Dentro de la gestión continua en Windows Server 2016 en nuestras organizaciones comprobamos las grandes ventajas y beneficios que nos ofrece Microsoft a través de los diferentes roles y características que nos permiten realizar la tarea de gestión y control de una forma mucho más sencilla y centralizada lo cual se ve reflejado en mejoras administrativas y de soporte.
Uno de estos roles que es muy importante a nivel administrativo tenemos WSUS o Windows Server Update Services y hoy vamos a analizar en detalles que papel cumple este rol y cómo podemos implementarlo en Windows Server 2016.
Qué es WSUS
WSUS (Windows Server Update Services) es un rol que nos da la posibilidad, como administradores, de implementar las actualizaciones crítica y más importantes en los equipos cliente que cuentan con Sistemas Operativos Windows.
Este rol se encarga de recibir las actualizaciones y distribuirlas a los equipos que tienen instalados productos Microsoft como SQL u Office. Gracias a WSUS hacemos dos tareas fundamentales:
- Automatizamos el proceso de administración de actualizaciones.
- Administramos de forma centralizada las actualizaciones ya que definimos cuáles actualizaciones descargar y en que equipos instalarlas.
Novedades de WSUS
Dentro de las novedades de WSUS tenemos:
- Incluye cmdlets de Windows PowerShell para su gestión y control.
- Es posible añadirlo o eliminarlo usando el administrador del servidor.
- Incluye la capacidad hash SHA256 para incrementar los niveles de seguridad.
- Permite separar cliente y servidor.
Requisitos para instalar WSUS en Windows Server 2016
Los requisitos mínimos para instalar este rol y permitir que funcione de forma correcta son:
- Espacio en disco duro de mínimo 10 GB.
- Adaptador de red de mínimo 100 Mbps.
- En cuanto a memoria lo recomendado es tener 2 GB más de las requeridas por el servidor.
- Procesador x64 de 1.4 Ghz o mayor.
Con el siguiente videotutorial podrás ver más detenidamente cada uno de los capítulos necesarios para la instalación del WSUS en Windows Server 2016.
1. Instalar WSUS en Windows Server 2016
Paso 1
Para instalar este importante rol en nuestros servidores Windows Server 2016 vamos al administrador del servidor y seleccionamos la opción "Agregar roles y características". En las primeras ventanas pulsamos Siguiente (Bienvenida, tipo de instalación y selección del servidor) y llegamos a la ventana "Roles de servidor".
Allí debemos activar la casilla "Windows Server Update Services" y se desplegará la siguiente ventana donde seleccionamos la opción "Agregar características":
Paso 2
Veremos que se ha seleccionado el rol indicado. Pulsamos en Siguiente y en la siguiente ventana no agregaremos nada por lo cual pulsamos de nuevo Siguiente.
Paso 3
En la siguiente ventana vemos una breve descripción del papel que cumple WSUS en Windows Server 2016.
Paso 4
Pulsamos Siguiente y a continuación dejamos los servicios de rol que están marcados por defecto, los cuales son:
WID Connectivity
Este servicio se encarga de instalar la base de datos de WID.
WID Services
Es el encargado de gestionar todos los servicios de WSUS.
Paso 5
Pulsamos nuevamente en Siguiente y en la siguiente ventana definimos donde se van almacenar las actualizaciones para ser distribuidas posteriormente.
Paso 6
Una vez definido este valor pulsamos Siguiente y veremos un resumen de la tarea a ejecutar. Pulsamos en Instalar para iniciar el proceso de instalación del rol WSUS en Windows Server 2016.
Paso 7
Una vez instalado el rol veremos un mensaje de advertencia indicando que debemos ejecutar tareas después de la instalación, damos clic allí y veremos lo siguiente:
Paso 8
Pulsamos en Ejecutar para que las tareas de instalación concluyan.
2. Configurar WSUS para sincronizarse con Windows Update
El siguiente paso consiste en configurar WSUS con Windows Update para todo el proceso de actualizaciones hacia los equipos cliente.
Paso 1
Para esto accedemos al "Administrador del servidor / Herramientas Windows Server Update Services" y se desplegara el siguiente asistente:
Paso 2
Esta es la ventana de bienvenida, pulsamos Siguiente y en la siguiente ventana podemos participar del programa de mejora de Windows Update.
Paso 3
Pulsamos Siguiente y en la ventana desplegada indicaremos el servidor desde donde se descargarán las actualizaciones, dejamos la opción por defecto "Sincronizar desde Microsoft Update".
Paso 4
Pulsamos Siguiente y en la siguiente ventana no ejecutamos ninguna acción.
Paso 5
De nuevo pulsamos Siguiente y en la ventana desplegada debemos pulsar en el botón "Iniciar conexión" para que todas las actualizaciones disponibles en Windows Update sean descargadas al servidor WSUS.
Paso 6
Este proceso toma tiempo en base al tipo de conexión que tengamos en el momento. Una vez se hayan descargado las actualizaciones pulsamos en Siguiente y en la ventana desplegada debemos definir el idioma en el cual se han de descargar las actualizaciones.
Paso 7
Una vez definidos los idiomas pulsamos Siguiente y ahora debemos definir para que tipo de productos Microsoft se han de obtener las actualizaciones.
Paso 8
Una vez definidos los productos pulsamos Siguiente y ahora debemos definir el tipo de actualizaciones que han de ser descargadas (Criticas, seguridad, controladores, etc).
Paso 9
Una vez definamos que tipo de actualizaciones serán descargadas pulsamos Siguiente y será necesario definir cómo realizar la sincronización, manual o programada.
Paso 10
Cuando hayamos definido el tipo de sincronización pulsamos Siguiente y podemos ver que ha concluido el proceso de configuración de WSUS con Windows Update.
Paso 11
Debemos tener presente en activar la casilla "Iniciar sincronización" inicial para que tan pronto salgamos del asistente sean descargadas las respectivas actualizaciones disponibles para los productos seleccionados. Pulsamos Siguiente y veremos cuál es el siguiente paso en WSUS.
Paso 12
Para salir del asistente pulsamos en el botón Finalizar. Podemos ver en la consola de WSUS las actualizaciones disponibles según la configuración definida.
3. Asignar equipos en WSUS Windows Server 2016
Paso 1
Una vez definidos estos parámetros vamos a la consola de WSUS y seleccionamos la línea Opciones y en el panel central elegimos la opción Equipos.
Paso 2
Se desplegará el siguiente asistente donde debemos seleccionar la opción "Usar directiva de grupo o configuración de Registro de los equipos". Pulsamos en Aceptar.
Paso 3
Ahora vamos al menú del costado izquierdo y damos dar clic derecho sobre "Todos los equipos" y allí seleccionamos la opción "Agregar grupo de equipos".
Paso 4
Se desplegará la siguiente ventana donde definiremos el nombre del nuevo grupo. Pulsamos en Aceptar para guardar los cambios.
4. Crear una política de grupo para WSUS en el dominio Windows Server 2016
Una vez haya sido creado el grupo de equipos vamos a crear una GPO o Política de grupo para que sea aplicada a todos los equipos de la organización y WSUS pueda ejecutar su rol de manera automática.
Paso 1
Para esto accedemos al "Administrador de directivas de grupo" y nos dirigimos a la unidad organizativa donde tenemos alojados los equipos de la organización. Allí daremos clic derecho y seleccionamos la opción "Crear un GPO en este dominio y vincularlo aquí".
Paso 2
A continuación, se desplegará la siguiente ventana donde asignaremos un nombre a la política de grupo. Pulsamos Aceptar.
Paso 3
A continuación, vamos a la nueva política creada y daremos clic derecho y elegimos la opción Editar.
Paso 4
En la ventana desplegada vamos a la siguiente ruta:
- Configuración del equipo
- Directivas
- Plantillas administrativas
- Componentes de Windows
- Windows Update
Paso 5
En esta ventana debemos editar tres políticas en particular. En el costado izquierdo seleccionamos la política "Configurar actualizaciones automáticas" y damos doble clic sobre ella. En la ventana desplegada activamos la casilla "Habilitada" y en el campo "Configurar actualización automática" ubicado en la parte inferior seleccionamos la opción "3 – Descargar automáticamente y notificar instalación". Pulsamos en Aplicar y posteriormente en Aceptar para guardar los cambios.
Paso 6
La siguiente política a editar es "Especificar la ubicación del servicio Windows Update en la intranet" mediante la cual vamos a indicar la ruta en la política de donde se obtendrán las actualizaciones. Damos doble clic en dicha política y en la ventana desplegada activamos la casilla Habilitada y en los campos "Establecer el servicio de actualización de la intranet para detectar actualizaciones" debemos ingresar la siguiente sintaxis. Pulsamos en Aplicar y luego en Aceptar para guardar los cambios.
http://Nombre_Equipo.Dominio:8530
Paso 7
Finalmente debemos habilitar la política "Habilitar destinatarios del lado del cliente", para ello activamos la casilla Habilitada y en el campo "Nombre de grupo de destino para este equipo" indicamos el nombre del grupo que hemos creado en WSUS. Del mismo modo Aplicar y luego en Aceptar para almacenar los cambios.
5. Configurar equipo cliente en Windows Server 2016
El siguiente paso consiste en ir al equipo cliente y desde un símbolo del sistema, o cmd, verificar que el equipo está recibiendo la política que ha sido creada.
Paso 1
Para ello accedemos como administradores del dominio al equipo cliente, abrimos el símbolo del sistema y en la terminal ejecutamos el siguiente comando:
gpresult /r
Paso 2
Allí debemos validar que la política creada este bajo la línea "Objetos de directiva de grupo Aplicados". A continuación, ingresaremos el siguiente comando para inicializar Windows Update:
Wuauclt.exe /reportnow /detectnow
6. Cómo aprobar e implementar una actualización para el cliente en Windows Server 2016
Paso 1
Para esta tarea debemos ir nuevamente a la consola de WSUS y desplegamos la línea Actualizaciones y elegimos alguna de las actualizaciones disponibles, damos clic derecho sobre ella y seleccionamos Aprobar.
Paso 2
Se desplegará el siguiente asistente donde debemos desplegar el grupo de equipos que hemos creado y seleccionamos la opción "Aprobada para su instalación".
Paso 3
Pulsamos en Aceptar y veremos que ha sido aprobada de forma correcta.
Paso 4
A continuación, podemos ir nuevamente al equipo cliente y nuevamente buscar actualizaciones y ya aparecerá la actualización que hemos aprobado.
Hemos podido analizar cómo WSUS es un gran aliado para la automatización del proceso de actualizaciones permitiéndonos definir a que usuarios en específico se han de descargar las últimas actualizaciones disponibles en Windows Update y así llevar un control de los recursos de la organización controlando que equipos se encuentran actualizados y cuáles no, o simplemente definiendo a que usuario se le asignará una determinada actualización en base al programa de Microsoft que esté en uso.
Conoce que significa aplazar o deshabilitar las actualizaciones que aparecen en el sistema operativo Windows 10 y cómo poder realizarlo.