Documentos de Académico
Documentos de Profesional
Documentos de Cultura
WSUS, Windows Server Updates Services, es la solución que nos ofrece Microsoft para hacer un
deploy de actualizaciones, patches y services packs a todos los sistemas de nuestra red. En este
primer tutorial veremos como configurar WSUS para ayudarnos en nuestra tarea de
administración, manteniendo nuestros sistemas actualizados.
Parte I
Puedes bajar gratuitamente WSUS 3 desde la página de Microsoft, en este enlace. Para poder
instalarlo necesitamos tener instalado lo siguiente:
Vamos a comenzar este tutorial partiendo de una instalación por defecto de WSUS.
Lo primero es abrir WSUS, desde Start > All Programs > Administrative Tools > Microsoft
Windows Server Updates Services 3.0.
CONFIGURAR WSUS
Durante la instalación nos pide algunas opciones, pero vamos a revisar lo mínimo necesario para
trabajar. Para eso, en la pantalla de inicio vamos a Update Services > CENTRALSERVER >
Options.
Elegimos Products and Classifications de las opciones del panel medio.
Aquí elegimos que productos queremos actualizar y que tipo de actualizaciones queremos bajar.
En este caso y para simplificar tildaremos las actualizaciones de Windows XP solamente.
En Classifications Tab vamos a definir que tipo de actualizaciones queremos bajar. Elegimos
Security Updates y Critical Updates, a modo de simplificar, pero es bueno tener tildado todo,
para mantener tus sistemas lo más actuales posible.
Elegimos Update Files and Languages. Aquí definimos donde guardar las actualizaciones y
cuales bajar, como asi también el idioma de las actualizaciones, dependediendo los productos
que tengas instalados en tu red.
Vamos a proponer una sincronización automática, para olvidarnos del tema. Podemos también
definir a que hora se van a producir las actualizaciones y cuantas veces al día.
Yo propongo que empiece la primera a las 6 AM, antes que el ancho de banda este
comprometido, y que revise nuevas actualizaciones 5 veces al día.
Por último, tenemos las reglas para auto aprovación de updates, para no tener que revisar una a
una. Para esto hacemos click
en Automatic Approvals.
Esta opción la veremos en próximos tutoriales, ya que se complementa con la creación de grupos
de computadoras donde aplicar las actualizaciones.
Vamos a empezar por crear los grupos para asignarles actualizaciones. Para esto vamos al panel
de la izquierda y navegamos hasta Computers > All Computers > click derecho > Add
Computer Group…
Creamos entonces el grupo Servers y después repetimos para el grupo Desktop. Guardamos con
el botón Add.
Escribimos desde Start > Run > gpmc.msc. Después navegamos a (en mi caso) Group Policy
Management > Forest: home.melbos.com > Domains > home.melbos.com > Click derecho >
Create and Link a GPO Here…
Se agrega la política a la lista, por lo que hacemos Click Derecho > Edit.
En la pantalla de Group Policy Object Editor, expandimos hasta Computer
Configuration > Administrative Templates > Windows Components > Windows Update. Esto
nos trae varias opciones, que vamos a configurar de la siguiente manera, siempre haciendo Click
Derecho > Properties.
Presionamos OK y salimos.
Ahora nos dirigimos a la máquina cliente. Vamos a refrescar las políticas del dominio, para
forzar los cambios. Para eso hacemos:
Gpupdate /force
wuauclt.exe /detectnow
A continuación vamos a setear la configuración por defecto para asignar clientes a los grupos de
WSUS. En la pantalla de Update Services > Options > Computers.
Volvemos a Grou
p Policy Management Console (gpmc.msc).
En la política que creamos, Update by WSUS, hacemos Click Derecho > Edit.
En el editor de políticas vamos a Computer Configuration > Administrative Templates >
Windows Components > Windows Update. En el cuadro derecho hacemos Doble Click en
Enable client-side targeting.
Seteamos la opción a Enabled, y en Target group name for this computer, escribimos en
nombre del grupo que creamos en WSUS. Es importante que el nombre sea exactamente igual a
como está escrito en WSUS. Sino no va a aparecer en el grupo y va a parar al grupo Unassigned.
Aceptamos para guardar los cambios.
En la máquina cliente vamos a repetir el forzado de política para actualizar las pc y también
WSUS. Para eso repetimos el proceso desde la consola de comandos. Refrescamos políticas con:
Gpupdate /force
wuauclt.exe /detectnow
Si vamos a WSUS y vemos en el grupo Desktop, filtrando por Status > Any, veremos la pc que
acabamos de crear. Si la pc no esta listada, debemos revisar los pasos y sobre todo asegurarnos
de haber escrito bien los nombres del Target group del paso anterior, que es una equivocación
común en estos casos.
En el próximo y último tutorial veremos como aprobar y asignar updates a los distintos grupos,
como también bloquear actualizaciones específicas.
Lo que vamos a hacer es setear las actualizaciones críticas y de seguridad para el grupos Desktop
que creamos en tutoriales anteriores. Esto incluye la porción de actualización que no son
servidores. Empezamos desde la consola de WSUS > Options > Automatic Approvals.
Vemos que por defecto tenemos una Default Rule que vamos a tildar y borrar con Delete. Luego
de eso, presionamos New Rule.
En el Step 1 elegimos When an update is in a specific classification. Después presionamos any
classification en el Step 2.
Elegimos solamente Critical y Security Updates de la ventana que se abre. Damos OK para
seguir.
Todavía en Step 2 presionamos all computers. Elegimos solamente Desktop, ya que esta regla
aplica a las pc de escritorio solamente.
En el Step 3 ponemos el nombre de la regla. Un nombre descriptivo sería Critical and Security
Updates for Desktop.
Al final del paso 3 deberías tener algo como muestra la pantalla inferior.
Presionamos OK para seguir. Podemos correr la regla inmediatamente con Run Rule. Esto inicia
el proceso de aprobación y bajado de updates para su posterior distribución.
Gpupdate /force
wuauclt.exe /detectnow
El cliente mostrará el escudo amarillo que indica nuevas actualizaciones para instalar.
Si vemos las actualizaciones veremos solamente las criticas y de seguridad como seteamos. En el
momento del tutorial solo había de seguridad.