Implementación de Servidor de Actualizaciones (WSUS)
En esta semana un cliente me pidió que instalara un par de servidores para administrar de manera centralizada las actualizaciones de sus sistemas operativos, esta organización tenía alrededor de 1700 equipos de cómputo con sistemas operativos windows 7, windows XP, Windows 8, Windows Server 2003, 2008 R2, 2012 y 2012 R2.
Como este cliente tenía licencias de Windows Server 2012, le hice una propuesta de desplegar Windows Update Services, un rol de Windows server que nos permite administrar de manera centralizada actualizaciones a todos nuestros equipos que se encuentran dentro del dominio, sin tener que pagar ninguna otra licencia.
La estructura que propuse fue la siguiente:
Existen dos sede remotas conectadas mediante un enlace WAN de 10 Megas; un servidor WSUS-LIMA, que descargará actualizaciones desde Microsoft Update todos los días a las 12:30 a.m y otro servidor WSUS-MIRAFLORES, ubicado en la otra sede, el cual descargará actualizaciones desde el Servidor WSUS-LIMA, todos los días a las 3:00 a.m.
Las actualizaciones se descargan en cada servidor y todos los días a la 01 de la tarde se instalarán las actualizaciones en todos los equipos del dominio.
Con esta estructura evitamos tráfico innecesario del servidor del sitio 02, ya que no se conectará al sitio de Microsoft Update, sino que descargará las actualizaciones desde el servidor del Sitio 01.
Lo primero que haremos es ingresar al Servidor WSUS-LIMA y crear una capeta llamada WSUS; es recomendable tener un disco dedicado para almacenar estas actualizaciones.
Ahora nos dirigimos al Server Manager para agregar el rol.
Damos clic en siguiente.
Seleccionamos la primero opción, ya se la instalación será en el mismo servidor.
Clic en next.
Seleccionamos el ROL Windows Server Update Services, y vemos que automáticamente se selecciona el rol de Web Server, damos siguiente.
Nuevamente next.
Aquí debemos asegurarnos que esté seleccionado las dos primera opciones y damos clic en siguiente.
Aquí Activamos el Check y colocaremos la ruta donde se almacenarán las actualizaciones que se descargan. (Recordad que inicialmente se ha creado una carpeta para este fin)
Aquí simplemente damos clic en next.
Llegamos a esta ventana y seleccionamos install. Después que termina de instalar cerramos esta ventana.
Configuración de WSUS
Ahora nos queda configurar, yo prefiero hacerlo desde la consola de WSUS, para ello me dirijo a Server Manager y en Tools selecciono Windows Server Update Services.
Nos muestra la consola de administración de WSUS; aquí seleccionamos WSUS Server Configuration Wizard, nos muestra la ventana siguiente y damos next, next.
Seleccionamos la primera opción para descargar las actualizaciones desde el sitio de Windows Update.
Si tenemos un proxy seleccionamos la primera opción, si no fuera el caso simplemente next.
Aquí seleccionamos Start Connecting, para hacer una sincronización Microsoft Update; esperamos a que termine.
Y damos clic en next.
Seleccionamos los idiomas de las actualizaciones, en mi caso todos los equipos del dominio tienen el sistema operativo en español.
Seleccionamos los tipos de actualizaciones que vamos a descargar, yo acostumbro a seleccionar estos tipos.
Seleccionamos los sistemas operativos para los cuales descargaremos las actualizaciones.
Configuramos para que el servidor WSUS-LIMA sincronice con el sitio de Microsoft Update todos los días a las 12:30 a.m.
Aquí seleccionamos para que se realice una sincronización con el sitio de Microsoft Update, y verifique que actualizaciones hay para los equipos que habíamos seleccionado y en el idioma correspondiente. Una vez terminado finalizamos.
Después de unos minutos y que haya terminado de realizar la sincronización con Microsoft Update, debemos de decirle al WSUS que trabajará con políticas de Grupo.
Para ello en la consola del WSUS, seleccionamos Computers y en la ventana Seleccionamos la segunda opción.
Ahora en la parte derecha de la consola creamos un nuevo grupo, para ello en All computers, damos clic derecho para agregar un nuevo grupo.
Colocamos un Nombre, yo recomiendo que sea igual al nombre de la Unidad Organizativa que contiene a los equipos de nuestra organización.
Debe quedarnos de esta manera.
Creación de Unidad Organizativa en nuestro AD.
En este caso la Unidad organizativa que contiene a todos los equipos del dominio es Lima (Si nos fijamos se llama igual que el grupo que creamos en el WSUS)
Configuración de GPO
En nuestro Controlador de Dominio abrimos la consola de Group Policy Management, creamos una GPO llamada GPO_Lima con la siguiente configuración y la enlazamos a la Unidad Organizativa Lima.
Adjunto todas configuraciones de la política.
Esta política instala las actualizaciones en los equipos del dominio todos los días a la 1 p.m.
Configuramos la dirección de nuestro wsus.
Evita que los equipos cliente se reinicien automáticamente después de instalar las actualizaciones.
Colocamos el nombre del grupo al que se aplicará las actualizaciones (Grupo que creamos en el WSUS)
Con esto ya tenemos configurado nuestro WSUS y listo para ser usado.
En el siguiente artículo instalaremos el siguiente servidor de Actualizaciones en la otra sede.
Publicado el 8 de agosto de 2014 en Windows Server 2012. Añade a favoritos el enlace permanente. 27 comentarios.
El Deza 
Una duda, tengo un servidor de dominio pero para no saturarlo de actualizaciones voy a poner otro servidor (windows server 2008 r2 los 2 equipos, estan en la misma red con ips asignados), el servidor WSUS que no tiene dominio quiero conectarlo o que este le mande las actualizaciones al servidor de dominio, es decir quiero que el server WSUS le mande todas las actualizaciones a los equipos que estan en el servidor de dominio que tendria que hacer o si hay alguna liga para ver como se hace, agradeceria mucho su ayuda, saludos.
Querido Oscar, el servidor que brinda las actualizaciones es el SErvidor WSUS, no el Servidor de Dominio.
Gracias por su pronta respuesta, le comento que quiero separar el servidor WSUS del servidor de Dominio es decir tener 2 servidores, el servidor de dominio y el servidor WSUS en otro equipo diferente, se puede realizar como tal para no saturar el ancho de banda del servidor de Dominio? si es así que se tiene que hacer o si me puede ayudar con este detalle, gracias y saludos.
Claro que se puede, justo en mis artículos, los servidores WSUS son independientes del Controlador de Dominio. El controlador de Dominio sólo se usa para las políticas de despliegue actualizaciones en nuestro ambiente de dominio.
Estimado, muy buen material una duda ya realice todo el proceso de intalación, creaciòn de l grupo y tambien la GPO en mi active directory, mi pregunta es cuando comenzarán a aparecer los equipos del active directory en mi wsus?? por favor solo me falta eso o hay que realizar algun paso más?
te puede estar pasando lo siguiente:
.El targeting de tu GPO no se llama igual que tu OU en el AD
.Los equipos deben estar dentro de la OU que lleva el mismo nombre del Targeting.
Estimado eldeza algun material de buenas practicas en la implementacion de DC/AD.
y por otra parte, esta pregunta:
cuales son las mejores practicas para la combinación de roles en windows server. es decir cuales roles se pueden llevar en un mismo servidor y cuales nunca deben estar juntas.
Hola amigo, no tengo una guía exactamente, respecto a los roles por mi experiencia siempre he tenido los roles distribuidos mínimos en 02 servidores en serve01 (Schema master,Domain naming master) y server02 (PDC,RID pool manager,Infrastructure master). Además es importante tener como mínimo un controlador de dominio físico.
Muy buena explicación, en las estaciones de trabajo hay que configurar algo? tengo que dejar las actualizaciones automáticas? gracias por la ayuda!!!
En el cliente sólo debes asegurarte que le aplique la política WSUS y se encuentre dentro del Target que configuraste en la GPO.
Utiliza el siguiente comando en el cliente para forzar la detección:
wuauclt.exe /detectnow
gracias nuevamente por la ayuda!! supongo que esta configuracion es validad para windows 2008 r2
Te pregunto porque instale un windows 2008 R2 y en la lista de productos no me sale por ejemplo el windows 7. No se si es porque no tengo actualizado el windows 2008 R2. gracias!!
@eldeza; le puedo dejar mi correo para contactarlo? gracias
Buenos días.
Una consulta tengo equipos (500 aprox.) que no están en un dominio, en ese caso es posible que el WSUS los pueda actualizar?
Sinceramente siempre lo he trabajado en un ambiente de dominio, no tengo conocimiento que se pueda hacer actualizaciones con WSUS a equipos que no están en el dominio.
Buenos días,
Una consulta, en una universidad, hay el servidor de dominio principal, al cual no tenemos acceso(somos una facultad), queríamos saber si se puede tener un servidor windows server 2012 solo configurado para realizar esa acción?
Todas las pcs de nuestra facultad están en el mismo dominio.
Por supuesto, sólo tendrias que configurar como el primer servidor que configuro en el artículo, para que descargue directamente desde Microsoft.
Listo muchas gracias. Saludos desde Ecuador
Gracias por el aporte. Mi consulta es, si tengo equipos con win7, win8.1, winXP, Office 2010,2013 y 2016; la GPO es la misma para todos los equipos? o es necesario que se diferencie con algún filtro? o desde la consola de WSUS hago esta diferenciación por grupos..
Buenas tardes quiero agregar un server al WSUS que se encuentra fuera del dominio, es eso posible ??
Hola.
He creado sobre un Windows 2012 R2 un Downstream Server. Tengo la duda de cómo aplican las GPO´s creadas en el WSUS1 y ciál sería la mejor práctica de GPO´s?. Explico lo que tengo:
Tengo un DC-A en el que instalé WSUS y funcionó corréctamete. Más tarde, pensé en congifurar un downstream, de tal forma que mi DC-A se sincroniza con el DC-B, en el que instalé WSUS también.
La idea es que el DC-B se baje todo y el DC-A lo coja del DC-B. UNa vez lo tiene el DC-A, todos mi equipos se bajen los updates correspondientes, con la idea de no saturar la red.
Sincronizan corréctamente, pero no veo que se estén bajando los updates ni se actulicen los equipos.
Adjunto una mágen con ámbos DC. Arriba el DC-B en el que se vé como «UPstream DC-B» y abajo el D-A
Lo que normalmente hago es creo un wsus01 en mi sede central donde el ancho de banda es bueno, luego creo wsus diatribuidoss de manera geográfica, ea decir en cada sede wsus02, wsus03 los cuales descargan las actualizaciones del principal.
Ahora en mi AD. Tengo una estructura de OUs de manera geográfica, en la que para aplicar las políticas para los equipos de cada sede simplemente apunto a cada servidor wsus, no al principal. Y todo funciona sin problemas.
Hola Eldeza.
Hola Eldeza.
He conseguido que sincronicen, se ven, se bajan los updates y el A los cojo del DC-B.
Sin embargo, ahora veo que los equipos no aparecen en el WSUS de DC-B (es de decir, del Downstream). Se muestran unos pero no todos. He corrido los comandos necesarios de tetecnow / resetauthorization pero siguen apareciendo los mismos equipos. ¿Te suena que puede ser?.
MUchas gracias de nuevo!.
Javier
Javier
Hola.
Estoy realizando pruebas y siguen sin verse los servers. Sólo aparecen 10 y cuando lano un detectnow aprece uno nuevo pero deparace otro.
¿Te suena qué puede ser?.
Gracias!
Hola Edelza,
Le hago una consulta. Implementé un servidor de actualizaciones en un servidor con un win server 2008 r2. Mi controlador de dominio es un win server 2003. Actualmente, todos los equipos fueron reconocidos por el wsus, pero la mitad de ellos están con las actualizaciones al 99% y otros figuran como que aún no informaron su estado. Solamente uno solo llegó al 100 %.
Creé la unidad organizativa y la vinculé a una gpo. Dicha gpo, la configuré de la misma manera que figura en el tutorial.
Debo hacer alguna configuración más ? ya sea en el wsus, en el AD o en los equipos clientes ?
Aguardo tu respuesta…
Gracias!
Hola estimado, disculpa la demora; que te muestre 99% a veces pasa que ese equipo tiene actualizaciones necesarias, pero no han sido aprobadas. Tendrías que ingresar a ese equipo verificar qué actualizaciones están pendientes (necesarias) y luego aprobarlas.
Por otro lado el tema de aprobaciones se basa a la regla que aplicaste, si quieres ver tus equipos en 100%, debes filtrar las actualizaciones no aprobadas y declinarlas.
saludos.
Pingback: Instalación de un segundo servidor WSUS | El Deza