WSUS (Windows Server Update

Services): Instalación y configuración

– Parte I
13 comentarios / Herramientas, Sistemas Operativos / Por Javier
Olmedo / martes, 24 octubre, 2017
Buenas a todos, voy a comenzar una serie de entradas en el
blog dónde explicaré como implementar WSUS (Windows Server
Update Services) en un dominio con Windows Server 2016 para
mantener nuestros equipos de la empresa actualizados y más seguros,
en un principio, creo que con 3 entradas podré explicar lo
necesario para tener este rol completamente funcional.
En esta entrada os explicaré un poco en qué consiste WSUS,
su instalación y configuración.
La segunda entrada consistirá en la configuración de la política para
los equipos clientes y la tercera sobre reportes.

¡Comencemos!

¿Qué es WSUS?

WSUS (Windows Server Update Services) es un rol para sistemas

operativos Windows Server que permite a los administradores disponer
de un sistema centralizado de actualizaciones para todos los
equipos dentro de nuestra empresa/dominio.
A través de WSUS es posible gestionar completamente la distribución de
las últimas actualizaciones publicadas por Microsoft para todos sus
productos, así como de los parches de seguridad más recientes, algo
que muchos administradores pasan por alto y no dan importancia.
Cabe destacar que WSUS solamente está destinado para productos
de Microsoft, por lo que no se podrá utilizar para instalar
actualizaciones de terceros (Java, Adobe, Antivirus, etc).
En definitiva, WSUS nos permitirá ahorrar tiempo y mejorar la
seguridad de la red.

¿Cómo funciona WSUS?

Una vez implementado el rol en el servidor, WSUS descargará desde
los servidores de Microsoft todas las actualizaciones que haya
disponible en función de los productos que hayamos configurado en su
instalación, en la imagen anterior podemos ver cómo distribuye las
actualizaciones entre los equipos vinculados al Active Directory.

Pasos a seguir para su instalación

Antes de empezar con la instalación, me gustaría comentaros

que Microsoft recomienda no instalar WSUS en el controlador de
dominio, en la práctica puedo deciros que no he tenido ningún problema
hasta el momento en este aspecto, por lo tanto, si disponéis de varios
servidores intentad instalarlo en uno que no sea controlador de dominio.
Os adjunto un link con más información aquí

1. Abrimos el Administrador del servidor.

2. Debemos agregar el rol, nos vamos a Administrar –> Agregar roles y
características.

3. Marcamos para instalar el rol “Windows Server Update Services”,

ubicado en la parte inferior.
4. Nos aparecerá una ventana con las características requeridas que
debemos de agregar, marcamos también la casilla “Incluir
herramientas de administración (si es aplicable)”.
5. En la siguiente ventana, añadimos características de .NET
Framework 3.5 (Incluye .NET Framework 2.0), esto lo usaremos para
generar reportes desde la consola de WSUS, lo veremos más tarde en la
tercera entrada.
6. En los servicios del rol, marcaremos las 2 primeras, si disponemos
de base de datos SQL, es recomendado marcarla también, pues
podremos trabajar mejor desde PowerShell.
7. En este paso, indicamos la ruta en la cual descargará y almacenará
las actualizaciones, en mi caso, tengo un disco duro de 500GB en la
unidad W: para usarlo únicamente para este servicio.
8. Instalamos todo lo que hemos configurado hasta ahora, esperamos a
que termine.
9. Una vez termine de instalar, cerramos la ventana y vamos
a Herramientas –> Windows Server Update Services, WUSUS nos
pedirá realizar el proceso de post-instalación, verificamos que la ruta de
acceso es la misma que configuramos en el anterior paso anterior y
marcamos la casilla “Almacenar actualizaciones localmente”, después
ejecutamos.
10. Este paso hay que tenerlo en cuenta, es posible que haya que
configurar alguna regla en el firewall para permitir que los equipos se
conecten, de momento no vamos a cambiar nada, pero si
posteriormente tenemos problemas para que los equipos se
conecten, sabemos que puede ser por el firewall.

11. Paso de elegir el servidor de actualizaciones, tenemos 2 opciones,

sincronizar con los servidores de Microsoft Update o sincronizar con otro
WSUS, como es el primero y único que tendremos, dejamos marcada la
primera opción.
12. Todo preparado, iniciamos la conexión, este paso puede llegar a
tarda hasta 30 minutos, toma un café tranquilamente 😊
13. El paso de elegir idiomas, aquí marcamos los que necesitemos, por
ejemplo, si tenemos un Windows o versión de Office con otro idioma,
marcamos los que correspondan, por defecto dejaría marcado siempre
Inglés.
14. Mucho cuidado en este paso, es importante marcar sólo los
productos necesarios que queremos actualizar de manera
desatendida, por ejemplo, si marcamos actualización de SQL o drivers,
podemos tener después problemas de compatibilidad con software de
terceros, ese tipo de actualizaciones es mejor hacerlas de manera
manual, yo solamente marcaré actualizacions de Windows 10 y
Windows 7.
15. Nuestro propósito con WSUS es mantener actualizados los
sistemas en cuanto a parches de seguridad y actualizaciones
críticas, sólo dejaré estas opciones marcadas.
16. No tiene mucho sentido que tengamos que sincronizar WSUS con los
servidores de Microsoft Update de manera manual, ya que nos interesa
que este servicio sea lo más desatentido posbile, por lo tanto, lo
configuraré para que actualice todos los días a las 3 de la
madrugrada, esa hora la he elegido para no saturar la red en caso que
descargue actualizaciones.
17. Hora de la primera sincronización, marcamos la siguiente casilla
y click en siguiente
18. En el último paso del asistente de configuración, nos indica algunas
configuraciones recomendadas, sería interesante implementar SSL,
pero eso lo dejaremos para más adelante, quizás en una cuarta parte de
esta serie de entradas.
19. Al iniciar WSUS veremos lo siguiente, vamos a realizar una
sincronización manual, de momento no veremos ningún equipo, ya
que falta de aplicar las políticas que veremos en la siguiente entrada.
Hasta aquí la parte I sobre instalación y configuración de WSUS, en la
próxima entrada veremos cómo crear una política para los equipos
clientes del dominio.