WSUS en windows Server 2012 (1 de

3) Instalación
Buenas tardes,

Comenzamos hoy una serie de tres artículos en las que hablaremos sobre el
servicio WSUS (Windows Server Update services), aunque en esta serie
realizaremos el depliegue sobre Windows server 2012 es importante mencionar
que la mayoría de las configuraciones son también aplicables a Windows Server
2008 R2.

Primero que todo, me gustaría hacer una introducción y definiciónd del Servicio
WSUS. Wsus es el role de Windows server que nos permite gestionar las
actualizaciones de todos los productos Microsoft para los equipos de nuestra
red, por definirlo un poquito mejor con palabras que todo el mundo entiende,
podemos decir que Wsus es el equivalente a Windows update para gestionado
por nosotros y dedicados únicamente a parchear nuestro entorno.

Igualmente antes de explicar el proceso de instalación, me gustaría comentar

brevemente el contenido que que publicare en cada una de las 3 entradas de
esta serie:
– Entrada 1 (Instalación): Veremos el proceso de instalación de WSUS
– Entrada 2 (Configuración del Servidor): Con el servicio desplegado
configuraremos el servidor usando la consola de WSUS
– Entrada 3 (Configuración de los clientes mediante GPOS): Mostraremos como
configurar los clientes de manera centralizada mediante gpos para ser
actualizados por el servidor WSUS.

Una vez hecha esta pequeña intro, paso a detallar el proceso de actualización:

1- Desde el server manager de nuestro Windows server 2012 inciamos el

asistente para agregar roles.
2- Seleccionamos el role de Windows server update services, el propio wizard
nos pedirá confirmación para instalar el resto de componentes requeridos como
puede ser iis
3- El wizard nos solicitara indicar que componentes de wsus queremos instalar
puesto que podemos alojar la base de datos el propio servidor en formato wid
(formato dedicado a wsus) o un servidor sql como será nuestro, además mi
recomendación será siempre instalar wsus sobre sql puesto que es mas robusto
y nos da juego para consultar información en la BD si lo necesitamos en algún
momento.

4- Indicamos si queremos descargar las actualizaciones desde de Windows

update en el momento en el que se aprueben, igualmente indicamos el path en
el que se almacenaran. Es muy recomendable descargar la actualizaciones al
servidor y desde el servidor a los clientes para evitar que los clientes
descarguen las actualizaciones de Windows update. Necesitaremos 50 Gb libres
para almacenar las actualizaciones.
5-Especificamos el nombre\instancia del servidor sql que almacenara la bd

6- Seguimos el resto de pasos del wizard dejando las opciones por defecto.
Espero que os resulte de utilidad, la semana que viene me comprometo a
publicar la siguiente entrada.

WSUS en windows Server 2012 (2 de

3) Configuración
Buenas,

Pues vamos al lio con esta segunda entrada de la serie en la que veremos como
configurar nuestro servidor WSUS tras realizar la instalación del servicio en el
mismo. Para ello seguiremos las siguientes instrucciones:
1- Abrimos la consola de Wsus desde el server manager

2 – Accedemos al apartado de opciones y vamos configurando las mismas, en

este apartado solo mencionaremos las opciones que son necesarias definir en la
configuración inicial:

3- Update Sourde and proxy server: Definimos si queremos descargar las

actualizaciones desde Windows update o desde otro servidor de WSUS y los
parámetros del proxy en el caso de usemos un servidor proxy para salir a
internet. Es importante mencionar que es necesario instalar el kb462301 para
poder descargar mediante proxys que requieren autenticación.

4- Product and classifications: Nos permite seleccionar los software

(únicamente Microsoft) para los que gestionaremos las actualizaciones así como
las severidades de los parches a gestionar. Mi recomendación es seleccionar
todo para parchear el máximo posible.

5- Update Files and update lenguages: Nos permite definir definir si queremos
almacenar las actualizaciones en nuestro servidor wsus o dejarlas en Windows
updates y en que momento descargarlas, igualmente nos permitirá definir los
idiomas de las updates a gestionar.
6- Synchronization Schedule: Nos permite definir si descargaremos las
actualizaciones de manera manual o automática y a que horas.

7- Automatic approvals: Nos permite definir si las actualizaciones descargadas

serán aprobadas automáticamente al publicarse en Windows update o por el
contrario requieren la aprobación de un administrador. Yo recomendaría al
100% la segunda y leernos los kbs de las actualizaciones que publica Microsoft
antes de actualizar nada.

8- Computers: Nos permite definir si usamos grupos de wsus o grupos

definidos por gpos para gestionar las actualizaciones de los equipos. En este
caso a mi me gusta más la primera porque permite controlar mejor las
excepciones de aquellos equipo que por una razón u otra no pueden
parchearse.

9- Email Notifications: Nos permite definir nuestro servidor de correo mediante

el cual se enviaran reportes de manera peridica tanto de la sincronización de
updates con Microsoft como del estado de salud de los equipos gestionando.

Espero que os resulte de utilidad.

En la próxima y ultima entrada veremos cómo añadir equipos a nuestro
servidor wsus mediante GPOS.

WSUS en windows Server 2012 (3 de

3) Configuración de lo clientes
mediante GPOs
Buenas,
´
Finalizamos esta serie de tres artículos con el procedimiento para configurar los
clientes de WSUS mediante directivas de grupos (Gps) consiguiendo de esta
manera hacer toda la configuración en el controlador de dominio sin necesidad
de interactuar de manera manual con cada cliente.
Para realizar esta configuración realizamos los siguientes pasos:

1- Abrimos la GPMC (Group policy mananegement console en cualquier

controlador de dominio)

2- Hacemos clic con el botón derecha en la Ou en la que se encuentran

nuestros clientes y seleccionamos la opción “Create a GPO in this domain, and
link it here”

3- Elegimos un nombre para la Gpo y hacemos click en ok

4- Una vez creada la gpo, pinchamos con el botón derecho sobre la misma y
hacemos click en edit

5- Nos vemos hasta el path Computer Configuration – Administrative templates

– Windows Components – Windows update
6- Dentro de esta carpeta, actualizaremos la configuración de wsus que se
aplicará en nustro clientes, aunque se pueden configurar algu opción más, en
este artículo me centraré en las que yo considero necesarias que son las
siguientes:
– Configure Automatic update: Nos permite definir a que hora instalaran los
clientes las actualizaciones y con que periodicidad la disponibilidad de
actualizaciones y como se instalaran las mimas.
– Specify Intranet Microsoft update service location: Aquí configuraremos el
nombre o la ip del servidor wsus al que se conectarán los clientes.
– Automatic update detection frequency: Nos permite definir con que frecuencia
los clientes harán una comprobación de actualizaciones disponibles, yo
recomiendo dejarlo por defecto (22 horas).
– Allow non-administrators to recibe update notifications: en este caso
recomiendo habilitar esta funcionalidad para que todos los usuarios conozcan la
existencia de actualizaciones con independencia de tener permisos
administrativos en la máquina.
– Allow Automatic Updates immediate installation: Nos permite definir si
instalamos las actualizaciones justo después de descargarlas o establecemos un
retardo después de descargarlos.
– No auto-restart with logged on users for scheduled automatic update
installations: Esta configuración nos permite definir si reiniciamos o no el
equipo después de instalar actualizaciones cuando hay usuarios logados en el
mismo.
– Delay restart for scheduled installations: Nos permite definir un retardo para
reiniciar el equipo tras instalar actualizaciones. Si esta política no se define, el
tiempo por defecto para reiniciar son 15 minutos.
– Enable client-side targeting: Como ya comente en los artículos anteriores,
mes gusta deshabilitar esta configuración y categorizar los clientes por grupos
en la propia consola de WSUS.

Espero que os resulte de utilidad.