Cuando el número de equipos y/o servidores que tenemos que administrar aumenta y es significativo para nosotros, y teniendo en cuenta el peligro que conlleva la no actualización de los sistemas de los mismos nos vemos en la necesidad de poseer algún sistema que nos simplifique este proceso de actualización.
Windows Server Update Services (WSUS) simplifica el proceso de mantener actualizados los sistemas basados en Windows con las últimas actualizaciones disponibles, con una mínima intervención administrativa.
Eligiendo la ubicación
Aunque WSUS se puede instalar en cualquier PC con Windows XP es más adecuado instalar este servicio en alguno de los servidores que tengamos disponibles debido a que de esta forma nos aseguramos que el equipo destinado se encuentra siempre activo y podemos acceder a este equipo para solucionar cualquier problema.
Deberemos elegir el equipo que se encuentre mas descargado de tareas.
Eligiendo nuestra versión de WSUS
Al día de la fecha de la elaboración de este documento se encontraba disponible para descarga WSUS 3.0 SP 2. Sin embargo, debido a los requerimientos de esta versión y a que ya se había decido que el equipo de destino fuese un servidor con Windows 2000 Server se opto por una versión algo anterior, WSUS 2.0
Windows Server Update Services 2.0 esta formado por un repositorio de paquetes de actualización de Microsoft, una instancia de MSDE, un servicio que descarga las actualizaciones de un servidor superior y un sitio virtual de IIS. La administración de WSUS se realiza a través de una interfaz Web, que permite a los administradores aprobar o rechazar las actualizaciones y obtener amplios informes sobre que actualizaciones necesita cada equipo. Los administradores del sistema pueden también configurar que WSUS apruebe automáticamente ciertas clases de actualizaciones (actualizaciones críticas, actualizaciones de seguridad, paquetes de servicio, controladores). Se puede igualmente aprobar actualizaciones solo para "detección", permitiendo que el administrador sepa que computadoras necesitas determinada actualización sin necesidad de instalarlo.
Los administradores pueden usar WSUS junto con las políticas de grupo del Directorio Activo para realizar la configuración del cliente de Actualizaciones Automáticas, garantizando que los usuarios finales no puedan deshabilitar o evitar las políticas corporativas de actualización. WSUS, sin embargo, no necesita del Directorio Activo.
Proceso de instalación
Una vez elegido el equipo de destino y la versión de nuestro servicio WSUS el siguiente paso es descargar el software y la documentación relacionada, que está accesible en el sitio Web de Microsoft:
http://technet.microsoft.com/en-us/wsus/default.aspx
La guía de instalación paso a paso (WSUSWin2k.doc), que proporciona Microsoft se puede obtener directamente a través del siguiente enlace:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4169C932-63B5-4629-91D3-C8901C2AFA07&displaylang=en
- Requisitos de Hardware:
o Procesador a 1 GHz.
o 1 GB de RAM
- Requisitos de Software:
o Disponer de Windows 2000 Server con el Service Pack 4 instalado
o Disponer de Microsoft Internet Information Services (IIS) 5.0
o Disponer de Background Intelligent Transfer Service (BITS) 2.0
Este software se puede descargar del Centro de descarga de Microsoft (Windows2000-KB842773-x86-ESN.EXE)
o Disponer de una base de datos 100% compatible con Microsoft SQL Server.
Se opto por la opción de Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Release A que se puede descargar del Centro de descarga de Microsoft (ESN_MSDE2000A.exe)
También debemos descargar la actualización de seguridad correspondiente (que incluye el SP1 para MSDE 2000ª): SQL2000-KB815495-8.00.0818-ESN.exe
o Disponer de Microsoft Internet Explorer 6.0 Service Pack 1
o Disponer de Microsoft .NET Framework Version 1.1 (dotnetfx.exe), y su correspondiente Service Pack 1 (NDP1.1sp1-KB867460-X86.exe). Ambas aplicaciones se pueden optener del Centro de descarga de Microsoft.
- Requisitos de espacio en disco
Lo recomendable es disponer de al amenos 30 GB para almacenar las actualizaciones que se vayan descargando.
Para ello basta con hacer clic sobre el archivo “Windows2000-KB842773-x86-ESN.EXE” y seguir los siguientes pasos:
- Pulsar “Siguiente en la pantalla de bienvenida”
- Aceptar el acuerdo de licencia y pulsar “Siguiente”
- Aceptar hasta finalizar la instalación.
Es recomendable reiniciar el servidor para asegurarnos de que los cambios realizados en el sistema se aplican.
Instalación de Microsoft .NET Framework 1.1 y su Service Pack 1.
Primero debemos instalar Microsoft .Net Framework 1.1 e nuestro sistema. Para ello iremos a la carpeta que contiene el archivo con el paquete de instalación de nuestro software que hemos descargado previamente.
- Hacemos doble clic sobre el archivo “dotnetfx.exe”
- Pulsamos el botón “Sí”
- Esperamos a que finalice la instalación.
En algunas ocasiones aparece un asistente que nos muestra el acuerdo de licencia. En este caso debemos acepar el acuerdo y “Aceptar” hasta finalizar la instalación.
Una vez instalado nuestro Microsoft .NET Framework 1.1 debemos instalar el Service Pack 1 correspondiente. Para ello:
- Hacemos doble clic sobre el archivo “NDP1.1sp1-KB867460-X86.exe”
- Aceptamos el acuerdo de licencia:
- Esperamos a que finalice la instalación de nuestro paquete de software.
Una vez que hayamos acabado es recomendable reiniciar nuestro servidor para asegurarnos de que los cambios realizados en el software se aplican correctamente.
Instalación de MSDE en nuestro servidor
El siguiente paso es la instalación de una base de datos 100% compatible con Microsoft SQL Server: MSDE. Durante el proceso de verificación de requisitos hemos descargado este software. Ahora solo nos queda copiarlo a nuestro servidor e instalarlo. El proceso de instalación se puede realizar siguiendo los siguientes pasos:
- Hacer doble clic sobre el archivo “ESN_MSDE2000A.exe”
- Aceptar el acuerdo de licencia:
- Elegir la carpeta de destino donde descomprimir el contenido de nuestro paquete de software. Por defecto “C:\ MSDERelA” y pulsar el botón “Finalizar”.
Los archivos de instalación de copiarán a la carpeta que hayamos especificado.
- Abrir una consola de comandos e ir a la carpeta anterior
- Iniciar la instalación escribiendo lo siguiente y pulsando la tecla “Intro”:
setup sapwd="NUESTRACONTRASEÑA" instancename="WSUS"
De esta forma se instalará nuestro MSDE 2000 con la contraseña “NUESTRACONTRASEÑA” y nombre de instancia “WSUS”
- Comprobar que el servicio está instalado.
Para ello basta con ir a la consola de servicios y comparar que existe “MSSQL$WSUS”
Para acceder a esta consola basta con hacer clic en el icono “Servicios” localizado en el escritorio de nuestro servidor, o bien hacer clic en “Inicio”, abrir el dialogo “Ejecutar”, introducir “services.msc” y pulsar en el botón “Aceptar”.
Ahora debemos instalar el complemento de seguridad adicional que hemos descargado. Para ello seguiremos los siguientes pasos:
- Hacer clic sobre el archivo “SQL2000-KB815495-8.00.0818-ESN.exe”
- En la página de bienvenida pulsar el botón “Siguiente”
- Aceptar el acuerdo de licencia y pulsar “Siguiente”
- Seleccionar nuestra instancia de WSUS y pulsar “Siguiente”
- En “Modo de autenticación” elegir “Autenticación de Windows” y pulsar "Siguiente"
- Pulsar el botón “Instalar”
- Pulsar “Finalizar” una vez que haya concluido la instalación
Es recomendable reiniciar el servidor para asegurarnos de que los servicios de MSDE se inician correctamente.
- Una vez que hemos reiniciado el servidor volvemos a la consola de servicios y buscamos el servicio “SQLAgent$WSUS”
Editamos el servicio y lo configuramos como “Automático” en caso de que se encuentre deshabilitado y lo Iniciamos en caso de que no lo este.
Instalar WSUS en nuestro servidor
Una vez cumplidos los requisitos de software estamos en condiciones de iniciar la instalación de nuestro WSUS. Para ello seguiremos los siguientes pasos:
- Hacemos clic sobre el archivo “WSUSSetup.exe” que habíamos descargado y copiado a nuestro servidor.
- En la pantalla de bienvenida del asistente de instalación pulsamos el botón “Siguiente”
- Aceptamos los términos del acuerdo de licencia y pulsamos “Siguiente”
- Seleccionamos la opción de almacenar localmente las actualizaciones y elegimos la carpeta de destino donde se descargarán las mismas:
- En las opciones de la base de datos elegimos nuestra instancia de WSUS que hemos instalado anteriormente y pulsamos el botón “Siguiente”
- Elegimos la ubicación de nuestro sitio Web y pulsamos “Siguiente”
En nuestro caso hemos elegido la segunda opción ya que el programa de instalación la marcaba por defecto y no nos dejaba elegir la primera.
- En la siguiente pantalla pulsamos “Siguiente” sin marcar nada puesto que nuestro servidor será el primer servidor WSUS (y único por ahora).
- En la siguiente pantalla pulsamos "Siguiente"
- Una vez que finalice la instalación pulsamos “Finalizar”.
Como en ocasiones anteriores es recomendable reiniciar el servidor.
Configuración de la directiva de seguridad en el controlador de dominio para permitir las actualizaciones automáticas.
Una vez instalado nuestro WSUS debemos configurar nuestro controlador de dominio de forma adecuada para que nuestros equipos de nuestra red tomen la configuración nueva correspondiente a las actualizaciones automáticas y utilicen el nuevo servicio que acabamos de poner en marcha.
Esta configuración consistirá en adaptar las políticas de grupo para permitir el uso correcto del servicio proporcionado por WSUS. Para ello llevaremos a cabo los siguientes pasos:
- Conectarnos o entrar en nuestro controlador de dominio
- Necesitamos acceder a la directiva de grupo de nuestro dominio. Una forma de hacerlo accediendo a “Usuario y equipos de Active Directory” a través del menú de “Inicio -> Programas -> Herramientas administrativas”.
- Sobre nuestro dominio hacemos clic con el botón derecho del ratón y pulsamos en Propiedades.
- Pulsamos en la pestaña “Directiva de grupo” y le damos al botón “Nueva”:
- Una nueva directiva de grupo aparecerá en la lista. Pulsamos sobre ella y le cambiamos el nombre a “Actualizaciones automáticas”
- Pulsamos en “Opciones” y marcamos la casilla de “No reemplazar”. De esta forma forzaremos a que se aplique nuestra directiva de grupo
- Pulsamos “Modificar”. Se abrirá la consola de directivas de grupo
- Pulsamos sobre “Plantillas administrativas” en “Configuración del equipo” y con el botón derecho seleccionamos “Agregar o quitar plantillas”
- En la pantalla de “Agregar o quitar plantillas” pulsamos el botón agregar y seleccionamos la plantilla: “wuau.adm” y pulamos “Agregar”
- Una vez agregada la plantilla podemos configurar las actualizaciones automáticas desde “Plantillas administrativas -> Componentes de Windows -> Windows Update”
- Configuramos las directivas según nos convenga. Para ello hacemos doble clic sobre cada directiva y elegimos las opciones correspondientes. Por ejemplo: Si queremos que las actualizaciones se instalen en todos los equipos a las 7:00
Como podemos ver cada directiva cuenta con una pestaña “Explicación” que contiene la explicación de lo que hace esa directiva en particular.
Demos de habilitar la directiva de “Especificar la ubicación de WSUS en la intranet” para indicar la ubicación de nuestro servidor con los mismos datos de la instalación de nuestro WSUS:
También es recomendable habilitar la directiva de “No reiniciar automáticamente a los usuarios que hayan iniciado sesión” para evitar que los equipos se reinicien y los usuarios pierdan la información que no hayan guardado.
- Ahora realizamos la misma tarea en “Configuración de usuario” para agregar la plantilla de actualizaciones automáticas y configurar las directivas correspondientes según nuestras necesidades.
Tras acabar es recomendable reiniciar el controlador de dominio para que comience a aplicar la nueva directiva de grupo.
Poco a poco los equipos conectados a la red tomarán la nueva política de grupo. Sin embargo podemos forzar a que estos equipos para que tomen la política de grupo con tan solo ejecutar el siguiente comando desde una consola de comandos o desde la ventana “Ejecutar” en el menú de “Inicio”: gpupdate /force.
Trabajando con nuestro WSUS
En este momento disponemos de nuestro servicio correctamente instalado y funcionando. Ahora podemos acceder desde Internet Explorer a nuestro servidor de WSUS para poder ver el estado en el que se encuentra el servicio, configurar las opciones de sincronización de las actualizaciones automáticas, etc. Todo esto desde la URL de nuestro servidor: http://XXX:8530/WSUSAdmin/ (donde XXX es el nombre de nuestro servidor o su dirección IP)
La página anterior corresponde a la página de "Inicio". Desde aquí se puede ver el estado generar de nuestro servicio: Actualizaciones, Equipos detectados, Estado de la sincronización con el servidor de Microsoft que proporciona las actualizaciones automáticas. Además, podemos ver la “Lista de tareas pendientes” donde aparece información sobre el estado de nuestro servidor.
En la página anterior se nos pide que nos conectemos al servidor de actualizaciones automáticas mediante SSL. Sin embargo esto no es necesario debido a que este tipo de conexión está pensada para conectar distintos servidores de WSUS dentro de una misma empresa, y como solo tenemos uno no es necesario establecer una conexión SSL con el servidor de actualizaciones automáticas de Microsoft debido a que las comunicaciones con este servidor ya son seguras.
El otro aviso que nos aparece se debe a que no ha sido posible actualizar el propio servicio de WSUS. Probablemente se deba a que sea necesario reiniciar el servidor, a que no este correctamente configurada la auto actualización o a que no sea posible la auto actualización debido a que pasaría a otra versión de WSUS para la que nuestro servidor no está preparado.
Si hacemos clic sobre el icono de Actualizaciones se abrirá la página donde aparecen todas las actualizaciones que se han descargado y el estado de aprobación de cada actualización. Por defecto se aprueban de forma automática todas las actualizaciones que no requieren reinicio y que son críticas.
Desde esta página podemos decidir que actualizaciones de las que se han descargado se pueden aplicar. Para ello cambiamos la aprobación a “Instalar”. Del mismo modo se pueden rechazar actualizaciones cambiando la aprobación a ”Sin aprobar” o pulsando en “No aceptar la actualización”. Para cambiar la aprobación de la actualización seleccionada o del conjunto de actualizaciones que se hayan seleccionado basta con pulsar en el botón “Cambiar aprobación” que se encuentra en la parte superior izquierda de la página.
También se nos ofrece la posibilidad de filtrar las actualizaciones para que solo aparezcan las que cumplan determinados criterios.
Además, cuando pinchamos sobre cualquier actualización aparece en la parte inferior los detalles de la misma.
Si pulsamos en el botón “Informes” podremos acceder a la página correspondiente desde donde se pueden obtener informes del estado de las actualizaciones, el estado de los equipos, los resultados de la sincronización con el servidor de actualizaciones automáticas de Microsoft y un resumen de la configuración.
Además, una vez que se ha generado el Informe que nos interese es posible imprimirlo utilizando para ello el botón “Imprimir Informe” que aparece en la ventana de tareas en la parte superior izquierda de la página.
Si pulsamos ahora en el botón equipos podemos ver todos los equipos de nuestra red que han sido detectados por nuestro WSUS.
Recordemos que si un equipo en particular no se muestra en la lista podemos forzar a que aparezca. Para ello basta con ir al equipo en cuestión y, como Administrador, desde una consola de comandos o desde “Inicio - > Ejecutar” ejecutar el comando: gpupdate /force
Como vemos, desde esta página es posible organizar los equipos en grupos y mover los equipos que se vayan detectando al grupo en cuestión. Esto nos permite aplicar actualizaciones a grupos concretos de equipos.
Si pulsamos sobre un equipo nos mostrará los detalles del mismo: grupo al que pertenece, dirección IP, sistema operativo, etc. Además si pulsamos sobre la pestaña “Estado” nos mostrará las actualizaciones que se han aplicado a este equipo o que se van a aplicar, así como el estado de la última detección de actualizaciones en el equipo.
Por último, si pulsamos sobre “Opciones” podemos ver la página de configuración de las distintas opciones.
En Opciones de sincronización podemos establecer:
- La frecuencia con la que queremos conectarnos con los servidores de Microsoft para descargarnos actualizaciones: diariamente, mensualmente, a que hora…
- Que tipo de actualizaciones se deben descargar: actualizaciones críticas, de seguridad, etc. y de que productos se van a descargar: Windows XP, Windows Server 2003, etc.
- La configuración del Proxy. En nuestro caso no es necesario puesto que el acceso a Internet desde nuestro servidor NT_HCENTER2 es directo.
- El origen de la actualización, para sincronizar directamente desde los servidores de Microsoft o desde otro servidor WSUS que tengamos configurado. En nuestro caso debemos seleccionar la opción de sincronizar desde los servidores de Microsoft (Sincronizar desde Microsoft Update)
- Elegir los idiomas en los que se descargarán las actualizaciones.
En la parte izquierda se nos muestra el resultado de la última sincronización, se nos permite guardar la configuración actual en caso de que la hayamos modificado y se nos ofrece la posibilidad de sincronizar ahora.
En Opciones de aprobación automática se definen que tipo de actualizaciones de aprobarán para detectarse, que tipo de actualizaciones se aprobarán para instalarse de forma automática, etc.
En Opciones de equipos se define como se moverán los equipos de desde los distintos grupos.
