Está en la página 1de 16

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Module 12: Implementing Update Management

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Gestion de Actualizaciones:
Por defecto, todos los sistemas operativos de Microsoft se conectan a windows update para descargar las
actualizaciones y parches de seguridad. Estas actualizaciones son de cualquiera de los productos de Microsoft, no
solo del sistema operativo.

Si tenemos cientos o miles de equipos en la red, cuando todos se conectan a internet para acceder a windows
update y descargar las actulizaciones, probablemente saturen la red.

Ademas, cuando son tantos equipos a gestionar, es dificil controlar cuales de ellos se han actualizado, cuales son las
actualizaciones que han recibido y si alguna de ellas ha dado problemas y hay que revertirla.
Queremos controlar cuales son los equipos que se actualizan, con que actulizaciones y si estas son fiables. Para esto,
suele usarse un grupo de equipos de pruebas donde instalar previamente las actualizaciones para luego aprobarlas si
no dan problemas.
Para esta gestion tenemos el rol Windows Server Update Services (WSUS). Es un servidor de actualizaciones para
centralizar la descarga, definir grupos de equipos, aprobar actualizaciones, revertirlas si dan problemas y obtener
informes detallados de actualizaciones.

Implementaciones de WSUS:

Como resumen, podemos tener 3 despliegues de WSUS:


-

Un unico servidor de WSUS para toda la organizacin (single server). Se conecta a windows update y
todos los equipos de la red descargan sus actualizaciones de este WSUS. Por defecto usa el puerto 8530
para http y 8531 para HTTPS.

Multiples servidores WSUS pero funcionando de forma independiente. Es util cuando tenemos varias
localizaciones aisladas entre si. Es esfuerzo administrativo es mayor. Es necesario contar con personal TI
en cada localizacion y es complicado tener informes globales de las actualizaciones desplegadas en toda
la red.

Multiples servidores WSUS con uno de ellos como servidor principal, que se encarga de descargar y
aprobar las actualizaciones y el resto de WSUS actuan solo como intermediarios. Disconected Servers
(Solo un WSUS Se conecta a windows update, el resto estan desconectados). En el caso concreto de que
tampoco se conecten los servidores WSUS de las sucursales al de la central, podemos cargar en ellos las
actualizaciones en un disco externo, pendrive, dvd,

Cuando diseamos una jerarquia de servidores WSUS, Distinguimos 2 tipos de servidores:


-

Upstream Server: Es un servidor que se conecta directamente a windows update, o si no tienen conexin
reciben las actualizaciones de un pendrive, dvd, .

Downstream Server: Es un servidor WSUS que se conecta al servidor Upstream.

Los servidores Downstream pueden configurarse de 2 modos:


-

Modo Autonomo: Recibe las actualizaciones de un servidor Upstream, pero mantiene su independencia
en cuanto a la gestion de actualizaciones. Decide de forma local cuales son las actualizaciones, los grupos
de actualizacion y cuando desplegar las actualizaciones.

Modo replica: Recibe del servidor Upstream tanto las actualizaciones como la configuracion:
actualizaciones aprobadas, grupos de actualizacion, programacion de las actualizaciones, En este caso
no es necesario parsonal TI en cada localizacion para gestionar WSUS Downstream. Tenemos una
verdadera administracion centralizada.

WSUS puede usar 2 tipos de bases de datos:


-

WID (Windows Internal Database): es la que se usa por defecto. Se suele utilizar en entornos pequelos,
en los que si hay varios servidores WSUS, son independientes, y en los que no se requiere balanceo de
carga. Cada WSUS tiene su propia BBDD de forma local en un archivo SUSDB.MDF

SQL Server: Es la opcion recomendada, aunque requiere de mas recursos, hardware y personal.
Podemos tener balanceo de carga por que la BBDD de todos los WSUS se almacena en el servidor SQL
Server. Para que la BBDD no se sea un punto unico de fallo, podemos crear un Cluster de SQL Server.

Proceso de gestion de actulizaciones:


Los procesos de gestion de sistemas informaticos suelen basarse en el ciclo de demming o PDCA (Plan, Do, Check,
Act).

Instalacion de WSUS
Instalacion de servidor UPstream

Aqu podemos elegir donde se guardan las actualizaciones

Actualizacion de clientes:
Para configurar los clientes de forma que descarguen las actualizaciones de WSUS en lugar de windows update,
tenemos 2 formas:
-

Modificar una clave del registro. No es practico si hay muchos clientes y estan en dominio

GPO

Creacion de la GPO

Primero configurarmos las actualizaciones automaticas. Y la localizacion del servidor de actualizaciones.

Abrimos la consola de WSUS


La primera vez aparece el almacen de actualizaciones

Aqu es donde se configuraria como downstream

Y ya estaria

Computer Groups:
Una buena practica de WSUS es crear grupos de equipos para controlar las actualizaciones que se despliegan y crear
un grupo de test.
Para asignar un cliente a computer group de WSUS, tenemos 2 metodos:
-

Client-side Targeting: configuramos una clave de registro en el equipo o una GPO en el dominio de forma
que asignamos un equipo cliente a un grupo.

Server-side Targeting: Desde el servidor WSUS podemos asignar equipos a grupos. Antes de aplicar
Server-side Targeting y mover a un equipo a un computer Group, ese equipo tiene que estar registrado
en WSUS

Comando WSUS powershel

Meter a una maquina en un grupo por GPO

Por comando
Get-WsusComputer -NameIncludes CL3 | Add-WsusComputer -TargetGroupName Sales

Desde un cliente pedimos la conexion con este comando


Wuauclt /detectnow /reportnow

Para cambiar la maquina de grupo

Ejercicio configurar LON-WSUS como servidor WSUS Downstream teneindo como upstream LON-RTR.
Los equipos que esten dentro de la unidad organizativa Sales deben usar como servidor WSUS a LON-WSUS y el resto
a lon-RTR.
LON-WSUS Sera un servidor WSUS en modo replica.