esta directiva no tiene ningn
efecto.
Estado de la
directiva
Especifica que despus de instalar actualizaciones, el tiempo de
No configurado espera predeterminado de quince minutos que deben transcurrir
antes de que se produzca cualquier reinicio programado.
Especifica que cuando finaliza la instalacin, se producir un
Habilitada reinicio programado una vez transcurrido el nmero especificado de
minutos.
Especifica que despus de instalar actualizaciones, el tiempo de
Deshabilitada espera predeterminado de quince minutos que deben transcurrir
antes de que se produzca cualquier reinicio programado.
Opciones: Si habilita esta configuracin, puede utilizar esta opcin para especificar que la
cantidad de tiempo (en minutos) de actualizaciones automticas espera antes de proceder
con un reinicio programado.
No ajustar la opcin predeterminada en "Instalar actualizaciones y apagar" en el cuadro

de dilogo de salir de Windows
Esta configuracin de directiva le permite especificar si elinstalar actualizaciones y

apagaropcin est permitida como la opcin predeterminada en elApagarcuadro de
dilogo.

nulo
Nota
Esta configuracin de directiva no tendr ningn efecto si

lanombreDeDirectiva>Configuracin del equipo>directivas>plantillas
administrativas>componentes de Windows>Windows Update>opcin "Instalar
actualizaciones y apagar" no se muestran en el cuadro de dilogo Cerrar
Windowsdirectiva est habilitada.
Estado de la
directiva
Especifica queinstalar actualizaciones y apagarser la opcin
predeterminada de laApagarcuadro de dilogo si hay actualizaciones
No configurado
disponibles para su instalacin en el momento en que el usuario
selecciona la opcin Apagar para apagar el equipo.
Si habilita esta configuracin de directiva, ltima opcin de cierre el
usuario (por ejemplo, hibernacin o reinicio), es la opcin
Habilitada predeterminada de laApagarcuadro de dilogo, independientemente de
si elinstalar actualizaciones y apagaropcin est disponible en
laQu desea hacer?men.
Especifica queinstalar actualizaciones y apagarser la opcin
Deshabilitada
No se conecte a cualquier ubicacin de Internet de Windows Update
Incluso cuando Windows Update est configurado para recibir actualizaciones de un

servicio de actualizacin de la intranet, se recuperarn informacin peridicamente desde el
servicio pblico Windows Update para habilitar las conexiones futuras a Windows Update
y otros servicios, como Microsoft Update o la tienda Windows.
Al habilitar esta directiva se deshabilitar la funcionalidad para recuperar peridicamente la

informacin de la versin pblica de Windows Server Update Services y puede hacer que la
conexin a servicios pblicos, como el almacn de Windows deje de funcionar.

A partir deWindows Server 2012 R2Windows 8.1oWindows RT 8.1que estn
todava en los sistemas operativos de Windows susciclo de vida de soporte nulo
Nota
Esta directiva aplica slo cuando el equipo est configurado para conectarse a un servicio
de actualizacin de la intranet mediante la configuracin de directiva "Especificar intranet
Microsoft update ubicacin del servicio".
Estado de la Comportamiento
configuracin de
directiva
Conserva el comportamiento predeterminado para recuperar
No configurado informacin de la versin pblica de Windows Server Update
Services.
Especifica que los equipos no recuperar la informacin de la
Habilitada
versin pblica de Windows Server Update Services.
Conserva el comportamiento predeterminado para recuperar
Deshabilitada informacin de la versin pblica de Windows Server Update
Services.
No mostrar la opcin "Instalar actualizaciones y apagar" en el cuadro de dilogo de salir

de Windows
Especifica si elinstalar actualizaciones y apagaropcin se muestra en elApagarcuadro de

dilogo.

Sistemas operativos Windows
que estn an en susciclo de
nulo
vida de soporte tcnico de
productos de Microsoft.
Estado de la configuracin de
Comportamiento
directiva
Especifica que elinstalar actualizaciones y apagaropcin
est disponible en laApagarcuadro de dilogo si hay
No configurado actualizaciones disponibles cuando el usuario selecciona la
opcin Apagar para apagar el equipo. Un administrador local
puede cambiar esta configuracin mediante la directiva local.
Especifica queinstalar actualizaciones y apagarno
aparecer como una opcin en elApagarcuadro de dilogo,
Habilitada incluso si hay actualizaciones disponibles para instalarse
cuando el usuario selecciona la opcin Apagar para apagar el
equipo.
ser la opcin predeterminada de laApagarcuadro de dilogo
Deshabilitada si hay actualizaciones disponibles para su instalacin en el
momento en que el usuario selecciona la opcin Apagar para
apagar el equipo.

Habilitar destinatarios del lado cliente
Especifica el nombre del grupo de destino o nombres que se configuran en la consola de

WSUS que van a recibir actualizaciones de WSUS.

Windows RT
Nota
Esta directiva se aplica nicamente cuando el equipo est configurado para admitir los
nombres de grupo de destino especificado en WSUS. Si el nombre del grupo de destino no
existe en WSUS, se ignorarn hasta que se crea. Si la configuracin de directiva
"Especificar la ubicacin del servicio Microsoft update la intranet" est deshabilitada o no
configurada, esta directiva no tiene ningn efecto.
Nota
Estado de la
directiva
Especifica que se enva ninguna informacin de grupo de destino a
No configurado WSUS. Un administrador local puede cambiar esta configuracin
mediante una directiva local.
Especifica que la informacin de grupo de destino especificado se enva
a WSUS, que utiliza para determinar qu actualizaciones deben
implementarse en este equipo. Si WSUS es compatible con mltiples
Habilitada grupos de destino, puede utilizar esta directiva para especificar varios
nombres de grupo, separados por punto y coma, si ha agregado los
nombres de grupo de destino en la lista de grupo de equipos en WSUS.
De lo contrario, debe especificarse un nico grupo.
Especifica que se enva ninguna informacin de grupo de destino a
Deshabilitada
WSUS.
Opciones: Utilice este espacio para especificar uno o varios nombres de grupo de destino.
Habilitar administracin de energa de Windows Update reactivar automticamente el

equipo para instalar las actualizaciones programadas
Especifica si Windows Update usar las caractersticas de administracin de energa de

Windows o las opciones de energa para reactivar el equipo desde la hibernacin
automticamente si hay actualizaciones programadas para su instalacin.
El equipo se active automticamente slo si Windows Update est configurado para instalar
actualizaciones automticamente. Si el equipo est en hibernacin cuando se produce la
hora de instalacin programada y hay aplicar actualizaciones, Windows Update usar las
caractersticas de administracin de energa de Windows o las opciones de energa para
activar automticamente el equipo para instalar las actualizaciones. Windows Update
tambin reactivar el equipo e instalar una actualizacin si se produce una fecha lmite de
instalacin.
El equipo se reactiva a menos que existan las actualizaciones se instalen. Si el equipo

funciona con batera, cuando Windows Update se reactiva, no instalar las actualizaciones
y el equipo volver automticamente al modo de hibernacin en dos minutos.

A partir deWindows VistayWindows
Server 2008(Windows 7), que estn todava en
los sistemas operativos de Windows susciclo de nulo
vida de soporte tcnico de productos de
Microsoft.
Estado de la configuracin de directiva Comportamiento
Windows Update no se reactiva el equipo
de la hibernacin para instalar las
No configurado actualizaciones. Un administrador local
puede cambiar esta configuracin
Windows Update reactiva el equipo de la
hibernacin para instalar actualizaciones
Habilitada
en las condiciones enumeradas
anteriormente.
Windows Update no se reactiva el equipo
Deshabilitada de la hibernacin para instalar las
actualizaciones.
Instalaciones de actualizaciones no reiniciar automticamente con usuarios que

iniciaron sesin para automticas programadas
Especifica que, para completar una instalacin programada, actualizaciones automticas

esperar el equipo se reinicie por cualquier usuario que ha iniciado sesin, en lugar de
reiniciar automticamente el equipo.

nulo
Nota
efecto.
Estado de la
directiva
Especifica que las actualizaciones automticas notificar al usuario que
No configurado el equipo se reiniciar automticamente en 5 minutos para completar la
instalacin.
Algunas actualizaciones requieren que el equipo se reinicie antes de que
las actualizaciones surtan efecto. Si el estado se establece en habilitado,
actualizaciones automticas no reiniciar un equipo automticamente
Habilitada
durante una instalacin programada si un usuario ha iniciado sesin en
el equipo. En su lugar, actualizaciones automticas notificar al usuario
que reinicie el equipo.
Especifica que las actualizaciones automticas notificar al usuario que
Deshabilitada el equipo se reiniciar automticamente en 5 minutos para completar la
instalacin.
Volver a preguntar para reiniciar con instalaciones programadas
Especifica la cantidad de tiempo que actualizaciones automticas debe esperar antes de

volver a preguntar con un reinicio programado.

Windows RT
Importante
efecto.
Nota
Esta directiva no tiene ningn efecto en equipos que

ejecutanWindows RT.
Comportamiento
directiva
Un reinicio programado se produce a diez minutos despus
de la notificacin de reinicio se descarta el mensaje. Un
No configurado
administrador local puede cambiar esta configuracin
Especifica que una vez se ha pospuesto la peticin anterior
Habilitada para reiniciar, se producir un reinicio programado despus
del nmero especificado de transcurra minutos.
Un reinicio programado se produce a diez minutos despus
Deshabilitada
de la notificacin de reinicio se descarta el mensaje.
Opciones: Cuando est habilitada, puede utilizar esta opcin de configuracin para
especificar (en minutos) la duracin de tiempo que debe transcurrir antes de que se pide a
los usuarios acerca de un reinicio programado.
Volver a programar la instalacin programada de actualizaciones automticas
Especifica la cantidad de tiempo que actualizaciones automticas debe esperar despus de

un inicio del equipo, antes de continuar con una instalacin programada que previamente se
ha perdido.
Si el estado se establece enno configuradose producir una instalacin programada no

ejecutada un minuto despus de que el equipo es el siguiente inicia.

nulo
Nota
efecto.
Estado de la
directiva
Especifica que una instalacin programada no ejecutada habr
No configurado
iniciado un minuto despus de que el equipo es el siguiente.
Especifica que una instalacin programada que no tuvo lugar
Habilitada anteriormente producir el nmero especificado de minutos
despus de iniciarse el equipo.
Especifica que se realizar una instalacin programada no
Deshabilitada
ejecutada con la siguiente instalacin programada.
Opciones: Cuando se habilita esta configuracin de directiva, se puede utilizar para
especificar un nmero de minutos despus de iniciarse el equipo, que una instalacin
programada que no tuvo lugar anteriormente, se producir.
Especifique la ubicacin del servicio Microsoft update de la intranet
Especifica un servidor de intranet para alojar actualizaciones desde Microsoft Update. A

continuacin, puede utilizar WSUS para actualizar automticamente los equipos de la red.

tcnico de productos de Microsoft. RT.
Esta configuracin le permite especificar un servidor de WSUS en la red que funciona

como un servicio de actualizacin interno. En lugar de utilizar Microsoft Updates en
Internet, los clientes WSUS buscar en este servicio actualizaciones que se aplican.
Para usar esta opcin, debe establecer dos valores de nombre de servidor: el servidor desde
el que el cliente detecta y descarga las actualizaciones y el servidor para que las estaciones
de trabajo actualizadas cargan las estadsticas. Los valores no necesitan ser diferentes si
ambos servicios estn configurados en el mismo servidor.
Nota
Si la configuracin de directiva "Configurar actualizaciones automticas" est

deshabilitada, esta directiva no tiene ningn efecto.
Nota
Estado de la
directiva
Si actualizaciones automticas no estn deshabilitadas por las
preferencias de directiva o de usuario, esta directiva especifica que los
No configurado
clientes se conectan directamente al sitio de Windows Update en
Internet.
Especifica que el cliente se conecta al servidor WSUS especificado, en
lugar de Windows Update para buscar y descargar actualizaciones. Al
habilitar a esta opcin significa que los usuarios finales de su
Habilitada
organizacin no tiene que pasar por un firewall para obtener
actualizaciones, y ofrece la oportunidad de probar las actualizaciones
antes de implementarlas.
Deshabilitada Si actualizaciones automticas no estn deshabilitadas por las
preferencias de directiva o de usuario, esta directiva especifica que los
clientes se conectan directamente al sitio de Windows Update en
Internet.
Opciones: Cuando se habilita esta configuracin de directiva, debe especificar el servicio

de actualizacin de la intranet que va a usar los clientes WSUS al detectar actualizaciones y
el servidor de estadsticas de Internet a la que actualiza a los clientes WSUS cargarn las
estadsticas. Valores de ejemplo:
Opcin de configuracin: Valor de ejemplo:

Configurar el servicio de actualizacin de la intranet para detectar
http://wsus01:8530
actualizaciones
Establecer el servidor de estadsticas de la intranet http://IntranetUpd01
Activar actualizaciones recomendadas mediante actualizaciones automticas
Especifica si actualizaciones automticas proporcionar las actualizaciones importantes y

recomendadas de WSUS.

A partir deWindows Vistaque estn todava
en los sistemas operativos de Windows
nulo
susciclo de vida de soporte tcnico de
Estado de la configuracin de directiva Comportamiento
Especifica que las actualizaciones
automticas continuar proporcionando las
No configurado
actualizaciones importantes, si ya est
configurado para ello.
automticas instalar las actualizaciones
Habilitada
recomendadas y actualizaciones importantes
de WSUS.
automticas continuar proporcionando las
Deshabilitada
actualizaciones importantes, si ya est
configurado para ello.
Activar las notificaciones de Software
Esta configuracin de directiva le permite controlar si los usuarios ven los mensajes de
notificacin mejorada detallada sobre el software del servicio Microsoft Update. Mensajes
de notificacin mejorada transmiten el valor y promocin la instalacin y uso del software
opcional. Esta configuracin de directiva est pensada para su uso en entornos escasamente
administrados en los que el acceso del usuario final al servicio Microsoft Update.
Si no utiliza el servicio Microsoft Update, la configuracin de directiva "Notificaciones de

Software" no tiene ningn efecto.
Si la configuracin de directiva "Configurar actualizaciones automticas" est deshabilitada

o no est configurada, la configuracin de directiva "Notificaciones de Software" no tiene
ningn efecto.

A partir deWindows Server 2008(Windows Vista) yWindows 7que estn todava
en los sistemas operativos de Windows susciclo de vida de soporte tcnico de nulo
Nota
De forma predeterminada, esta configuracin de directiva est deshabilitada.

Estado de la
directiva
Los usuarios de equipos que ejecutanWindows 7no se ofrecen los
mensajes para las aplicaciones opcionales. Los usuarios de equipos que
ejecutanWindows Vistano se ofrecen los mensajes para las
No configurado
actualizaciones o aplicaciones opcionales. Un administrador local puede
cambiar esta configuracin mediante el Panel de Control o una directiva
local.
Si habilita a esta configuracin de directiva, un mensaje de notificacin
aparecer en el equipo del usuario cuando destacados de software est
disponible. El usuario puede pulsar la notificacin para abrir Windows
Update y obtener ms informacin acerca del software o instalarlo. El
usuario puede hacer clic enCerrar el mensajeoMostrarme ms
Habilitada adelantepara aplazar la notificacin segn corresponda.
EnWindows 7esta configuracin ser solo control detallado de las

notificaciones para aplicaciones opcionales de directiva. EnWindows
Vistaesta configuracin de notificaciones detalladas de los controles
para aplicaciones opcionales y las actualizaciones de directiva.
Especifica que los usuarios ejecutanWindows 7no se ofrecer mensajes
de notificacin detallada para aplicaciones opcionales y los usuarios que
Deshabilitada
ejecutanWindows Vistano se ofrecer mensajes de notificacin
detallada de las actualizaciones opcionales o aplicaciones opcionales.

Configuracin del equipo > configuracin de la directiva de programador de
mantenimiento
En la configuracin de configurar actualizaciones automticas, seleccion la opcin 4

Descargar automticamente y programar la instalacin, puede especificar programar la
configuracin del programador de mantenimiento en la GPMC para equipos que ejecutan
Windows 8 y Windows RT. Si no ha seleccionado la opcin 4 en la configuracin
"Configurar actualizaciones automticas", no es necesario configurar estas opciones con el
fin de actualizaciones automticas. Configuracin del programador de mantenimiento se
encuentra en la ruta de acceso: NombreDeDirectiva>Configuracin del
equipo>directivas>plantillas administrativas>componentes de
Windows>Mantenimiento programador. La extensin del programador de
mantenimiento de directiva de grupo contiene las siguientes opciones:
Lmite de activacin de mantenimiento automtico

Retraso aleatorio de mantenimiento automtico
Directiva de activacin automtica
Lmite de activacin de mantenimiento automtico
Esta directiva le permite configurar la opcin "Lmite de activacin de mantenimiento

automtico".
El lmite de activacin de mantenimiento es el momento programado diario en el que

comienza el mantenimiento automtico.

nulo
Nota
Esta configuracin est relacionada con la opcin 4 enConfigurar actualizaciones

automticas. Si no ha seleccionado la opcin 4 enConfigurar actualizaciones
automticasno es necesario configurar esta opcin.
Estado de la
directiva
Si no se configura esta configuracin de directiva, todos los das
programan tiempo tal como se especifica en los equipos cliente en
No configurado
losCentro de actividades>Mantenimiento automticoPanel de
Control se aplicar.
Si habilita esta configuracin de directiva invalida cualquier valor
predeterminado o modificar las opciones configuradas en los equipos
Habilitada
cliente deel Panel de Control>Centro de
actividades>Mantenimiento automtico(o en algunas versiones de
cliente,Mantenimiento).
Si establece esta configuracin de directiva endeshabilitadola hora
programada diariamente como se especifica en elCentro de
Deshabilitada
actividades>Mantenimiento automticoen el Panel de Control se
aplicar.
Retraso aleatorio de mantenimiento automtico
Esta configuracin de directiva permite configurar el retraso aleatorio de activacin de

mantenimiento automtico.
El retraso aleatorio de mantenimiento es la cantidad de tiempo que el mantenimiento

automtico retrasar a partir de su lmite de activacin. Esta configuracin es til para las
mquinas virtuales donde aleatorio mantenimiento puede ser un requisito de rendimiento.

nulo
Nota

De forma predeterminada, cuando est habilitada, el retraso aleatorio de mantenimiento

regular se establece enPT4H.
Estado de la
Comportamiento
configuracin de directiva
No configurado Se aplica un retraso aleatorio de cuatro horas aautomtica.
Mantenimiento automtico retrasar a partir de su lmite de
Habilitada
activacin por hasta el perodo de tiempo especificado.
Deshabilitada Mantenimiento automtico no se aplica ningn retraso aleatorio.
Directiva de activacin automtica
Esta configuracin de directiva permite configurar la directiva de activacin de

mantenimiento automtico.
La directiva de mantenimiento de reactivacin especifica si el mantenimiento automtico

debe realizar una solicitud de reactivacin al equipo operativo mantenimiento programado
diario.

nulo
Nota
Si el equipo de funcionamiento del energa wake directiva est deshabilitada de forma

explcita, esta configuracin no tiene ningn efecto.
Nota

Estado de la
directiva
Si no configura esta configuracin de directiva, la reactivacin
No configurado establecer como especificado en elCentro de
actividades>Mantenimiento automticoPanel de Control se aplicar.
Si habilita a esta configuracin de directiva, el mantenimiento
automtico intentar establecer una directiva de reactivacin del
Habilitada
sistema operativo y realice una solicitud de reactivacin de la hora
programada diariamente, si es necesario.
Si deshabilita esta configuracin de directiva, la reactivacin establecer
Deshabilitada como se especifica en elCentro de actividades>Mantenimiento
automticoPanel de Control se aplicar.
Configuracin de usuario > configuracin de la directiva de Windows

Update
En esta seccin se proporciona detalles acerca de la configuracin de directiva basada en

usuario siguientes:
No mostrar la opcin 'Instalar actualizaciones y apagar' en el cuadro de dilogo

Cerrar Windows
No ajustar la opcin predeterminada para "Instalar actualizaciones y apagar" en el
cuadro de dilogo Cerrar Windows
Quitar el acceso para utilizar todas las caractersticas de Windows Update
En GPMC, la configuracin de usuario para las actualizaciones automticas se encuentra en

la ruta de acceso: NombreDeDirectiva>configuracin de usuario>directivas>plantillas
administrativas>componentes de Windows>Windows Update. La configuracin se
enumeran en el mismo orden en que aparecen en las extensiones de configuracin del
equipo y configuracin de usuario en la directiva de grupo, cuando laconfiguracinse
selecciona la ficha de la directiva de Windows Update para ordenar las opciones
alfabticamente.
Nota
De forma predeterminada, a menos que se indique lo contrario, estas opciones no estn

configuradas.
Sugerencia
Para cada uno de estos valores, puede utilizar los siguientes pasos para habilitar,
deshabilitar o desplazarse entre las opciones:
No mostrar la opcin 'Instalar actualizaciones y apagar' en el cuadro de dilogo Cerrar

Windows
Especifica si elinstalar actualizaciones y apagaropcin se muestra en elApagarcuadro de

dilogo.

Sistemas operativos Windows
que estn an en susciclo de
nulo
vida de soporte tcnico de
Comportamiento
directiva
aparecer en laApagarcuadro de dilogo si hay
No configurado
actualizaciones disponibles cuando el usuario selecciona la
opcin Apagar para apagar el equipo.
Si habilita esta configuracin de directiva,instalar
actualizaciones y apagarno aparecer como una opcin en
Habilitada elApagarcuadro de dilogo, incluso si hay actualizaciones
disponibles para instalarse cuando el usuario selecciona la
aparecer en laApagarcuadro de dilogo si hay
Deshabilitada
actualizaciones disponibles cuando el usuario selecciona la
No ajustar la opcin predeterminada para "Instalar actualizaciones y apagar" en el

cuadro de dilogo Cerrar Windows
Especifica si elinstalar actualizaciones y apagarse permite la opcin como la opcin

predeterminada en elApagarcuadro de dilogo.
nulo
Nota
Esta configuracin de directiva no tendr ningn efecto si

lanombreDeDirectiva>configuracin de usuario>directivas>plantillas
administrativas>componentes de Windows>Windows Update>opcin "Instalar
actualizaciones y apagar" no se muestran en el cuadro de dilogo Cerrar
Windowsest habilitado.
Estado de la
directiva
Especifica si elinstalar actualizaciones y apagaropcin ser la opcin
No configurado
Especifica si ltima opcin de cierre el usuario (por ejemplo,
hibernacin o reiniciar) es la opcin predeterminada de
Habilitada laApagarcuadro de dilogo, independientemente de si laopcin
instalar actualizaciones y apagarest disponible en laQu desea
hacer?men.
Especifica si elinstalar actualizaciones y apagaropcin ser la opcin
Deshabilitada
Quitar el acceso para utilizar todas las caractersticas de Windows Update
Esta configuracin le permite quitar el acceso de cliente WSUS a Windows Update.

Sistemas operativos
Windows que estn an
en susciclo de vida de nulo
soporte tcnico de
Estado de la
directiva
Los usuarios son capaces de conectarse al sitio Web de Windows
No configurado
Update.
Importante
Si estn habilitado, todas las caractersticas de Windows Update a

quitar. Esto incluye el acceso al sitio Web de Windows Update en
http://windowsupdate.microsoft.com, desde el hipervnculo de
Windows Update en el men Inicio o la pantalla de inicio y
tambin en elherramientasmen de Internet Explorer. Tambin
se deshabilitan actualizaciones automticas de Windows; el
usuario ser notificado sobre ni recibir actualizaciones crticas de
Windows Update. Esta configuracin tambin impide que el
Administrador de dispositivos instale automticamente
actualizaciones de controladores desde el sitio Web de Windows
Update.
Cuando est habilitada, puede configurar una de las siguientes

opciones de notificacin:
0 - no mostrar ninguna notificacin

Habilitada
Esta configuracin se quitar todo el acceso a las
caractersticas de Windows Update y no se mostrar
ninguna notificacin.
1 - Mostrar reiniciar las notificaciones necesarias
Esta configuracin le mostrar las notificaciones acerca de

reinicios necesarios para completar una instalacin.
Nota
En equipos que ejecutanWindows 8yWindows RTsi se habilita

esta directiva, slo las notificaciones relacionados con los
reinicios y se mostrar la incapacidad para detectar las
actualizaciones. No se admiten las opciones de notificacin.
Siempre se muestran notificaciones en la pantalla de inicio de
sesin.
Los usuarios son capaces de conectarse al sitio Web de Windows
Deshabilitada
Update.
Opciones: Consultehabilitadoen la tabla de esta configuracin.
Informacin complementaria
Esta seccin proporciona informacin adicional acerca del uso de abrir y guardar la
configuracin de WSUS en las directivas de grupo y las definiciones de trminos usados en
esta gua. Para los administradores familiarizados con versiones anteriores de WSUS
(WSUS 3.2 y versiones anteriores), hay una tabla que resume brevemente las diferencias
entre las versiones WSUS.
Obtener acceso a la configuracin de Windows Update en la directiva de

grupo
El siguiente procedimiento describe cmo abrir la consola de GPMC en el controlador de

dominio. El procedimiento, a continuacin, describe cmo abrir un existente objeto de
directiva de grupo (GPO) nivel de dominio para la edicin, o crear un nuevo GPO de nivel
de dominio y abrirlo y editarlo.
Nota
Debe ser miembro de laAdmins. del dominioo un grupo equivalente, para realizar este
procedimiento.
Para abrir o agregar y abrir un objeto de directiva de grupo
1. En el controlador de dominio, vaya aAdministrador del

servidor>herramientas>Group Policy Management. Se abre la consola de
administracin de directivas de grupo.
2. En el panel izquierdo, expanda el bosque. Por ejemplo, haga doble clic enbosque:
ejemplo.com.
3. En el panel izquierdo, haga doble clic endominiosy, a continuacin, haga doble clic
en el dominio para el que desea administrar un objeto de directiva de grupo. Por
ejemplo, haga doble clic enejemplo.com.
4. Realice una de las siguientes acciones:
5. Para abrir un GPO de nivel de dominio existente para editarhaga doble clic en el
dominio que contiene el objeto de directiva de grupo que desea administrar, haga
clic en la directiva de dominio que desea administrar y, a continuacin, haga clic
enEditar. Se abre el Editor de administracin de directiva de grupo (GPME).
Para crear un nuevo objeto de directiva de grupo y abrir para editar:
1.
1. Haga clic en el dominio para el que desea crear un nuevo objeto de
directiva de grupo y, a continuacin, haga clic encrear un GPO en
este dominio y vincularlo aqu.
2. Ennuevo GPOennombreescriba un nombre para el nuevo objeto de
directiva de grupo y, a continuacin, haga clic enAceptar.
3. Haga clic en el nuevo objeto de directiva de grupo y, a continuacin,
haga clic enEditar. Se abre el GPME.
Para abrir las extensiones de Windows Update o el programador de mantenimiento de
directiva de grupo
1. En el Editor de administracin de directivas de grupo, realice una de las acciones

siguientes:
o Abrir la configuracin del equipo > extensin de Windows Update de
directiva de grupo. Vaya a: NombreDeDirectiva>Configuracin del
equipo>directivas/plantillas administrativas>componentes de
Windows>Windows Update.
o Abrir la configuracin de usuario > extensin de Windows Update de
directiva de grupo. Vaya a: NombreDeDirectiva>configuracin de
usuario>directivas>plantillas administrativas>componentes de
Windows>Windows Update.
o Abrir la configuracin del equipo > extensin del programador de
mantenimiento de directiva de grupo. En el GPOE, vaya
anombreDeDirectiva>Configuracin del equipo>directivas>plantillas
administrativas>componentes de Windows>Mantenimiento
programador.
Para obtener ms informacin acerca de la directiva de grupo, consulteIntroduccin a

directiva de grupo.
Sugerencia
Despus de abrir la extensin de directiva de grupo que desea, puede utilizar los siguientes
pasos para habilitar, deshabilitar o desplazarse entre las opciones:
Para configurar la directiva de grupo
1. EnExtensionOfGroupPolicyhaga doble clic en el valor que desea ver o modificar.

2. Para configurar la configuracin, realice una de las acciones siguientes:
o Para conservar el valor predeterminado no especifica el estado de la
configuracin, seleccioneno configurado
o Para habilitar la configuracin, seleccionehabilitado
o Para deshabilitar la configuracin, seleccionedeshabilitado.
3. Enopcionessi no aparece ninguna opcin, conserve los valores predeterminados o
modificarlas como sea necesario.
4. Realice una de las siguientes acciones:
o Para guardar los cambios y contine con la siguiente opcin de
configuracin, haga clic enaplicary, a continuacin, haga clic ensiguiente
opcin de configuracin.
o Para guardar los cambios y cerrar el cuadro de dilogo, haga clic enAceptar.
o Para descartar todos los cambios sin guardar y cerrar el cuadro de dilogo,
haga clic enCancelar.
Cambios realizados en WSUS relevantes para esta gua

La tabla siguiente resume las diferencias clave entre las versiones actuales y pasadas de
WSUS que son relevantes para esta gua.
Versiones de Windows
Descripcin
Server y WSUS
A partir deWindows Server 2012la funcin de servidor
Windows Server 2012 R2con WSUS est integrada con el sistema operativo y la
WSUS 6.0 y versiones configuracin de directiva de grupo asociada para los
posteriores clientes WSUS es, de forma predeterminada, incluido en la
directiva de grupo.
EnWindows Server 2008(y versiones anteriores de
Windows Server) con WSUS 3.2 (y versiones anteriores),
los valores de directiva de grupo que controlan los clientes
WSUS no se incluyen en estos sistemas operativos de
Windows Server 2008(y
Windows Server. La configuracin de directiva se
versiones anteriores de
encuentran en la plantilla administrativa de
Windows Server) con WSUS
WSUS,wuau.adm. En estas versiones de servidor, la
3.2 y versiones anteriores
plantilla administrativa de WSUS debe agregar primero en
la consola de administracin de directivas de grupo
(GPMC) para pueden configurar las opciones de cliente
WSUS.
Trminos y definiciones
Siguiente es una lista de trminos utilizados en esta gua.
Trmino Definicin
Un servicio que se ejecuta en equipos Windows(actualizaciones
automticas): Hace referencia al componente de equipo cliente
integrado en el Microsoft Windows Vista, Windows Server 2003,
Windows XP y Windows 2000 con SP3 los sistemas operativos
Actualizaciones para obtener actualizaciones desde Microsoft Update o Windows
automticas Update.
Referencia informal(actualizaciones automticas): El trmino

utilizado para describir cuando el agente de Windows Update
automticamente programaciones y descarga las actualizaciones.
Utilice esta opcin para hacer referencia a un servidor de
Windows Server Update Services (WSUS) de nivel inferior en el
servidor autnomo
que los administradores pueden administrar componentes de
WSUS.
Windows Server Update Services (WSUS) que obtiene
servidor de nivel inferior
actualizaciones desde otro servidor WSUS en lugar de desde
Microsoft Update o Windows Update.
Una coleccin de configuracin de directiva de grupo que se
utilizan para controlar cmo los usuarios y equipos (a los que se
aplican las directivas) pueden configurar y utilizar diversos
servicios de Windows y las caractersticas. Los administradores
pueden usar WSUS con directivas de grupo para la configuracin
Extensin de directiva de cliente del cliente de actualizaciones automticas, para ayudar
de grupo (y: extensin a garantizar que los usuarios finales no se pueden deshabilitar o
de directiva de grupo burlar las directivas de actualizacin corporativa.
WSUS no requiere el uso de Active Directory o directiva de

grupo. Tambin se puede aplicar la configuracin de cliente
mediante la directiva de grupo local o modificando el registro de
Windows.
servicio de actualizacin Referencia a una infraestructura de red que usa uno o ms
interno servidores WSUS para distribuir actualizaciones ocasional.
Windows Server Update Services (WSUS) de nivel inferior que
servidor de rplica refleja las aprobaciones y configuracin en el servidor que
precede a la que est conectado. No puede administrar WSUS en
un servidor de rplica.
Un sitio de descarga de Microsoft basado en Internet: Un sitio de
Internet de Microsoft que almacena y distribuye actualizaciones
Microsoft Update para los equipos de Windows (controladores de dispositivos), los
sistemas operativos Windows y otros productos de software de
Microsoft.
Software Update SUS fue el producto predecesor para Windows Server Update
Services (SUS) Services (WSUS).
Cualquiera de una coleccin de revisiones de software, las
revisiones, service packs, paquetes de caractersticas y
actualizaciones controladores de dispositivo que pueden instalarse en un equipo
para ampliar la funcionalidad o mejoran el rendimiento y
seguridad.
archivos de Los archivos necesarios para instalar una actualizacin en un
actualizacin equipo.
La informacin acerca de una actualizacin, a diferencia de los
archivos binarios de actualizacin en un paquete de actualizacin.
informacin de
Por ejemplo, los metadatos suministran informacin para las
actualizacin (tambin
propiedades de una actualizacin, lo que permite descubrir por
conocido como
qu es til la actualizacin. Los metadatos incluyen tambin los
metadatos de
trminos de licencia del Software de Microsoft. El paquete de
actualizacin)
metadatos descargado para una actualizacin es normalmente
mucho menor que el paquete de archivos de actualizacin real.
La ubicacin a la que un servidor de Windows Server Update
origen de actualizacin Services (WSUS) se sincroniza para obtener los archivos de
actualizacin. Esta ubicacin puede ser Microsoft Update o un
servidor WSUS ascendente.
Un servidor de Windows Server Update Services (WSUS) que
servidor ascendente proporciona archivos de actualizacin a otro servidor WSUS, que
a su vez se conoce como un servidor de nivel inferior.
Un programa de rol de servidor que se ejecuta en uno o ms
equipos con Windows Server en una red corporativa. Una
infraestructura WSUS le permite administrar las actualizaciones
de equipos de la red para instalar.
Puede utilizar WSUS para aprobar o rechazar actualizaciones

antes del lanzamiento, para forzar actualizaciones para instalar en
una fecha determinada, y obtener informes sobre qu
actualizaciones cada equipo de la red requiere. Puede configurar
WSUS para aprobar automticamente determinados tipos de
actualizaciones (actualizaciones crticas, actualizaciones de
seguridad, los service packs, controladores, etc.). WSUS tambin
le permite aprobar las actualizaciones para "deteccin", para que
pueda ver qu equipos necesitan una determinada actualizacin
Windows Server Update
sin tener que instalar las actualizaciones.
Services (WSUS)
En una implementacin de WSUS, al menos un servidor WSUS
en la red debe poder conectarse a Microsoft Update para obtener
las actualizaciones disponibles. Segn la configuracin y
seguridad de red, el administrador puede determinar la cantidad
de servidores que se conectan directamente a Microsoft Update.
Puede configurar un servidor WSUS para obtener las

actualizaciones a travs de Internet desde estos lugares como:
el pblico de Microsoft Update

la actualizacin pblica de Windows
la tienda Windows
Un sitio de descarga de Microsoft basado en Internet: Un sitio de

Internet de Microsoft que almacena y distribuye actualizaciones
de equipos de Windows (controladores de dispositivos) y los
sistemas operativos Windows.
Servicio de equipo: El nombre del servicio Windows Update que

Windows Update se ejecuta en los equipos. Windows Update detecta, descargas e
instala actualizaciones en equipos con Windows.
Funcin de equipo y las configuraciones de directiva, el agente de

Windows Update puede descargar actualizaciones desde:
Microsoft Update
Windows Update
Tienda Windows
Un servicio de actualizacin de la red interna (WSUS)
Los equipos no administrados en un entorno basado en WSUS

normalmente utilizar Windows Update para conectarse
directamente, a travs de Internet, Windows Update, Microsoft
Update o la tienda Windows para obtener actualizaciones.
Un equipo que recibe las actualizaciones de un servicio de
actualizacin de la intranet WSUS.
Cliente WSUS
En el caso de la configuracin de directiva de grupo que controlan
la interaccin del usuario final con las actualizaciones
automticas: un usuario de un equipo en un entorno de WSUS.

Como Config Un Server WSUS

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Como Config Un Server WSUS

Transféré par

Droits d'auteur :

Formats disponibles

Introduccin a Windows Server Update

Se aplica a: Windows Server 2012 R2, Windows Server 2012

Windows Server Update Services (WSUS) permite a los administradores de tecnologas de

Quiz lo que busca es

Windows Server Update Services 3.0 SP2 en TechNet:

Descripcin del rol de servidor de WSUS

Administracin centralizada de actualizaciones

Funcionalidad nueva y modificada

Puede agregarse o quitarse con el Administrador del servidor.

Windows Server 2012

Uso de Windows PowerShell para administrar WSUS

Para administrar sus operaciones, los administradores necesitan cobertura en la

Qu valor aporta este cambio?

Al exponer operaciones principales de WSUS mediante Windows PowerShell, los

Qu funciona de manera diferente?

En versiones anteriores del sistema operativo Windows Server, no haba cmdlets de

Funcionalidad eliminada o en desuso

Requisitos del sistema

Procesador: procesador x64 de 1,4 gigahertz (GHz) (se recomienda de 2 Ghz o ms

Tipo de contenido REFERENCES

Se aplica a: Windows Server 2012 R2, Windows Server 2012

Windows Server Update Services (WSUS) permite a los administradores de tecnologas de

Este documento ofrece informacin conceptual para planear la implementacin de

Paso 1: preparar la implementacin de WSUS

Se aplica a: Windows Server 2012 R2, Windows Server 2012

El primer paso de la implementacin de Windows Server Update Services (WSUS) es

1.1. Revisar consideraciones iniciales y requisitos del

Consideraciones para la instalacin:

Durante el proceso de instalacin, WSUS instalar lo siguiente de manera predeterminada:

API de .NET y cmdlets de Windows PowerShell

Consideraciones de las caractersticas a peticin

En la configuracin de un origen de instalacin de caractersticas a peticin no influye

Requisitos de base de datos de WSUS

Windows Internal Database (WID)

Las siguientes ediciones de SQL Server son compatibles con WSUS:

1. El servidor de base de datos no puede ser un controlador de dominio.

1.2. Elegir el escenario de implementacin de WSUS

Implementacin simple de WSUS

La implementacin de WSUS ms bsica consiste en un servidor dentro de un firewall

La sincronizacin inicial puede tardar ms de una hora. Todas las sincronizaciones

De manera predeterminada, el servidor WSUS usa el puerto 80 para el protocolo HTTP y el

La siguiente figura muestra un escenario simple de servidor WSUS en el que un

Varios servidores WSUS

Servidor WSUS desconectado

Figura 3 Importacin de actualizaciones con medios externos

Jerarquas de servidores WSUS

El modo autnomo, tambin denominado administracin distribuida, es la opcin de

El modo de rplica, tambin denominado administracin centralizada, funciona con un

Puede aprovechar la caracterstica de sucursal de Windows para optimizar la

Equilibrio de carga de red

El equilibrio de carga de red (NLB) aumenta la confiabilidad y el rendimiento de la red

Programa de instalacin de WSUS para NLB: en comparacin con el programa de

Implementacin de WSUS con equipos cliente mviles

Figura 7 Servidores en regiones

1.3. Elegir la estrategia de almacenamiento de WSUS

Base de datos de WSUS

La base de datos WSUS almacena la siguiente informacin:

Informacin de configuracin de servidores WSUS

No intente administrar WSUS accediendo directamente a la base de datos. La manipulacin

WSUS con Windows Internal Database

De manera predeterminada, el asistente para instalacin crea y usa Windows Internal

Se recomienda que use Windows Internal Database en los siguientes casos:

La organizacin an no ha adquirido y no necesita un producto de SQL Server para

Windows Internal Database no proporciona una interfaz de usuario ni herramientas de