Implementar y configurar WSUS 3: Parte I,

configuración básica de WSUS

29 Marzo, 2009 por Melbos Dejar una respuesta »

WSUS, Windows Server Updates Services, es la solución que nos ofrece Microsoft para hacer un
deploy de actualizaciones, patches y services packs a todos los sistemas de nuestra red. En este
primer tutorial veremos como configurar WSUS para ayudarnos en nuestra tarea de
administración, manteniendo nuestros sistemas actualizados.

Parte I
Puedes bajar gratuitamente WSUS 3 desde la página de Microsoft, en este enlace. Para poder
instalarlo necesitamos tener instalado lo siguiente:

• Internet Information Services

• .Net Framework 2.0 | Download
• Microsoft Management Console | Download
• Microsoft Report Viewer 2005 Redistributable | Download
• Windows 2003 Server Service Pack 2 | Download

Vamos a comenzar este tutorial partiendo de una instalación por defecto de WSUS.

Lo primero es abrir WSUS, desde Start > All Programs > Administrative Tools > Microsoft
Windows Server Updates Services 3.0.

CONFIGURAR WSUS

Durante la instalación nos pide algunas opciones, pero vamos a revisar lo mínimo necesario para
trabajar. Para eso, en la pantalla de inicio vamos a Update Services > CENTRALSERVER >
Options.
Elegimos Products and Classifications de las opciones del panel medio.

Aquí elegimos que productos queremos actualizar y que tipo de actualizaciones queremos bajar.
En este caso y para simplificar tildaremos las actualizaciones de Windows XP solamente.

En Classifications Tab vamos a definir que tipo de actualizaciones queremos bajar. Elegimos
Security Updates y Critical Updates, a modo de simplificar, pero es bueno tener tildado todo,
para mantener tus sistemas lo más actuales posible.
Elegimos Update Files and Languages. Aquí definimos donde guardar las actualizaciones y
cuales bajar, como asi también el idioma de las actualizaciones, dependediendo los productos
que tengas instalados en tu red.

Para mejorar el rendimiento de la red y la velocidad de actualización, vamos a guardar las

actualizaciones en el server. También vamos a bajar las actualizaciones que nosotros aprobemos
para bajar. Para esto tildamos como muestra la imágen, las opciones Store update files locally
on this server y Download update files to this server only when updates are approved.
En Update Languages Tab voy a tildar solamente que se bajen las actualizaciones en inglés
acorde a los sistemas instalados en mi red.
Continuamos la configuración viendo las opciones de sincronización, desde Synchronization
Schedule.

Vamos a proponer una sincronización automática, para olvidarnos del tema. Podemos también
definir a que hora se van a producir las actualizaciones y cuantas veces al día.

Yo propongo que empiece la primera a las 6 AM, antes que el ancho de banda este
comprometido, y que revise nuevas actualizaciones 5 veces al día.
Por último, tenemos las reglas para auto aprovación de updates, para no tener que revisar una a
una. Para esto hacemos click
en Automatic Approvals.

Esta opción la veremos en próximos tutoriales, ya que se complementa con la creación de grupos
de computadoras donde aplicar las actualizaciones.

Parte II, agrupar máquinas para asignar los

updates
Una vez seteadas las opciones generales de WSUS, vamos a crear grupos de computadoras para
asignarles los updates. En este caso vamos a crear el grupo Desktop y el grupo Server.
Puedes ver la primera parte de este tutorial haciendo click en Implementar y configurar WSUS 3:
Parte I, configuración básica de WSUS

Vamos a empezar por crear los grupos para asignarles actualizaciones. Para esto vamos al panel
de la izquierda y navegamos hasta Computers > All Computers > click derecho > Add
Computer Group…

Creamos entonces el grupo Servers y después repetimos para el grupo Desktop. Guardamos con
el botón Add.

Si todo va bien, deberías ver algo así en el panel de la izquierda.

El próximo paso es configurar los clientes para que apunten al servidor de WSUS para bajar los
updates. Vamos a suponer que tenemos una red de muchos clientes, por lo que haremos esto
forzando las políticas de grupo para que apunten a CENTRALSERVER, el servidor de WSUS.

Vamos a crear una nueva política.

Escribimos desde Start > Run > gpmc.msc. Después navegamos a (en mi caso) Group Policy
Management > Forest: home.melbos.com > Domains > home.melbos.com > Click derecho >
Create and Link a GPO Here…

El nombre de la política le ponemos Update by WSUS.

Se agrega la política a la lista, por lo que hacemos Click Derecho > Edit.
En la pantalla de Group Policy Object Editor, expandimos hasta Computer
Configuration > Administrative Templates > Windows Components > Windows Update. Esto
nos trae varias opciones, que vamos a configurar de la siguiente manera, siempre haciendo Click
Derecho > Properties.

En la propiedad Configure Automatic Updates dejamos:

En Specify Microsoft update service location, definimos el servidor de WSUS. En mi caso
CENTRALSERVER.

Presionamos OK y salimos.

Ahora nos dirigimos a la máquina cliente. Vamos a refrescar las políticas del dominio, para
forzar los cambios. Para eso hacemos:

Gpupdate /force

Para que WSUS detecte la Desktop, largamos el siguiente comando en el cliente:

wuauclt.exe /detectnow

Este último no nos da confirmación de nada.

Volvemos al servidor de WSUS, y navegamos hasta All computers, en el panel de la izquierda.
En Status ponemos Any, y ahi aparece nuestra pc (en mi caso pc-111) que se reporta al servidor
de WSUS.

A continuación vamos a setear la configuración por defecto para asignar clientes a los grupos de
WSUS. En la pantalla de Update Services > Options > Computers.

Elegimos Use Group Policy or registry settings on computers.

Volvemos a Grou
p Policy Management Console (gpmc.msc).

En la política que creamos, Update by WSUS, hacemos Click Derecho > Edit.
En el editor de políticas vamos a Computer Configuration > Administrative Templates >
Windows Components > Windows Update. En el cuadro derecho hacemos Doble Click en
Enable client-side targeting.

Seteamos la opción a Enabled, y en Target group name for this computer, escribimos en
nombre del grupo que creamos en WSUS. Es importante que el nombre sea exactamente igual a
como está escrito en WSUS. Sino no va a aparecer en el grupo y va a parar al grupo Unassigned.
Aceptamos para guardar los cambios.

En la máquina cliente vamos a repetir el forzado de política para actualizar las pc y también
WSUS. Para eso repetimos el proceso desde la consola de comandos. Refrescamos políticas con:

Gpupdate /force

Para actualizar WSUS entonces hacemos:

wuauclt.exe /detectnow

Si vamos a WSUS y vemos en el grupo Desktop, filtrando por Status > Any, veremos la pc que
acabamos de crear. Si la pc no esta listada, debemos revisar los pasos y sobre todo asegurarnos
de haber escrito bien los nombres del Target group del paso anterior, que es una equivocación
común en estos casos.
En el próximo y último tutorial veremos como aprobar y asignar updates a los distintos grupos,
como también bloquear actualizaciones específicas.

Parte III, setear aprobaciones especificas

para determinados productos.
En este último tutorial veremos como crear una regla de auto aprobación para las actualizaciones
de determinados productos. De esta manera tendremos nuestra red lista para recibir los últimos
updates de sistema.

Recuerda que tienes 2 tutoriales disponibles, que preceden a este:

• Implementar y configurar WSUS 3: Parte I, configuración básica de WSUS

• Implementar y configurar WSUS 3: Parte II, agrupar máquinas para asignar los updates

Lo que vamos a hacer es setear las actualizaciones críticas y de seguridad para el grupos Desktop
que creamos en tutoriales anteriores. Esto incluye la porción de actualización que no son
servidores. Empezamos desde la consola de WSUS > Options > Automatic Approvals.

Vemos que por defecto tenemos una Default Rule que vamos a tildar y borrar con Delete. Luego
de eso, presionamos New Rule.
En el Step 1 elegimos When an update is in a specific classification. Después presionamos any
classification en el Step 2.

Elegimos solamente Critical y Security Updates de la ventana que se abre. Damos OK para
seguir.
Todavía en Step 2 presionamos all computers. Elegimos solamente Desktop, ya que esta regla
aplica a las pc de escritorio solamente.

En el Step 3 ponemos el nombre de la regla. Un nombre descriptivo sería Critical and Security
Updates for Desktop.
Al final del paso 3 deberías tener algo como muestra la pantalla inferior.

Presionamos OK para seguir. Podemos correr la regla inmediatamente con Run Rule. Esto inicia
el proceso de aprobación y bajado de updates para su posterior distribución.

Para darnos el parte de aprobación.

Por último, tenemos que refrescar esta info en el cliente, por lo que desde la consola hacemos
como siempre:

Gpupdate /force

wuauclt.exe /detectnow

El cliente mostrará el escudo amarillo que indica nuevas actualizaciones para instalar.

Si vemos las actualizaciones veremos solamente las criticas y de seguridad como seteamos. En el
momento del tutorial solo había de seguridad.

Finalemente vemos las actualizaciones que se instalen y tenemos el sistema Up To Date.