El documento describe los pasos para configurar un servidor de actualizaciones WSUS, incluyendo: 1) instalar el rol de servidor de actualizaciones en Windows Server 2008 R2; 2) configurar el servidor para descargar actualizaciones de Microsoft Update; y 3) seleccionar los idiomas, productos y tipos de actualizaciones a descargar.
2. Servidor De Actualización WSUS
riveraj94 2
Servidor De Actualizacion WSUS
INTRODUCCION
En el presente trabajo trataremos la implementación de un Servidor de
Actualizaciones de Servicios para Windows, WSUS (Windows Server
Update Services), sobre una plataforma con un sistema operativo
Windows Server 2008 R2, incluidas las tareas básicas cómo configurar
WSUS para obtener actualizaciones, configurar equipos cliente para
instalar actualizaciones de WSUS y aprobar, comprobar y distribuir
actualizaciones.
Microsoft Windows Server Update Services (WSUS) constituye una
solución completa para administrar las actualizaciones en la red. Es la
solución que ofrece Microsoft para hacer un despliegue de
actualizaciones, parches y services packs a todos los sistemas o equipos de
nuestra red de trabajo, lo que resulta en un mejor control de todas las
actualizaciones de nuestros equipos.
Requisitos de software para la instalación de WSUS 3.0 en Windows
Server 2008
Para instalar WSUS 3.0 en Windows Server 2008, debe tener instalado en
su equipo lo siguiente. Si alguna de estas actualizaciones requiere que se
reinicie el servidor al finalizar la instalación, debe reiniciarlo antes de
instalar WSUS 3.0.
Microsoft Internet Information Services (IIS) 7.0 Asegúrese de que están
habilitados los componentes siguientes:
*Autenticación de Windows
*ASP.NET
*Compatibilidad con la administración de 6.0
*Compatibilidad con la metabase de IISMicrosoft Report Viewer
Redistributable 2008.Lasactualizaciones de .NET Framework 2.0 y BITS 2.0
están disponibles en Windows Server 2008 como parte del sistema
operativo
3. Servidor De Actualización WSUS
riveraj94 3
Requisitos del disco y recomendaciones
Para instalar WSUS 3.0, el sistema de archivos del servidor debe cumplir
los requisitos siguientes:
Tanto la partición del sistema como la partición en la que instala WSUS 3.0
deben tener el formato de sistema de archivos NTFS.
Se recomienda un mínimo de 1 GB de espacio libre para la partición del
sistema. Se necesita un mínimo de 20 GB de espacio libre para el volumen
donde WSUS almacena el contenido; se recomienda 30 GB de espacio
libre.
Se recomienda un mínimo de 2 GB de espacio libre en el volumen donde
el programa de instalación de WSUS instala Windows® Internal Database.
4. Servidor De Actualización WSUS
riveraj94 4
CREACION DE DIRECTORIO ACTIVO
1. Lo primero que debemos tener es un IP estático. El DNS instalado y
configurado.
Tener en cuanta mucho el DNS porque varios errores pueden salir de este
lugar, ya que los clientes seguían mucho de nuestro servicio de DNS.
5. Servidor De Actualización WSUS
riveraj94 5
2. Para la instalación del servidor de actualización debemos tener
configurado el Directorio Activo con políticas y usuarios.
- DCPromo es el asistente de instalación del servicio de Directorio Activo y
es un archivo ejecutable que se encuentra en la carpeta System32 en
Windows. Para ejecutar adecuadamente el Active Directory es necesario
tener instalado un servidor DNS en la red, de lo contrario, si DNS no está
disponible para resolución de nombres, se pedirá que se tenga un servidor
DNS durante la ejecución del DCPromo. Para empezar con la instalación
del directorio activo nos dirigimos a cargar el asistente del mismo, hay
varias formas de hacerlo, una por ejemplo es ingresando a la consola del
sistema dcpromo.exe ó dcpromo, también podemos ingresar el mismo
comando mediante la herramienta de ejecución en Windows, Start > Run
o tecla de Windows + R.
3. DCPromo empezará a instalar los servicios de dominio del Active
Directory y otros componentes requeridos.
6. Servidor De Actualización WSUS
riveraj94 6
4. A continuación, tendremos el asistente de instalación, seleccionamos
Next para continuar o Cancel para cancelar la instalación, también
seleccionaremos el modo de instalación avanzada para tener mayor
control de la instalación del servicio.
5. En la siguiente ventana se nos informará de las características de
seguridad mejoradas y la compatibilidad con el sistema operativo,
pulsamos Next para continuar.
7. Servidor De Actualización WSUS
riveraj94 7
6. Seleccionamos la opción de crear un nuevo dominio en un nuevo
bosque ya que estamos creando un nuevo controlador de dominio y no
hay bosque existente en la red. Continuamos con Next.
7. Proporcionamos un nombre para el nuevo dominio raíz y pulsamos Next
para continuar.
8. Servidor De Actualización WSUS
riveraj94 8
8. Esperamos unos instantes mientras el asistente verifica si el dominio
utilizado anteriormente ya existe.
9. Ingresamos el nombre de la NetBIOS del dominio (con este nombre el
equipo será identificado en la red) pulsamos Next para continuar.
9. Servidor De Actualización WSUS
riveraj94 9
10. En este paso, estableceremos el nivel de funcionalidad del bosque, por
cada nivel funcional el asistente mostrará una descripción, de esta forma
podemos determinar el nivel correcto para las necesidades que tengamos,
cuanto más alto sea el nivel del bosque, más características disponibles,
en nuestro caso, seleccionamos Windows Server 2008 R2 y continuamos
con Next.
11. Esperamos que el sistema analice la existencia de DNS y su
configuración.
10. Servidor De Actualización WSUS
riveraj94 10
12. Ahora, el asistente comprobará si existe un DNS instalado en el
servidor local, es decir, el mismo donde se instalará el controlador de
dominio, si no se tiene instalado, al final el asistente instalará un DNS.
Continuamos Next. Yes….
11. Servidor De Actualización WSUS
riveraj94 11
13. En esta ventana podemos modificar el sitio en nuestro equipo donde
se alojaran las bases de datos de Active Directory y los archivos de
registro. Microsoft recomienda almacenar los archivos de registro en un
lugar o volumen diferente del que está la base de datos. Damos clic en
Next y continuamos.
14. El paso siguiente será configurar una contraseña para la restauración
del servicio de directorio, cabe recordar que esta contraseña no es la del
servicio de dominio y será necesaria en el caso de que tenga que quitar
Active Directory del servidor mediante DCPromo.
12. Servidor De Actualización WSUS
riveraj94 12
15. Ahora, el asistente nos hará un breve resumen de lo hasta el momento
es nuestra instalación del Active Directory, esta configuración puede ser
exportada a un archivo de configuración que se puede utilizar en la
instalación del Active Directory por medio de la línea de comandos.
16. Esperamos mientras se instalan todos los componentes pertinentes
para la ejecución del Active Directory como lo son la base de datos y
archivos de configuración; Marcamos la casilla de Reiniciar Ahora.
13. Servidor De Actualización WSUS
riveraj94 13
17. Luego de reiniciar podemos verificar que el equipo ya tiene su nombre
de NetBIOS configurado correctamente.
14. Servidor De Actualización WSUS
riveraj94 14
18. Ya en este punto crearemos los usuarios de la forma más sencilla ósea
1 por 1, manualmente. Se crean de la siguiente forma.
19. Nos dirigimos a cada directorio activo que dentro del mismo tiene otro
directorio llamado Usuarios y grupos halla damos click derecho
nuevo>usuario
15. Servidor De Actualización WSUS
riveraj94 15
20. Digitamos los datos del usuario.
21. Le otorgamos una contraseña y dejamos las casillas sin chulear, Next.
22. Nos mostrara como quedara el usuario.
16. Servidor De Actualización WSUS
riveraj94 16
23. Y damos Finish y ya tendremos 1 usuario creado en la respectiva
carpeta.
17. Servidor De Actualización WSUS
riveraj94 17
INSTALACIÓN Y CONFIGURACIÓN DE WSUS
1. Para empezar la instalación debemos tener una maquina Windows
Server limpia. Luego accedemos al Administrador del Servidor y luego en
Roles. Ahora damos clic en agregar rol de Windows Server Updates, así:
18. Servidor De Actualización WSUS
riveraj94 18
2. Al seleccionar Windows Server Updates, por defecto instala el servidor
web IIS.
19. Servidor De Actualización WSUS
riveraj94 19
3. Ahora seleccionamos las características necesarias para el óptimo
funcionamiento del servidor IIS.
20. Servidor De Actualización WSUS
riveraj94 20
4. Ahora seleccionamos las características necesarias para el óptimo
funcionamiento del servidor IIS. Después de tener las características a
instalar listas, damos clic en instalar.
21. Servidor De Actualización WSUS
riveraj94 21
5. En este punto nos mostrara que fue lo que instalo, como podemos ver
el servidor de actualización no instalo, por la cual razón lo volveremos a
instalar.
6. En los roles solo nos saldrá el del IIS, instalaremos otra vez el WSUS.
22. Servidor De Actualización WSUS
riveraj94 22
7. Empezaremos con la instalación del WSUS, otra vez.
8. Nos mostrara que es este punto si instalara el WSUS.
24. Servidor De Actualización WSUS
riveraj94 24
10. Seleccionamos la opción de I accept the tems of the license
agreement y luego clic en next.
11. Nos aparece una nota de que el programa Report Viewer 2008 no está
instalado.
-Si deseamos, podemos instalar este programa más adelante.
-Damos clic en siguiente.
25. Servidor De Actualización WSUS
riveraj94 25
12. Nos muestra en la ventana la ubicación en la que se guardaran las
actualizaciones, clic en Siguiente.
"Select Update Source" donde seleccionamos si queremos guardar los
parches localmente en el servidor para luego ser distribuidos, en qué disco
y en qué carpeta. Si decidimos guardarlos localmente debemos
seleccionar un disco con al menos 6Gb y formateado como NTFS.
Nuevamente, 6Gb mínimo. Si no los guardamos localmente los parches se
bajarán cada vez que requiera ser instalado.
26. Servidor De Actualización WSUS
riveraj94 26
13. En la ventana se presenta la ubicación en la cual se Instalará la base de
datos interna.
Luego debemos configurar la base de datos que utilizará el servicio, dejar
que WSUS instale el SQL Server Embedded Edition como paso de la
implementación. Si elegimos el último caso debemos elegir nuevamente el
disco y el directorio que utilizará para dicha instalación.
27. Servidor De Actualización WSUS
riveraj94 27
14. Como último paso de la instalación debemos seleccionar si va a utilizar
el Sitio Web por defecto del IIS o bien queremos que genere uno nuevo.
Recomiendo que utilicen el que viene por defecto y luego se le configura
seguridad al mismo pero asumimos que el servidor será WSUS dedicado.
-En la ventana elegimos la opción de Usar un sitio Web predeterminado
asistente, es por ello que debemos tener instalado y configurado el IIS.
Damos clic en Siguiente.
15. A continuación aparecen los componentes que se instalarán. Clic en
Next
29. Servidor De Actualización WSUS
riveraj94 29
17. Ya que ha terminado le damos clic en Finish
18. Después de la instalación de wsus, procedemos a configurarlo. En esta
consola de administración que aparece, damos clic en siguiente.
30. Servidor De Actualización WSUS
riveraj94 30
CONFIGURACION.
Al finalizar la instalación va a aparecer un asistente para la configuración
inicial. Sugiero que se haga en ese momento por más que se pueda
cancelar y abrir luego desde la consola, es preferible terminar de
configurarlo en ese instante así ya queda casi en producción.
Debemos garantizar que el equipo pueda conectarse a Internet (Microsoft
Update Site) o bien al servidor WSUS de Updates superior para poder
conseguir los parches. En caso de no poder comunicarse a Internet
verificar más abajo qué es necesario para la conexión a internet.
WSUS requiere acceso a ciertos sitios de Internet que deberían estar
habilitados en el Firewallo en el Proxy server de tu compañía. Los sitios
son los siguientes:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
Se debe garantizar el acceso a dichos links para que WSUS funcione
correctamente. Este es un punto que se puede resolver previo a la
instalación del servicio así no encuentras con problemas a la hora de bajar
los parches.
32. Servidor De Actualización WSUS
riveraj94 32
2. Seleccionamos la opción de sincronizar desde Microsoft Windows
Update.
El primer paso de configuración es definir si el servidor va a bajar los
parches desde Microsoft Update o los va a sincronizar de otro servidor de
WSUS.
Este punto va a depender de la implementación que tengamos. En este
caso va a bajarlos desde Internet, pero podría ser un servidor de un site
remoto que sincronice contra el del site central. Para ese caso podríamos
configurar el modo SSL e incluso podríamos definir en este paso si el
servidor es una réplica del central.
33. Servidor De Actualización WSUS
riveraj94 33
3. Desmarcar la opción de configurar el servidor proxy.
Al siguiente paso debemos definir si va a utilizar un servidor Proxy para el
acceso a internet o bien se conecta directamente. Esta configuración
depende de cada organización. Una vez configurado el acceso a internet el
servidor ya intentará conectarse para poder bajar la lista de productos
actualizada, lenguajes disponibles y tipos de parches.
4. Ahora damos clic en iniciar conexión.
34. Servidor De Actualización WSUS
riveraj94 34
5. Después de que cargue la configuración, damos clic en siguiente.
Si la conexión fue exitosa podremos configurar el lenguaje que deseamos
contenga nuestra plataforma, los productos de los cuales queremos que
chequee los parches y además baje parches disponibles y por último la
clasificación de los parches que deseamos, ya sean Updates, Security
Updates, Critial Updates, Service Packs, etc.
Luego de seleccionar estos parámetros debemos configurar el calendario
de sincronización de cuándo queremos que se conecte a internet a bajar
dichos parches.
35. Servidor De Actualización WSUS
riveraj94 35
6. Seleccionamos el idioma a usar para la descarga de actualizaciones.
7. Seleccionamos los paquetes de actualizaciones que deseamos
descargar.
36. Servidor De Actualización WSUS
riveraj94 36
8. Ahora voy a seleccionar las actualizaciones. Se puede seleccionar las
actualizaciones que necesitemos.
37. Servidor De Actualización WSUS
riveraj94 37
9. Seleccionamos la forma de sincronización del servidor.
Como último paso nos va a preguntar si queremos abrir la consola
administrativa al finalizar la configuración y si queremos que inicie la
sincronización inicial. Estos pasos son optativos, es más podemos obviar la
sincronización si queremos y dejarla programada para la noche para no
saturar el acceso a Internet.
10. Damos clic en Next para poder aplicar la configuración
38. Servidor De Actualización WSUS
riveraj94 38
11. Clic en Finish. Y nos muestra que la instalación fue correcta y damos
clic en cerrar.
39. Servidor De Actualización WSUS
riveraj94 39
12. Ahora accedemos a Windows Server Update Services en inicio >
herramientas administrativas.
Luego vamos a la administración de directivas de grupo (GPO) en nuestro
servidor de Directorio Activo.
Asignamos una directiva de grupo al dominio, para poder que los clientes
que se unan al dominio y obtengan las actualizaciones del servidor wsus y
no de internet.
En nuestro caso la GPO la nombramos Actualización, la editamos y vamos
a la siguiente ruta:
> Computer Configuration >Polices > Administratives Templates >
Windows Component>Windows update.
40. Servidor De Actualización WSUS
riveraj94 40
->Configure Automatic Updates. Luego entramos en la opción
41. Servidor De Actualización WSUS
riveraj94 41
->Specify intranet Microsoft update service location
En esta imagen introducimos la dirección IP o el nombre de nuestro
servidor de actualizaciones WSUS.
42. Servidor De Actualización WSUS
riveraj94 42
Luego en la opción ->Automatic updates detection frecuency.
En nuestro caso ingresamos un intervalo de 1 hora para que busque las
actualizaciones automáticas.
13. Luego de crear la GPO, los equipos clientes los unimos al dominio, al
igual que el servidor Exchange, y los agregamos a sus respectivas unidades
organizativas.
44. Servidor De Actualización WSUS
riveraj94 44
AGREGAR EQUIPOS AL SERVIDOR
1. Lo primero que debemos tener en cuanta es que los computadores
deben tener el firewall apagado, ya que si esta encendido no podremos
conectarnos aunque nos de ping y el nslookup nos de.
- Tanto en el servidor como en los computadores clientes no deben tener
firewall:
Servidor: Panel de control >system and security >Windows Firewall –
Customize Settings.
45. Servidor De Actualización WSUS
riveraj94 45
PCs: Panel de control > Sistema y Seguridad> Firewall de Windows
Activar o desactivar Firewall de Windows y quitamos el Firewall.
46. Servidor De Actualización WSUS
riveraj94 46
2. Le pondremos un ip estático al cliente. Teniendo en cuanta que debe
estar en al misma porción de red, que la puerta de enlace determinado
sea la misma y que este unido con el servidor ósea el DNS.
3. Aremos un nslookup para saber si esta unido a el Servidor.
47. Servidor De Actualización WSUS
riveraj94 47
4. Nos iremos a mi PC y daremos clic derecho y en propiedades y nos
saldrá algo así.
5. Le daremos clic en el nombre de equipo, cambiar, nos dejara cambiar el
nombre y el dominio.
48. Servidor De Actualización WSUS
riveraj94 48
6. Nos quedara algo así.
7. Al darle aceptar ya podremos unirnos como un usuario que este en el
Directorio activo.
49. Servidor De Actualización WSUS
riveraj94 49
8. Si todo esto esta bien nos saldrá esto y continuaremos.
9. Si podemos mirar en el Directorio Activo nos saldrá el pc registrado.
10. En el cliente veremos algo así.
50. Servidor De Actualización WSUS
riveraj94 50
11. Ya daremos el nombre con el que el usuario se logeara al pc, algo así
como esto.
12. Si el usuario se logra logear, nos quedara algo así.
-Como pueden ver sale el nombre con el cual registramos a el usuario a el
servidor del Directorio Activo.
51. Servidor De Actualización WSUS
riveraj94 51
13. Si vemos la configuración del nombre del equipo podremos mirar que
dice en el dominio de wsus.com.
52. Servidor De Actualización WSUS
riveraj94 52
EQUIPOS QUE SE REPORTEN EN WSUS
Luego para poder que nuestros equipos clientes aparezcan en el servidor
de actualizaciones WSUS, debemos agregar el archivo wuau, para esto
vamos a la siguiente ubicación.
Ingresamos al editor de directivas de grupo (GPO), en ->Policies >
Administratives Templates clic derecho sobre esta opción Dad/Remove
Templates.
Damos clic en Add y buscamos el archivo wuau que se encuentra en Disco
local C: > Windows> inf > wuau.adm
53. Servidor De Actualización WSUS
riveraj94 53
1. Ahora accedemos al WSUS Update services.
En ->Computers > all computers clic derecho sobre este y Add computer
group.
Esto es para agregar los grupos de los equipos.
2. Seleccionamos las Updates.
54. Servidor De Actualización WSUS
riveraj94 54
3. Le damos clic a All Updates, y seleccionamos en staus: any y le damos
clic Refresh.
- Nos saldrá algo así.
55. Servidor De Actualización WSUS
riveraj94 55
4. Seleccionamos las actualizaciones y el grupo al cual vana pertenecer,
Clic en aceptar para aprobar las actualizaciones.
- Le daremos clic al grupo en el cual vamos aplicar las actualizaciones,
aprobaremos la instalación de dichas actualizaciones.
56. Servidor De Actualización WSUS
riveraj94 56
-En este punto se puede ver un “listo” que ya hemos seleccionado ese
grupo para que reciba las actualizaciones.
-El servidor empezara a instalar las actualizaciones.
-Cuando acaben la instalación le daremos clic en “Close”.
57. Servidor De Actualización WSUS
riveraj94 57
5. En este punto se pueden ver que actualizaciones se instalaron en el
servidor con un simbolito y están listas para actualizar en los clientes.
58. Servidor De Actualización WSUS
riveraj94 58
EN LAS MAQUINAS CLIENTE
1. Ahora en la maquina cliente escribimos los siguientes comandos desde
la consola, para poder forzar el equipo para que se actualice con el
servidor wsus y no desde internet.
gpupdate /force
wuauclt /detectnow
2. Desactivo el firewall para que pueda haber conectividad con el servidor
WSUS y no vaya a rechazar la conexión.
Nota: Si te sale esto el firewall es normal.
59. Servidor De Actualización WSUS
riveraj94 59
PRUEBA DE ACTUALIZACIÓN
1. Para la prueba de actualización lo primero que tenemos que hacer es
entrar a la siguiente dirección.
->Panel de Control > Sistema y Seguridad > Windows Update
-Damos clic a “Buscar actualizaciones”
2. Este empezara a buscar actualizaciones en nuestro servidor para
instalarlas.
3. Si el pc no tiene nada que actualizar nos saldrá esto y con esto
acabaremos el manual de actualización de WSUS.
60. Servidor De Actualización WSUS
riveraj94 60
CONCLUSIONES
WSUS es una poderosa herramienta al alcance de los Administradores,
que forma parte de Windows Server 2008 R2 a través de la
implementación de uno de sus roles. Esto significa que sin invertir en más
licenciamiento, se puede contar con una administración centralizada de
Updates para nuestros equipos de la red.
Sin lugar a dudas, el ver y aprovechar esta funcionalidad puede simplificar
y estandarizar la ardua tarea del despliegue de actualizaciones a todos los
equipos.
No es el objetivo de este Manual, pero la herramienta WSUS nos permite
seleccionar los updates a instalar, cuáles no, y diferenciar su aplicación (si
quisiéramos) a grupos de equipos.