Implementación de Servidor de Actualizaciones (WSUS)

En esta semana un cliente me pidió que instalara un par de servidores para administrar de manera centralizada las actualizaciones de sus sistemas operativos, esta organización tenía alrededor de 1700 equipos de cómputo con sistemas operativos windows 7, windows XP, Windows 8, Windows Server 2003, 2008 R2, 2012 y 2012 R2.

Como este cliente tenía licencias de Windows Server 2012, le hice una propuesta de desplegar Windows Update Services, un rol de Windows server que nos permite administrar de manera centralizada actualizaciones a todos nuestros equipos que se encuentran dentro del dominio, sin tener que pagar ninguna otra licencia.

La estructura que propuse fue la siguiente:

Existen dos sede remotas conectadas mediante un enlace WAN de 10 Megas; un servidor WSUS-LIMA, que descargará actualizaciones desde Microsoft Update todos los días a las 12:30 a.m y otro servidor WSUS-MIRAFLORES, ubicado en la otra sede, el cual descargará actualizaciones desde el Servidor WSUS-LIMA, todos los días a las 3:00 a.m.

Las actualizaciones se descargan en cada servidor y todos los días a la 01 de la tarde se instalarán las actualizaciones en todos los equipos del dominio.

Con esta estructura evitamos tráfico innecesario del servidor del sitio 02, ya que no se conectará al sitio de Microsoft Update, sino que descargará las actualizaciones desde el servidor del Sitio 01.

1

 

Lo primero que haremos es ingresar al Servidor WSUS-LIMA y crear una capeta llamada WSUS; es recomendable tener un disco dedicado para almacenar estas actualizaciones.

0

 

Ahora nos dirigimos al Server Manager para agregar el rol.

2

 

Damos clic en siguiente.

3

 

Seleccionamos la primero opción, ya se la instalación será en el mismo servidor.

4

 

Clic en next.

5

 

Seleccionamos el ROL Windows Server Update Services, y vemos que automáticamente se selecciona el rol de Web Server, damos siguiente.

6

 

Nuevamente next.

 

7

 

Aquí debemos asegurarnos que esté seleccionado las dos primera opciones y damos clic en siguiente.

 

8

 

Aquí Activamos el Check y colocaremos la ruta donde se almacenarán las actualizaciones que se descargan. (Recordad que inicialmente se ha creado una carpeta para este fin)

9

 

Aquí simplemente damos clic en next.

 

10

 

Llegamos a esta ventana y seleccionamos install. Después que termina de instalar cerramos esta ventana.

 

11

 

Configuración de WSUS

Ahora nos queda configurar, yo prefiero hacerlo desde la consola de WSUS, para ello me dirijo a Server Manager y en Tools selecciono Windows Server Update Services.

12

 

Nos muestra la consola de administración de WSUS; aquí seleccionamos  WSUS Server Configuration Wizard, nos muestra la ventana siguiente y damos next, next.

13

 

Seleccionamos la primera opción para descargar las actualizaciones desde el sitio de Windows Update.

 

14

 

Si tenemos un proxy seleccionamos la primera opción, si no fuera el caso simplemente next.

 

15

 

Aquí seleccionamos Start Connecting, para hacer una sincronización Microsoft Update; esperamos a que termine.

16

 

Y damos clic en next.

18

Seleccionamos los idiomas de las actualizaciones, en mi caso todos los equipos del dominio tienen el sistema operativo en español.

19

 

Seleccionamos los tipos de actualizaciones que vamos a descargar, yo acostumbro a seleccionar estos tipos.

21

Seleccionamos los sistemas operativos para los cuales descargaremos las actualizaciones.

 

20

 

Configuramos para que el servidor WSUS-LIMA sincronice con el sitio de Microsoft Update todos los días a las 12:30 a.m.

22

 

Aquí seleccionamos para que se realice una sincronización con el sitio de Microsoft Update, y verifique que actualizaciones hay para los equipos que habíamos seleccionado y en el idioma correspondiente. Una vez terminado finalizamos.

 

23

 

 

Después de unos minutos y que haya terminado de realizar la sincronización con Microsoft Update, debemos de decirle al WSUS que trabajará con políticas de Grupo.

Para ello en la consola del WSUS, seleccionamos Computers y en la ventana Seleccionamos la segunda opción.

24

 

Ahora en la parte derecha de la consola creamos un nuevo grupo, para ello en All computers, damos clic derecho para agregar un nuevo grupo.

25

 

Colocamos un Nombre, yo recomiendo que sea igual al nombre de la Unidad Organizativa que contiene a los equipos de nuestra organización.

26

Debe quedarnos de esta manera.

27

 

 

Creación de Unidad Organizativa en nuestro AD.

En este caso la Unidad organizativa que contiene a todos los equipos del dominio es Lima (Si nos fijamos se llama igual que el grupo que creamos en el WSUS)

28

 

Configuración de GPO

En nuestro Controlador de Dominio abrimos la consola de Group Policy Management, creamos una GPO llamada GPO_Lima con la siguiente configuración y la enlazamos a la Unidad Organizativa Lima.

 

29

 

Adjunto todas configuraciones de la política.

Esta política instala las actualizaciones en los equipos del dominio todos los días a la 1 p.m.

30

Configuramos la dirección de nuestro wsus.

 

 

 

31

Evita que los equipos cliente se reinicien automáticamente después de instalar las actualizaciones.

 

 

32

Colocamos el nombre del grupo al que se aplicará las actualizaciones (Grupo que creamos en el WSUS)

 

 

33

 

Con esto ya tenemos configurado nuestro WSUS y listo para ser usado.

En el siguiente artículo instalaremos el siguiente servidor de Actualizaciones en la otra sede.

 

 

 

 

 

 

Anuncios

Acerca de eldeza

System Engineer, MVP Microsoft, CCNA, CCNA Security, MCSA Windows Server 2012, MCSA Office 365, Specialist Azure, ITIL Certification

Publicado el 8 de agosto de 2014 en Windows Server 2012. Añade a favoritos el enlace permanente. 23 comentarios.

  1. Una duda, tengo un servidor de dominio pero para no saturarlo de actualizaciones voy a poner otro servidor (windows server 2008 r2 los 2 equipos, estan en la misma red con ips asignados), el servidor WSUS que no tiene dominio quiero conectarlo o que este le mande las actualizaciones al servidor de dominio, es decir quiero que el server WSUS le mande todas las actualizaciones a los equipos que estan en el servidor de dominio que tendria que hacer o si hay alguna liga para ver como se hace, agradeceria mucho su ayuda, saludos.

    • Querido Oscar, el servidor que brinda las actualizaciones es el SErvidor WSUS, no el Servidor de Dominio.

      • Gracias por su pronta respuesta, le comento que quiero separar el servidor WSUS del servidor de Dominio es decir tener 2 servidores, el servidor de dominio y el servidor WSUS en otro equipo diferente, se puede realizar como tal para no saturar el ancho de banda del servidor de Dominio? si es así que se tiene que hacer o si me puede ayudar con este detalle, gracias y saludos.

      • Claro que se puede, justo en mis artículos, los servidores WSUS son independientes del Controlador de Dominio. El controlador de Dominio sólo se usa para las políticas de despliegue actualizaciones en nuestro ambiente de dominio.

  2. Estimado, muy buen material una duda ya realice todo el proceso de intalación, creaciòn de l grupo y tambien la GPO en mi active directory, mi pregunta es cuando comenzarán a aparecer los equipos del active directory en mi wsus?? por favor solo me falta eso o hay que realizar algun paso más?

    • te puede estar pasando lo siguiente:

      .El targeting de tu GPO no se llama igual que tu OU en el AD
      .Los equipos deben estar dentro de la OU que lleva el mismo nombre del Targeting.

  3. Muy buena explicación, en las estaciones de trabajo hay que configurar algo? tengo que dejar las actualizaciones automáticas? gracias por la ayuda!!!

    • En el cliente sólo debes asegurarte que le aplique la política WSUS y se encuentre dentro del Target que configuraste en la GPO.
      Utiliza el siguiente comando en el cliente para forzar la detección:
      wuauclt.exe /detectnow

      • gracias nuevamente por la ayuda!! supongo que esta configuracion es validad para windows 2008 r2

      • Te pregunto porque instale un windows 2008 R2 y en la lista de productos no me sale por ejemplo el windows 7. No se si es porque no tengo actualizado el windows 2008 R2. gracias!!

  4. @eldeza; le puedo dejar mi correo para contactarlo? gracias

  5. Buenos días.
    Una consulta tengo equipos (500 aprox.) que no están en un dominio, en ese caso es posible que el WSUS los pueda actualizar?

  6. Buenos días,
    Una consulta, en una universidad, hay el servidor de dominio principal, al cual no tenemos acceso(somos una facultad), queríamos saber si se puede tener un servidor windows server 2012 solo configurado para realizar esa acción?
    Todas las pcs de nuestra facultad están en el mismo dominio.

  7. Gracias por el aporte. Mi consulta es, si tengo equipos con win7, win8.1, winXP, Office 2010,2013 y 2016; la GPO es la misma para todos los equipos? o es necesario que se diferencie con algún filtro? o desde la consola de WSUS hago esta diferenciación por grupos..

  8. Buenas tardes quiero agregar un server al WSUS que se encuentra fuera del dominio, es eso posible ??

  9. Hola.

    He creado sobre un Windows 2012 R2 un Downstream Server. Tengo la duda de cómo aplican las GPO´s creadas en el WSUS1 y ciál sería la mejor práctica de GPO´s?. Explico lo que tengo:

    Tengo un DC-A en el que instalé WSUS y funcionó corréctamete. Más tarde, pensé en congifurar un downstream, de tal forma que mi DC-A se sincroniza con el DC-B, en el que instalé WSUS también.

    La idea es que el DC-B se baje todo y el DC-A lo coja del DC-B. UNa vez lo tiene el DC-A, todos mi equipos se bajen los updates correspondientes, con la idea de no saturar la red.

    Sincronizan corréctamente, pero no veo que se estén bajando los updates ni se actulicen los equipos.

    Adjunto una mágen con ámbos DC. Arriba el DC-B en el que se vé como “UPstream DC-B” y abajo el D-A

    • Lo que normalmente hago es creo un wsus01 en mi sede central donde el ancho de banda es bueno, luego creo wsus diatribuidoss de manera geográfica, ea decir en cada sede wsus02, wsus03 los cuales descargan las actualizaciones del principal.
      Ahora en mi AD. Tengo una estructura de OUs de manera geográfica, en la que para aplicar las políticas para los equipos de cada sede simplemente apunto a cada servidor wsus, no al principal. Y todo funciona sin problemas.

  10. Hola Eldeza.
    Hola Eldeza.

    He conseguido que sincronicen, se ven, se bajan los updates y el A los cojo del DC-B.
    Sin embargo, ahora veo que los equipos no aparecen en el WSUS de DC-B (es de decir, del Downstream). Se muestran unos pero no todos. He corrido los comandos necesarios de tetecnow / resetauthorization pero siguen apareciendo los mismos equipos. ¿Te suena que puede ser?.

    MUchas gracias de nuevo!.

    Javier

    Javier

  11. Hola.

    Estoy realizando pruebas y siguen sin verse los servers. Sólo aparecen 10 y cuando lano un detectnow aprece uno nuevo pero deparace otro.
    ¿Te suena qué puede ser?.

    Gracias!

  1. Pingback: Instalación de un segundo servidor WSUS | El Deza

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: