Professional Documents
Culture Documents
28 de Octubre de 2008
En este documento se describe detalladamente el proceso de instalacin del servidor de actualizaciones de Microsoft para productos Microsoft, veremos las opciones de instalacin que tenemos y despus veremos cmo distribuir dichas actualizaciones en los puestos que nos interesen. La funcin principal del WSUS 3.0 es la de ser el servidor de actualizaciones para todos los productos de Microsoft, l se encargara de descargarse las actualizaciones para distribuirlas por nuestros sistemas operativos basados en Windows o a nuestros productos de SQL Server, Exchange Server, Office lo mejor de todo es que es un p roducto gratuito, que menos!
Instalacin
de
WSUS
AKI,
Lo primero es hacerse con el WSUS, lo podemos descargar de la web de descargas de Microsoft: www.microsoft.com/wsus. Despus debemos cumplir con los requisitos de instalacin, si instalamos lo que es el servidor, que es lo normal, debemos tener: IIS, ASP.NET, .NET Framework 1.1 y Servicio de transferencia inteligente en segundo plano (BITS) 2.0 - AKI. Ejecutamos el asistente de instalacin, Siguiente,
Aqu nos pregunta qu es lo que vamos a instalar, lo normal es el servidor y la consola de administracin, la consola de administracin podemos instalarla en nuestro XP/Vista para poder administrar el WSUS de forma remota, aunque tambin lo podamos hacer por web. Marcamos Instalacin de servidor completa incluida la consola de administracin y Siguiente,
Aceptamos la licencia, Acepto los trminos del Contrato de licencia & Siguiente,
Lo interesante del WSUS a parte de distribuir las actualizaciones, sus configuraciones es almacenar estas updates en un disco dedicado a ello, para que no cada puesto se tenga que bajar las actualizaciones de internet y nos saturen en canuto de internet. Marcamo s Almacenar actualizaciones localmente y decimos un directorio donde las guardaremos, este directorio ir creciendo dependiendo lo que queramos bajar y sus idiomas Siguiente,
Nos pregunta donde almacenaremos la base de datos del WSUS. Si tenemos una organizacin pequea y no tenemos un servidor SQL en la red seleccionaremos la primera opcin para que nos instale el Windows Internal Database en este equipo o si tenemos un SQL lo indicamos, como es mi caso, y es la mejor opcin. Siguiente,
Nos crea un sitio en IIS, tenemos dos opciones, usar el sitio que tenemos para WSUS, si no tenemos una pgina web alojada y no tenemos intencin de tenerla sera lo ideal, y si no, deberamos crear un sitio a parte. Vemos cmo quedara configurado el sitio, Siguiente
Comprobamos lo que hemos configurado, si pulsamos ya Siguiente comenzar la instalacin del producto
Listo, Finalizar,
Ahora nos abre un asistente de configuracin, podemos salir y configurarlo manualmente despus, yo lo sigo. Siguiente,
Si queremos participar en el programa de mejoda de Microsoft Update marcamos el check, si no, Siguiente,
Bien, estoy instalando un nico servidor WSUS, si slo vamos a tener uno marcaremos la primera opcin que indica que se bajar los updates de un servidor de Microsoft. Si tenemos pensado tener varios servidores WSUS y que uno distribuya las actualizaciones a otros WSUS por ejemplo uno en cada delegacin de cada empresa, y ya estos a los equipos finales. Siguiente
10
Si para conectarnos a internet desde este servidor WSUS pasamos por un proxy es aqu donde lo configuraremos. Siguiente,
11
Tenemos que conectarnos a un servidor Microsoft Update para que nos muestre que tipo de actualizaciones podremos bajarnos, de qu productos y en qu idiomas, pulsamos en Iniciar conexin,
12
13
Siguiente,
14
Ahora nos pregunta en qu idiomas nos bajaremos las actualizaciones, seleccionamos los idiomas que tengamos en nuestro entorno, si nuestros S.O estn en espaol y nuestros servidores en otro idioma o sus servicios y tenemos pensado usar WSUS para ellos marcaramos aqu su idioma. Marcamos los idiomas y Siguiente,
15
Aqu tenemos que seleccionar los productos que usarmos en nuestra red y queremos bajarnos las actualizaciones para ellos, en mi caso tengo una red de equipos con Windows XP, Windows Vista, Office 2003, Office 2007, Exchange 2003 y SQL 2005, seleccionar los productos que me interese actualizar. Siguiente,
16
Y de cada producto tenemos las clasificaciones, qu es lo que queremos descargar de los productos, si slo actualizaciones crticas, actualizaciones de seguridad o directamente tambin Service Packs marcamos lo que nos interese y Siguiente,
17
La sincronizacin es, cuando se va a bajar este servidor WSUS las actualizaciones de otro servidor WSUS o de Microsoft Update lo que acabamos de especificar. Lo normal, como mnimo sera una vez al da y en un horario que no afecte a la produccin de los usuarios. En mi caso me las bajar todos los das a la 1:30am. Siguiente,
18
Si nos interesa que nos abra la consola ahora dejaremos el primer check marcado. Y si queremos que ahora mismo empiece una sincronizacin y se baje todos los parches que hay hasta la fecha actual, debemos dejar marcado el check de Iniciar sincronizacin inicial, Siguiente,
19
Ahora nos indica pasos que tenemos que ir cumpliendo, cmo habilitar SSL para que la conexin sea segura entre donde nos conectemos va web, y lo dems lo haremos posteriormente. Finalizar. Configuracin y administracin de WSUS, A partir de aqu veremos opciones que nos quedan para configurar en el WSUS as cmo parmetros para administrarlo, y posteriormente cmo implementar el WSUS con directivas en el Directorio Activo.
20
Esta es la consola principal de WSUS, donde veremos los servidores de WSUS as cmo su estado, el estado de nuestros equipos y de las actualizaciones. Por ahora est vacio ya que no hemos metido a los equipos
21
En la parte de Sincronizaciones es donde veremos el progreso de la descarga, cmo hemos dicho que se sincronice ahora durante la instalacin, vemos que lleva un 10% y aqu veremos los estados de las futuras sincronizaciones.
22
Bien, una vez que se haya actualizado, vemos si es con xito o hay errores, en este caso vemos que la primera vez me baj 1344 parches y la siguiente ninguno, pq Microsoft no sacara ninguno nuevo en ese rato (es lo ms normal).
23
Bien, lo primero que hay que hacer es crear un grupo de equipos, podemos crear uno para toda la empresa al que todas las actualziaciones se les aplicarn de forma igual, o por departamentos o directamente un grupo de equipos que sean servidores y otros PCs. As que pinchamos en Equipos > Todos los equipos > Agregar grupo de equipos
Indicamos un nombre, en mi caso ser igual al de la compaa, pulsamos en Agregar, luego meteremos a los equipos en este grupo, lo har mediante polticas del Active Directory.
24
25
Equipos, esto es el grupo que acabamos de crear si queremos meter los equipos nuevos directamente en un grupo llamado equipos sin asignar y los movemos manualment e en los grupos que nos interesen o si mediante las directivas de grupo configuraremos a qu equipos meteremos en qu grupos, est es mi opcin y marco: Usar directivas de grupo o la configuracin de Registro de los equipos. Aceptar,
26
Podemos adems en el panel de Opciones pinchar en Asistente para la limpieza de objetos WSUS realizar una limpieza en el propio servidor de objetos obsoletos, cmo Actualizaciones y revisiones de actualizaciones no utilizadas, Equipos sin conexin con el servidor, Archivos de actualizacin innecesarios, Actualizaciones caducadas o Actualizaciones reemplazadas, leemos la descripcin si no sabemos a que se refiere y hacemos dicha limpieza, Siguiente,
27
28
En este caso no se me ha borrado nada, por que mi servidor a penas tiene unos das y Microsoft no ha sacado parches que sustituyan a otros Finalizar,
29
En Opciones > Notificaciones por correo electrnico podemos configurar para que se manden a una cuenta de correo o varias informes del estado del servidor o eventos de la sincronizacin, todo esto en la pestaa de General.
30
En la pestaa de Servidor de correo electrnico es donde configuraremos el servidor de mails para enviar dichos mails. Una vez configurado pulsaremos en Probar
31
Bien, en Opciones > Aprobaciones automticas tenemos la posibilidad de aprobar de forma automatizada que se instalen estas en los PCs. WSUS primero se baja las actualizaciones del servidor Microsoft Update con la sincronizacin y despus para poder distribuir una actualizacin, esta debe de estar aprobada ya que si no, no se instalar en el PC final. Podemos aprobar las actualizaciones manualmente para aprobar las que nos interesen o desde aqu (Actualizar reglas) configurar una regla de aprobacin. En este caso yo he editado est regla y se aprobarn todas las que sean actualizaciones crticas y de seguridad para todos los grupos de equipos. Podemos editar la regla o crear nuevas dependiendo del tipo de actualizacin y el grupo final. En este caso tengo el servidor WSUS sincronizado pero las actualizaciones no estn aprobadas, para aprobar las que me interesan, pulsamos sobre Ejecutar regla.
32
Perfecto.
Bien, una vez ms o menos configurado el servidor WSUS lo que hay que hacer es definir una directiva de grupo, una GPO en nuestro Directorio Activo para configurar los clientes de WSUS para que usen este servidor que acabamos de configurar. Abrimos la consola de directivas o si no la tenemos desde la de Usuarios y equipos del AD. Lo dicho, creamos una nueva directiva.
33
La editamos,
34
Y aqu configuraremos todas las opciones que nos interese, est directiva yo la aplicar a una Unidad Organizativa que sern equipos, por lo que me interesa ms editarla desde la Configuraci n del equipo > Plantillas administrativas > Componentes de Windows > Windows Update. Ah veremos las configuraciones posibles.
35
36
37
38
equipo para completar la instalacin, Windows lo har automticamente. (Si un usuario inicia una sesin en el equipo cuando Windows est a punto de reiniciarse, el usuario recibir una notificacin y podr retardar el reinicio del sistema.) 5 = Permitir que los administradores locales seleccionen el modo de configuracin en que Actualizaciones automticas notifica e instala actualizaciones. Con esta opcin, los administradores locales podrn usar el panel de control de Actualizaciones automticas para seleccionar la opcin de configuracin de su eleccin. Por ejemplo, pueden elegir su propia hora programada de instalacin. Los administradores locales no podrn deshabilitar la configuracin de Actualizaciones automticas. Para usar esta configuracin, haga clic en Habilitado y seleccione una de las opciones (2, 3, 4 o 5). Si selecciona la opcin 4, podr establecer una programacin recurrente (si no especifica ninguna programacin, todas las instalaciones tendrn lugar diariamente a las 3:00 a.m.). Si el estado se establece en Habilitado, Windows reconocer si el equipo est en lnea y usar la conexin a Internet para buscar en el sitio Web de Windows Update todas las actualizaciones aplicables a este equipo. Si el estado se establece en Deshabilitado, las actualizaciones que haya disponibles en el sitio Web de Windows Update se tendrn que descargar e instalar manualmente desde http://windowsupdate.microsoft.com. Si el estado se establece en No Configurado, el uso de actualizaciones automticas no estar especificado para Directiva de grupo. Sin embargo, un administrado puede an configurar actualizaciones automticas desde el Panel de control.
39
Indica a un servidor de la intranet que aloje actualizaciones del sitio Web de Microsoft Update. Puede usar este servicio de actualizacin para actualizar automticamente equipos de la red. Esta opcin permite especificar un servidor de la red para que funcione como un servicio de actualizacin interno. El cliente de actualizaciones automticas buscar en este servicio actualizaciones que sean aplicables a los equipos de su red. Para usar esta opcin, tiene que establecer dos valores de nombre de servidor: el servidor desde donde el cliente de actualizaciones automticas detecta y descarga las actualizaciones y el servidor en el que las estaciones de trabajo actualizadas cargan las estadsticas. Puede establecer ambos valores en el mismo servidor. Si el estado se estable en Habilitado, el cliente de actualizaciones automticas se conecta al servicio Microsoft Update de la intranet especificado, en lugar de hacerlo a Windows Update, para buscar y descargar actualizaciones. Al habilitar esta opcin, los usuarios finales de su organizacin no tendrn que usar un servidor de seguridad para obtener actualizaciones y, adems, tendr la posibilidad de probar las actualizaciones antes de distribuirlas. Si el estado se establece en Deshabilitado o No configurado y, adems, las actualizaciones automticas no estn deshabilitadas por las directivas o las preferencias del usuario, el cliente de actualizaciones automticas se conecta directamente al sitio Web de Windows Update en Internet.
40
Si el servicio Microsoft Update de la intranet admite varios grupos de destino, esta directiva puede especificar varios nombres de grupo separados por puntos y comas. En caso contrario, hay que especificar un solo grupo. Si el estado se establece en Deshabilitado o No configurado, no se enviar informacin del grupo de destino al servicio Microsoft Update de la intranet.
41
42
43
44
45
Volver a pedir la intervencin del usuario para reiniciar con instalaciones programadas:
Especifica la cantidad de tiempo que Actualizaciones automticas debe esperar antes de volver a pedir la intervencin del usuario con un reinicio programado. Si el estado se establece en Habilitado, se producir un reinicio programado despus del nmero especificado de minutos posteriores a la anterior peticin de intervencin de usuario pospuesta. Si el estado se establece en Deshabilitado o No configurado, el intervalo predeterminado ser de 10 minutos.
46
Permitir que los usuarios que no sean administradores reciban notificaciones de actualizacin:
Especifica si los usuarios que no son administradores, al tener una sesin iniciada, recibirn notificaciones de actualizacin basadas en los parmetros de configuracin de Actualizaciones automticas. Si Actualizaciones automticas se configura (por medio de directiva o localmente) para notificar al usuario antes de la descarga o nicamente antes de la instalacin, dichas notificaciones se ofrecern a cualquier usuario que no sea administrador cuando inicie una sesin en el equipo. Si el estado se establece en Habilitado, Actualizaciones automticas incluir a usuarios que no sean administradores cuando determine qu usuarios con sesin iniciada deben recibir notificaciones. Si el estado se establece en Deshabilitado o No configurado, Actualizaciones automticas slo notificar a los administradores con sesin iniciada.
47
48
Habilitar la administracin de energa a Windows Update para que despierte automticamente al sistema:
Especifica si Actualizaciones automticas utilizar las caractersticas de administracin de energa de Windows para despertar automticamente al sistema de su hibernacin, si hay actualizaciones programadas para su instalacin. Windows Update slo despertar automticamente al sistema si Windows Update est configurado para instalar actualizaciones automticamente. Si el sistema est en hibernacin cuando llegue la hora de instalacin programada y hay actualizaciones que deban aplicarse, Windows Update utilizar las caractersticas de administracin de energa de Windows para despertar automticamente al sistema e instalar las actualizaciones. Windows Update tambin despertar al sistema e instalar una actualizacin si se alcanza una fecha lmite para instalar. El sistema no se despertar a menos que haya actualizaciones para instalar. Si el sistema se ejecuta con batera cuando Windows Update se despierte, no se instalarn las actualizaciones y el sistema volver automticamente al estado de hibernacin transcurridos 2 minutos.
49
Permitir el contenido firmado procedente de la ubicacin del servicio Microsoft Update de la intranet:
Especifica si Actualizaciones automticas debe aceptar actualizaciones firmadas por otras entidades distintas de Microsoft cuando la actualizacin procede de una ubicacin de los servicios de Microsoft Update en la intranet. Si el estado se establece en Habilitado, Actualizaciones automticas aceptar las actualizaciones recibidas desde una ubicacin de los servicios de Microsoft Update en la intranet si estn firmadas por un certificado existente en el almacn de certificados Ed itores de confianza del equipo local. Si el estado se establece en Deshabilitado, las actualizaciones procedentes de una ubicacin de los servicios de Microsoft Update en la intranet deben estar firmadas por Microsoft. Las actualizaciones procedentes de un servicio distinto del de Microsoft Update de la intranet tienen que estar siempre firmadas por Microsoft independientemente de si esta directiva est Habilitada o Deshabilitada.
50
Bien, una vez configuradas las directivas cerramos la consola y ejecutamos gpupdate desde el controlador de dominio para que se apliquen inmediatamente las directivas que acabamos de configurar.
Si abrimos de nuevo la consola y vamos a Equipos > Todos los equipos y a nuestro grupo, al de un rato veremos que en nuestro grupo ya se han ido agregando puestos y ah veremos el estado de cada uno de ellos, al principio veremos bastantes alertas o errores si no los tenemos totalmente actualizados.
51
52
Y dentro de las Actualizaciones en Actualizaciones crticas veremos las que tenemos exctamente y en qu estado estn, si estn aprobadas, con errores podemos aplicar filtros para visualizarlas.
53
Y por supuesto podremos generar informes de cualquier tipo para ver grficas del estado o para mostrarlos a nuestro superior, todo esto en Informes.
54
Podemos generar un informe por cada equipo o uno directamente sobre nuestro servidor WSUS, y de diferentes tipos.
Por ejemplo vemos los equipos que tenemos y vemos que uno de ellos le faltan 15 actualizaciones y el resto ya las tiene instaladas.
55
Cmo podemos comprobar de otra forma que todo funciona bien? Por ejemplo mirando el visor de sucesos de los PCs a los que se les apliquen l a directiva que antes hemos generado, por ejemplo vemos en este PC y cuales se les ha instalado.
56