Académique Documents
Professionnel Documents
Culture Documents
WSUS se desarrolló a partir de Software Update Services (SUS), el que solo podía
actualizar parches del sistema operativo. WSUS supera a SUS en que expande el rango de
aplicaciones que puede actualizar. La infraestructura de WSUS permite que desde un
servidor(es) central se descarguen automáticamente los parches y actualizaciones para los
clientes en la organización, en lugar de hacerlo del sitio web Microsoft Windows Update.
Esto ahorra ancho de banda, tiempo y espacio de almacenamiento debido a que las
computadoras no necesitan conectarse individualmente a servidores externos a la
organización, sino que se conectan a servidores locales.
Microsoft permite la descarga gratis de WSUS desde su sitio web. Microsoft planea incluir
WSUS con Windows Server "Longhorn".
Administración [editar]
Windows Server Update Services 2.0 esta conformado por un repositorio de paquetes de
actualización de Microsoft, una instancia de MSDE, un servicio que descarga las
actualizaciones de un servidor superior y un sitio virtual de IIS. Como muchos otros nuevos
productos de Microsoft, la administración de WSUS se realiza a través de una interface
web, que permite a los administradores aprobar o declinar las actualizaciones y obtener
amplios reportes sobre que actualizaciones necesita cada computadora. Los administradores
del sistema pueden también configurar que WSUS apruebe automáticamente ciertas clases
de actualizaciones (actualizaciones críticas, actualizaciones de seguridad, paquetes de
servicio, drivers). Se puede igualmente aprobar actualizaciones solo para "detección",
permitiendo que el administrador sepa que computadoras necesitas determinada
actualización sin necesidad de instalarlo.
Los administradores pueden usar WSUS junto con las políticas de grupo del Directorio
Activo para realizar la configuración del cliente de Actualizaciones Automáticas,
garantizando que los usuarios finales no puedan deshabilitar o evitar las políticas
corporativas de actualización. WSUS, sin embargo, no necesita del Directorio Activo.
• Windows 2000
• Windows XP (32-bit, IA-64 and x64 Editions)
• Windows Vista
• Windows Server 2003
• Windows Small Business Server 2003
• Exchange Server 2000
• Exchange Server 2003
• SQL Server
• SQL Server 2005
• Office XP
• Office 2003
• Microsoft ISA Server 2004
• Data Protection Manager 2006
• Windows Live Mail Desktop
• Windows Live Toolbar
• Forefront Client Utility
Esta lista no es completa, además, "Max" aparece en la interface como un nproducto que
WSUS soporta. Sin embargo, Microsoft anunció que esto es un error, y que no se ofrecen
actualizaciones para "Max". Microsoft ha dicho que WSUS fue diseñado para ser capaz de
brindar actualizaciones para aplicaciones no-Microsoft, esto no ha sido implementado
todavía.
Si bien ya había escrito algunos artículos sobre WSUS, el unico Tutorial que había
armado es implementarlo sobre plataforma Windows Server 2008 ya que es la
novedad del SP1 de WSUS 3.0. Creo que serviría hacer un tutorial sobre la
instalación de este producto, paso a paso en plataforma Windows Server 2003
como para complementar. Comentando los requisitos mínimos, instalación y
configuración básica.
Para repasar los requisitos mínimos de implementación de WSUS en Windows
Server 2003 los voy a listar a continuación:
Para mas detalles sobre la implementación de este servidor bajo Windows Server
2008 te invito a que revises los documentos ya realizados sobre WSUS en dicha
categoría. Artículos sobre WSUS »
Instalación
5. Luego de pasar esa selección debemos seguir con el Asistente hasta finalizar y
que comience con la instalación del mismo para luego continuar con la
configuración.
Configuración
El servidor ya está listo para operar y entregar parches a las PCs y Servidores que
configuremos. Igualmente quedan un par de puntos para configurar.
Por ejemplo en el caso que queramos separar las actualizaciones por empresas para tener un
report claro de como estamos a nivel de parches en cada empresa crearemos un grupo por
empresa.
En caso que queramos hacerlo por departamentos pues crearemos tantos departamentos
como queramos.
En nuestro caso como ya hemos dicho antes únicamente vamos a actualizar los servidores
así que primeramente crearemos un grupo llamado BeforeDeploy para poder albergar una
serie de servidores donde descargaremos e instalaremos los parches y chequearemos su
estado, para más tarde por ejemplo una o 2 semanas distribuir estos mismos parches a todos
los demás servidores de la empresa. (Esta es una buena práctica ya que en caso q uno de los
parches instalados provoque un mal funcionamiento del servidor únicamente nos afectará a
un grupo reducido. El grupo BeforeDeploy os recomiendo que en este grupo tengáis un
servidor de cada tipo, por ejemplo un Domain Controller, un Exchange, un Sql, etc… para
poder testear los parches con las diferentes funcionalidades de cada servidor.
Para ello tras situarnos sobre Computers pulsamos con el botón derecho del ratón sobre
All computers y pulsamos sobre Add Computer Group.
Nosotros creamos otro grupo llamado AllServers para albergar todos los demás servidores.
NOTA: Para poder ubicar los servidores en cada grupo disponemos de 2 opciones. O bien
hacerlo mediante directivas de grupo o bien moviendo manualmente cada servidor dentro
de WSUS a su grupo.
Nosotros para hacerlo más difícil y también más manejable lo haremos mediante directivas
de grupo. Primero debemos configurar WSUS para que acepte este tipo de instrucción pero
deberemos esperar a que termine de sincronizar para poder modificar estas opciones.
Mientras tanto iremos creando la estructura de Active Directory para poder vincular las
directivas de grupo de una forma más sencilla.
Creamos las unidades organizativas como queráis. Nosotros vamos a crear una unidad
organizativa que llamaremos BeforeDeploy y otra que llamaremos AllServers. (No hace
falta que se llamen igual que los grupos de WSUS pero ya que estamos los vamos a
distribuir de la misma forma).
Para hacerlo ya sabéis: Botón derecho sobre la unidad organizativa o parte del árbol del
directorio activo donde queráis ubicar estos servidores y nuevo –> Unidad organizativa.
En caso de que por error los hayáis movido volvedlos a mover a su unidad organizativa, no
pasa nada se les volverán a aplicar las directivas y listo.
Bueno ahora que ya tenemos la estructura de OU’s creada y los servidores movidos a ellas,
únicamente nos faltará crear las directivas de grupo para que sepan que servidor de
actualizaciones usar para descargar los parches, en que momento, etc..
Tras instalar la aplicación pulsamos sobre Inicio –> ejecutar –> gpmc.msc
Nos situamos sobre Bosque: vuestro bosque –> Dominios –> vuestro dominio.
Pulsamos con el botón derecho del ratón sobre Objetos de directivas de grupo –> Nuevo
Únicamente os voy a comentar la configuración simple para que los equipos aparezcan en
vuestro WSUS, vosotros podéis leer todas las opciones posibles de la directiva respecto a
cuando instalar los parches, cuando sincronizar, etc…
Primero pulsamos doble click sobre Especificar la ubicación del servicio Microsoft
Update en la intranet.
Marcamos Habilitada y en los dos campos posibles escribimos la dirección que nos dio el
servidor WSUS cuando lo instalamos (http://<nombre del servidor>) y pulsamos sobre
Aceptar.
Ahora pulsamos doble click sobre Habilitar que el cliente pueda ser un destino.
Marcamos Habilitada y ponemos el nombre del grupo que hemos creado en WSUS que es
donde se ubicarán los equipos y pulsamos sobre Aceptar.
Como únicamente necesitamos estos 3 valores para que el servidor WSUS vea a los
equipos como clientes cerramos la edición de la GPO. Vosotros seguid configurando las
opciones posibles para adaptarlo correctamente.
Lo que vamos a hacer ahora es hacer una copia de la directiva ya que únicamente le vamos
a cambiar el valor del nombre de grupo de destino para este equipo por AllServers.
En nuestro caso hemos creado 2 directivas una para Before Deploy y la otra para Todos los
servidores restantes.
Recordad que deberéis crear una directiva por cada grupo que hayáis creado en WSUS ya
que en esta directiva se configurará el grupo al que se le aplicarán los parches.
NOTA: En caso de no necesitar saber los parches instalados por departamento o por
empresa os recomiendo crear los 2 grupos mencionados el BeforeDeploy y el restante. Pero
vosotros sois los que sabéis como queréis implementar los parches.
Podéis hacerlo por servidores y workstations por ejemplo. Bueno.. vosotros sabréis.
Nos situamos en cualquier servidor y o bien lo reiniciamos o bien Inicio – > Ejecutar –>
gpupdate /force esto provoca una solicitud de actualización de su GPO al domain
controller.
Eso habilita la funcionalidad de catalogar los equipos mediante las directivas de grupo que
hemos configurado en Active Directory.
Después de aplicar este cambio y de que los equipos hayan actualizado sus directivas de
grupo vamos a comprobar si existen servidores catalogados en WSUS.
Pues en efecto, en los 2 servidores que le hemos realizado el gpupdate /force aparecen y
en el grupo correcto.
En el caso que no veáis información sobre ellos o bien nos esperamos las 22 horas por
defecto o forzamos a que envíen y actualicen sus datos. Desde los clientes ejecutamos los
comandos wuauclt /detectnow y wuauclt /updatenow.
Bueno pues ya tenemos información de uno de ellos. Vemos que tiene un 96% de parches
instalados. Podemos ver mas columnas pulsando con el botón derecho sobre las actuales
columnas y marcando las opciones que deseemos. Needed count nos mostrará los parches
que le faltan por instalar a los equipos.
Pues puedo comprobar que el servidor firstdomain.megacrack.es le faltan 62 parches.
Ahora vamos a aprovar los parches para su descarga y posterior instalación en el equipo
cliente.
Para descargar los parches para que puedan ser aplicados a los equipos hemos de
aprovarlos.
Seleccionamos todos los parches y con el botón derecho del ratón pulsamos sobre
Approve.
Ahora pulsamos sobre BeforeDeploy pulsamos sobre Approve for Install.
La idea sería que al cabo de 2 semanas por ejemplo tras haber probado estos parches se
podrían aprobar también para la categoría AllServers.
Ahora los parche se irán descargando y según la política de grupo que hemos creado
anteriormente en los equipos del grupo BeforeInstall les aparecerá un icono indicando que
tiene parches para instalar.
Pues bien para aprobarlos para los demás grupos deberemos seleccionar en Updates –> All
updates en el campo Approval dejamos marcado Approved y en el campo Status
dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que
necesitan todos los equipos ubicados en WSUS y podremos aprobarlos para AllServers.