Documentos de Académico
Documentos de Profesional
Documentos de Cultura
0 Pgina 1 de 33
Windows Server Update Services 3.0
Instalacin, configuracin y administracin de Windows Server Update Services 3.0, En este documento se describe detalladamente el proceso de instalacin del servidor de actualizaciones de Microsoft para productos Microsoft, veremos las opciones de instalacin que tenemos y despus veremos cmo distribuir dichas actualizaciones en los puestos que nos interesen. La funcin principal del WSUS 3.0 es la de ser el servidor de actualizaciones para todos los productos de Microsoft, l se encargara de descargarse las actualizaciones para distribuirlas por nuestros sistemas operativos basados en Windows o a nuestros productos de SQL Server, Exchange Server, Office... lo mejor de todo es que es un producto gratuito, que menos! Instalacin de WSUS - AKI, Configuracin y administracin de WSUS - AKI,
Instalacin de WSUS,
Lo primero es hacerse con el WSUS, lo podemos descargar de la web de descargas de Microsoft: www.microsoft.com/wsus. Despus debemos cumplir con los requisitos de instalacin, si instalamos lo que es el servidor, que es lo normal, debemos tener: IIS, ASP.NET, .NET Framework 1.1 y Servicio de transferencia inteligente en segundo plano (BITS) 2.0 - AKI. Ejecutamos el asistente de instalacin, "Siguiente",
Aqu nos pregunta qu es lo que vamos a instalar, lo normal es el servidor y la consola de administracin, la consola de administracin podemos instalarla en nuestro XP/Vista para poder administrar el WSUS de forma remota, aunque tambin lo
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Aceptamos la licencia, "Acepto los trminos del Contrato de licencia" & "Siguiente",
Lo interesante del WSUS a parte de distribuir las actualizaciones, sus configuraciones es almacenar estas updates en un disco dedicado a ello, para que no cada puesto se tenga que bajar las actualizaciones de internet y nos saturen en canuto de internet. Marcamos "Almacenar actualizaciones localmente" y decimos un directorio donde las guardaremos, este directorio ir creciendo dependiendo lo que queramos bajar y sus idiomas... "Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Nos pregunta donde almacenaremos la base de datos del WSUS. Si tenemos una organizacin pequea y no tenemos un servidor SQL en la red seleccionaremos la primera opcin para que nos instale el "Windows Internal Database" en este equipo o si tenemos un SQL lo indicamos, como es mi caso, y es la mejor opcin. "Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Nos crea un sitio en IIS, tenemos dos opciones, usar el sitio que tenemos para WSUS, si no tenemos una pgina web alojada y no tenemos intencin de tenerla sera lo ideal, y si no, deberamos crear un sitio a parte. Vemos cmo quedara configurado el sitio, "Siguiente"
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Comprobamos lo que hemos configurado, si pulsamos ya "Siguiente" comenzar la instalacin del producto...
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Listo, "Finalizar",
Ahora nos abre un asistente de configuracin, podemos salir y configurarlo manualmente despus, yo lo sigo. "Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Si queremos participar en el programa de mejoda de Microsoft Update marcamos el check, si no, "Siguiente",
Bien, estoy instalando un nico servidor WSUS, si slo vamos a tener uno marcaremos la primera opcin que indica que se bajar los updates de un servidor de Microsoft. Si tenemos pensado tener varios servidores WSUS y que uno distribuya las actualizaciones a otros WSUS por ejemplo uno en cada delegacin de cada empresa, y ya estos a los equipos finales. "Siguiente"
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Si para conectarnos a internet desde este servidor WSUS pasamos por un proxy es aqu donde lo configuraremos. "Siguiente",
Tenemos que conectarnos a un servidor Microsoft Update para que nos muestre que tipo de actualizaciones podremos bajarnos, de qu productos y en qu idiomas, pulsamos en "Iniciar conexin",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
"Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Ahora nos pregunta en qu idiomas nos bajaremos las actualizaciones, seleccionamos los idiomas que tengamos en nuestro entorno, si nuestros S.O estn en espaol y nuestros servidores en otro idioma o sus servicios y tenemos pensado usar WSUS para ellos marcaramos aqu su idioma. Marcamos los idiomas y "Siguiente",
Aqu tenemos que seleccionar los productos que usarmos en nuestra red y queremos bajarnos las actualizaciones para ellos, en mi caso tengo una red de equipos con Windows XP, Windows Vista, Office 2003, Office 2007, Exchange 2003 y SQL 2005, seleccionar los productos que me interese actualizar. "Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Y de cada producto tenemos las clasificaciones, qu es lo que queremos descargar de los productos, si slo actualizaciones crticas, actualizaciones de seguridad... o directamente tambin Service Packs... marcamos lo que nos interese y "Siguiente",
La sincronizacin es, cuando se va a bajar este servidor WSUS las actualizaciones de otro servidor WSUS o de Microsoft Update lo que acabamos de especificar. Lo normal, como mnimo sera una vez al da y en un horario que no afecte a la produccin de los
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Si nos interesa que nos abra la consola ahora dejaremos el primer check marcado. Y si queremos que ahora mismo empiece una sincronizacin y se baje todos los parches que hay hasta la fecha actual, debemos dejar marcado el check de "Iniciar sincronizacin inicial", "Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Configuracin y administracin de WSUS, A partir de aqu veremos opciones que nos quedan para configurar en el WSUS as cmo parmetros para administrarlo, y posteriormente cmo implementar el WSUS con directivas en el Directorio Activo.
Esta es la consola principal de WSUS, donde veremos los servidores de WSUS as cmo su estado, el estado de nuestros equipos y de las actualizaciones. Por ahora est vacio ya que no hemos metido a los equipos...
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Bien, una vez que se haya actualizado, vemos si es con xito o hay errores, en este caso vemos que la primera vez me baj 1344 parches y la siguiente ninguno, pq Microsoft no sacara ninguno nuevo en ese rato (es lo ms normal).
Bien, lo primero que hay que hacer es crear un grupo de equipos, podemos crear uno para toda la empresa al que todas las actualziaciones se les aplicarn de forma igual, o por departamentos o directamente un grupo de equipos que sean servidores y otros PC's. As que pinchamos en "Equipos" > "Todos los equipos" > "Agregar grupo de equipos..."
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Indicamos un nombre, en mi caso ser igual al de la compaa, pulsamos en "Agregar", luego meteremos a los equipos en este grupo, lo har mediante polticas del Active Directory.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
"Equipos", esto es el grupo que acabamos de crear si queremos meter los equipos nuevos directamente en un grupo llamado "equipos sin asignar" y los movemos manualmente en los grupos que nos interesen o si mediante las directivas de grupo configuraremos a qu equipos meteremos en qu grupos, est es mi opcin y marco: "Usar directivas de grupo o la configuracin de Registro de los equipos". "Aceptar",
Podemos adems en el panel de "Opciones" pinchar en "Asistente para la limpieza de objetos WSUS" realizar una limpieza en el propio servidor de objetos obsoletos, cmo "Actualizaciones y revisiones de actualizaciones no utilizadas", "Equipos sin conexin con el servidor", "Archivos de actualizacin innecesarios", "Actualizaciones caducadas" o "Actualizaciones reemplazadas", leemos la descripcin si no sabemos a que se refiere y hacemos dicha limpieza, "Siguiente",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
En este caso no se me ha borrado nada, por que mi servidor a penas tiene unos das y Microsoft no ha sacado parches que sustituyan a otros... "Finalizar",
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
En "Opciones" > "Notificaciones por correo electrnico" podemos configurar para que se manden a una cuenta de correo o varias informes del estado del servidor o eventos de la sincronizacin, todo esto en la pestaa de "General".
En la pestaa de "Servidor de correo electrnico" es donde configuraremos el servidor de mails para enviar dichos mails. Una vez configurado pulsaremos en "Probar"...
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Bien, en "Opciones" > "Aprobaciones automticas" tenemos la posibilidad de aprobar de forma automatizada que se instalen estas en los PC's. WSUS primero se baja las actualizaciones del servidor Microsoft Update con la sincronizacin y despus para poder distribuir una actualizacin, esta debe de estar aprobada ya que si no, no se instalar en el PC final. Podemos aprobar las actualizaciones manualmente para aprobar las que nos interesen o desde aqu ("Actualizar reglas") configurar una regla de aprobacin. En este caso yo he editado est regla y se aprobarn todas las que sean actualizaciones crticas y de seguridad para todos los grupos de equipos. Podemos editar la regla o crear nuevas dependiendo del tipo de actualizacin y el grupo final. En este caso tengo el servidor WSUS sincronizado pero las actualizaciones no estn aprobadas, para aprobar las que me interesan, pulsamos sobre "Ejecutar regla".
... esperamos mientras aprueba todas las actualizaciones que tengo ya bajadas...
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Perfecto.
Bien, una vez ms o menos configurado el servidor WSUS lo que hay que hacer es definir una directiva de grupo, una GPO en nuestro Directorio Activo para configurar los clientes de WSUS para que usen este servidor que acabamos de configurar. Abrimos la consola de directivas o si no la tenemos desde la de "Usuarios y equipos del AD". Lo dicho, creamos una nueva directiva.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
La editamos,
Y aqu configuraremos todas las opciones que nos interese, est directiva yo la aplicar a una Unidad Organizativa que sern equipos, por lo que me interesa ms editarla desde la "Configuracin del equipo" > "Plantillas administrativas" > "Componentes de Windows" > "Windows Update". Ah veremos las configuraciones posibles.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
"No ajustar la opcin predeterminada a 'Instalar actualizaciones y Apagar' en el cuadro de dialogo Apagar":
Esta configuracin de directiva le permite determinar si la opcin 'Instalar actualizaciones y Apagar' se muestra como la opcin predeterminada en el dilogo Salir de Windows. Si habilita esta directiva, la ltima opcin de cierre del usuario (Hibernar, Reiniciar, etc.) ser la opcin predeterminada en el cuadro de dilogo Salir de Windows, independientemente de si la opcin 'Instalar actualizaciones y Apagar' est disponible en la lista 'Qu desea que haga el equipo?'. Si deshabilita o no configura esta directiva, la opcin 'Instalar actualizaciones y Apagar' ser la opcin predeterminada en el cuadro de dilogo Salir de Windows si hubiera actualizaciones disponibles para ser instaladas cuando el usuario selecciona la opcin Apagar en el men Inicio. Tenga en cuenta que esta configuracin no tendr ningn efecto si est habilitada la opcin Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Actualizacin de Windows\No mostrar 'Instalar actualizaciones y Apagar' en la configuracin de directiva de la casilla de dilogo Salir de Windows.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
"Volver a pedir la intervencin del usuario para reiniciar con instalaciones programadas":
Especifica la cantidad de tiempo que Actualizaciones automticas debe esperar antes de volver a pedir la intervencin del usuario con un reinicio programado. Si el estado se establece en Habilitado, se producir un reinicio programado despus del nmero especificado de minutos posteriores a la anterior peticin de intervencin de usuario pospuesta. Si el estado se establece en Deshabilitado o No configurado, el intervalo predeterminado ser de 10 minutos.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
"Permitir que los usuarios que no sean administradores reciban notificaciones de actualizacin":
Especifica si los usuarios que no son administradores, al tener una sesin iniciada, recibirn notificaciones de actualizacin basadas en los parmetros de configuracin de Actualizaciones automticas. Si Actualizaciones automticas se configura (por medio de directiva o localmente) para notificar al usuario antes de la descarga o nicamente antes de la instalacin, dichas notificaciones se ofrecern a cualquier usuario que no sea administrador cuando inicie una sesin en el equipo. Si el estado se establece en Habilitado, Actualizaciones automticas incluir a usuarios que no sean administradores cuando determine qu usuarios con sesin iniciada deben recibir notificaciones. Si el estado se establece en Deshabilitado o No configurado, Actualizaciones automticas slo notificar a los administradores con sesin iniciada.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
"Habilitar la administracin de energa a Windows Update para que despierte automticamente al sistema":
Especifica si Actualizaciones automticas utilizar las caractersticas de administracin de energa de Windows para despertar automticamente al sistema de su hibernacin, si hay actualizaciones programadas para su instalacin. Windows Update slo despertar automticamente al sistema si Windows Update est configurado para instalar actualizaciones automticamente. Si el sistema est en hibernacin cuando llegue la hora de instalacin programada y hay actualizaciones que deban aplicarse, Windows Update utilizar las caractersticas de administracin de energa de Windows para despertar automticamente al sistema e instalar las actualizaciones. Windows Update tambin despertar al sistema e instalar una actualizacin si se alcanza una fecha lmite para instalar. El sistema no se despertar a menos que haya actualizaciones para instalar. Si el sistema se ejecuta con batera cuando Windows Update se despierte, no se instalarn las actualizaciones y el sistema volver automticamente al estado de hibernacin transcurridos 2 minutos.
"Permitir el contenido firmado procedente de la ubicacin del servicio Microsoft Update de la intranet":
Especifica si Actualizaciones automticas debe aceptar actualizaciones firmadas por otras entidades distintas de Microsoft cuando la actualizacin procede de una ubicacin de los servicios de Microsoft Update en la intranet. Si el estado se establece en Habilitado, Actualizaciones automticas aceptar las actualizaciones recibidas desde una ubicacin de los servicios de Microsoft Update en la intranet si estn firmadas por un certificado existente en el almacn de certificados "Editores de confianza" del equipo local. Si el estado se establece en Deshabilitado, las actualizaciones procedentes de una ubicacin de los servicios de Microsoft Update en la intranet deben estar firmadas por Microsoft.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Bien, una vez configuradas las directivas cerramos la consola y ejecutamos gpupdate desde el controlador de dominio para que se apliquen inmediatamente las directivas que acabamos de configurar.
Si abrimos de nuevo la consola y vamos a "Equipos" > "Todos los equipos" y a nuestro grupo, al de un rato veremos que en nuestro grupo ya se han ido agregando puestos y ah veremos el estado de cada uno de ellos, al principio veremos bastantes alertas o errores si no los tenemos totalmente actualizados.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Y por supuesto podremos generar informes de cualquier tipo para ver grficas del estado o para mostrarlos a nuestro superior, todo esto en "Informes".
Podemos generar un informe por cada equipo o uno directamente sobre nuestro servidor WSUS, y de diferentes tipos.
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011
Por ejemplo vemos los equipos que tenemos y vemos que uno de ellos le faltan 15 actualizaciones y el resto ya las tiene instaladas.
Cmo podemos comprobar de otra forma que todo funciona bien? Por ejemplo mirando el visor de sucesos de los PC's a los que se les apliquen la directiva que antes hemos generado, por ejemplo vemos en este PC y cuales se les ha instalado.
www.bujarra.com - Hctor Herrero - nheobug@bujarra.com - v 1.0
http://www.bujarra.com/ProcedimientoWSUS30.html
01/07/2011